在台灣,一家名為「3Q資通安全管理顧問公司」的小型企業,致力於協助中小企業解決資安問題。有一天,3Q的執行長小張接到一通電話,某客戶在一次釣魚攻擊後損失了大量敏感資料。小張立刻召集團隊開會,決定以這次事件為契機,引入全新的資安策略。
在討論中,顧問小美提出一個觀點:「我們不能只靠增加防火牆和殺毒軟體,這只是在治標不治本!」她引用最新的研究,指出公司需要提升「威脅認知」與「對策覺察」。這種方法不僅聚焦於解決當前問題,更重要的是,幫助企業檢視其 IT 基礎設施中的潛在漏洞,從根本上解決問題。小張靈光一閃,決定將這些概念融入他們的教育訓練課程。他們首先讓客戶了解什麼是「威脅認知」:這是一種全局性的思維模式,能幫助企業高層瞭解資安風險的全貌,並在事件發生時快速反應。接著,他們介紹了「對策覺察」的重要性,即企業如何利用現有的 IT 資源,有效地實施解決方案。
幾個月後,這家客戶公司不僅改善了IT基礎設施,還開展了針對員工的資安培訓。當一次新的攻擊威脅出現時,他們能迅速識別問題來源,並及時採取行動。
這個案例展示了資安的管理不僅是科技的問題,更是一種思維方式的轉變。3Q的成功在於,他們幫助客戶從「頭痛醫頭」轉向建立長期的資安文化。這樣的變革不僅有效降低了風險,也讓企業員工對資安有了全新的認識。
參考文獻
Li, W. W., Leung, A. C. M., & Yue, W. T. (2023). Where is IT in information security? The interrelationship among IT investment, security awareness, and data breaches. MIS Quarterly, 47(1), 317–342.
