Informationssicherheit geht letzten Endes immer von den Beschäftigten einer Organisation aus.

Um ein gutes Maß an Informationssicherheit erreichen zu können, müssen den Beschäftigten getroffene Regelungen bekannt und präsent sein. Zudem müssen Verantwortlichkeiten transparent sein.

Nur so kann im schlimmsten Fall auf Kompromittierungen der Informationssicherheit zügig und adäquat reagiert werden. Im besten Fall ergibt sich bei einem hohen Bewusstsein für die Informationssicherheit ein Modell der “gelebten Sicherheit”.

In diesem gedanklichen Modell wird Informationssicherheit zum Bestandteil des organisationalen Denkens, so dass zusätzliche Potentialeffekte erkannt und umgesetzt werden können.