擁有足夠資源和知識來保護(hù)組織免受網(wǎng)絡(luò)威脅，可以擁有的最佳防御手段之一。

員工在線安全教育的重點(diǎn)之一應(yīng)該包括揭穿通常引用的網(wǎng)絡(luò)安全誤區(qū)。這份名單由美國國家網(wǎng)絡(luò)安全聯(lián)盟與公共和私人合作伙伴共同整理而成，其依據(jù)是美國各地企業(yè)領(lǐng)導(dǎo)人和員工的經(jīng)驗(yàn)。

誤區(qū)1：我的數(shù)據(jù)（或我有權(quán)訪問的數(shù)據(jù)）沒有價值

各種規(guī)模的組織都可以維護(hù)或訪問值得保護(hù)的有價值的數(shù)據(jù)。這些數(shù)據(jù)可能包括但不限于就業(yè)記錄、稅收信息、機(jī)密信件、銷售點(diǎn)系統(tǒng)、商業(yè)合同。記著一點(diǎn)：所有數(shù)據(jù)都是有價值的。

應(yīng)對策略：評估創(chuàng)建、收集、存儲、訪問、傳輸?shù)臄?shù)據(jù)，然后根據(jù)其敏感度對數(shù)據(jù)進(jìn)行分類，以便采取適當(dāng)?shù)牟襟E進(jìn)行保護(hù)。 

誤區(qū)2：網(wǎng)絡(luò)安全是技術(shù)問題。

組織不能僅依靠技術(shù)來保護(hù)其數(shù)據(jù)。最好通過結(jié)合員工培訓(xùn)，明確且可接受的政策和程序以及實(shí)施最新技術(shù)（例如防病毒和防惡意軟件）來實(shí)現(xiàn)網(wǎng)絡(luò)安全。 組織的網(wǎng)絡(luò)安全是整個員工的責(zé)任，而不僅僅是IT員工。

應(yīng)對策略：對每位員工（在組織的每個職能部門和各個級別）進(jìn)行責(zé)任教育，以保護(hù)所有業(yè)務(wù)信息。通過美國國家標(biāo)準(zhǔn)技術(shù)研究院指南，了解有關(guān)如何執(zhí)行此操作的更多信息。 

誤區(qū)3：網(wǎng)絡(luò)安全需要大量的財務(wù)預(yù)算

如果您認(rèn)真地保護(hù)組織，那么強(qiáng)有力的網(wǎng)絡(luò)安全策略確實(shí)需要財務(wù)承諾。但是，您可以采取許多措施，很多措施幾乎不需要財務(wù)預(yù)算。

應(yīng)對策略：制定和制定網(wǎng)絡(luò)安全政策和程序；限制管理和訪問權(quán)限；啟用多因素或兩因素身份驗(yàn)證；培訓(xùn)員工發(fā)現(xiàn)惡意電子郵件并創(chuàng)建備份手動程序，以在網(wǎng)絡(luò)事件期間保持關(guān)鍵業(yè)務(wù)流程的正常運(yùn)行。此類程序可能包括在第三方供應(yīng)商或網(wǎng)站無法運(yùn)行的情況下處理付款。使用NCSA的“快速獲勝”技巧表了解更多有關(guān)如何執(zhí)行此操作的信息。

誤區(qū)4：網(wǎng)絡(luò)事件由外包供應(yīng)商的承擔(dān)安全責(zé)任

將您的部分工作外包給其他人是完全有意義的，但這并不意味著您放棄了保護(hù)供應(yīng)商可以訪問的數(shù)據(jù)的責(zé)任。數(shù)據(jù)是您的，并且您有法律和道德責(zé)任確保其安全，嚴(yán)防供應(yīng)鏈安全也是當(dāng)今信息安全領(lǐng)域比較關(guān)注的話題。

應(yīng)對策略：確保您與所有供應(yīng)商都已達(dá)成全面的安全協(xié)議，包括如何處理公司數(shù)據(jù)、誰擁有并有權(quán)訪問數(shù)據(jù)、數(shù)據(jù)保留了時長以及合同終止后數(shù)據(jù)將如何處理，以及征求或咨詢律師或法務(wù)人員有關(guān)協(xié)議的意見及建議。

誤區(qū)5：網(wǎng)絡(luò)違規(guī)行為由一般責(zé)任保險承保

許多標(biāo)準(zhǔn)的商業(yè)責(zé)任保險政策并不涵蓋網(wǎng)絡(luò)事件或數(shù)據(jù)泄露。

應(yīng)對策略：與您的保險代表聯(lián)系，以了解您是否已擁有任何現(xiàn)有的網(wǎng)絡(luò)安全保險，以及哪種類型的保單最適合您公司的需求。顯而易見，這個保險最多是從經(jīng)濟(jì)上挽回?fù)p失，而很多合規(guī)性比如歐洲GDPR、其他國家的信息安全方面的法律法規(guī)等，這個違法成本是保險無法挽回的。