"הCISO הוא פעלולן"

האם יש צורך בCISO בכל ארגון או שמדובר בתפקיד שיש בו צורך רק בארגונים גדולים כמו תאגידים?

בעבר, היו מעט תקציבים לתפקיד הזה. היום, יש צורך בכמעט כל ארגון בCISO, בין אם הארגון מונה כמה מאות אנשים ובין אם 24,000 איש. הCISO הוא זה שלוקח את ההחלטות המהותיות.

מה זה אומר להיות CISO?

בעיני הארגון, אתם האוטוריטה המקצועית. זה תפקיד מאוד מאתגר וחשוב להיות מוכן אליו. אני רואה את הCISO כ"פעלולן", מישהו שלוקח סיכונים עבור הארגון וזה לא דבר פשוט. אתה צריך להוביל דעה, להוביל שינוי, להיות תותח טכנולוגי שמביא חידושים, פסיכולוג של האנשים בארגון, דיפלומט וכמובן לקחת אחריות. אחד הדברים החשובים בתפקיד זה לבוא ולהציף את הסיכונים לארגון. זה דורש יצירתיות וחשיבה מחוץ לקופסא כי צריך לדעת איך להציג את הבעיות. האתגרים שאיתם מתמודד איש ה CISO, משקפים את האתגרים של הארגון ולכן חשוב שה CISO יחשוף ויבהיר את הדברים שהארגון "לא בהכרח רואה" כדי לפתור אותם בצורה מקצועית ויעילה. הCISO נדרש לאזן בין תחומים שונים של אבטחה. מדובר על שילוב של מענה להרבה תחומים וכל אחד יכול לקחת את זה לתחום שלו שבו הוא חזק. לכן, אין CISO אחד שזהה לאחר. למרות זאת, חשוב מאוד ללמוד את תחומי האחריות, את השפה, את הכוחות הפועלים, הפנימיים כמו מנכ"לים, מנמ"רים, דירקטורים  והחיצוניים כמו קולגות לתחום, רגולציות וארגונים דומים.

איזה תחומים יש בארגון בהקשר לCISO?

בכל ארגון, ה-CISO נדרש להוביל 3 תחומים עיקריים  – People, Process & Technology או במילים אחרות – Workforce, Governance & Control.
הארגון צריך שיהיה לו גם אנשים בעלי ידע, גם תהליכים עסקיים ואדמיניסטרציה וגם טכנולוגיה להגן על הדברים. Workforce – הכוח האנושי הוא המבנה הארגוני ואיך הצוות בנוי, Governance – המשילות היא המדד לבדוק איך הארגון מתקדם באבטחת המידע, כיצד הוא מקצה כספים לתחום, באיזה תחומים משקיעים כספים. הקורונה היתה זמן מצוין לבדוק את זה, מבחינת עבודה מהבית. Control מתייחס למסגרת עבודה, לחוק, למשל חוק הגנת הפרטיות. זה משהו שעומד לזכות ה-CISO, משום שכל חברה רוצה לשמור על החוק. כמו"כ יש אחראיות לניהול הסיכונים והחולשות, לבחון איזה בקרות חסרות לי, מה מצב שרשרת האספקה, גופים המספקים לי שירותי IT וכו'.
הCISO הוא שגריר אבטחה בארגון, הוא צריך לאזן בין הסיכונים השונים, מהווה את ה-focal point  לארגון, וקשור גם לבקרה ואיכות. בסופו של דבר, לא משנה מאיפה אתם מגיעים, יש מספר כיוונים ש-CISO יכול לתמוך בהם וזה יבנה איך אתם מסתכלים קדימה:

• Security as Enabler –  ה-CISO הוא זה שמאפשר שדברים יקרו בארגון
• Security as Technology – הוא יודע לבסס את הטכנולוגיה
• Security as Compliance-  כולל ביקורת פנים, ביקורת חוץ, רגולציות
• Security as a Cost Center – הCISO צריך לדעת באלו דברים כדאי להשקיע כסף ובאלו לא, כי הם לא יניבו לארגון, הכל עניין של איזון.

אורן אלימלך, מנהל אקדמי קורס CISO בטכניון

תפקיד ה CISO בעידן הדיגיטל – האם משהו השתנה?

בטח, כללי המשחק השתנו. הדבר מחייב שינוי בתפיסת החשיבה והחשיבות של אבטחת מידע והגנת סייבר בראיה ארגונית. למשל, היום עובד נדרש להיות זמין מכל מקום.
CISO טוב נדרש להסתכל גם ברמה של שמירה על האפקטיביות של הבקרות, ובמקביל לא לפגוע בפרודקטיביות של העובדים. אבטחת המידע בארגון צריכה להיות מדידה כדי לבדוק כל הזמן איך להתקדם ולשפר אותה, בעצם להיות תחת ביקורת מתמדת. אני כ-CISO חייב לאפשר לארגון לעבוד, כלומר אני לא מאלו שאומרים "לא" אלא אומר כן ומסביר איך לעשות.
אני חוזר על זה תמיד בפני הסטודנטים שאני מלמד בקורס CISO – השינוי שצריך להוביל הוא שאבטחת המידע אינה "בעיה" של ה-CISO, אלא בעיה של כל הארגון. אני כאיש המקצוע שמבין את השפה, יכול לשקף את הבעיה, לשים אותה על שולחן ההנהלה או אפילו להביא איש מקצוע נוסף שיתן חוות דעת ולשאול אותו את השאלות הנכונות, אבל הבעיה שאני מציג היא ארגונית. סיפור אישי שקרה לי, כשהייתי יועץ בחברה מסוימת, הבנתי שיש בעיה באבטחת מידע בהטמעת מערכת חדשה שהארגון רכש. אמרתי ל-CISO בחברה שחייבים להציף את זה אבל הוא חשש. בסוף, לאחר התייעצות עם כמה קולגות, הצפתי את זה בהנהלה, כולם כעסו עליי. מה קרה אחרי שנה וחצי? היה אירוע מטורף, המערכת נפרצה. הייתי נאמן לאמת שלי וזה בדיוק מה שצריך לעשות, להציף את הדברים.

מי מגיעים לתפקיד CISO?

יש כמה סוגים של אנשים שמגיעים להיות CISO וכנראה שאתם אחד או אחת מאלו:

• אנשים שהגיעו מהתחום העסקי – ניהול תהליכי סיכוני אבטחה לאסטרטגיה העסקית והמשכיות עסקית של הארגון.
• אנשים שמגיעים מתחום אחר- לדוגמא מנהלי פרויקטים, פיתוח, ביקורת או סיכונים.
• אנשים שהגיעו מהתחום הטכנולוגי – ניהול סוגיות טכנולוגיות, חשיפות / סיכונים. אם אתם/ן אנשי טכנולוגיה, בדרך כלל תמשיכו "לדבר טכנולוגיה" וזה טוב, אבל חשוב לדעת כיצד להציג את הדברים לארגון בצורה הנכונה, למשל הצפת הסיכונים העסקיים, כי זה מה שההנהלה מדברת. ככל שתדברו בשפה יותר עסקית ואסטרטגית, תצליחו להשיג יותר בארגון. כשאתם מבינים את זה, ורואים את כל השיקולים של ההנהלה, אתם תצליחו לשכנע שמאוד חשוב לשים את אבטחת המידע בסדר העדיפויות ולהשקיע בזה.

אז תכלס, מה הסוד שלך להצלחה?

הרבה פעמים שואלים אותי- איך הגעת, מה עשית? מה הסוד שלך להצלחה? אז אין סוד להצלחה, רק עבודה קשה!

"אם תשקיע שעה ביום כדי ללמוד בכל מקצוע שתרצה, אתה תהיה המצטיין בתוך שלוש שנים בתחום שלך. תשקיע את אותו קצב חמש שנים, כל המדינה תכיר אותך. תשקיע שבע שנים ותהיה אחד מהטובים בעולם". (ארל נייטינגייל) שימו לעצמכם מטרה ומשם תתקדמו, אני לחלוטין מאמין בזה, זה רק תלוי בהשקעה שלכם! כמה שתשקיעו בארגון, אתם תקבלו בחזרה.

"אנשים עם מטרות מצליחים בגלל שהם יודעים לאן פניהם מועדות" (ארל נייטינגייל) תחום אבטחת המידע הוא לחלוטין התחום המתקדם ששווה להשקיע בו ולצמוח אתו. זה לא מקצוע קל אבל זה מקצוע מעניין.

לסיום – יש לך איזה טיפ נוסף?

תקומו כל בוקר ותשאלו את עצמכם – איפה אני יכול להשתפר? זה מה שאני עושה כל יום וזה מניע אותי לעבר המטרות שלי.

מעוניינים להיות האוטוריטה המקצועית בארגון? הגישו מועמדות לתכנית CISO של הטכניון >>