從學校社團出身的七維思，怎麼成為企業提高資安意識的領路人？

企業也想做資安，但遇到的最大問題是——該從何做起？

企業資安事件頻傳，根據媒體《iThome》統計，在2023年間，至少有17起台灣上市櫃公司遭網路攻擊的資安事件，包括華航、宏碁、誠品等大型企業都是受害者。

資安威脅可能會對企業造成財務、聲譽等各方面損失，甚至需要承擔法律後果，但台灣企業的資安意識卻仍處於有待加強，問題就在於不知道「從何開始」。

新創七維思團隊在資安領域深耕多年，這群曾被視為「叛亂分子」的資安從業人員，看到資安的趨勢與缺口，決定協助企業提高對資訊安全的認識。

企業資安意識不足，「教育訓練」成為突破口

隨著《資通安全法》上路，政府已要求企業制定資訊安全相關保護措施，但七維思團隊表示，許多企業對於資訊安全的理解，可能僅止於購買防火牆和防毒軟體。

「有些企業甚至購買了防火牆，實際上卻沒有使用，只有在稽核時才會打開。」七維思創辦人林子婷（首圖）分享。這種只為了「買心安」的情況是因為企業為符合政策而採取資安措施，實際上並未理解資訊安全的重要性。

針對此現狀，七維思團隊以「教育訓練」為服務基礎，讓企業能夠透過資安課程了解資訊安全的重要性，後續再對內部的資安漏洞進行監測，並提出解決方案，降低資安風險。

課程搭配攻防演練，提供全方位資安顧問服務

七維思團隊表示，目前企業對於資安的態度可以分為幾種類型：半導體、銀行等資金充足的大型企業，願意投入大量資金，購買最新的資安產品確保資訊安全；剛起步的新創或小型企業則尚未有足夠的資金與心力投入資安；至於在市場逐漸站穩腳步、因為政策等因素開始意識到資訊安全，卻不知從何下手的中型企業，便是七維思的主要目標客群。

一般來說，企業導入資安服務會從資安評級、需求訪談和基礎建設檢查開始，才步入教育訓練，但是七維思直接以教育訓練和實戰攻防演練作為敲門磚，讓企業先以玩代學，意識到忽視資安可能帶來的後果，也讓企業更願意投入預算讓團隊執行後續的顧問服務。

「我們會在課程中以實際案例告訴企業，資安產生漏洞會造成什麼損失。」林子婷說。

七維思針對資訊安全的三大區塊：攻擊、防禦、管理，為企業客製化相關課程，確定合作後再為企業提供全方位的資安監測與建議，包含資安評級訪談、深入探討企業內部的資訊安全狀況、協助企業進行設備的盤點清冊，針對每一項設備進行風險評鑑。

評鑑完成後，團隊會提出一份詳細的資安建議報告，其中列出了各種可能的弱點情境，並說明這些弱點可能對企業造成的影響，最後根據評鑑結果提供資訊安全策略的建議，協助企業找到適合的廠商提供資訊安全保護。七維思以專案形式與企業合作，目前已經為18間企業提供服務。

七維思服務流程示意圖七維思的服務流程示意圖，由於企業的資安意識不足，目前多選擇以教育訓練為服務起點，後續再進行顧問服務。七維思提供

被視為叛亂分子的資安先驅者，協助企業提升資安意識

七維思團隊都是資工背景出身，並且參與資安研究多年。團隊成員起初是從校園社團性質起家，彼此切磋學習最新的資安技術與知識，也會被邀請至各學術單位講授資安課程，但當時資安仍屬於十分敏感的議題，資源非常不足，「資安研究社甚至會被學校視為是叛亂份子，沒有學校想要支持一群可能攻擊學校網路設備的人。」七維思營運長李昀達說。

隨著資訊安全逐漸受到企業重視，企業開始向大學相關科系教授詢問企業講師時，七維思團隊因為深厚的資安基礎與學習經驗獲得了推舉。

七維思團隊不只擁有相關資安證照，為了因應日新月異的駭客攻擊手法，團隊也會隨時跟上最新的資安趨勢，了解企業現今有可能會遭遇的資安困境。

「我之前從來沒想過自己會要創業。」林子婷笑著說，在進入企業上課的期間，發現資安意識並不普遍，企業的問題基本上也有一定的重複性，為了加速服務的能量，最終才走上創業之路。

七維思團隊強調，每個人都應該要具備資安意識，「守護資訊安全不只是在保護企業或個人的資訊，也是在保護自己生活周遭的人。」李昀達說。

創業快問快答

Q：最常被客戶或投資人問起的事情？您會如何回應？
A：您的教育平台有何獨特之處？為什麼選擇做教育訓練為起點而不是其他資安服務？我們認為我們教學經驗豐富，了解學員在學習資安知識的痛點與問題，我們的教育平台減少這些學習者的痛點，讓學習者可以不必擔憂前期準備成本，更能專心學習資安知識。而教育訓練是企業進入資安最低的門檻，從案例解析，了解生活中的資安風險，當有了意識再進行資安規劃，對於整體組織推動資安政策與管理機制會是一個更好的潤滑。我們認為資安教育訓練是一個敲門磚，敲出你對資安的在意與需求。

Q：要達到下一步目標，團隊目前缺乏的資源是？
A：下一步，我們在服務過程中，發現許多企業缺乏工具來進行管理，或是資安人員多半是很痛苦的，因此我們自行開發工具，讓公司可以使用。而這些工具與平台需要架設在雲端，因此雲端成本較高。

Q：創業至今，做得最好的三件事為何？
A：
1. 不失本心：每一次的聊天與業務交流過程，都會帶入資安的概念，並提供解決方法。
2. 親身體驗：了解資安知識與技術的過程，在自身學習的過程當中，就會知道一般學習者在學習與導入資安的問題點。因此以親身經驗設計課程與顧問服務，能讓客戶更了解困難點與建議解決方案。
3. 嘗試創新：我們嘗試各種新技術，並且導入業務流程也導入在客戶本身，作為資訊本業帶來方便的同時也會告知新技術的資安風險。