מנהל אבטחת המידע בישראל ב-2020 – קווים לדמותו
בישראל העתידית סביר להניח שנתחיל לראות את היסודות הראשונים להסדרת מקצוע ה-CISO, אבל הדבר תלוי בצרכנים - הארגונים המגייסים וההנהלות הבכירות - שעליהם לדרוש יותר, הרבה יותר, מאותם אלה המציעים עצמם למשרות מנהלי אבטחת המידע
בחשיבה עתידית של איך ייראה מקצוע מנהל האבטחה, ה-CISO (ר"ת Chief Information Security Officer) בישראל של 2020, הרי שמנהל האבטחה של העתיד יצליח לגרום לארגונים לראות בתפקידו מנוע צמיחה משמעותי, ויהיה מנהל בכיר ושותף אסטרטגי עסקי בחברה. אם נחבר את כל אלה גם יחד נוכל לראות איך שמקצוע ניהול אבטחת המידע למעשה מורכב משני חלקים דינמיים – ניהול ויכולות מולטידיסיפלינריים באבטחת מידע.
בישראל, נכון לכתיבת שורות אלו אין עדיין הסדרה ברורה למהו תפקידו של ה-CISO, ומי יכול לשמש בתפקיד זה. כרגע התואר 'מנהל אבטחה' תלוי בהגדרות של אלו הכותבים תכניות לימוד, ובאלה המבקשים לגייס מנהלי אבטחת מידע.
בעולם שמחוץ לישראל, בדגש על מדינות אירופה וארה"ב, המקצוע האמור ברור יותר ומוסדר יותר, גם משום שלאקדמיה נוכחות משמעותית יותר בהכשרה למקצוע, וגם משום שהחברות המובילות מושכות את השווקים להגדרה ברורה של מי יכול להיות מנהל אבטחה עוד משלב הגשת המועמדות, בו נדרשים המועמדים לספק מספרי הסמכות רלוונטיים, הנבדקים בזמן אמת כחלק מהליך עיבוד הנתונים של המועמד.
גישה זו בה נוקטים מעסיקים בחו"ל, גם בחברות קטנות ובינוניות, מסייעת למקד את החיפוש במועמדים איכותיים שמוסמכים על ידי ארגונים בינלאומיים מוכרים, המעידים שאלו אכן בעלי הכישורים והידע הרלוונטיים להצלחתם בתפקיד. השוק בישראל עדיין רחוק מבשלות כמו זו של סינון מועמדים על פי הסמכות בינלאומיות, ורחוק, אבל לא מאוד, מהסדרה של מקצוע מנהל האבטחה כפי שניתן לראות בעולם המתקדם בתחום.
השוק הישראלי – נוטה להשתרך מאחור
הרוב המוחלט של מנהלי אבטחת מידע בישראל מגיעים משני התחומים הראשונים של תקשורת או תשתיות. למה? כי זה קל. איש התקשורת, שגם בהרבה מקרים היה אחראי על התשתיות, קיבל בירושה את האחריות על ה-Firewall הארגוני, ומשם למעשה קיבל את האחריות על תחום אבטחת המידע כולו. על הדרך אותו אדם גם ניהל הרשאות גישה לספריות רשת, ניהל את מערך האנטי-וירוס, ולמד קורסים מקצועיים באבטחת המידע.
בחלק הניהולי, השוק הישראלי נוטה להשתרך מאחור ובצורה ברורה. בעוד שבמדינות מתקדמות ה-CISO נמצא בשורה אחת של נושאי משרה בכירים בארגון, בישראל מנהל האבטחה מוגדר כך על ידי עצמו ולא בהכרח על ידי הארגון. בנוסף, לצד מנהל האבטחה בעולם ניתן למצוא מקצועות תומכים כגון ה-BISO (ר"ת Business Information Security Officer), מנהל תפעול אבטחת מידע, ועוד מיני תפקידים שלמעשה שותפים לארגון העל הקרוי Office of the CISO. בשלות ובגרות כזו, אכן רחוקה מאוד מהשוק הישראלי.
ארגונים יתנהגו בצורה זו או אחרת על פי בשלות ההנהלה שלהם. אם הנהלת הארגון עוד לא רואה את היתרון שבמקצוע מנהל האבטחה, אין זה משנה בכלל אם יש או אין תפקיד כזה אצלם, ה-CISO לא יוכל להיות גורם משפיע ומכריע בפן העסקי עד שהנהלת הארגון לא תעבור את המשוכה של חשיבה בוגרת ואחראית. מעבר המשוכה הזו בכל הקשור לאבטחת המידע קורה כאשר חברי הנהלת הארגון מבינים שהם אלו הנושאים באחריות הישירה לכל סיכוני הארגון – פיננסיים, חוק, מוניטין וגם אבטחת המידע שלהם עצמם ושל אלו הבוחרים לשתף איתם מידע.
כל ארגון באשר הוא הוא גם לקוח וגם ספק, ובשל כך, כל ארגון שותף ברמה זו או אחרת למפת הסיכונים של שרשרת האספקה שלו או של אחרים. בדיוק כמו שתהליך ניהול סיכונים פיננסיים לא יתקיים ללא מנהל כספים, ובדיוק כמו שניהול סיכוני חוק לא יתקיים ללא יועץ משפטי, כך לא יכול להתקיים תהליך ניהול סיכוני מערכות מידע יעיל ומקצועי ללא מנהל אבטחת מידע.
ב-2020 יגיע הזמן להסדרת המקצוע
בישראל של 2020 סביר להניח שנתחיל לראות את היסודות הראשונים להסדרת מקצוע ה-CISO. לא כל מי שלמד במסגרת כלשהי, סימן נוכחות ושילם בעבור קורס, יוכל עוד לשאת בכותרת 'מנהל אבטחה'. מערך הגנת הסייבר בישראל, שעושה עבודת קודש בנושאים אלו ואחרים, עובד בימים אלה על הסדרת המקצועות בתחום וביניהם מקצוע ה-CISO. במסגרת העבודה הזו סביר שמערך הגנת הסייבר יאמץ את הדרישות הבינלאומיות הנהוגות בשוק העולמי כיום, של CISO בעל ידע טכנולוגי ועסקי כאחד, ובעל הסמכות בינלאומיות מוכרות, כמו אלו המוצעות במסלול הכשרת המנהלי אבטחת המידע שלנו במכון מגיד של האוניברסיטה העברית.
על מנת שמקצוע ה-CISO בישראל יישר קו עם המקצוע בעולם ויגיע לרמת בשלות ובגרות כזו היודעת כיצד להתמודד עם אירועי סייבר קולוסאליים בעלי משמעות לאומית, על הצרכנים (הארגונים המגייסים וההנהלות הבכירות) לדרוש יותר, הרבה יותר, מאותם אלה המציעים עצמם כנושאי המשרה.
כל עוד ארגונים, גדולים כקטנים יסתפקו במנהלי אבטחת מידע שמנהלים את ה-Firewall והאנטי-וירוס בארגון, אל להם לבוא לאיש בטענות שמערך הגנת הסייבר שלהם נראה ומרגיש כמו תלוי על חוט השערה.
ברגע שנתחיל לראות את שינוי הגישה והתפישה כאן בישראל, ומתן במה משמעותית, בכירה ומשפיעה, ל-CISO, או אז נוכל גם להתחיל לבקש שמערך הגנת הסייבר בכל ארגון וארגון יעמוד בסטנדרטים בינלאומיים מחמירים ואף ייצר לאותם ארגונים הזדמנויות עסקיות חדשות בעצם היותו בוגר ומשפיע כל כך.
הכותב הוא מנכ"ל חברת CyTech Consulting, העוסקת בייעוץ הגנת הסייבר ברחבי העולם. החברה מבוססת בישראל ופועלת באירופה, אמריקה ואפריקה בייעוץ לארגונים ממגזרים שונים מפני איומי סייבר ואבטחת המידע
כתבה שיש ואפשר ללמוד ממנה .