O problema está entre a cadeira e o teclado (?)

Ou talvez não. Talvez esteja na forma como são definidas as políticas e os controlos no contexto de cada organização.

Andrew Buss, no The Register:

Quais são os ingredientes principais para realizar um sistema de segurança robusto e eficaz, que seja utilizável no mundo real? A chave está em reconhecer que a maior limitação estará no comportamento e na cultura dos colaboradores (...) Se as pessoas não levarem a segurança a sério, significa isto que devemos trancar tudo, tão apertado quanto for possível? Apesar de ser tentador, não é realista no mundo real. Nenhuma solução será 100% segura, e se tomarmos essa aproximação, os colaboradores podem perder produtividade, ou serem tentados a ultrapassar a segurança.

in Security: policies, processes and people — How much is good enough?.

Compreender o contexto é a chave, de facto. E definir uma política que possa ser compreendida, aceite, e promovida junto (e pelos) colaboradores. A política, e os controlos que dela derivam, naturalmente.