添付ファイルを迂闊に開かない、URLや送信元のメールアドレスはよく確認する、などは基本的なセキュリティ対策には違いないけどね。
いかなる添付ファイルも開かない、URLも踏まないのなら社内のファイル共有(置き場所の展開)とか外部との資料や情報共有とかどうしてんの?
見知らぬアドレスからのメールなら警戒はするのが普通だけど、カスタマーセンターなど一般ユーザーからの問い合わせ窓口となる部署には一般ユーザーからのメールも普通に来る訳だが、証拠となる情報を見ないでどうやって対応すんの?