Weitere Probleme entstehen durch große Unterschiede im Sicherheitsbewusstsein: Beim Wissen um Sicherheitsrichtlinien sind 20 bis 30 Prozent der IT-Verantwortlichen den anderen Mitarbeitern des Unternehmens deutlich voraus. Diese Ergebnisse werfen natürlich auch die Frage auf, ob und wie wirkungsvoll die IT-Abteilung die geltenden Policies auch an das Personal kommuniziert. So gaben ganze 11 Prozent der Mitarbeiter sogar an, grundsätzlich nie von der IT-Abteilung zu Security Policies informiert oder gar geschult zu werden.

Wenn IT-Teams jedoch Regeln kommunizieren, dann geschieht dies laut der Befragung vorwiegend über non-verbale und indirekte Wege, wie etwa E-Mails oder Voicemail. Drei von vier IT-Verantwortlichen (77 Prozent) und etwa die Hälfte der Mitarbeiter (47 Prozent) glauben außerdem, dass ihre Richtlinien regelmäßigere Updates bräuchten. Die Mehrheit der Angestellten in acht von zehn Ländern denkt sogar, ihre Unternehmensrichtlinien wären unfair: Nur in Deutschland und den Vereinigten Staaten ist dem nicht so.

Generell gibt es unterschiedliche Sichtweisen von Mitarbeitern und IT-Verantwortlichen hinsichtlich der Nichteinhaltung von IT-Sicherheits-Policies. Der IT zufolge missachten Angestellte die Richtlinien aus verschiedenen Gründen, vom Nichtverständnis für das Ausmaß von Sicherheitsrisiken bis hin zu purer Gleichgültigkeit oder Faulheit. Mitarbeiter hingegen sehen das Problem eher darin, dass die Policies ihrer Meinung nach nicht mit ihren realen Arbeitserfordernissen zusammen passen. Etwa zwei von fünf Mitarbeitern (42 Prozent) weltweit waren dieser Ansicht. In Deutschland gab mehr als die Hälfte der Mitarbeiter an (55 Prozent), dass sie Regeln brechen würden, um ihre Arbeit zu erledigen, auch wenn die Mehrheit der deutschen Angestellten die Policies für fair hält.