擁有足夠資源和知識來保護組織免受網絡威脅，可以擁有的最佳防御手段之一。

員工在線安全教育的重點之一應該包括揭穿通常引用的網絡安全誤區。這份名單由美國國家網絡安全聯盟與公共和私人合作伙伴共同整理而成，其依據是美國各地企業領導人和員工的經驗。

誤區1：我的數據（或我有權訪問的數據）沒有價值

各種規模的組織都可以維護或訪問值得保護的有價值的數據。這些數據可能包括但不限于就業記錄、稅收信息、機密信件、銷售點系統、商業合同。記著一點：所有數據都是有價值的。

應對策略：評估創建、收集、存儲、訪問、傳輸的數據，然后根據其敏感度對數據進行分類，以便采取適當的步驟進行保護。 

誤區2：網絡安全是技術問題。

組織不能僅依靠技術來保護其數據。最好通過結合員工培訓，明確且可接受的政策和程序以及實施最新技術（例如防病毒和防惡意軟件）來實現網絡安全。 組織的網絡安全是整個員工的責任，而不僅僅是IT員工。

應對策略：對每位員工（在組織的每個職能部門和各個級別）進行責任教育，以保護所有業務信息。通過美國國家標準技術研究院指南，了解有關如何執行此操作的更多信息。 

誤區3：網絡安全需要大量的財務預算

如果您認真地保護組織，那么強有力的網絡安全策略確實需要財務承諾。但是，您可以采取許多措施，很多措施幾乎不需要財務預算。

應對策略：制定和制定網絡安全政策和程序；限制管理和訪問權限；啟用多因素或兩因素身份驗證；培訓員工發現惡意電子郵件并創建備份手動程序，以在網絡事件期間保持關鍵業務流程的正常運行。此類程序可能包括在第三方供應商或網站無法運行的情況下處理付款。使用NCSA的“快速獲勝”技巧表了解更多有關如何執行此操作的信息。

誤區4：網絡事件由外包供應商的承擔安全責任

將您的部分工作外包給其他人是完全有意義的，但這并不意味著您放棄了保護供應商可以訪問的數據的責任。數據是您的，并且您有法律和道德責任確保其安全，嚴防供應鏈安全也是當今信息安全領域比較關注的話題。

應對策略：確保您與所有供應商都已達成全面的安全協議，包括如何處理公司數據、誰擁有并有權訪問數據、數據保留了時長以及合同終止后數據將如何處理，以及征求或咨詢律師或法務人員有關協議的意見及建議。

誤區5：網絡違規行為由一般責任保險承保

許多標準的商業責任保險政策并不涵蓋網絡事件或數據泄露。

應對策略：與您的保險代表聯系，以了解您是否已擁有任何現有的網絡安全保險，以及哪種類型的保單最適合您公司的需求。顯而易見，這個保險最多是從經濟上挽回損失，而很多合規性比如歐洲GDPR、其他國家的信息安全方面的法律法規等，這個違法成本是保險無法挽回的。