6.我们不需要为那些让IT男孩们兴奋异常的但实际上概念论证上并不成熟的黑客攻击手段担心

　　你没有必要为那些理论上可能的尤其是那些需要很高水平才可能实现的黑客攻击整夜呆在电脑机房里，只为了能成功的处理他们。也就是说，你看待尚处概念论证上的攻击应该跟你看一部动作电影的预告片一样，你该知道，这部电影可能会在也可能不会在你家附近的影院上映。身处IT中，你当然需要对安全领域和那些“秘密团体”正在讨论的新的、热的话题始终有所了解，并且需要跟踪了解那些看起来是要有所作为的威胁。预先警告方可先做防范。

　　7.如果一个系统符合工业上的数据保护条例相关标准，那么这个系统就是安全的

　　事实并非如此。条例规定更倾向于处理那些特定的有限的问题，比如为那些需要处理付费卡数据的系统制定安全策略，但是却不能全面的覆盖对安全来说非常重要的网络和应用程序上的问题。制定安全规划时，遵守条例标准，但不要把这作为公司数据保护措施的中心部分甚至全部。

　　8.可能的最强的安全措施对所有的商业系统和一个系统的所有部分来说都是很重要的

　　一级黑客安全防卫标准对一些企业或者一个商业环境中的某些部分来说没有必要也并不希望。更为明智的做法是从经济性、可用性和有效性出发将最严密的安全措施集中在保护最敏感的信息上。企业应该从他们收集、利用、管理的数据的综合的价值风险分析以及企业自身的威胁属性配置出发来定义他们的数据安全策略。

　　9.开源软件天生就比专利软件更具安全性，反过来也是一样

　　这两种软件开发方法都不能做到开发出的100%的程序是安全的。对程序安全性来说，全面的代码测试、合理的布局和正确的安全规划远比纠缠于程序是以开源软件还是专利软件形式开发重要。

　　10.所有的安全都必须以之前的安全框架为基础来建立

　　成功的企业安全策略应该是定期的对安全措施进行回顾和检测，旧的预定目标可能需要丢弃而需要着手建立新的安全计划，有时候一些在当时被认为是伟大想法的技术随着计算环境的改变或那些“秘密团体”取得的突破性进展可能会给安全领域带来一片漏洞空白区。DES加密技术就是这样的例子。它一度被认为是安全的，直到一个专业团队证明它因为它的56位的短密钥而很容易受到暴力攻击。安全往往是一个移动中的目标，需要我们愿意为条件的需求而改变我们的注意力。