Para que a cultura da empresa seja mudada em relação à segurança da informação, é fundamental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A política deve ser escrita de forma clara, não gerando qualquer dúvida entre os usuários. Todos os funcionários da organização, incluindo aqueles que são terciários e prestadores de serviço, deverão receber um treinamento adequado para que se adequem às mudanças. De acordo com a NBR ISSO IEC 27002 (2005), os usuários devem estar clientes das ameaças e das vulnerabilidades de segurança da informação e estejam equipados para apoiar a política de segurança da informação da organização durante a execução normal do trabalho.
A política de segurança deve contar com o apoio e comprometimento da alta direção da organização, pois é fundamental para que a mesma seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável.
No cenário atual, em que as empresas dependem cada vez mais da tecnologia e da informação, é vital garantir a segurança adequada deste ativo, considerado estratégico em sua missão de prestar serviços de qualidade. A solução mais adequada é o estabelecimento de um conjunto de normas e regras que regulem a utilização dos sistemas das empresas, assim como o acesso a redes sociais e e-mails pessoais. As empresas necessitam aliar essa política de segurança da informação ao contrato de trabalho dos colaboradores. Todo processo de segurança começa no recrutamento. Também é importante lembrar que os trabalhadores devem estar cientes do monitoramento das informações.