ראשית דבר
הספר “יומנו של CISO – מתחילים את המסע” שבידכם נועד לשמש כמבוא מסביר פנים לגישות ולתפיסות שונות בעולמות הניהול וההובלה של תחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר בארגונים ובחברות. הספר הוא סוג של יומן מסע, יומן שמתבסס על אבני דרך של המחבר מהעבר, אך בוחר להביט קדימה, ומהווה סוג של “יומן מסע מחשבתי” להתאמה לעתיד – של היבטי הניהול והובלת תחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר.
הספר מבוסס על כמה גישות ותפיסות, שמן המשותף להן הוא עיקרון “האחריות המרחיבה” של ה־CISO בארגון, וחיבורו ההדוק לאסטרטגיה ולתהליכי התוויה והובלת המדיניות, לצד ניהול הסיכונים של הארגון, ופעולה משותפת עם בעלי תפקיד שונים, כנושא משרה בכירה בארגון המעודד חדשנות והשתנות – בעקביות, ביסודיות ובשיטתיות, לשם הפקת ערך רלוונטי לארגון. לתפיסת המחבר, כפי שיפרוס לאורך הספר – גישות ותפיסות אלו נחוצות על מנת לבסס ולהוביל ארגונים “בלתי שבירים” – בעלי חוסן ארגוני, השוזר בחלקים משמעותיים בו את תפיסת “חוסן סייבר ארגוני”, ואת התאמת עקרונות “ההגנה הרב־ממדית” המשלימה את המאמצים השונים הנדרשים לתפיסתו, בתחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר בארגונים ובחברות.
הספר בנוי כשכבות ושוזר מגוון נושאים ורעיונות זה בזה, ברמה הדרגתית, ובהם:
מבוא לתחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר, עקרונות יסוד ומושגי מפתח מרכזיים.
ניהול ומנהיגות חוצה תחומים ברמות האסטרטגיה, האופרטיבי והטקטי.
היבטי תקינה, אסדרה (רגולציה) ופרטיות.
ניהול והערכת סיכונים.
חדשנות וטרנספורמציה דיגיטלית.
תרבות ארגונית, דילמות, קונפליקטים וחסמים ארגוניים.
תוכנית עבודה ואסטרטגיות הגנה וחוסן סייבר.
היבטי ניהול ומנהיגות.
הספר מסתמך על חוויות, תהליכי למידה שיטתיים, הצלחות, כישלונות, שגיאות ותובנות אישיות של המחבר אשר צבר במעלה הדרך, הן במהלך עשר שנות שירותו הצבאי, ובדגש על התקופה שבה, כקצין בדרגת רב־סרן, במהלך תקופת תר”ש (תוכנית רב־שנתית) “תנופה” הקים ופיקד על מפלג חדשנות טכנולוגי והוביל תחומי חדשנות טכנולוגית צבאית, טרנספורמציה דיגיטלית, התאמת תהליכים ארגוניים ומבצעיים וניהול פיתוח מוצרים טכנולוגיים התומכים מאמצים מבצעיים, ובהמשך – במסגרת תפקידו כ־CISO (מנהל אבטחת המידע וההגנה בסייבר – Chief Information Security Officer) של תאגיד סטטוטורי ישראלי גדול ומוביל, כמנהל בכיר האמון על תחומי אבטחת המידע, הגנת הפרטיות וההגנה בסייבר והובלת תהליכי ניהול והערכת סיכונים, תאימות הארגון לרגולציה ותקינה, שיפור העמידות הארגונית למצבי חירום ומשבר שונים, והובלה של המדיניות, תחומי ארכיטקטורת הסייבר בארגון ויכולות התגובה, המחקר והטיפול באירועים.
הספר אינו נועד להיות מדריך טכני או מדריך מקצועי כתחליף לתקינה או להוראות כל דין או רגולציה, אך המחבר סבור כי הספר יוכל לשמש לרבים מקוראיו “ארגז כלים” של תובנות, טיפים ומחשבות על עתיד התחום הניהולי הבכיר של ה־CISO, ועל התפקיד בעתיד של ההתפתחות והחדשנות, הטרנספורמציה הדיגיטלית, הלמידה העמוקה, הבינה המלאכותית המתקדמת, ממד הסייבר המתפתח, העולמות הווירטואליים והמציאות הרבודה.
***
בשירותו הצבאי ייסד ופיקד המחבר על מפלג חדשנות טכנולוגי האמון על פיתוח ויישום פתרונות דיגיטליים מתקדמים בקצבי זמן מהירים תוך כדי מתן מענה לחסמים בירוקרטיים ושיפור יכולות מבצעיות וטכנולוגיות אל מול אתגרים מתפתחים, ייעוד ומשימות משתנות.
הניסיון שנרכש בתקופה זו, בהובלת מפלג המונה כ־40 חיילים ושמונה קצינים, והנבטת תהליכים וחממת חדשנות טכנולוגית בתוך ארגון גדול, מורכב ומסועף כמו צה”ל, הם חלק משמעותי בעיצוב הבנתו של המחבר את עולמות החדשנות, השינוי וההשתנות הארגונית, והצורך בגמישות בעולם המהיר של הטכנולוגיה והסייבר.
לקחים ותובנות מרכזיות שלמד מתקופה זו, לרבות השתתפות המחבר בשירותו הצבאי בכמה צוותי חשיבה וועדות מטכ”ליות במסגרת תר”ש (תוכנית רב־שנתית) “תנופה”, כוללים בתוכם את חשיבות טיפוח התרבות של החדשנות בארגון, רתימת עמיתים לקידום שיתוף פעולה, קידום תקשורת פנים ארגונית, אימוץ תהליכי למידה והפקת לקחים שיטתית, וכן יכולת השתנות רלוונטית והתאמה מהירה של הארגון, של שיטות ושל התאמות בבניין הכוח והפעלתו לשם יצירת ערך – הן בטווח הקצר והן בטווח הארוך.
התקופה הזו הדגישה בפני המחבר את החשיבות ברוח יזמית, בזיהוי מגמות, טכנולוגיות ובצרכים המתעוררים, כמו גם את הערך של למידה מהצלחות ומכישלונות כאחד.
לאחר שירותו הצבאי, עבר המחבר למגזר הציבורי ונטל על עצמו את תפקיד ה־CISO בתאגיד סטטוטורי גדול ומרכזי בישראל. מיסוד והקמת התפקיד והאגף החדש (אבטחת מידע והגנה בסייבר) בתאגיד במגזר הציבורי הציגו סדרה ייחודית של אתגרים והזדמנויות, אחריות על התוויה והובלה של אסטרטגיית אבטחת מידע והגנה בסייבר של הארגון, תוך כדי התאמה לאופי ולצורכי התאגיד – הנוכחיים והעתידיים.
הניסיון והחוויות שהמחבר צבר בתפקידו כ־CISO סיפקו לו תובנות יקרות ערך בנוגע לקשר המורכב בין חדשנות, טרנספורמציה דיגיטלית, אבטחת מידע והגנת הפרטיות. הוא ריכז לקחים מרכזיים הכוללים את החשיבות של התאמה והלימה בין יעדי הארגון הרחבים ובין יעדי אבטחת המידע וההגנה בסייבר, כמשלימים וכמעצימים זה את זה, זאת לצד הצורך בתקשורת ובשיתופי פעולה אפקטיביים בין ה־CISO ובין הנהלת התאגיד וחברי הדירקטוריון.
כיום המחבר יועץ לארגונים ולחברות בתחומי החדשנות, אבטחת המידע וההגנה בסייבר, ובליווי דירקטוריונים בתחומי ניהול הסיכונים ובקיום חובות נושאי משרה ותאגידים לתחומי הגנת הפרטיות.
הספר יפרוס לאורכו דגשים ונקודות מבט שונות המבליטות עקרונות ותפיסות אשר ראוי שיילקחו במכלול השיקולים של מנהלים בכלל, ומנהלי אבטחת מידע והגנה בסייבר (CISO) בפרט, ויהווה מעין הצעה או נקודת מבט כיצד לשזור ב־ CISO היבטי תפקיד ייחודיים אשר לרוב “שמורים” ל־CINO (מנהל חדשנות ארגוני – Chief Innovation Officer), זאת כחלק ממינוף התחומים והפיכתם לבסיס בר קיימה לארגונים ולחברות.
הקוראים יוכלו להתרשם כי הספר מספק דגשים ונקודות מבט המבליטות את החלקים והתפיסות הרחבות של מושגי “הגנה”, “ביטחון” ו”אבטחה” במושגים של “הגנה בסייבר”, “הגנת הפרטיות”, “ביטחון מידע” ו”אבטחת מידע”, שכן הגנה אינה עניין טכני בלבד.
רכיב משלים הוא רכיב ה”ממשל”, הכולל את המסגרת של הכיוון האסטרטגי, השליטה, ההנחיה והבקרה – המבטיחים שפעולות ההגנה תואמות את היעדים הארגוניים. מדובר במנגנון “היגוי הספינה” – בזרוע איתנה ובחזון ברור ומבוסס, תוך כדי הבטחה שכל פעולה והחלטה תורמות לתכלית וליעדי הארגון – הן הנוכחיים והן ארוכי הטווח.
נכסים הם לרוב אבני הבניין של יצירת הערך של החברה, והם כוללים בין היתר קניין רוחני, עובדים, לקוחות, מערכות ועוד. ההגנה על הנכסים פירושה שמירה על יכולתו של הארגון לפעול, לחדש ולשגשג במציאות המשתנה ובנוף התחרותי ההולך וגובר.
סיכונים הם כמעין צללית העוקבת אחר כל הזדמנות, בן לוויה קבוע במסע הצמיחה וההישגים של הארגון. ארגונים חייבים לאמוד בזהירות, בקפידה ובאופן שיטתי את התיאבון שלהם לסיכון, ולאזן בין הקסם של ההזדמנויות לבין הזהירות ומתן בקרות במסגרת ניהול והערכת הסיכונים.
המחבר פורס בספר את גישתו כי אין בחדשנות בהכרח סתירה לניהול סיכונים איכותי ושוטף, וכי בארגונים צעירים וזריזים השואפים לחדשנות, “אוקיינוס כחול” ושיבוש שוק - סתירה עם ניהול תהליכים סדור ותקין, בין היתר גם בתחומי אבטחת המידע וההגנה בסייבר.
קוראים כותבים
אין עדיין חוות דעת.