Durante uma auditoria de segurança da informação, foi identificado que a empresa ABC possui uma política de segurança que inclui o uso de criptografia para proteger dados sensíveis e a realização de backups regulares. No entanto, a auditoria revelou que a empresa ainda está vulnerável a ataques de phishing. Considerando as práticas de segurança da informação, qual seria a melhor abordagem para a empresa ABC mitigar o risco de ataques de phishing?