Por más que digan, la dirección tambien se equivocan, bueno se equivocan o no tienen ni idea (de esto podríamos discutir mucho), por eso, han identificado los 10 errores que comete la dirección en seguridad de la información [1]

• Primer error: Seleccionar personal inexperto para mantener la seguridad sin dar formación
• Segundo error: Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio. Informática es un área del negocio, no lo es todo.
• Tercer error: Falta de conocimiento y de compresión de los aspectos de Seguridad de la Información.
• Cuarto error: Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.
• Quinto error: Que el departamento de Seguridad de la Información dependa del departamento de Informática. El departamento de Informática debe contar con herramientas para auto-auditarse para que cuando le toque la auditoría externa resulte más o menos bien.
• Sexto error: Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática.
• Séptimo error: No valorar de la posesión de la información y la reputación de la compañía.
• Octavo error: Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.
• Noveno error: Ignorar los problemas hasta que aparezcan.
• Décimo error: Ocultar los problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos.

Si quieres tener una empresa muy segura ya sabes que es lo que NO debes hacer.