Analytická společnost Gartner vydala studii o největších omylech týkajících se bezpečnostní politiky firem. Upozorňuje, že mnoho incidentů je pokládáno za problém IT bezpečnosti, ačkoliv by správně mělo spadat do jiné oblasti. Téměř každá chyba v softwaru je například považována za bezpečnostní problém, tím ovšem pojem „bezpečnost IT“ de facto ztrácí obsah.
Nejrozšířenější mýty v oblasti zabezpečení IT jsou podle Gartneru následující:
- Hackeři jsou vítězi a bezpečnostní politika je tvořena neustálými ústupky, budováním dalších a dalších opevnění
- Incidenty týkající se narušení dat mají vzestupnou tendenci
- Za zabezpečení aplikací a operačních systémů nesou odpovědnost dodavatelé – a proto se nezabývají téměř ničím jiným než bezpečností svých produktů
- Pokud dodržíte souhlas s předpisy, znamená to, že IT systémy firmy jsou i dobře zabezpečené
- Hackeři pomáhají celému průmyslovému odvětví tím, že zveřejňují aktuálně existující problémy
- Zabezpečení je překážkou, která brání v zavádění nových obchodních modelů a technologií
- Kvalita zabezpečení odpovídá prostředkům zaplaceným za bezpečnostní infrastrukturu a lidské zdroje
Shrnuto, protože zdroje na IT bezpečnost ve firmách jsou nutně omezené, oddělení IT bezpečnosti by měla především dokázat odlišit reálné hrozby od těch fiktivních, „mediálních“. Za druhé by zabezpečení nemělo být prezentováno jako brzda zavádění nových služeb ve smyslu „proč něco nejde“, ale spíše jako podnět pro inovaci. Příliš pasivní přístup, kdy je celé oddělení IT zahlceno nasazováním oprav, záplat, aktualizací a sledováním nových hrozeb, nikam nevede, zato dokáže spolknout libovolné vynaložené finanční prostředky.
Podle Gartneru by bezpečnost IT měla být naopak vnímána jako způsob řízení rizik podobně jako u jiných obchodních procesů. Prostředí internetu není stoprocentně bezpečné, a totéž platí pro bezdrátové sítě. To ale není argument proti inovacím; odborníci na zabezpečení by naopak měli aktivně vyhledávat „nové kanály“ a navrhovat, jak je využít tak, aby přínos ze souvisejících obchodních modelů převážil nutně existující rizika.
Odborníci na zabezpečení by taktéž neměli neměli management firem zahlcovat technickými detaily, ale soustředit se na obchodní stránku věci. Především ale nemají nadále hrát pasivní roli a omezovat se na zabezpečování stávajících systémů, ale sami aktivně navrhovat bezpečnější infrastrukturu.