擁有資源和知識的員工來保護您的組織免受網絡威脅是您所能擁有的最佳防線之一。 

員工網絡安全教育的重點之一應包括揭穿常見的網絡安全誤解。這份清單由美國國家網絡安全聯盟與公共和私人合作伙伴共同編制，基于美國各地企業領導人和員工的經驗。我們可以它山之石可以攻玉的心態看一下，我們在這個過程中，該采取哪些有效措施？

10個常見誤區

1.我的數據（或我可以訪問的數據）沒有價值

各種規模的組織都保存或可以訪問值得保護的寶貴數據。此類數據可能包括但不限于就業記錄、稅務信息、機密通信、銷售點系統、商業合同。 所有數據 都是有價值的。

采取行動：評估創建、收集、存儲、訪問和傳輸的數據，然后根據其敏感度對數據進行分類，以便采取適當的措施來保護數據。 詳細了解 如何執行此操作。

2.網絡安全是一個技術問題

組織不能依賴技術來保護其數據。網絡安全的最佳方法是結合員工培訓、明確且可接受的政策和程序以及實施最新技術（如防病毒和反惡意軟件）。保護  組織的網絡安全是全體員工的責任，而不僅僅是 IT 員工的責任。

采取行動： 教育每一位員工（在組織的每個職能部門和每個級別）了解他們保護所有業務信息的責任。通過 國家標準與技術研究所指南詳細了解如何做到這一點。

3.網絡安全需要大量的資金投入

如果您真的想保護您的組織，那么制定強大的網絡安全策略確實需要財務投入。但是，您可以采取許多幾乎不需要財務投入的措施。

采取行動： 制定并實施網絡安全政策和程序；限制管理和訪問權限；啟用多因素或雙因素身份驗證；培訓員工識別惡意電子郵件并創建備份手動程序，以確保在網絡事件期間關鍵業務流程正常運行。此類程序可能包括在第三方供應商或網站無法運行的情況下處理付款。使用NCA的 “快速獲勝”提示表詳細了解如何做到這一點。

4.將工作外包給供應商將讓你在發生網絡事件時免于承擔安全責任

將部分工作外包給其他人是完全合理的，但這并不意味著您放棄了保護供應商可以訪問的數據的責任。數據屬于您，您有法律和道德責任確保其安全。

采取行動： 確保與所有供應商簽訂了詳盡的協議，包括如何處理公司數據、誰擁有數據并有權訪問數據、數據保留多長時間以及合同終止后數據將如何處理。您還應該讓律師審查所有供應商協議。通過 美國律師協會的這份清單詳細了解如何做到這一點。

5.網絡攻擊受一般責任保險的保障

許多標準的商業責任保險政策不涵蓋網絡事件或數據泄露。

采取行動： 與保險代表交談，了解您是否擁有任何現有的網絡安全保險，以及哪種保險最適合您公司的需求。通過 聯邦貿易委員會 (FTC) 的小型企業中心詳細了解如何做到這一點。

6. 網絡攻擊總是來自外部行為者

簡而言之，網絡攻擊并不總是來自外部行為者。一些網絡安全事件是由員工意外造成的，例如他們將敏感信息復制并粘貼到電子郵件中并將其發送給錯誤的收件人。其他時候，心懷不滿的（或前）員工可能會通過對組織發起攻擊來進行報復。

采取行動： 在考慮威脅形勢時，重要的是不要忽視可能來自組織內部的潛在網絡安全事件，并制定策略以盡量減少這些威脅。使用此 網絡安全和關鍵基礎設施機構資源詳細了解如何做到這一點。

7.年輕人比其他人更擅長網絡安全

通常情況下，組織中最年輕的人會成為默認的“IT”人員。年齡與更好的網絡安全實踐沒有直接關系。

采取行動： 在讓某人負責管理社交媒體、網站、網絡等之前，請向他們說明使用期望和網絡安全最佳實踐。詳細了解不同世代的在線行為。

8.安全項目只要符合行業標準就足夠了

例如，美國要求遵守《健康保險流通與責任法案》（HIPAA）或支付卡行業（PCI）是保護敏感信息安全的關鍵要素，但僅僅遵守這些標準并不等同于組織擁有強大的網絡安全策略。

采取行動： 使用強大的框架（例如 NIST 網絡安全框架）來管理與網絡安全相關的風險。了解有關 NIST 網絡安全框架的更多信息。

9.數字安全和物理安全是分開的

許多人狹隘地將網絡安全與軟件和代碼聯系起來。然而，在保護敏感資產時，您不應忽視物理安全。

采取行動： 在規劃中包括對辦公室布局的評估以及未經授權的物理訪問敏感信息和資產（例如服務器、計算機、紙質記錄）的難易程度。評估完成后，實施策略和政策以防止未經授權的物理訪問。政策可能包括控制誰可以訪問辦公室的某些區域以及在旅行時適當保護筆記本電腦和手機。在  FTC 的網站上了解有關物理安全的更多信息。

10.當我購買新軟件和設備時，會自動獲得安全保護

某些東西雖然是新的，但并不意味著它是安全的。

采取行動： 購買新技術時，請確保它與最新軟件配合使用，并立即將制造商的默認密碼更改為安全密碼。創建新密碼時，請為帳戶或設備使用較長且獨特的短語。注冊新的在線賬戶？請務必在開始使用該服務之前立即配置您的隱私設置。查找有關 保護新設備的信息。