מיהו CISO בישראל 2020?
בחשיבה עתידית של איך ייראה מקצוע ה-Chief Information Security Officer (CISO) בישראל של 2020, ה-CISO יצליח לגרום לארגונים לראות בתפקידו מנוע צמיחה משמעותי, מנהל בכיר ושותף אסטרטגי עסקי בחברה. אם נחבר את כל אלה גם יחד נוכל לראות איך שמקצוע ניהול אבטחת המידע למעשה מורכב משני חלקים דינמיים – ניהול ויכולות מולטידיסיפלינריים באבטחת מידע. ה- CISO הוא תפקיד חדש יחסית ועדיין לא נוצר עבורו אפיון מקצועי. במהלך העשור האחרון, הנוכחות של ה- CISO הפכה לחשובה ומשמעותית לאור המספר המתרחב של איומי סייבר אשר הובילו לצורך הגובר ב-CISO בארגונים ברחבי העולם.
ה- CISO הישראלי לא רק שונה מ- CISO במדינות אחרות בגלל הבדלי התרבויות הברורים בין ישראל והעולם, אלא שהוא גם שונה בתוך התרבות הישראלית עצמה בין ארגונים שונים, חלקם אפילו מאותה תעשיה בדיוק.
במדינת ישראל של 2018, נכון לכתיבת שורות אלו אין עדיין הסדרה ברורה למהו תפקידו של ה-CISO, ובכלל מי יכול לשמש כ-CISO. כרגע תואר ה-CISO תלוי בהגדרות של אלו הכותבים תוכניות לימוד, ובאלה המבקשים לגייס CISO, גם אם במשרה חלקית של CISO as a Service. בעולם שמחוץ לישראל, בדגש על מדינות אירופה וארה"ב, מקצוע ה-CISO ברור יותר ומוסדר יותר, גם משום שלאקדמיה נוכחות משמעותית יותר בהכשרה למקצוע, וגם משום שהחברות המובילות מושכות את השווקים להגדרה ברורה של מי יכול להיות CISO עוד משלב הגשת המועמדות. דוגמה מעבודתי עם ארגונים אמריקאים בשש השנים האחרונות,
בארגונים אמריקאיים חלק מהגשת המועמדות לעבודה כולל מילוי טפסים במערכת אונליין. במערכת עוברים המועמדים מספר מסכים בהם הם נדרשים לספק מידע, ובין המסכים הראשונים המוצגים יש את שאלת ההסמכות – "אילו הסמכות בינלאומיות הרלוונטיות לתפקיד ה-CISO יש לך?". בתשובה חייב המועמד לציין לפחות את אחת מההסמכות, CISSP, CISM, CISA, CRISC, GISP וכד', ואת מספר ההסמכה. בעיבוד הנתונים של המועמד, החברה בודקת את תוקף ההסמכות, ובחלק מהמקרים המערכת עצמה תריץ שאילתות אונליין כתנאי להמשך הגשת המועמדות. גישה זו בה נוקטים מעסיקים בחו"ל, גם בחברות קטנות ובינוניות, מסייעת למקד את החיפוש במי שלא רק מכריז על עצמו CISO, אלא במועמדים איכותיים שגם מוסמכים על ידי ארגון בינלאומי מוכר המעיד עליהם שהם אכן בעלי הכישורים והידע הרלוונטיים להצלחתם בתפקיד.
השוק בישראל, עדיין רחוק מבשלות כמו זו של סינון מועמדים על פי הסמכות בינלאומיות, ורחוק, אבל לא מאוד, מהסדרה של מקצוע ה-CISO כפי שניתן לראות בעולם המתקדם בתחום. יחד עם זאת, ברורה לחלוטין הדרך והבשלות הנדרשת מאיתנו בשוק הישראלי כדי ליישר קו עם המקצוע הבינלאומי Chief Information Security Officer.
כדי לנתח את מקצוע ה-CISO המורכב משני חלקים דינמיים – ניהול ויכולות אבטחת מידע. נפרק את תחום מערכות המידע לארבעת החלקים המרכזיים והמוכרים שלו – תקשורת, תשתיות, תוכנה ומאגרי מידע. יש עוד המון חלקים אחרים במערכות מידע כמו ניהול פרויקטים, ניתוח מערכות, שירותי ענן למיניהם וכו', אבל לצורך הכלליות שבניתוח המקצוע, נתייחס לארבעה המרכזיים האלה. הרוב המוחלט של מנהלי אבטחת מידע בישראל מגיעים משני התחומים הראשונים של תקשורת או תשתיות. למה? כי זה קל, איש התקשורת, שגם בהרבה מקרים היה אחראי על התשתיות, קיבל בירושה את האחריות על ה-Firewall הארגוני, ומשם למעשה קיבל את האחריות על תחום אבטחת המידע כולו. על הדרך אותו אדם גם ניהל הרשאות גישה לספריות רשת, ניהל את מערך האנטיוירוס, ולמד קורסים בתחומים האלה שכללו התייחסות או אפילו מיקוד באבטחת מידע. שני התחומים האחרים – ניהול מאגרי מידע ופיתוח תוכנה, על פי רוב בשוק הישראלי לא מניבים מנהלי אבטחת מידע, אלא יותר יועצים בתחום, מקצוע חשוב לכל הדעות, אבל לא כזה שבדרך כלל יצמחו בו CISOs. האם זה טוב או לא זה בכלל לא משנה, זה המצב הנתון בנוף הישראלי.
לגבי החלק הדינמי – ניהול, כאן השוק הישראלי נוטה להשתרך מאחור ובצורה מאוד ברורה. בעוד שבמדינות מערביות רבות ה-CISO בעצם היותו נושא באות 'C', שם אותו בשורה אחת של נושאי משרה רשמיים בארגון, בכירים, וכך גם מצופה ממנו לפעול ולהתנהג. בנוסף, לצד ה-CISO הבכיר, ניתן למצוא מקצועות תומכים כגון ה-BISO, Business Information Security Officer, מנהל תפעול אבטחת מידע – Information Security Operations Manager, מנהל סיכונים, רגולציה ומשילות – GRC, ועוד מיני תפקידים שלמעשה שותפים לארגון העל הנבנה סביב מנהל אבטחת המידע וקרוי Office of the CISO. בשלות ובגרות כזו, אכן רחוקה מאוד מהשוק הישראלי בשלהי 2018, ולא בכדי. בשלות כזו, ככל שתהיה נחלתם של אנשי המקצוע, ה-CISOs בעצמם, חשובה בפני עצמה, אך יש לה השפעה מועטה על הנוף הארגוני בכללותו. הבשלות המשמעותית יותר היא זו של הארגון עצמו.
על ארגונים בישראל, אנו נוטים לומר לא פעם שה-SMB האמריקאי הוא למעשה ה-Enterprise הישראלי. נכון מאוד, אם בוחנים בראייה צרה מאוד שמתייחסת רק לגודל הארגון ומספר העובדים. SMB או Enterprise זו הגדרה עסקית של העסק עצמו קודם לכל. אם ארגון חושב כמו SMB, ומתנהג כמו SMB, אין זה משנה בכלל כמה עובדים יש לו או בכמה מדינות הוא פעיל – SMB הוא ארגון שבו מקצוע ה-CISO ככל הנראה כלל לא קיים. ארגונים יתנהגו בצורה זו או אחרת על פי בשלות ההנהלה שלהם. אם הנהלת הארגון עוד לא רואה את היתרון שבמקצוע ה-CISO, אין זה משנה בכלל אם יש או אין תפקיד כזה אצלם, ה-CISO לא יוכל להיות גורם משפיע ומכריע בפן העסקי עד שהנהלת הארגון לא תעבור את המשוכה של חשיבה בוגרת ואחראית. מעבר המשוכה הזו בכל הקשור לאבטחת המידע קורה כאשר הנהלת הארגון הבכירה – מנכ"ל, בעלים, בעלי המניות, מבינים שהם אלו הבעלים והנושאים באחריות הישירה לכל סיכוני הארגון – פיננסיים, חוק, מוניטין וגם אבטחת המידע שלהם עצמם ושל אלו הבוחרים לשתף איתם מידע.
כל ארגון באשר הוא, הוא גם לקוח וגם ספק. כל ארגון חבר בשרשרת האספקה – שלו כצרכן או של אחרים כצרכנים שלו. ובשל כך, כל ארגון שותף ברמה זו או אחרת למפת הסיכונים של שרשרת האספקה שלו או של אחרים, ובהיותו כזה, עליו לרצות לדעת, לשאול את השאלות הקשות והנכונות בהיבטי אבטחת המידע, ולבדוק את הבקרות שלו אל מול אותם סיכונים באופן שוטף ומקצועי. בדיוק כמו שתהליך ניהול סיכונים פיננסיים לא יתקיים ללא מנהל כספים – CFO, ובדיוק כמו שניהול סיכוני חוק לא יתקיים ללא יועץ משפטי, ובדיוק כמו שתהליך ניהול סיכונים תפעוליים לא יתקיים ללא סמנכ"ל תפעול – COO, כך לא יכול להתקיים תהליך ניהול סיכוני מערכות מידע יעיל ומקצועי ללא מנהל אבטחת מידע – CISO.
בישראל של שנת 2020 סביר להניח שנתחיל לראות את היסודות הראשונים להסדרת מקצוע ה-CISO. לא כל מי שלמד במסגרת כלשהיא, סימן נוכחות ושילם עבור קורס, יוכל עוד לשאת בכותרת CISO. מערך הגנת הסייבר בישראל, שעושה עבודת קודש בנושאים אלו ואחרים, עובד בימים אלה על הסדרת המקצועות בתחום וביניהם מקצוע ה-CISO. במסגרת העבודה הזו סביר שמערך הגנת הסייבר יאמץ את הדרישות הבינלאומיות הנהוגות בשוק העולמי כיום של CISO בעל ידע טכנולוגי ועסקי כאחד, ובעל הסמכות בינלאומיות מוכרות כמו אלו המוצעות במסלול הכשרת ה-CISO שלנו עם מכון מגיד של האוניברסיטה העברית.
על מנת שמקצוע ה-CISO בישראל יישר קו עם מקצוע ה-CISO בעולם, ויגיע לרמת בשלות ובגרות כזו היודעת כיצד להתמודד עם אירועי סייבר קולוסאליים בעלי משמעות לאומית, על הצרכנים (הארגונים המגייסים וההנהלות הבכירות) לדרוש יותר, הרבה הרבה יותר מאותם אלה המציעים עצמם כנושאי משרת ה-CISO. כל עוד ארגונים, גדולים כקטנים, יסתפקו במנהלי אבטחת מידע שמנהלים את ה-Firewall והאנטיוירוס בארגון, אל להם לבוא לאיש בטענות שמערך הגנת הסייבר שלהם בארגון נראה ומרגיש כמו תלוי על חוט השערה. ברגע שנתחיל לראות את שינוי הגישה והתפיסה כאן בישראל, ומתן במה משמעותית, בכירה ומשפיעה ל-CISO, או אז נוכל גם להתחיל לבקש שמערך הגנת הסייבר בכל ארגון וארגון יעמוד בסטנדרטים בינלאומיים מחמירים ואף ייצר לאותם ארגונים הזדמנויות עסקיות חדשות בעצם היותו בוגר ומשפיע כל כך.
**************
*חן חפר, מנכ"ל חברת CyTech Consulting שעוסקת בייעוץ הגנת הסייבר ברחבי העולם. החברה מבוססת בישראל ופועלת באירופה, אמריקה ואפריקה בייעוץ לארגונים ממגזרים שונים מפני איומי סייבר ואבטחת המידע.
מנכ"ל חברת CyTech, חן חפר הינו מומחה לאבטחת מידע ומרכז את תוכנית מנהלי אבטחת מידע CISO באוניברסיטה העברית. צוות היועצים בחברה מלווה ארגונים בינלאומיים במגזרי התעשייה, בנקאות, נדל"ן ועוד, ובמקביל מלווה חברות סטארט-אפ ישראליות רבות הפונות לשווקים הבינלאומיים, ומסייע להן בהתמודדותן מול דרישות הגנת הסייבר השונות בעולם. צוות היועצים של CyTech מורכב כולו ממומחים מנוסים ביותר בתחומים השונים בהגנת הסייבר, המוסמכים בהסמכות הבינלאומיות הבכירות ביותר בתחום.