擁有足夠資源和知識來保護組織免受網(wǎng)絡威脅，可以擁有的最佳防御手段之一。

員工在線安全教育的重點之一應該包括揭穿通常引用的網(wǎng)絡安全誤區(qū)。這份名單由美國國家網(wǎng)絡安全聯(lián)盟與公共和私人合作伙伴共同整理而成，其依據(jù)是美國各地企業(yè)領導人和員工的經(jīng)驗。

誤區(qū)1：我的數(shù)據(jù)（或我有權(quán)訪問的數(shù)據(jù)）沒有價值

各種規(guī)模的組織都可以維護或訪問值得保護的有價值的數(shù)據(jù)。這些數(shù)據(jù)可能包括但不限于就業(yè)記錄、稅收信息、機密信件、銷售點系統(tǒng)、商業(yè)合同。記著一點：所有數(shù)據(jù)都是有價值的。

應對策略：評估創(chuàng)建、收集、存儲、訪問、傳輸?shù)臄?shù)據(jù)，然后根據(jù)其敏感度對數(shù)據(jù)進行分類，以便采取適當?shù)牟襟E進行保護。 

誤區(qū)2：網(wǎng)絡安全是技術(shù)問題。

組織不能僅依靠技術(shù)來保護其數(shù)據(jù)。最好通過結(jié)合員工培訓，明確且可接受的政策和程序以及實施最新技術(shù)（例如防病毒和防惡意軟件）來實現(xiàn)網(wǎng)絡安全。 組織的網(wǎng)絡安全是整個員工的責任，而不僅僅是IT員工。

應對策略：對每位員工（在組織的每個職能部門和各個級別）進行責任教育，以保護所有業(yè)務信息。通過美國國家標準技術(shù)研究院指南，了解有關(guān)如何執(zhí)行此操作的更多信息。 

誤區(qū)3：網(wǎng)絡安全需要大量的財務預算

如果您認真地保護組織，那么強有力的網(wǎng)絡安全策略確實需要財務承諾。但是，您可以采取許多措施，很多措施幾乎不需要財務預算。

應對策略：制定和制定網(wǎng)絡安全政策和程序；限制管理和訪問權(quán)限；啟用多因素或兩因素身份驗證；培訓員工發(fā)現(xiàn)惡意電子郵件并創(chuàng)建備份手動程序，以在網(wǎng)絡事件期間保持關(guān)鍵業(yè)務流程的正常運行。此類程序可能包括在第三方供應商或網(wǎng)站無法運行的情況下處理付款。使用NCSA的“快速獲勝”技巧表了解更多有關(guān)如何執(zhí)行此操作的信息。

誤區(qū)4：網(wǎng)絡事件由外包供應商的承擔安全責任

將您的部分工作外包給其他人是完全有意義的，但這并不意味著您放棄了保護供應商可以訪問的數(shù)據(jù)的責任。數(shù)據(jù)是您的，并且您有法律和道德責任確保其安全，嚴防供應鏈安全也是當今信息安全領域比較關(guān)注的話題。

應對策略：確保您與所有供應商都已達成全面的安全協(xié)議，包括如何處理公司數(shù)據(jù)、誰擁有并有權(quán)訪問數(shù)據(jù)、數(shù)據(jù)保留了時長以及合同終止后數(shù)據(jù)將如何處理，以及征求或咨詢律師或法務人員有關(guān)協(xié)議的意見及建議。

誤區(qū)5：網(wǎng)絡違規(guī)行為由一般責任保險承保

許多標準的商業(yè)責任保險政策并不涵蓋網(wǎng)絡事件或數(shù)據(jù)泄露。

應對策略：與您的保險代表聯(lián)系，以了解您是否已擁有任何現(xiàn)有的網(wǎng)絡安全保險，以及哪種類型的保單最適合您公司的需求。顯而易見，這個保險最多是從經(jīng)濟上挽回損失，而很多合規(guī)性比如歐洲GDPR、其他國家的信息安全方面的法律法規(guī)等，這個違法成本是保險無法挽回的。