מיהו CISO בישראל 2020

יום ב', 21 בינואר 2019

 


מאת: חן חפר, מנכ"ל חברת CyTech Consulting

 

בחשיבה עתידית של איך ייראה מקצוע ה-Chief Information Security Officer (CISO)  בישראל של 2020, ה-CISO  יצליח לגרום לארגונים לראות בתפקידו מנוע צמיחה משמעותי, מנהל בכיר ושותף אסטרטגי עסקי בחברה. אם נחבר את כל אלה גם יחד נוכל לראות איך שמקצוע ניהול אבטחת המידע למעשה מורכב משני חלקים דינמיים – ניהול ויכולות מולטידיסיפלינריים באבטחת מידע.

ה-CISO   הוא תפקיד חדש יחסית ועדיין לא נוצר עבורו אפיון מקצועי. במהלך העשור האחרון, הנוכחות של
ה-
CISO  הפך לחשוב ומשמעותי לאור המספר המתרחב של איומי סייבר אשר הובילו לצורך הגובר     ב-CISO בארגונים ברחבי העולם.

ה-CISO   הישראלי לא רק שונה מ-CISO  במדינות אחרות בגלל הבדלי התרבויות הברורים בין ישראל והעולם, אלא שהוא גם שונה בתוך התרבות הישראלית עצמה בין ארגונים שונים, חלקם אפילו מאותה תעשיה בדיוק.

במדינת ישראל של 2018, נכון לכתיבת שורות אלו אין עדיין הסדרה ברורה למהו תפקידו של ה-CISO, ובכלל מי יכול לשמש כ-CISO. כרגע תואר ה-CISOתלוי בהגדרות של אלה הכותבים תוכניות לימוד, ובאלה המבקשים לגייס CISO, גם אם במשרה חלקית של CISO as a Service. בעולם שמחוץ לישראל, בדגש על מדינות אירופה וארה"ב, מקצוע ה-CISOברור יותר ומוסדר יותר, גם משום שלאקדמיה נוכחות משמעותית יותר בהכשרה למקצוע, וגם משום שהחברות המובילות מושכות את השווקים להגדרה ברורה של מי יכול להיות CISOעוד משלב הגשת המועמדות. דוגמה מעבודתי עם ארגונים אמריקאים בשש השנים האחרונות,

בארגונים אמריקאיים חלק מהגשת המועמדות לעבודה כולל מילוי טפסים במערכת אונליין. במערכת עוברים המועמדים מספר מסכים בהם הם נדרשים לספק מידע, ובין המסכים הראשונים המוצגים יש את שאלת ההסמכות – "אילו הסמכות בינלאומיות הרלוונטיות לתפקיד ה-CISOיש לך?". בתשובה חייב המועמד לציין לפחות את אחת מההסמכות, CISSP, CISM, CISA, CRISC, GISPוכד', ואת מספר ההסמכה. בעיבוד הנתונים של המועמד, החברה בודקת את תוקף ההסמכות, ובחלק מהמקרים המערכת עצמה תריץ שאילתות אונליין כתנאי להמשך הגשת המועמדות.

גישה זו בה נוקטים מעסיקים בחו"ל, גם בחברות קטנות ובינוניות, מסייעת למקד את החיפוש במי שלא רק מכריז על עצמו CISO, אלא במועמדים איכותיים שגם מוסמכים על ידי ארגון בינלאומי מוכר המעיד עליהם שהם אכן בעלי הכישורים והידע הרלוונטיים להצלחתם בתפקיד.

השוק בישראל, עדיין רחוק מבשלות כמו זו של סינון מועמדים על פי הסמכות בינלאומיות, ורחוק, אבל לא מאוד, מהסדרה של מקצוע ה-CISOכפי שניתן לראות בעולם המתקדם בתחום. יחד עם זאת, ברורה לחלוטין הדרך והבשלות הנדרשת מאיתנו בשוק הישראלי כדי ליישר קו עם המקצוע הבינלאומי Chief Information Security Officer.

כדי לנתח את מקצוע ה-CISO  המורכב משני חלקים דינמיים – ניהול ויכולות אבטחת מידע. נפרק את תחום מערכות המידע לארבעת החלקים המרכזיים והמוכרים שלו – תקשורת, תשתיות, תוכנה ומאגרי מידע. יש עוד המון חלקים אחרים במערכות מידע כמו ניהול פרויקטים, ניתוח מערכות, שירותי ענן למיניהם וכו', אבל לצורך הכלליות שבניתוח המקצוע, נתייחס לארבעה המרכזיים האלה. הרוב המוחלט של מנהלי אבטחת מידע בישראל מגיעים משני התחומים הראשונים של תקשורת או תשתיות. למה? כי זה קל, איש התקשורת, שגם בהרבה מקרים היה אחראי על התשתיות, קיבל בירושה את האחריות על ה-Firewallהארגוני, ומשם למעשה קיבל את האחריות על תחום אבטחת המידע כולו. על הדרך אותו אדם גם ניהל הרשאות גישה לספריות רשת, ניהל את מערך האנטיוירוס, ולמד קורסים בתחומים האלה שכללו התייחסות או אפילו מיקוד באבטחת מידע.

שני התחומים האחרים – ניהול מאגרי מידע ופיתוח תוכנה, על פי רוב בשוק הישראלי לא מניבים מנהלי אבטחת מידע, אלא יותר יועצים בתחום, מקצוע חשוב לכל הדעות, אבל לא כזה שבדרך כלל יצמחו בו CISOs. האם זה טוב או לא זה בכלל לא משנה, זה המצב הנתון בנוף הישראלי.

לגבי החלק הדינמי – ניהול, כאן השוק הישראלי נוטה להשתרך מאחור ובצורה מאוד ברורה. בעוד שבמדינות מערביות רבות ה-CISOבעצם היותו נושא באות 'C', שם אותו בשורה אחת של נושאי משרה רשמיים בארגון, בכירים, וכך גם מצופה ממנו לפעול ולהתנהג.

בנוסף, לצד ה-CISOהבכיר, ניתן למצוא מקצועות תומכים כגון ה-BISO, Business Information Security Officer, מנהל תפעול אבטחת מידע – Information Security Operations Manager, מנהל סיכונים, רגולציה ומשילות – GRC, ועוד מיני תפקידים שלמעשה שותפים לארגון העל הנבנה סביב מנהל אבטחת המידע וקרוי Office of the CISO. בשלות ובגרות כזו, אכן רחוקה מאוד מהשוק הישראלי בשלהי 2018, ולא בכדי. בשלות כזו, ככל שתהיה נחלתם של אנשי המקצוע, ה-CISOsבעצמם, חשובה בפני עצמה, אך יש לה השפעה מועטה על הנוף הארגוני בכללותו. הבשלות המשמעותית יותר היא זו של הארגון עצמו.

אם הנהלת הארגון עוד לא רואה את היתרון שבמקצוע ה-CISO, אין זה משנה בכלל אם יש או אין תפקיד כזה אצלם, ה-CISO לא יוכל להיות גורם משפיע ומכריע בפן העסקי עד שהנהלת הארגון לא תעבור את המשוכה של חשיבה בוגרת ואחראית. מעבר המשוכה הזו בכל הקשור לאבטחת המידע קורה כאשר הנהלת הארגון הבכירה – מנכ"ל, בעלים, בעלי המניות, מבינים שהם אלו הבעלים והנושאים באחריות הישירה לכל סיכוני הארגון – פיננסיים, חוק, מוניטין וגם אבטחת המידע שלהם עצמם ושל אלו הבוחרים לשתף איתם מידע.

כל ארגון באשר הוא, הוא גם לקוח וגם ספק. כל ארגון חבר בשרשרת האספקה – שלו כצרכן או של אחרים כצרכנים שלו. ובשל כך, כל ארגון שותף ברמה זו או אחרת למפת הסיכונים של שרשרת האספקה שלו או של אחרים, ובהיותו כזה, עליו לרצות לדעת, לשאול את השאלות הקשות והנכונות בהיבטי אבטחת המידע, ולבדוק את הבקרות שלו אל מול אותם סיכונים באופן שוטף ומקצועי.

בדיוק כמו שתהליך ניהול סיכונים פיננסיים לא יתקיים ללא מנהל כספים – CFO, ובדיוק כמו שניהול סיכוני חוק לא יתקיים ללא יועץ משפטי, ובדיוק כמו שתהליך ניהול סיכונים תפעוליים לא יתקיים ללא סמנכ"ל תפעול – COO, כך לא יכול להתקיים תהליך ניהול סיכוני מערכות מידע יעיל ומקצועי ללא מנהל אבטחת מידע - CISO.

בישראל של שנת 2020 סביר להניח שנתחיל לראות את היסודות הראשונים להסדרת מקצוע ה-CISO. לא כל מי שלמד במסגרת כלשהיא, סימן נוכחות ושילם עבור קורס, יוכל עוד לשאת בכותרת CISO.

מערך הגנת הסייבר בישראל, שעושה עבודת קודש בנושאים אלו ואחרים, עובד בימים אלה על הסדרת המקצועות בתחום וביניהם מקצוע ה-CISO. במסגרת העבודה הזו סביר שמערך הגנת הסייבר יאמץ את הדרישות הבינלאומיות הנהוגות בשוק העולמי כיום של CISO  בעל ידע טכנולוגי ועסקי כאחד, ובעל הסמכות בינלאומיות מוכרות כמו אלו המוצעות במסלול הכשרת ה-CISO שלנו עם מכון מגיד של האוניברסיטה העברית.