Những ấn tượng sai lầm này dẫn tới những "suy nghĩ sai lầm về bảo mật" thường được các chuyên gia an ninh thông tin nhắc tới. Heiser, trong một buổi phát biểu tại Hội nghị Quản lý Bảo mật & Rủi ro tại Cảng Quốc gia Hoa Kỳ, Maryland, Mỹ, đã nêu ra 5 suy nghĩ sai lầm phổ biến nhất.
Suy nghĩ sai lầm số 1: "Chắc chắn là tôi sẽ không bị vậy đâu"
Nguyên nhân: quá quen với việc các nguy cơ thông tin bị thổi phồng, các nhà bảo mật sẽ tin tưởng lời khẳng định này của các nhân viên và để mặc cho họ làm bất cứ thứ gì họ muốn. Một nguyên nhân khác là do các chuyên gia bảo mật lo sợ tốn chi phí và phải chịu nhiều trách nhiệm.
Cách giải quyết: Hãy đối mặt với các yêu cầu an ninh nằm trong phạm vi trách nhiệm về nghề nghiệp của mình. Sử dụng một hệ thống phân loại bảo mật sẽ giúp giảm sức ép.
Suy nghĩ sai lầm số 2: "Chi phí bảo mật thông tin chiếm 10% tổng chi phí IT"
Nguyên nhân: suy nghĩ mộng mị - nghiên cứu của Gartner cho biết chi phí bảo mật thông tin thường chỉ chiếm 5% tổng chi phí IT.
Cách giải quyết: hãy nghiên cứu số liệu thật.
Suy nghĩ sai lầm số 3: "Các rủi ro về bảo mật có thể đo đạc được"
Nguyên nhân: ảo tưởng rằng bạn có thể nhận được chi phí bảo mật thông tin nếu bạn cố gắng làm cho chúng trở nên có lý trên một bảng tính Excel. Đây là một suy nghĩ sai lầm trong một nền văn hóa kinh doanh quá coi trọng các con số, dẫn tới suy nghĩ rằng "ai có số to nhất là người chiến thắng".
Cách giải quyết: hãy tìm cách thể hiện các rủi ro bảo mật mà không cần tới con số, và đảm bảo rằng bộ phận kinh doanh phải chịu trách nhiệm với các rủi ro về IT.
Suy nghĩ sai lầm số 4: "Chúng ta có an ninh vật lý (giao thức Internet SSL) nên bạn có thể tin rằng dữ liệu của bạn được an toàn"
Nguyên nhân: suy nghĩ mộng mị và hiểu biết kém cỏi về các rủi ro IT.
Cách giải quyết: mua bán các phần mềm/phần cứng cần thiết liên quan tới bảo mật IT nhằm đạt yêu cầu về dữ liệu.
Suy nghĩ sai lầm số 5: "Đặt hạn cho mật khẩu và đặt mật khẩu phức tạp giúp giảm rủi ro"
Nguyên nhân: tính lười biếng. Heiser cho biết: "Chúng ta biết rằng các mật khẩu mang rất nhiều lỗ hổng, song mật khẩu bị bẻ khóa không phải là thất bại lớn nhất. Mật khẩu không bị bẻ khóa. Hacker mò ra chúng (bằng brute-force)."
Cách giải quyết: có thể là không có cách giải quyết nào cả.
Nguyên nhân: quá quen với việc các nguy cơ thông tin bị thổi phồng, các nhà bảo mật sẽ tin tưởng lời khẳng định này của các nhân viên và để mặc cho họ làm bất cứ thứ gì họ muốn. Một nguyên nhân khác là do các chuyên gia bảo mật lo sợ tốn chi phí và phải chịu nhiều trách nhiệm.
Cách giải quyết: Hãy đối mặt với các yêu cầu an ninh nằm trong phạm vi trách nhiệm về nghề nghiệp của mình. Sử dụng một hệ thống phân loại bảo mật sẽ giúp giảm sức ép.
Suy nghĩ sai lầm số 2: "Chi phí bảo mật thông tin chiếm 10% tổng chi phí IT"
Nguyên nhân: suy nghĩ mộng mị - nghiên cứu của Gartner cho biết chi phí bảo mật thông tin thường chỉ chiếm 5% tổng chi phí IT.
Cách giải quyết: hãy nghiên cứu số liệu thật.
Suy nghĩ sai lầm số 3: "Các rủi ro về bảo mật có thể đo đạc được"
Nguyên nhân: ảo tưởng rằng bạn có thể nhận được chi phí bảo mật thông tin nếu bạn cố gắng làm cho chúng trở nên có lý trên một bảng tính Excel. Đây là một suy nghĩ sai lầm trong một nền văn hóa kinh doanh quá coi trọng các con số, dẫn tới suy nghĩ rằng "ai có số to nhất là người chiến thắng".
Cách giải quyết: hãy tìm cách thể hiện các rủi ro bảo mật mà không cần tới con số, và đảm bảo rằng bộ phận kinh doanh phải chịu trách nhiệm với các rủi ro về IT.
Suy nghĩ sai lầm số 4: "Chúng ta có an ninh vật lý (giao thức Internet SSL) nên bạn có thể tin rằng dữ liệu của bạn được an toàn"
Nguyên nhân: suy nghĩ mộng mị và hiểu biết kém cỏi về các rủi ro IT.
Cách giải quyết: mua bán các phần mềm/phần cứng cần thiết liên quan tới bảo mật IT nhằm đạt yêu cầu về dữ liệu.
Suy nghĩ sai lầm số 5: "Đặt hạn cho mật khẩu và đặt mật khẩu phức tạp giúp giảm rủi ro"
Nguyên nhân: tính lười biếng. Heiser cho biết: "Chúng ta biết rằng các mật khẩu mang rất nhiều lỗ hổng, song mật khẩu bị bẻ khóa không phải là thất bại lớn nhất. Mật khẩu không bị bẻ khóa. Hacker mò ra chúng (bằng brute-force)."
Cách giải quyết: có thể là không có cách giải quyết nào cả.