大家都知道資訊安全很重要，但有些似是而非的說法常造成資訊安全推動的困難。最常聽到的是：「推動資訊安全會增加工作負擔，並影響組織的正常作業。」

因此，企業主或資訊管理人員常存僥倖之心，以為資訊安全事件不會那麼巧地發生在自己身上，因此降低它的優先順位，等到事件發生就後悔莫及了。其次，許多人誤以為資訊安全問題可以「一次」解決，只要建立起完美無缺的防禦體系，就可以高枕無憂。事實並非如此，今天安全的東西可能明天就被破解了，資訊安全是永不停止的攻防過程。另一個常聽到的謬誤是認為資訊安全單靠產品，只要有功能強大的防火牆（firewall）與防毒軟體（anti-virus）就夠了。事實上，單靠產品的效果有限，必須結合相關人員的資訊安全認知與訓練。資訊安全是一種取捨推動資訊安全需要投入人力、物力，同時可能犧牲部分人的方便、自由、甚至工作效率，所以主其事者應該採取比較務實的做法來化解組織的反彈與阻力。

天下沒有絕對完美的防禦，因此資訊安全是一種「取捨（tradeoff）」。應在有限的條件下，將資源投資在最容易受到攻擊或是對組織衝擊最大的安全弱點上。例如，一家五位員工的小企業可能最該做的是為每台電腦安裝防毒軟體，而不是花幾千萬元建構一個安全營運中心（Security Operation Center, SOC）。

另外，防禦措施需要在「安全」與「便利」之間做合理的取捨。過度防禦會造成使用者的不便，反而違背資訊科技帶給人便利的初衷。有一家企業安裝了安全性極高的門禁管制系統，員工進出任何門都需要刷卡並輸入PIN 碼。公司追求高安全性的立意甚佳，但由於操作不方便，員工乾脆不關門，反而形成始料味及的安全漏洞。