Mientras menos permisos tenga el usuario habilitado, menos oportunidades tiene de cometer un ciberdelito. 

Me refiero a cometer, y lo declaro culpable en primera instancia.

Dependiendo de la política empresarial en torno a la seguridad, se detalla lo que si pueden hacer los usuarios y lo que no con la información y los sistemas que manejan. También determinan sus acciones y que tienen permitido y que no 

(no conectar USB desconocidos a las PC, no conectarse a AP desconocidos, utilizar VPN en redes publicas, no descargar ni ejecutar programas de fuentes desconocidas ni softwares crackeados, mínimo clic, etc.).

Digamos, ocurre un ciberataque desde la computadora que usa el usuario "x".

El principal culpable es el usuario de dicha PC. 

Después se analiza bien como fue el ataque, si esta persona esta involucrada o no, si comprometieron su PC, o fue un error de usuario sin malas intenciones que lo desencadeno.

Todos estos posibles escenarios, siempre son detallados en las políticas de seguridad, determinando sus riesgos y alcances de los sistemas, restricciones y limitaciones. 

Por ello se deben hacer capacitaciones de manera continua a los usuarios que comandan las PC de la empresa, ya que si ocurre un ciberataque, son en primera instancia responsable de ello.

En algunas empresas, suelen haber sanciones económicas, legales hasta incluso despidos por estos incidentes...

Todo estos puntos se detallan en la política de seguridad de cada empresa.