【臺灣資安大會直擊】專家談跨國企業資安治理：真正難的不是技術，而是跨文化協作

保瑞藥業全球資安經理Jesse Ku在今年臺灣資安大會上分享他多年參與跨國企業資安治理與海外協作的經驗，他認為，企業資安最大的困難，很多時候不是技術，而是「人」。

「資安裡面最弱的環節是人，但人同時也是做好資安最重要的因素。」他說。

全球資安治理的最大障礙，不只是語言

Jesse指出，許多人以為跨國企業資安協作最大的問題是英文能力，實際上，語言只是第一層障礙。真正困難的，是不同文化背景下，對同一句話可能產生完全不同的解讀。

他以華人常用的「No no no」或「Actually」為例，在華人語境中很多時候只是表達「不是這樣」或「我來補充一下」，但是在歐美文化裡卻可能被解讀成否定對方、拒絕合作，甚至帶有攻擊性。

他分享一次跨國會議案例，亞洲同事在討論流程時，不斷插話與說「No」，原意其實是想修正流程內容，但美國同事認為，「你根本不是來合作，只是在否定我」，最後甚至拒絕繼續討論。

Jesse認為，這類「語意解讀落差（interpretation gap）」，其實是跨國資安合作中非常常見，但也最容易被忽略的問題。

不同國家存在職場文化差異

Jesse也分享自己與不同國家的團隊合作的觀察。

他指出，美國職場文化習慣在會議中習慣積極發言、表達意見；但臺灣企業則更重視效率與執行速度，許多時候希望快速完成專案。歐洲同事則較重視邏輯與辯論，只要能被說服，通常願意接受不同做法；加拿大與澳洲同事則相對更重視工作與生活平衡。

這些文化差異，都會直接影響全球資安治理的推動方式。他舉例說明，臺灣同事習慣快速推進專案，但澳洲同事可能認為週五下午不適合談工作，應該等到下週再討論。

「每個國家的文化、步調與工作方式都不一樣」，Jesse說。

跨國資安治理需掃除「隱形障礙」

Jesse認為，除了文化差異之外，跨國資安治理另一個常見問題，是知識與經驗背景不同。

例如有些企業高度重視ISO認證，有些美國企業更偏向採用NIST CSF，有些企業每月作社交工程演練，有些企業一年才做一次。企業不能把自己的標準直接套用到所有組織。

Jesse指出，不少資安團隊容易有「經驗迷思」，例如宣稱有20年的資安經驗，但他認為如果長期沒有持續更新知識，觀念可能仍停留在10年前。「如果你的經驗沒有跟產業一起更新，就會出現盲點」。

在跨國協作時，生成式AI確實有助於跨國企業突破語言障礙，如即時翻譯、Email撰寫、多語系溝通等，都比過去容易許多。

但Jesse也醒，AI無法真正解決文化與認知問題。此外，企業若過度相信AI，也可能產生新的風險，例如使用者被AI誤導、員工將公司機密輸入AI工具、攻擊者利用AI強化攻擊能力

因此，他認為企業在導入AI工具的同時，也必須同步強化治理與防護能力。

資安協作基礎是建立共同理解

Jesse指出，跨國資安治理最重要的事情，其實是「Alignment（對齊）」。

因為很多跨國會議最大的問題，不是技術，而是大家以為在討論同一件事、實際上彼此理解完全不同

他以親身經歷的故事為例，是某一年冬天在美國麥當勞用餐時，外面氣溫為零下15度，他看到一名婦人推著嬰兒車、手上提著大包小包準備進店，而他剛好坐在門口附近，因此起身想幫對方開門，就在他還沒真正把門打開前，那名婦人已經自行開門，並開始對他破口大罵，讓他當下感到困惑，在他的認知中，他起身想為婦人開門，而該名婦人是位街友，在她的認知中，以為他想阻止她開門，所以引起誤會。

資安協作也容易存在認知上的差異，因此跨國資安協作必須先確認目標是否一致、對風險的理解是否一致、誰負責什麼（R&R）、工作模式如何運作。

根據他的經驗，跨國企業常見三種治理模式，集中式、混合式、分散式。許多大型跨國企業目前多採混合式架構，也就是由總部制定最低資安標準，各地區再依實際需求進行調整。

他認為，企業不應追求單一治理模式，而是應依據組織規模、文化成熟度、管理能力、地區差異、資源配置建立適合自己的全球資安協作機制。

全球資安治理真正困難的地方，往往不是工具或技術，更重要的是如何讓不同國家、文化與組織背景的團隊，建立一致的風險認知與協作模式。

當跨國企業持續擴張、併購與整合日益頻繁的情況下，資安團隊不只要面對技術威脅，還必須處理語言、文化、組織與管理上的「隱形障礙」。相較於單純導入工具，企業更需要建立清楚的溝通機制、角色分工與全球協作流程，才能真正讓全球資安治理有效落地。