מקצוע מנהל אבטחת המידע בישראל אינו עומד בסטנדרטים בינלאומיים

קרדיט: יחצ

בחשיבה עתידית של איך ייראה מקצוע ה-CISO בישראל של 2020, ה-CISO יצליח לגרום לארגונים לראות בתפקידו מנוע צמיחה משמעותי, מנהל בכיר ושותף אסטרטגי עסקי בחברה. אם נחבר את כל אלה גם יחד נוכל לראות איך שמקצוע ניהול אבטחת המידע למעשה מורכב משני חלקים דינמיים – ניהול ויכולות מולטי דיסיפלינריות באבטחת מידע.

ה- CISO הוא תפקיד חדש יחסית ועדיין לא נוצר עבורו אפיון מקצועי. במהלך העשור האחרון, הנוכחות שלו הפכה לחשובה ומשמעותית לאור המספר המתרחב של איומי סייבר. ה- CISO הישראלי שונה ממקבילו במדינות אחרות בגלל הבדלי התרבויות. הוא גם שונה בתוך התרבות הישראלית עצמה בין ארגונים שונים, חלקם אפילו מאותה תעשיה בדיוק. במדינת ישראל של 2018, נכון לכתיבת שורות אלו אין עדיין הסדרה ברורה למהו תפקידו ובכלל מי יכול לשמש בתפקיד. השוק בישראל, רחוק מבשלות כמו זו של סינון מועמדים על פי הסמכות בינלאומיות והסדרה של המקצוע.  

כדי לנתח את מקצוע ה-CISO המורכב משני חלקים דינמיים – ניהול ויכולות אבטחת מידע. נפרק את תחום מערכות המידע לארבעת החלקים המרכזיים והמוכרים שלו – תקשורת, תשתיות, תוכנה ומאגרי מידע. רוב מנהלי אבטחת מידע בישראל מגיעים משני התחומים הראשונים של תקשורת או תשתיות. למה? כי זה קל. איש התקשורת, שגם בהרבה מקרים היה אחראי על התשתיות, קיבל בירושה את האחריות על ה-Firewall הארגוני, ומשם למעשה קיבל את האחריות על תחום אבטחת המידע כולו. על הדרך אותו אדם גם ניהל הרשאות גישה לספריות רשת, ניהל את מערך האנטיוירוס, ולמד קורסים בתחומים האלה שכללו התייחסות או אפילו מיקוד באבטחת מידע.

שני התחומים האחרים – ניהול מאגרי מידע ופיתוח תוכנה, על פי רוב בשוק הישראלי לא מניבים מנהלי אבטחת מידע, אלא יועצים בתחום. לגבי החלק הדינמי – ניהול, כאן השוק הישראלי נוטה להשתרך מאחור ובצורה מאוד ברורה. בעוד שבמדינות מערביות רבות ה-CISO בעצם היותו נושא באות 'C', שם אותו בשורה אחת של נושאי משרה רשמיים בארגון, בכירים, וכך גם מצופה ממנו לפעול ולהתנהג, בארץ אין זה המצב. בנוסף, לצדו ניתן למצוא מקצועות תומכים כגון ה-BISO, Business Information Security Officer, מנהל תפעול אבטחת מידע – Information Security Operations Manager, מנהל סיכונים, רגולציה ומשילות – GRC, ועוד מיני תפקידים שלמעשה שותפים לארגון העל הנבנה סביב מנהל אבטחת המידע וקרוי Office of the CISO.

בישראל של שנת 2020 סביר להניח שנתחיל לראות את היסודות הראשונים להסדרת מקצוע ה-CISO. לא כל מי שלמד במסגרת כלשהיא, סימן נוכחות ושילם עבור קורס, יוכל עוד לשאת בכותרת. מערך הגנת הסייבר בישראל עובד בימים אלה על הסדרת המקצועות בתחום וביניהם מקצוע ה-CISO. במסגרת העבודה הזו סביר שיאומצו דרישות בינלאומיות הנהוגות בשוק העולמי.

חן חפר, מנכ"ל חברת CyTech עוסקת בייעוץ הגנת הסייבר ברחבי העולם. החברה מבוססת בישראל ופועלת באירופה, אמריקה ואפריקה בייעוץ לארגונים ממגזרים שונים מפני איומי סייבר ואבטחת המידע.