من أكثر الأخطاء شيوعا حتى لدى المسئولين الذين يفهمون قيمة أمن المعلومات تركيزهم على الفيروسات والمخترقين Hackers، بينما أثبتت الدراسات أن أخطر اختراقات أمن المعلومات تأتي من داخل الشركة وليس من خارجها. فالموظفون السابقون أو الموظفون الغاضبون، وجوازات الدخول التي تمنح لبعض العملاء أو الشركات الحليفة يستغلها كل هؤلاء بشكل مهدد لأمن المعلومات، بالإضافة إلى أن سرقة الحواسيب المحمولة هي أهم طرق اختراق الشركات أمنيا وليس الفيروسات والمخترقون كما قد توحي التغطيات الإعلامية لهذه القضية. ولهؤلاء الحق فيما يعتريهم من مخاوف، نظرا إلى أن الأرقام التي تتردد في هذا العالم مفزعة. فقد أعلن الكونغرس الأميركي أن عدد المواقع والنظم الحكومية التي اخترقها المخترقون «hackers» في العام 2000 بأميركا وحدها بلغ 155 موقعا ونظاما، موزعة على 32 هيئة فيدرالية، وأن إحدى شركات أمن المعلومات قدرت أن دقيقة واحدة يتسلل خلالها أحد الـ hackers إلى نظام ما، ونصف ساعة يقضيها داخل هذا النظام، ستضطر الشركة إلى استدعاء خبير أمن قد يقضي على أقل تقدير 34 ساعة لاكتشاف ماذا فعل ذلك المتسلل، وسد الثغرات التي دلف منها إلى النظام، وإصلاح الأعطاب التي أحدثها إن كان ذلك ممكنا، ما قد يكلفها حوالي 22000 دولار أميركي وهي تقديرات غاية في التواضع والتحفظ، ولا يذهب بذلك الرعب إلا رعب أكبر منه عندما تعلن مؤسسة أمنية أخرى أن نسبة المتوقع من الاختراق للعام الجاري قد تزيد بنسبة 222 في المئة عن العام الماضي. وفيما يبدو فإن مصطلح الـمخترقين قد تم تداوله أول مرة في ستينات القرن العشرين في معهد ماسوشوستس للتكنولوجيا MIT؛ ليصف ثقافة سادت في تلك الفترة بين خبراء البرمجة، ويعطي قيمة إضافية على من يعتنق القيم التي صاغها ستيفين ليفي العام 1984 في كتابه «الهاكرز أبطال ثورة الكمبيوتر»، وتتلخص في النقاط الآتية: الوصول للحواسيب مفردة أو ضمن شبكات ينبغي أن يكون تامّا وغير محدود، كل المعلومات ينبغي أن تكون مجانية حرة، لا تثق بالسلطة، وروّج للامركزية، ابتكر الجمال والفن بالكمبيوتر، الحواسيب يمكن أن تغير الحياة إلى الأفضل، المخترق يقدر بإمكاناته لا بالجنس أو اللون أو العقيدة، أو الوضع المالي أو الوضع الإجتماعي.

لكن توفير الحماية للمعلومات كما يراها أستاذ نظم المعلومات في أكاديمية السادات للعلوم الإدارية، محمد محمد الهادي في دراسته المعنونة: «توجهات أمن وشفافية المعلومات في ظل الحكومة الإلكترونية» لا تتم إلا حين ينظر إلى أمن المعلومات على أنه نظام يحتاج تشغيله إلى 4 مكونات أساسية، يحددها الهادي على النحو الآتي: 1. العمليات: Possesses تعتبر العمليات لا غنى عنها لأي نظام أمن، فهي جوهرية وذات طبيعة مستمرة. وتحكم أداة عمليات أمن المعلومات مجموعة من المعايير كتلك التي قررتها المنظمة الدولية للتوحيد القياسي ISO التي تعتبر ذات قيمة كبيرة لأي نظام أمن معلومات. وتطبق العمليات بطريقة منظمة كما تراجع باستمرار في إطار الخبرة المتراكمة بغية استبعاد الأخطاء والمخاطر. 2. البشر: People الذين يمثلون العاملين، المستشارين، المتعاقدين، والفنيين وينجزون كل العمليات والخدمات، ويحتاج إلى وجودهم بأعداد وتخصصات ملائمة وبمهارات وخبرات ودافعية مناسبة. 3. التكنولوجيا: Technology تعتبر متوافرة وجاهزة، ولمنتجاتها دورات حياة قصيرة نسبيا. وتعتبر سوق التكنولوجيا ذات طبيعة تنافسية، يتوافر لها عدد كبير من المنتجين والموردين والبائعين والموزعين الذين يأتون ويذهبون، وقد يندمجون في شركات أكبر أو قد يخسرون ويخرجون من سوق الأعمال. ويجعل ذلك من الصعب تقييم التكنولوجيا عما كانت عليه في الماضي. 4. الثقافة: Culture ترتبط بتفسير بيئة الأعمال وتتعلق بأخلاقيات المنظمة تجاه المجتمع، إذ يكون لإدارة المنظمة دور رئيسي تؤديه في حفظ ثقافة المنظمة المتوافقة مع ثقافة مجتمعها. ولوضع تصور شامل لحماية وأمن المعلومات فلا بد أن نأخذ في الحسبان السياسة الأمنية... أمن الأجهزة والأدوات أمن الشبكات الأمن المنظم والأمن القانوني. والسياسة الأمنية تعتبر الغطاء الأمني لجميع الجوانب الأمنية وهي التي تعطي كيفية إنجاز الأمن ويجب بناؤها على المتطلبات وليس على الاعتبارات التقنية. والأهداف السياسية لأية سياسة أمنية يجب أن تكون لإبقاء السرية والسلامة والكمال والتوافر لكل أصول الثروة المعلوماتية للشركات واتصالاتها. على أنه من الضرورة بمكان ألا يكون أمن المعلومات على حساب توافرها وإمكان الوصول إليها. ومن المهم جدا أن تكون معلومات ومصادر المؤسسة متوافرة بسهولة. والتوافر يضمن الوصول الموثوق به للبيانات متى وأينما دعت الحاجة إلى ذلك، ويجب على السياسة الأمنية أن تضع ذلك في الحسبان عند دراسة اي تهديدات محتملة للمؤسسة. وعند بناء أي سياسة أمنية يجب تحديد الإجابة على أسئلة معينة مثل ما هي السياسة الأمنية؟ لماذا هناك حاجة إلى سياسة أمن؟ كيف ينبغي أنشاؤها؟ ما التهديدات التي يجب صدها؟