根據從事社會工程攻擊研究的安全專家表示，社會工程攻擊和其他滲透測試技術經常讓受害者感覺他們被欺騙或者受到背叛。如果企業IT安全團隊能對用戶進行有效的安全意識培訓，有助于企業中形成一種安全意識文化，從而抵御社會工程攻擊。

專業信息保險公司高級信息保障分析師James Philput表示，有效的溝通是部署社會工程培訓的核心。IT團隊都知道，在企業內部廣泛部署的軟件中往往存在漏洞，并且這些漏洞是可編寫腳本的、容易被利用的，可能導致嚴重問題。安全行業面臨的最大問題之一是找出一種方法，讓這些問題的結果與用戶相關。

“你站在那里對用戶說，攻擊者可能會入侵，拿走你所有的東西，毀了你的計算機，或者讓你的電腦崩潰，用戶都會無動于衷，”Philput表示，“你必須想辦法提高這些問題對用戶的重要性。”

Philput將會在拉斯維加斯舉行的2012年黑帽簡報中發表演講，解釋如何與高層管理人員溝通社會工程測試的必要，以及如何有效地部署它們來建立關系，而不是破壞關系。Philput表示：“我希望這將為信息安全團隊提供一種更積極的方式——用他們的技能幫助提高企業整體安全性。同時，與他們所保護的企業建立更好的關系。”

社會工程測試往往涉及模擬釣魚電子郵件;滲透測試者還可以故意丟失USB驅動器，誘使員工將其連接到計算機，而員工往往會做出錯誤的判斷;一些安全團隊還會通過模擬電話來測試員工——假裝成業務合作伙伴的遠程員工或者代表，需要盡快解決某個問題。

Philput表示，釣魚郵件是最便宜的測試選擇，也最容易追蹤。此外，這些演習可以替代網上培訓課程。隨著時間的推移，安全團隊將可以判斷哪些員工或者哪些部門需要額外的培訓。

Philput表示，IT團隊在開始測試計劃之前，他們應該評估已經部署的政策，以及確定他們是否已經與員工進行了有效地溝通。其次，企業應該定期告知員工，測試可能隨時進行，這樣做能夠避免員工產生“被坑”的負面抵制情緒。最后，對通過測試的員工進行獎勵，同時，將錯誤判斷作為學習經驗。

社會工程演習是非常有效的，尤其是在沒有明確安全方向或者信息安全培訓計劃的企業。重要一步是正確地設計培訓，以及向員工進行培訓。Philput表示，“如果沒有以合適的方式進行培訓，將不會產生任何影響，也不會有任何效果。最糟糕的用戶意識培訓是每年在線提供的培訓。最終用戶會匆忙地閱過培訓內容，并且，Philput還在一些企業看到用戶對不同的選擇題復制相同的答案。”

“我看過的最好的用戶意識培訓，同時也是最難實施的培訓，是一名信息安全團隊成員對30到60名用戶組進行的培訓，”Philput表示，“這能夠拉近信息安全人員及他們保護的員工之間的距離。有時候終端用戶會提出一些基本的問題，有時候會提出一些很精彩的問題。通過這種方式，我發現社會工程攻擊減少了很多，因為當用戶懷疑出現問題時，他們更愿意聯系安全人員。”