根據Gartner分析師Jay Heiser表示，當涉及信息安全時，存在很多“誤解”和“夸張化”，特別是對于企業面臨的威脅以及用來保護企業重要數據資產的技術。

這些錯誤的假設形成了安全誤區，讓我們來看看這十個IT安全誤區：

誤區 1：“這不會發生在我身上”

問題：企業習慣于認為媒體對風險過度炒作，以及讓員工“為所欲為”來避免費用和責任。

對策：讓企業責任直面安全相關的請求;利用安全分類框架

誤區2：“信息安全預算占IT支出的10%”

問題：想當然--- Gartner研究顯示預算更像是5%。

對策：獲取一些真實的數據

誤區3：“安全風險可以被量化”

問題：認為如果可以在Excel表中證明，就可以得到安全預算，這是“以數字為導向文化”的常見錯誤，其中認為“誰擁有***的數字，誰就贏了”。

對策：試圖對風險進行非數值式表達，并設法確保業務部門承擔其IT相關的風險

誤區4：“我們確保了物理安全(或者SSL)，所以我們的數據是安全的”

問題：對風險認識不足

對策：確保安全采購匹配數據要求

誤區5：“密碼過期和復雜性降低了風險”

問題：慣性。Heiser補充說：“我們知道密碼經常漏洞百出，但破解并不是主要的模式，密碼并不是被破解，而是被捕獲了。”

對策：加強密碼保護

誤區6：“將***信息安全官放在IT外部能夠確保更好的安全性”

問題：推卸責任。Heiser補充說，這是“讓我們重新部署組織結構來解決文化問題”的把戲

對策：分析安全項目中問題的根本問題

誤區7：“堅持認為所有安全做法的問題都是***信息安全官的問題”

問題：推卸責任。業務部門希望將安全風險成為別人的問題，***信息安全官應該承擔所有責任，即使他們不覺得***信息安全官應該能夠告訴他們該怎么做。

對策：建立一個信息安全程序

誤區8：“購買這個工具<某個工具>，它會解決所有的問題”

問題：試圖尋找神奇的解決方案來解決所有疑難問題

對策：風險分析和優先級排序，制定多年的安全計劃

誤區9：“我們部署好政策，就可以不用管了”

問題：想當然

對策：建立管理責任，并認真選擇你的戰場

誤區10：“加密是保護敏感文件安全性的***方式”

問題：加密技術很強大，當企業對某個技術有著“天真”的期望時，可能導致弊大于利;有時候，企業試圖尋找神奇的解決方案來解決疑難問題。

對策：在你做決策之前，確保你對加密技術有著豐富的經驗