Theo ông Sơn, người sử dụng luôn là khâu yếu nhất trong chu trình bảo đảm an ninh thông tin. Dù chúng ta có tổ chức tập huấn, đào tạo bao nhiêu đi chăng nữa thì trong quá trình sử dụng người dùng cũng không tránh khỏi sơ suất. Ví dụ chỉ cần click vào một đường dẫn lạ, tải một phần mềm trên mạng, mở email có cài mã độc, mở file ẩn trong USB là máy tính của người dùng sẽ nhiễm virus và có thể xâm nhập cả hệ thống thông tin. Do đó, việc xây dựng một quy trình, một chính sách trong nội bộ cơ quan là khâu rất quan trọng để đảm bảo an toàn cho hệ thống, đồng thời phải kết hợp với các biện pháp hỗ trợ khác như phần mềm diệt virus, hệ thống cảnh báo nguy cơ mất an toàn.

Các cơ quan, tổ chức cần có chính sách để kiểm soát an ninh, kiểm soát hệ thống phần mềm diệt virus, kiểm soát cấu hình an ninh, kiểm soát việc chia sẻ dữ liệu. Phải có quy định đối với những máy tính quan trọng bắt buộc không được dùng USB, máy tính cần có phần mềm từ chối sử dụng USB, không cho người dùng cài đặt các phần mềm tùy tiện.