擁有資源和知識的員工來保護您的組織免受網(wǎng)絡威脅是您所能擁有的最佳防線之一。 

員工網(wǎng)絡安全教育的重點之一應包括揭穿常見的網(wǎng)絡安全誤解。這份清單由美國國家網(wǎng)絡安全聯(lián)盟與公共和私人合作伙伴共同編制，基于美國各地企業(yè)領導人和員工的經(jīng)驗。我們可以它山之石可以攻玉的心態(tài)看一下，我們在這個過程中，該采取哪些有效措施？

10個常見誤區(qū)

1.我的數(shù)據(jù)（或我可以訪問的數(shù)據(jù)）沒有價值

各種規(guī)模的組織都保存或可以訪問值得保護的寶貴數(shù)據(jù)。此類數(shù)據(jù)可能包括但不限于就業(yè)記錄、稅務信息、機密通信、銷售點系統(tǒng)、商業(yè)合同。 所有數(shù)據(jù) 都是有價值的。

采取行動：評估創(chuàng)建、收集、存儲、訪問和傳輸?shù)臄?shù)據(jù)，然后根據(jù)其敏感度對數(shù)據(jù)進行分類，以便采取適當?shù)拇胧﹣肀Ｗo數(shù)據(jù)。 詳細了解 如何執(zhí)行此操作。

2.網(wǎng)絡安全是一個技術(shù)問題

組織不能依賴技術(shù)來保護其數(shù)據(jù)。網(wǎng)絡安全的最佳方法是結(jié)合員工培訓、明確且可接受的政策和程序以及實施最新技術(shù)（如防病毒和反惡意軟件）。保護  組織的網(wǎng)絡安全是全體員工的責任，而不僅僅是 IT 員工的責任。

采取行動： 教育每一位員工（在組織的每個職能部門和每個級別）了解他們保護所有業(yè)務信息的責任。通過 國家標準與技術(shù)研究所指南詳細了解如何做到這一點。

3.網(wǎng)絡安全需要大量的資金投入

如果您真的想保護您的組織，那么制定強大的網(wǎng)絡安全策略確實需要財務投入。但是，您可以采取許多幾乎不需要財務投入的措施。

采取行動： 制定并實施網(wǎng)絡安全政策和程序；限制管理和訪問權(quán)限；啟用多因素或雙因素身份驗證；培訓員工識別惡意電子郵件并創(chuàng)建備份手動程序，以確保在網(wǎng)絡事件期間關(guān)鍵業(yè)務流程正常運行。此類程序可能包括在第三方供應商或網(wǎng)站無法運行的情況下處理付款。使用NCA的 “快速獲勝”提示表詳細了解如何做到這一點。

4.將工作外包給供應商將讓你在發(fā)生網(wǎng)絡事件時免于承擔安全責任

將部分工作外包給其他人是完全合理的，但這并不意味著您放棄了保護供應商可以訪問的數(shù)據(jù)的責任。數(shù)據(jù)屬于您，您有法律和道德責任確保其安全。

采取行動： 確保與所有供應商簽訂了詳盡的協(xié)議，包括如何處理公司數(shù)據(jù)、誰擁有數(shù)據(jù)并有權(quán)訪問數(shù)據(jù)、數(shù)據(jù)保留多長時間以及合同終止后數(shù)據(jù)將如何處理。您還應該讓律師審查所有供應商協(xié)議。通過 美國律師協(xié)會的這份清單詳細了解如何做到這一點。

5.網(wǎng)絡攻擊受一般責任保險的保障

許多標準的商業(yè)責任保險政策不涵蓋網(wǎng)絡事件或數(shù)據(jù)泄露。

采取行動： 與保險代表交談，了解您是否擁有任何現(xiàn)有的網(wǎng)絡安全保險，以及哪種保險最適合您公司的需求。通過 聯(lián)邦貿(mào)易委員會 (FTC) 的小型企業(yè)中心詳細了解如何做到這一點。

6. 網(wǎng)絡攻擊總是來自外部行為者

簡而言之，網(wǎng)絡攻擊并不總是來自外部行為者。一些網(wǎng)絡安全事件是由員工意外造成的，例如他們將敏感信息復制并粘貼到電子郵件中并將其發(fā)送給錯誤的收件人。其他時候，心懷不滿的（或前）員工可能會通過對組織發(fā)起攻擊來進行報復。

采取行動： 在考慮威脅形勢時，重要的是不要忽視可能來自組織內(nèi)部的潛在網(wǎng)絡安全事件，并制定策略以盡量減少這些威脅。使用此 網(wǎng)絡安全和關(guān)鍵基礎設施機構(gòu)資源詳細了解如何做到這一點。

7.年輕人比其他人更擅長網(wǎng)絡安全

通常情況下，組織中最年輕的人會成為默認的“IT”人員。年齡與更好的網(wǎng)絡安全實踐沒有直接關(guān)系。

采取行動： 在讓某人負責管理社交媒體、網(wǎng)站、網(wǎng)絡等之前，請向他們說明使用期望和網(wǎng)絡安全最佳實踐。詳細了解不同世代的在線行為。

8.安全項目只要符合行業(yè)標準就足夠了

例如，美國要求遵守《健康保險流通與責任法案》（HIPAA）或支付卡行業(yè)（PCI）是保護敏感信息安全的關(guān)鍵要素，但僅僅遵守這些標準并不等同于組織擁有強大的網(wǎng)絡安全策略。

采取行動： 使用強大的框架（例如 NIST 網(wǎng)絡安全框架）來管理與網(wǎng)絡安全相關(guān)的風險。了解有關(guān) NIST 網(wǎng)絡安全框架的更多信息。

9.數(shù)字安全和物理安全是分開的

許多人狹隘地將網(wǎng)絡安全與軟件和代碼聯(lián)系起來。然而，在保護敏感資產(chǎn)時，您不應忽視物理安全。

采取行動： 在規(guī)劃中包括對辦公室布局的評估以及未經(jīng)授權(quán)的物理訪問敏感信息和資產(chǎn)（例如服務器、計算機、紙質(zhì)記錄）的難易程度。評估完成后，實施策略和政策以防止未經(jīng)授權(quán)的物理訪問。政策可能包括控制誰可以訪問辦公室的某些區(qū)域以及在旅行時適當保護筆記本電腦和手機。在  FTC 的網(wǎng)站上了解有關(guān)物理安全的更多信息。

10.當我購買新軟件和設備時，會自動獲得安全保護

某些東西雖然是新的，但并不意味著它是安全的。

采取行動： 購買新技術(shù)時，請確保它與最新軟件配合使用，并立即將制造商的默認密碼更改為安全密碼。創(chuàng)建新密碼時，請為帳戶或設備使用較長且獨特的短語。注冊新的在線賬戶？請務必在開始使用該服務之前立即配置您的隱私設置。查找有關(guān) 保護新設備的信息。