Phân loại mối đe dọa:  

  + Nội bộ: nhân viên cố ý hoặc vô tình tiết lộ thông tin nhạy cảm.  

  + Bên ngoài: hacker, phần mềm độc hại, kỹ thuật xã hội.

• Công nghệ bảo mật: IDS, mã hóa, thiết bị sinh trắc học, phần mềm chống virus, chống spyware, chống phishing.
• - So sánh bảo vệ phần mềm vs phần cứng (Table 2): phần mềm linh hoạt nhưng dễ khai thác; phần cứng an toàn hơn nhưng chi phí cao.
• - Yếu tố con người: lỗi do thiếu nhận thức, bất cẩn, hoặc cố ý (bảng Table 3 liệt kê nguyên nhân hành vi sai phạm).
• - Quản trị: vai trò của lãnh đạo trong xây dựng chính sách, giám sát, nâng cao nhận thức và cam kết bảo vệ tài sản thông tin.
• - Đào tạo và nhận thức:  
•   + Các phương pháp: truyền thống, trực tuyến, video, trò chơi, mô phỏng phishing (Table 4).  
•   + Nhấn mạnh hiệu quả của đào tạo nhúng và đào tạo theo ngữ cảnh.
• - Văn hóa bảo mật:  
•   + Hành vi người dùng chia thành 4 nhóm: đảm bảo, gây hại, chấp nhận rủi ro, phàn nàn.  
•   + Văn hóa bảo mật tốt giúp giảm lỗi cá nhân và tăng tuân thủ chính sách.
• - Chuỗi cung ứng:  
•   + Môi trường đa lớp, nhiều bên liên quan → tăng rủi ro rò rỉ thông tin.  
•   + Cần hợp tác, chia sẻ tri thức, và tuân thủ chính sách bảo mật giữa các bên.
• - Kết luận:  
•   + An ninh thông tin là trách nhiệm chung của toàn tổ chức.  
•   + Cần tiếp cận đa chiều: công nghệ, con người, quản trị, văn hóa, pháp lý.  
•   + Chia sẻ tri thức và tăng cam kết nội bộ là hướng nghiên cứu tiếp theo.