个人使用的单个工作站，只有两三台电脑，通过高速网线调制解调器上网的小公司，拥有安全部门的企业网络：无论企业的规模大小，他们都需要应对如何保护个人信息不被盗取的安全问题。

    很不幸，担负着安全问题的人们都在犯着同样的基本错误，我列出五个不论中小企业都会犯的严重错误。

    1.安全规定执行不力

    首当其冲的第一个错误就是未能制订妥善的安全规定，没有对所有使用计算机的人员进行培训，而且对制订好的规定执行越来越松。

    人们总是更关注自己应该得到的东西而不留意自己被禁止做什么。所以，如果你的企业希望很好的解决安全问题，就必须建立一套清晰严谨的安全政策。在这些政策中必须对一些基本的使用规则做出规定，比如不要打开不熟悉的邮件，不要出于个人目的上网浏览，不要从网上下载文件等等。

    其实多年以来安全专家一直在说这个问题，但为什么还是没起作用？道理很简单：尽管早有政策，但是对于违规者并没有什么严重的处罚，而执行政策的人也没有任何奖励。

有很少几家企业，比如哈佛医学院，贝丝以色列女执事医院就规定，任何级别的人只要违反了一条安全规定就会被开除。除了这种极端少见的做法，也只有少数的机构会建立积分制度对遵守规定的人给予奖励。

    我们可以想象如果对安全记录最好的雇员以重大的奖励会给公司安全带来什么样的影响。举例来说，每个人一开始都有100点，不论是否给公司带来实际的危险和损失，每违反规定一次都会被扣掉一分。

    制定的安全政策不应仅仅停留在纸面上，更应该激励员工去执行它，这样才能长期的帮助企业提高安全性。

    2.对新漏洞的忽视

    五大错误的第二名是当新漏洞产生时没有采取相应的措施。

    大部分安全部门经理都会自动收到新补丁的通知，或者他们会留意至少一个安全网站的最新消息。很多人曾经订阅IT Locksmith这样的安全通讯来滤掉杂乱信息直接获得最重要的信息。

    尽管获得信息的方式如此简单，许多人甚至懒得去读他们订阅的通讯。当然也就只有更少的人会真的按照获得的消息去调整策略或者进行升级。

    3. 对科技过于依赖

    另一个重大错误是过度依赖技术修复的能力以及对于工具的实际运用关注太少。

    如果你对领导说你已装好了顶级杀毒软件或者最新的防火墙，他们就会认为你完成了工作。但实际上，如果防火墙没有正确配置，防病毒软件也没有进行维护，有跟没有是一样。

    在特定环境下正确设置防火墙需要很高的技巧。它不是一项设置完就可以丢到脑后的工作，它要比安装杀病毒软件清除恶意软件复杂得多。防火墙需要经常调整以满足最新的要求，当一个新的端口扫描攻击出现时，必须在几周内阻断会受其影响的那些端口。

    问题又回到前面的第二个重大错误，人们必须在新的升级和漏洞出现时就给予注意。比如，了解最容易被攻击的10个端口，把计算机安全组织SANS的网页加入收藏夹。对于防病毒程序，不仅仅要及时升级，还必须要留意最新的弥补反病毒软件自身缺陷的补丁。

    反间谍软件要比反病毒软件简单得多，所以很少需要打补丁。尽管如此，它们也要和反病毒软件一样要注意经常下载最新的数据库文件。

    最后不要忘记，如果忽视安全检测程序发出的报告，所有的安全装置都会失去意义。

    4.未能全面考察应聘人员

    第四大错误在于未能全面考察应聘者的犯罪记录或财务决策失误等，特别是那些IT部门以外的应聘人。