יומנו של CISO

ראשית דבר

הספר "יומנו של CISO – מתחילים את המסע" שבידכם נועד לשמש כמבוא מסביר פנים לגישות ולתפיסות שונות בעולמות הניהול וההובלה של תחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר בארגונים ובחברות. הספר הוא סוג של יומן מסע, יומן שמתבסס על אבני דרך של המחבר מהעבר, אך בוחר להביט קדימה, ומהווה סוג של "יומן מסע מחשבתי" להתאמה לעתיד – של היבטי הניהול והובלת תחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר.

הספר מבוסס על כמה גישות ותפיסות, שמן המשותף להן הוא עיקרון "האחריות המרחיבה" של ה־CISO בארגון, וחיבורו ההדוק לאסטרטגיה ולתהליכי התוויה והובלת המדיניות, לצד ניהול הסיכונים של הארגון, ופעולה משותפת עם בעלי תפקיד שונים, כנושא משרה בכירה בארגון המעודד חדשנות והשתנות – בעקביות, ביסודיות ובשיטתיות, לשם הפקת ערך רלוונטי לארגון. לתפיסת המחבר, כפי שיפרוס לאורך הספר – גישות ותפיסות אלו נחוצות על מנת לבסס ולהוביל ארגונים "בלתי שבירים" – בעלי חוסן ארגוני, השוזר בחלקים משמעותיים בו את תפיסת "חוסן סייבר ארגוני", ואת התאמת עקרונות "ההגנה הרב־ממדית" המשלימה את המאמצים השונים הנדרשים לתפיסתו, בתחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר בארגונים ובחברות.

הספר בנוי כשכבות ושוזר מגוון נושאים ורעיונות זה בזה, ברמה הדרגתית, ובהם:

• מבוא לתחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר, עקרונות יסוד ומושגי מפתח מרכזיים.
• ניהול ומנהיגות חוצה תחומים ברמות האסטרטגיה, האופרטיבי והטקטי.
• היבטי תקינה, אסדרה (רגולציה) ופרטיות.
• ניהול והערכת סיכונים.
• חדשנות וטרנספורמציה דיגיטלית.
• תרבות ארגונית, דילמות, קונפליקטים וחסמים ארגוניים.
• תוכנית עבודה ואסטרטגיות הגנה וחוסן סייבר.
• היבטי ניהול ומנהיגות.

הספר מסתמך על חוויות, תהליכי למידה שיטתיים, הצלחות, כישלונות, שגיאות ותובנות אישיות של המחבר אשר צבר במעלה הדרך, הן במהלך עשר שנות שירותו הצבאי, ובדגש על התקופה שבה, כקצין בדרגת רב־סרן, במהלך תקופת תר"ש (תוכנית רב־שנתית) "תנופה" הקים ופיקד על מפלג חדשנות טכנולוגי והוביל תחומי חדשנות טכנולוגית צבאית, טרנספורמציה דיגיטלית, התאמת תהליכים ארגוניים ומבצעיים וניהול פיתוח מוצרים טכנולוגיים התומכים מאמצים מבצעיים, ובהמשך – במסגרת תפקידו כ־CISO (מנהל אבטחת המידע וההגנה בסייבר – Chief Information Security Officer) של תאגיד סטטוטורי ישראלי גדול ומוביל, כמנהל בכיר האמון על תחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר והובלת תהליכי ניהול והערכת סיכונים, תאימות הארגון לרגולציה ותקינה, שיפור העמידות הארגונית למצבי חירום ומשבר שונים, והובלה של המדיניות, תחומי ארכיטקטורת הסייבר בארגון ויכולות התגובה, המחקר והטיפול באירועים.

הספר אינו נועד להיות מדריך טכני או מדריך מקצועי כתחליף לתקינה או להוראות כל דין או רגולציה, אך המחבר סבור כי הספר יוכל לשמש לרבים מקוראיו "ארגז כלים" של תובנות, טיפים ומחשבות על עתיד התחום הניהולי הבכיר של ה־CISO, ועל התפקיד בעתיד של ההתפתחות והחדשנות, הטרנספורמציה הדיגיטלית, הלמידה העמוקה, הבינה המלאכותית המתקדמת, ממד הסייבר המתפתח, העולמות הווירטואליים והמציאות הרבודה.

***

בשירותו הצבאי ייסד ופיקד המחבר על מפלג חדשנות טכנולוגי האמון על פיתוח ויישום פתרונות דיגיטליים מתקדמים בקצבי זמן מהירים תוך כדי מתן מענה לחסמים בירוקרטיים ושיפור יכולות מבצעיות וטכנולוגיות אל מול אתגרים מתפתחים, ייעוד ומשימות משתנות.

הניסיון שנרכש בתקופה זו, בהובלת מפלג המונה כ־40 חיילים ושמונה קצינים, והנבטת תהליכים וחממת חדשנות טכנולוגית בתוך ארגון גדול, מורכב ומסועף כמו צה"ל, הם חלק משמעותי בעיצוב הבנתו של המחבר את עולמות החדשנות, השינוי וההשתנות הארגונית, והצורך בגמישות בעולם המהיר של הטכנולוגיה והסייבר.

לקחים ותובנות מרכזיות שלמד מתקופה זו, לרבות השתתפות המחבר בשירותו הצבאי בכמה צוותי חשיבה וועדות מטכ"ליות במסגרת תר"ש (תוכנית רב־שנתית) "תנופה", כוללים בתוכם את חשיבות טיפוח התרבות של החדשנות בארגון, רתימת עמיתים לקידום שיתוף פעולה, קידום תקשורת פנים ארגונית, אימוץ תהליכי למידה והפקת לקחים שיטתית, וכן יכולת השתנות רלוונטית והתאמה מהירה של הארגון, של שיטות ושל התאמות בבניין הכוח והפעלתו לשם יצירת ערך – הן בטווח הקצר והן בטווח הארוך.

התקופה הזו הדגישה בפני המחבר את החשיבות ברוח יזמית, בזיהוי מגמות, טכנולוגיות ובצרכים המתעוררים, כמו גם את הערך של למידה מהצלחות ומכישלונות כאחד.

לאחר שירותו הצבאי, עבר המחבר למגזר הציבורי ונטל על עצמו את תפקיד ה־CISO בתאגיד סטטוטורי גדול ומרכזי בישראל. מיסוד והקמת התפקיד והאגף החדש (אבטחת מידע והגנה בסייבר) בתאגיד במגזר הציבורי הציגו סדרה ייחודית של אתגרים והזדמנויות, אחריות על התוויה והובלה של אסטרטגיית אבטחת מידע והגנה בסייבר של הארגון, תוך כדי התאמה לאופי ולצורכי התאגיד – הנוכחיים והעתידיים.

הניסיון והחוויות שהמחבר צבר בתפקידו כ־CISO סיפקו לו תובנות יקרות ערך בנוגע לקשר המורכב בין חדשנות, טרנספורמציה דיגיטלית, אבטחת מידע והגנת הפרטיות. הוא ריכז לקחים מרכזיים הכוללים את החשיבות של התאמה והלימה בין יעדי הארגון הרחבים ובין יעדי אבטחת המידע וההגנה בסייבר, כמשלימים וכמעצימים זה את זה, זאת לצד הצורך בתקשורת ובשיתופי פעולה אפקטיביים בין ה־CISO ובין הנהלת התאגיד וחברי הדירקטוריון.

כיום המחבר יועץ לארגונים ולחברות בתחומי החדשנות, אבטחת המידע וההגנה בסייבר, ובליווי דירקטוריונים בתחומי ניהול הסיכונים ובקיום חובות נושאי משרה ותאגידים לתחומי הגנת הפרטיות.

הספר יפרוס לאורכו דגשים ונקודות מבט שונות המבליטות עקרונות ותפיסות אשר ראוי שיילקחו במכלול השיקולים של מנהלים בכלל, ומנהלי אבטחת מידע והגנה בסייבר (CISO) בפרט, ויהווה מעין הצעה או נקודת מבט כיצד לשזור ב־ CISO היבטי תפקיד ייחודיים אשר לרוב "שמורים" ל־CINO (מנהל חדשנות ארגוני – Chief Innovation Officer), זאת כחלק ממינוף התחומים והפיכתם לבסיס בר קיימה לארגונים ולחברות.

הקוראים יוכלו להתרשם כי הספר מספק דגשים ונקודות מבט המבליטות את החלקים והתפיסות הרחבות של מושגי "הגנה", "ביטחון" ו"אבטחה" במושגים של "הגנה בסייבר", "הגנת הפרטיות", "ביטחון מידע" ו"אבטחת מידע", שכן הגנה אינה עניין טכני בלבד.

רכיב משלים הוא רכיב ה"ממשל", הכולל את המסגרת של הכיוון האסטרטגי, השליטה, ההנחיה והבקרה – המבטיחים שפעולות ההגנה תואמות את היעדים הארגוניים. מדובר במנגנון "היגוי הספינה" – בזרוע איתנה ובחזון ברור ומבוסס, תוך כדי הבטחה שכל פעולה והחלטה תורמות לתכלית וליעדי הארגון – הן הנוכחיים והן ארוכי הטווח.

נכסים הם לרוב אבני הבניין של יצירת הערך של החברה, והם כוללים בין היתר קניין רוחני, עובדים, לקוחות, מערכות ועוד. ההגנה על הנכסים פירושה שמירה על יכולתו של הארגון לפעול, לחדש ולשגשג במציאות המשתנה ובנוף התחרותי ההולך וגובר.

סיכונים הם כמעין צללית העוקבת אחר כל הזדמנות, בן לוויה קבוע במסע הצמיחה וההישגים של הארגון. ארגונים חייבים לאמוד בזהירות, בקפידה ובאופן שיטתי את התיאבון שלהם לסיכון, ולאזן בין הקסם של ההזדמנויות לבין הזהירות ומתן בקרות במסגרת ניהול והערכת הסיכונים.

המחבר פורס בספר את גישתו כי אין בחדשנות בהכרח סתירה לניהול סיכונים איכותי ושוטף, וכי בארגונים צעירים וזריזים השואפים לחדשנות, "אוקיינוס כחול"¹ ושיבוש שוק - סתירה עם ניהול תהליכים סדור ותקין, בין היתר גם בתחומי אבטחת המידע וההגנה בסייבר.

מבוא

תפקידו של מנהל אבטחת המידע הראשי (CISO) התפתח באופן משמעותי בשנים האחרונות, זאת בשל ההתקדמות המהירה בטכנולוגיה והנוף הדיגיטלי המתרחב והמשתנה ללא הרף. בספר נעסוק רבות בכך שה־CISO, לצד אחריותו ועיסוקו בתחומי ההגנה על נכסי המידע והטכנולוגיה של הארגון, נדרש כיום לנווט במסע מתמשך של חדשנות, טרנספורמציה דיגיטלית, ניהול עסקי, שינוי והשתנות, תרבות ארגונית, פיתוח עסקי ועוד.

כדי להצליח במסע מאתגר זה, ה־CISO צריך להיות בעל יכולת הסתגלות לשינויים, לצד יכולת הובלה של השתנות, ללמוד כל הזמן ולנקוט בגישה אסטרטגית לניהול והערכת הסיכונים ולהובלת יוזמות התומכות ביעדים של הארגון. הספר ירחיב את היריעה ויספק פרספקטיבה ייחודית על האתגרים וההזדמנויות העומדים בפני ה־CISO.

טרנספורמציה דיגיטלית הפכה לעוגן מרכזי עבור ארגונים בכל התעשיות, והיא מעצבת מחדש את האופן שבו עסקים וארגונים פועלים ומגשימים את ייעודם. לשינוי הטרנספורמציה הדיגיטלית יש השפעות משמעותיות על ה־CISO, אשר נדרש לפעול לא רק להגנת הארגון שלו מפני איומי סייבר ותאימות לרגולציה, אלא גם נדרש לאפשר חדשנות ולתמוך ביוזמות של טרנספורמציה דיגיטלית.

אתגרי הטרנספורמציה הדיגיטלית בארגון – רבים. ה־CISO חייב לעמוד בקצב המהיר של השינוי הטכנולוגי, תוך כדי שילוב מערכות חדשות לצד ישנות או מסורתיות, ובצורך לאזן בין חדשנות להגנה. נוסף על כך, על ה־CISO לנווט בדינמיקה ארגונית מורכבת, ניגוד עניינים (אינטרסים) מובנה, ביצוע התאמות שוטפות בתהליכי עבודה ומנגנונים ארגוניים, לצד התאמה וכיול שוטף של הנורמות והתרבות הארגונית הנהוגות בארגון.

לעליית הבינה המלאכותית (AI) יש השפעות משמעותיות על מרחב הסייבר. ההסתמכות של ארגונים על אוטומציה המוּנעת על ידי בינה מלאכותית לזיהוי ותגובה של איומים גוברת. הבינה המלאכותית יכולה לשפר את פעולות אבטחת המידע וההגנה בסייבר על ידי ניתוח כמויות עצומות של נתונים, זיהוי דפוסים וחריגות, ואוטומציה של תגובה לאיומים פוטנציאליים.

לצד זאת, הבינה המלאכותית מציבה גם אתגרים חדשים שכן האויבים (האקרים, ארגוני פשיעה, גורמים מדינתיים, מתחרה מסחרי וכדומה) ינצלו באופן גובר ובהתאמה את הבינה המלאכותית כדי לפתח את היכולות שלהם, לרבות – קצב פעולה, תחכום, פיתוח וקטורי תקיפה חדשים או משולבים ועוד.

כדי להתמודד ביעילות עם נוף הסייבר המתפתח, על ה־CISO לאזן בין היתרונות של אוטומציה המוּנעת על ידי בינה מלאכותית לבין הצורך בשיפור מומחיות אנושית, בפיקוח, ביצירתיות ובחדשנות. לשם כך, ה־CISO נדרש לפתח ולשמר כוח אדם מיומן המסוגל להבין ולנהל טכנולוגיות מתקדמות, לרבות כאלו המבוססות על בינה מלאכותית, כמו גם לטפח תפיסות של שיתוף פעולה בין תהליכים ומערכות המונעות על ידי בינה מלאכותית ובין עובדים אנושיים (שילוב מכפיל כוח של אדם ומכונה).

ההיערכות לאיומי הסייבר העתידיים והשאיפה להישאר רלוונטיים עם הגנה מועילה (אפקטיבית) ויעילה, מחייבת את ה־CISO לעקוב באופן רציף אחר ההתקדמויות הטכנולוגיות ולזהות איומים חדשים המתהווים ופגיעויות פוטנציאליות.

חדשנות ויכולת השתנות חיוניים ליכולת של ארגון להסתגל ולשגשג בעידן הדיגיטלי. טיפוח של תרבות, חדשנות והשתנות בארגון היא אחריות קריטית הן של ההנהלה הבכירה בארגון בכלל, והן של ה־CISO בפרט. התרבות דנן כרוכה בקידום מנטליות של שיפור מתמיד, עידוד עובדים בחשיבה יצירתית ובנקיטת סיכונים מחושבים, במחקר ובאיתור ובאיתור רעיונות, תהליכים ופתרונות חדשים.

ניתן לקדם את בסיס והעצמת התרבות הארגונית דנן באמצעות אסטרטגיות שונות, לרבות חניכה והכשרה מתמשכת וניצול הזדמנויות ללמידה ולפיתוח מקצועי, מתן תמריצים פנים ארגוניים לחדשנות וקידום פעולות משותפות בארגון לפתרון בעיות.

התגברות על גורמי התנגדות לשינוי היא רכיב קריטי בטיפוח ועידוד תרבות של חדשנות. שינוי והשתנות יכולים להיות מאתגרים עבור עובדים ומנהלים, במיוחד בארגונים שבהם התהליכים כבר מבוססים, ומאחוריהם ניצבות מורשת ונורמות תרבותיות. מתוך אחריות מרחיבה ולטובת הרחבת מנעד ההשפעה, ה־CISO בארגון נדרש להיות מיומן בניהול שינויים ובמציאת יתרונות החדשנות והטרנספורמציה הדיגיטלית כדי להבטיח הטמעה, ולהניע שינוי מתמשך במגמה של שיפור מתמיד.

החשיבות הגוברת בעידן הדיגיטלי הנוכחי של פרטיות והגנה על נתונים ומערכות בעלת השלכות והשפעות פוטנציאליות על הארגון, מאתגרת את ה־CISO, אשר נדרש לאזן בין הצורך בחדשנות לבין האחריות להגנה על מידע ומערכות רגישות. איזון עדין זה מחייב את ה־CISO לנקוט בגישה אסטרטגית לפיתוח עסקי ולהבטיח שיוזמות וטכנולוגיות חדשות ייושמו באופן שיגן על המידע והמערכות, ובמידת הצורך – יעמדו בתקנות ובדרישות אסדרה (רגולציה) רלוונטיות.

כדי להשיג איזון זה, ה־CISO חייב לעבוד בפעולה משותפת² עם מובילי הארגון (נושאי משרה בכירה וחברי הדירקטוריון) כדי לבצע התאמה ושזירה של יעדי אבטחת המידע וההגנה בסייבר עם יעדים ארגוניים או עסקיים רחבים יותר, לצד זיהוי וניצול הזדמנויות צמיחה.

המחבר סבור כי באמצעות טיפוח תרבות של חדשנות, אימוץ שינויים ולמידה שיטתית של מגמות, תהליכים וטכנולוגיות מתפתחות, ה־CISO יוכל לסייע לארגון שלו להתמודד עם האתגרים ולנצל את ההזדמנויות שמציע העידן הדיגיטלי, וכי באמצעות גישה זו הוא יכול להבטיח שהארגון שלו יישאר זריז, גמיש, מגיב לשינויים, רלוונטי ותחרותי בעולם מורכב ומקושר יותר ויותר.

עקרונות בסיס מסורתיים באבטחת המידע

לפני שנצלול למסע, נבצע סקירה קצרה ושטחית על אודות עקרונות הבסיס המסורתיים באבטחת המידע. הבנת ורתימת פירות העידן הדיגיטלי של ימינו לצד התפתחות ממד הסייבר הפכו להיבטים קריטיים בניהול של ארגון מצליח. לצד ה־CISO, מנהלי הארגון ובעלי תפקידים נוספים נדרשים להבין גם הם את העקרונות הבסיסיים המסורתיים של אבטחת מידע. אלה מתבססים על משולש עקרונות הליבה: סודיות, מהימנות וזמינות.

• סודיות המידע מתייחסת להגנה על מידע רגיש מפני גישה בלתי מורשית, מבטיחה שרק האנשים או המערכות המורשות יוכלו לגשת למידע, ושומרת עליו מפני איומים פוטנציאליים. הסודיות חיונית לשמירה על יתרון תחרותי של ארגון, להגנה על קניין רוחני, לשמירה על פרטיות, להגנה על סודות בגין חולשות או נקודות תורפה, לשמירה על סודות ארגוניים או מסחריים, לתאימות לדרישות אסדרה (רגולציה) ועוד.

כדי לשמור על עיקרון הסודיות ארגונים יכולים לנקוט בגישות, באמצעים ובתהליכים שונים, כגון:

• בקרות גישה – יישום בקרות גישה כדי למנוע ממשתמשים או מיישומים בלתי מורשים לגשת למידע רגיש. בקרות אלו יכולות לכלול מנגנוני אימות, סיסמאות, אימות רב־גורמי ואמצעי זיהוי ביומטריים, לצד מדיניות גישה מותנית וניהול הרשאות ספציפיות בהתבסס על עיקרון של מתן ההרשאות המינימליות הנחוצות לאותו אדם או מערכת.
• הצפנה – הצפנת נתונים, הן במצב סטטי (באחסון המידע) והן במצב דינמי (שינוע או עיבוד המידע), יכולות לסייע בהגנה מפני גישה בלתי מורשית. ההצפנה בבסיסה ממירה נתונים קריאים או שמישים לפורמט בלתי קריא, כך שהם נגישים רק למי שיש לו מפתחות הצפנה מתאימים.
• הכשרת עובדים ומודעות – הכשרת עובדים בעניין חשיבות הסודיות, האחריות שלהם ושיטות העבודה המומלצות – עשויות להפחית את הסיכון לטעות אנוש או לאיומים מבפנים.
• מהימנות המידע עוסקת בשמירה על מהימנות ושלמות הנתונים והמערכות של הארגון. המהימנות והשלמות מתייחסות לדיוק ולעקביות של הנתונים או לביצועי המערכות, ומבטיחה שהם לא שונו, זויפו או הוחלפו ללא הרשאה. המהימנות חיונית לארגונים לקבלת החלטות מושכלות, שמירה על תאימות לדרישות אסדרה (רגולציה), שמירה על רציפות תפעולית של מערכות חיוניות, שמירה על מוניטין הארגון ועוד.

כדי לשמור על עיקרון המהימנות, ארגונים יכולים לנקוט בגישות, באמצעים ובתהליכים שונים, כגון:

• חתימות דיגיטליות ופונקציות גיבוב – גיבוב מידע מאפשר שימוש באלגוריתמים כדי ליצור טביעת אצבע ייחודית, חד־חד ערכית של הנתונים, שאותה ניתן להשוות כדי לאמת את שלמותם של הנתונים. חתימות דיגיטליות עשויות לספק שכבת ביטחון נוספת על ידי אימות זהות שולח הנתונים, והבטחה שהנתונים לא שונו במהלך העברת המידע.
• ביקורות נתונים וגיבויים קבועים – ביצוע ביקורות סדורות יכול לסייע בזיהוי ובתיקון בעיות פוטנציאליים. ביצוע ושמירה של גיבויים תכופים של נתונים עשוי להבטיח יכולת של זמינות ושחזור המידע במקרה של מחיקה בשוגג, השחתת נתונים על ידי גורם זדוני או כשלים טכניים.
• זמינות המידע מבטיחה שהמידע, מערכות המידע ואמצעים טכנולוגיים נוספים פועלים ונגישים למורשים בעת הצורך. איזון בין זמינות ובין סודיות ושלמות המידע חיוני גם הוא, מכיוון שנקיטת האמצעים ותהליכי האבטחה העודפים עלולים להפריע לנגישות למידע או למערכות, בעוד שצעדים שאינם מספקים עלולים לפגוע בשני העקרונות האחרים.

המשך הפרק בספר המלא