資訊系統與人體健康在事件發生前最大的差異，我覺得是資訊系統除了當機無法告訴我們她發生了什麼事情，於是技術人員會將特定的徵狀作為告警的指標，也會主動幫資訊系統加上防火牆等資安設備，就如同前述人類會穿衣服保暖一樣。資訊系統的健康檢查，大致上以稽核(Audit)和資安健診(Security Posture Assessment)為主，也會藉由監控機制(例如SOC或NOC等)，盡快回報是否可能發生問題。也就是說，我們決定了資訊系統的回應項目和內容。然而資訊系統的種類太多，設計她們的技術人員又沒辦法在每次發生問題的時候陪伴在同樣不是專業醫生的使用者旁邊說明錯誤訊息代表意義甚至一起處理問題，造成使用者遇到資安事件的第一個反應是重灌系統或採購資安設備(也就是買藥但不看診)。

要討論資訊安全人才，得參照現有的醫療體系，組織是希望有神醫坐鎮在公司內、還是初步能包紮傷口的護理師、又或者是特定藥商業務隨時提供特定種類的藥(但不負責治好)? 當然還有統籌協調各專科醫生聯合看診的管理人員以及負責操作檢測儀器的醫檢師等等。筆者在台灣從事資安教育工作近20年來，最多碰到兩種心中充滿疑惑的人，一種是知道要找資安人才但不知道去哪裡找及找哪種人才符合公司需求的主管，另一種是嚮往資安領域但不知道該怎麼開始或怎麼成長的資安新手。若是主管，或許應該先釐清組織需要處理哪些資安需求，避免投入過多的資源卻使用效率不彰，例如為了處理家人感冒而去唸醫學院。站在資安人的角度，不太可能只鑽研一種資訊系統或一種特定的事件，學習的過程中得先多方接觸不同的資安領域再選擇一兩個深掘。若是想做資安管理人員，雖不用特別去追求技術，但必須在各資安領域吸收比一般通才稍微深一點的知識或技術，避免未來協調專業人員的時候出現無法溝通的情況。

資安事件回應(Incident Response, IR)的複雜程度應該超乎很多人的想像，IR人員必須考慮事件可能影響範圍、作業系統種類、系統風險等級、備份檔案是否已被感染、攻擊者真實目標、是否為複合式攻擊、如何保留當下的數位證據等等，如果把時間因素考量進去，事件現場情況可能比急診室和救護車還嚴峻，因為全球資安事件時間長度平均值，以駭客入侵為例，約略是18分鐘左右，即使是事件發生立即就發現，要能在這麼短的時間內反應小組到位、即時執行SOP以及執行數位證據保全等等步驟，實在有點強人所難。如果組織內部並無適合的資安人員(如前所述，還得考慮事件的種類以及資安人員的技術等)，需要找外部專家支援，那就更難在黃金救援時間內做好妥善處置。所以組織面對資安事件至少得考慮兩件事：哪些資安事件應該由哪些人做哪些緊急處置程序(還得考量發生在哪些資訊系統)、哪些數位證據有助於事後歸責並能盡量避免類似事件再次發生?

數位鑑識像是拼圖，而且還是需要透過各種專業工具及技術才能看到每塊拼圖內容的高難度工作。鑑識分析的工作挑戰之一是資訊系統沒辦法自主回答問題，呼應前面的說法，就是病患無法告訴醫生哪裡覺得不舒服，所以分析人員得自己從有限的事件已知去猜測異常的所在。筆者在鑑識課程中常提到事件的第一線索就很像是森林裡引導我們走向糖果屋的第一塊餅乾屑，每個分析人員追查的角度不同，得到的餅乾屑可能明顯也可能模稜兩可，前者可以透過證據之間的關聯繼續找到下一塊餅乾屑，後者可能會原地打轉。第二個挑戰是不確定事件的始作俑者(可能是惡意行為人也可能是資訊系統自己，甚至有可能是懂鑑識分析的專業人員)是否具備反鑑識(Anti-Forensics)技術，更直白的說，分析和反分析、追查和反追查就是雙方技術功力的比拼。第三個挑戰是鑑識人員要會的東西包山包海，光是鑑識工具的種類以及可適用的環境與功能限制，就足以讓鑑識人員花費數年去熟悉，除此之外還要瞭解資訊系統(如Windows, Linux甚至Android、iOS等)，又要跟上新技術的突飛猛進(例如雲端、區塊鏈、AI等等)，最後還得有法律訴訟認知以及實戰(臨床)經驗累積。最讓鑑識人員無奈的，或許是使用者通常認為懂資訊等於懂資安、懂資安等於懂鑑識、懂鑑識等於所有的鑑識領域都懂。但如果是呼應到醫療體系，我想應該不會有人認為獸醫也懂人類屍體的解剖吧?