6.回避或推卸责任的领导方式会让事情更糟。

　　由于企业通常没有指定一位专门的领导或专门的团队来负责对事件的响应和对重要细节的跟踪，所以严重影响了企业对于泄密事件的响应能力。

　　在多数企业中，对事件的调查往往会演变为一场推卸责任的游戏，在调查泄密事件的责任时由于牵涉到的人会有很多，所以他们往往会阻碍进行相关的调查。

　　“虽然我们经常需要做出响应，但却没人真正负责，也没人想负责，结果呢，没人知道事件所涉及的资源到底有多少钱、有多少工具或技术，也没有一个人能算清楚在处理重大事件时到底需要多少资源。”Mandia说。

　　“而在另一个极端，有些企业会让太多的人来参与决策，却还想做出及时的响应。我们的经验是，假如你需要马上向12个人通报情况的话，那么其中的10个人都是不管事的。”

　　7.处理泄密事件时不小心为罪犯通风报信。

　　企业中另一个典型的常见问题就是没有建立一套处理泄密事件的“保密”程序，结果导致进行事件调查时非常困难，因为员工们担心卷入事件，一般都会试图保护自身的利益。

　　如果泄密事件牵涉到内部人员，那么这些人便会通过各种渠道获悉调查的进展情况，就有可能拒绝说出有利于调查的事情，还会经常掩盖他们的行迹。

　　8.可信赖的“银弹”技术其实暗藏着真正的危险。

　　当涉及IT和数据安全的管制措施持续增多时，企业要投入大量的技术解决方案来弥补各种漏洞。然而企业普遍以为安装某种特殊技术，或能够满足某一方面监管的解决方案就是一颗“银弹”（指能解决问题的高招）。其实不然。

　　“我遇见的最大的问题就是人们普遍认为像部署防病毒软件、补丁、漏洞扫描等简单功能就以为没事了。他们根本没有从风险管理的立场去对待安全问题——而只是在检查系统而已。”Security Incite的分析师Mike Rothman说。

　　企业往往就是这样的一个傻瓜天堂，他们以为除了对其有限的安全系统做做审计，确认有没有及时升级之外就无事可做了。“人们常常以为，只要他们进行主动的审计，就万事大吉了。”Rothman说。“于是坏人就会向他们证明，他们做的远远不够。”

　　9.在不该投入的地方浪费了对付重大危险所需的资源。

　　和法规遵从相关的另一个安全陷阱就是很多企业经常会对重要性完全不同的安全等级投入相同的人力和物力，Rothman说。

　　“一些人的错误就在于，对所有的安全问题都一视同仁，在所有客户都使用的某个在线应用上花费的安全支出，和在只有5个人使用的旧的应用上花费的同样多。”

　　这种方式不但浪费金钱，而且还会把很多重大的问题拖到以后再去处理——一旦预算用光，也可能就此再也不去解决了。“安全人员往往不知道究竟什么事情应该优先考虑，”Rothman说。“他们真应该试试看如果某事做坏了会产生什么结果，然后就知道该把钱花在哪里了。”

　　10.不要存储不必要的数据。

　　还有一种较常见的情形是安全和法规遵从导致的灾难，很多企业在处理信用卡和借记卡时会无意中遗漏存有账户信息的交易日志系统。而这种日志就可能导致客户数据的外泄，以及PCI（支付卡行业）审计的失效。

　　“他们自然意识不到，就在他们存储数据时，黑客或者心怀恶意的员工就可以复制假信用卡。”赛门铁克的Roop说。“这是PCI法规遵从的基础性错误。在最近的案例中我们实际上已看到过这种例子。它是个大地雷，极有可能导致无效的PCI审计。”

　　Roop认为，企业其实没必要收集支付卡信息，只须存储对他们的业务有用的信息便可。他建议说，把所有信息都抓在手里就有可能被攻击者滥用，没必要储存的信息只会带来麻烦。如果必须保留此类信息的话，那就必须构建一种能够有效保护信息的办法。