資安，真的會造成對立嗎？

 

有時候，我總覺得資安就像那個家裡的「防盜門」，一開始大家覺得多此一舉，但一旦用上就知道不裝不行；然而在裝的過程中，總是有人抱怨「幹嘛這麼麻煩？」。職場上的資安，好像也差不多。

沒資安人員前：對外能用就好，稽核過關就好

還記得公司還沒有資安人員進駐的時候，整個IT團隊都抱著「能用就好」的心態。
系統能讓客戶連上線、資料能夠順利跑完流程、Email 可以寄出收進來，基本上就是合格了。至於稽核？只要偶爾整理一下紀錄、檢查一下權限，看起來「表面乾淨整齊」，稽核官來檢查也能點頭說：「嗯，可以過。」

那個階段，大家對資安的感覺很簡單：

• 防火牆？開著就好。

• SSL 證書？不要過期就好。

• 使用者權限？能登入能操作就好。

總之，只要對外能用，內部同事操作不被卡到，稽核能過關，一切就算完成任務。

那時候的我們，根本還沒有遇到資安人員。大家的心態大概是：「資安？等會有人來管就好了。」

資安人員來了：安全 VS 可用，好像開始對立

事情開始轉折，是在應用程式人員想開通某些外對內服務的時候。原本只要「能用」就好了，但資安人員出現後，情況完全變了。

你申請一個端口開放？資安人員開始計算風險、考慮潛在攻擊面。
你想部署一個 API 對外？資安人員會要求加驗證、加日誌、加加密，甚至提醒「這個還可能被 XX 攻擊」。

突然間，原本簡單的需求，變得像是過五關斬六將。大家會開始覺得：「幹嘛要這麼麻煩？我只是想讓客戶能用啊！」
私下裡，抱怨聲此起彼落。應用程式人員說：「資安人員就是來拆我的需求！」
資安人員心裡想：「他們懂什麼是安全？都只會想著好用！」

就這樣，一個小小的功能開通申請，瞬間演變成職場小戰爭，雙方好像天生就是對立的。

我本人對資安的初體驗：從抗拒到習慣

老實說，我自己也不是資安出身。以前提到資安，我的心裡是：「啊…又要學一堆東西嗎？」
尤其是當客戶要求必須達到某些資安檢查標準的時候，我一開始完全抗拒。

想想那些東西：

• SSL 憑證要檢查，還要知道什麼是中間憑證、根憑證。

• 網頁安全要調整，防 XSS、防 CSRF、防 SQL Injection。

• 權限管理要檢查，每個帳號都有什麼權限、誰能改誰不能改。

天啊！這些以前完全不熟的東西，突然要我搞懂還要落實，真的是一開始覺得心裡打鼓、手腳發抖。

但後來，我逼自己去看文件、查資料，甚至實際操作了一遍，結果發現…只要按步驟做，其實並沒有想像中恐怖。
最終，我達到客戶要求的資安最低標準，雖然不是滿分，但至少符合規範，也算是一種成就感。

更重要的是，這個過程變成了經驗累積。下次遇到類似需求，我就不會再慌張，因為我知道要檢查哪些、要調整哪些、要注意哪些細節。

所以，資安學起來，不只保護系統，也保護自己。這種「以不變應萬變」的心態，對職場生存很有幫助。

資安不是資安人的責任，而是全公司的責任

這點我深深體會到：資安不能只是資安人員的事情。
如果公司上下都沒有資安意識，再強的資安團隊也只能像「孤軍奮戰」，結果往往是疲於奔命、被抱怨、甚至被孤立。

我認為，要把資安導入公司，有幾個前提：

1. 老闆要支持
   如果老闆不支持資安策略，資安人員在公司就像走鋼索，一不小心就被人咬耳朵、被排擠、甚至被標黑。
   老闆的態度會決定資安在公司內部的定位：是「戰略核心」還是「麻煩製造者」。

2. 全公司都有責任
   資安不是資安團隊的專利，應用程式人員、系統管理員、業務部門、甚至行政部門都應該參與。
   這樣一來，當資安人員提出需求時，不會只聽到抱怨，而是理解「這是保護公司、保護客戶、保護自己」。

3. 教育和經驗累積
   不可能每個人一開始就熟悉資安，但可以透過訓練和實務操作，慢慢建立經驗。
   就像我自己，雖然初期抗拒，但累積經驗後就能從容應對，甚至可以幫助團隊提升整體資安水平。

職場幽默小觀察

我發現，資安造成的「對立感」其實有點像職場的「愛恨交錯」：

• 應用程式人員抱怨資安人員太嚴格，但其實心底也希望系統不被攻擊。

• 資安人員抱怨大家不懂安全，但看到系統被保護起來時，也會暗自竊喜。

• 老闆覺得資安很麻煩，但一旦出了問題，第一個被問責的還是自己。

所以，資安的對立感，其實更多是角色定位的衝突，而不是人人天生敵對。

我常開玩笑說，資安就像吃蔬菜：一開始嫌棄、覺得麻煩，但吃過幾次、感受到健康好處後，你就會慢慢欣賞它。

總結：資安其實可以是一種「職場成長的契機」

回過頭來看，資安的存在並非為了製造對立，而是保護公司、保護客戶、保護自己。

• 沒資安時，大家覺得簡單、方便，但風險潛藏。

• 有資安時，看似對立，其實是不同角色在不同角度思考。

• 個人學習資安，能累積經驗、增加面對挑戰的自信。

• 導入資安，需要老闆支持與全公司參與，才能避免孤立與抱怨。

所以，下次當應用程式人員抱怨「資安太麻煩」或資安人員皺眉「大家都不懂安全」時，不妨幽默地想想：這是職場的必經過程，也是每個人進步的契機。

資安，不是對立，而是成長。

而且，說不定有一天，你會發現，那些曾經抱怨的麻煩要求，其實都是你未來職場生存的「防彈衣」。