מדוע חסרים בישראל מומחי אבטחת מידע, וכיצד ניתן לשפר את המצב?
מדוע חסרים בישראל מומחי אבטחת מידע, וכיצד ניתן לשפר את המצב?
שילוב שיטות הכוללות גישת גיוס כח אדם גמישה יותר לצד עידוד מעבר בין תחומי והגברת מודעות וחינוך בנושאי אבטחה, יוכל לעזור לענף ההייטק להתמודד עם המחסור באנשי מקצוע מבוקשים אלו
תחום אבטחת המידע נחשב כיום לאחד מהתחומים החמים והמבוקשים ביותר בענף ההייטק העולמי, ולא בכדי. את חשיבותו של התחום ניתן להסביר באמצעות שני וקטורים עיקריים – העידן הטכנולוגי בו אנו חיים, לצד איומים פוטנציאליים שנוצרו עם התהוותו של עידן זה.
נתחיל בחיי היום- יום. טכנולוגיה, ומחשבים בפרט, הוטמעו בחיינו בצורה כה עמוקה עד שכל אדם, ובעצם כל רכיב אלקטרוני מחוברים וחשופים כיום לרשתות ציבוריות, החל ממחשבים וטלפונים וכלה במכוניות, ואפילו שואבי אבק או מכונות קפה. כך שהימים שבהם החיבוריות התבטאה במנהל מערכות בודד או תוכניתן מבודד שיושבים להם בחדר סגור עם גישה מוגבלת, חלפו עברו מן העולם. לצד המהפכה הזו שעברה על חיינו, התהווה לו "צבא" הולך וגדל של איומים פוטנציאליים בדרגות ידע ומקצועיות שונות, הן אנושיים והן תוכנות, עם מניעים ומטרות שונות: פושעי רשת, האקטיביסטים, וונדלים, חוקרים, צעירים סקרנים, בוטים, סקריפטים, תוכנות זדוניות ועוד.
שילובם של שני הווקטורים הללו הופך את מתקפות הסייבר של היום לנגישות יותר, משתלמות יותר ומסוכנות יותר. את התוצאה לכך ניתן לראות בזינוק במספר אירועי הסייבר בישראל ובעולם עם אתרי חברות ותאגידים, כמו גם אתרים ממשלתיים, המותקפים באופנים שונים.
הגידול במתקפות הסייבר של השנים האחרונות החל להדגיש את אחת מנקודות החולשה של סקטור ההייטק – המחסור החריף במומחי אבטחת מידע. מדוע זה קורה, ומדוע המחסור מובהק יותר דווקא בישראל? למצב זה יש סיבות רבות, שהראשונה שבהן היא המודעות הגוברת בקרב חברות בצורך שלהן באבטחת מידע. אבטחה זו מתבטאת הן כלפי פנים, כלומר אבטחה ברמת החברה הכוללת הגנה על המשאבים ונתונים הפנימיים של החברות, והן כלפי חוץ - ההגנה על מוצריה ושרותיה של החברה בדגש על משאבי החברה ונתוני הלקוחות.
גורם שני למחסור נובע מתשומת הלב הרבה יותר שממשלות וארגונים טכנולוגים נותנים כיום לאבטחה של נתונים, תהליכים ועסקים. כתוצאה מכך קיימים יותר סטנדרטים, נהלים ואסמכות וכמובן שארגונים אלה בעצמם צריכים מומחי אבטחה רבים על מנת לזהות איומים וסכנות פוטנציאליים, לתכנן את הנהלים ולבחון את העמידה בהם.
גורם שלישי, המיוחד לישראל, נוגע לעובדת היותנו ה"סטארט אפ ניישן". בישראל ישנם סטארטאפים רבים בשלבי פיתוח שונים, רבים מהם בתחום אבטחת מידע, וסטארטאפים אלו דורשים מומחי אבטחה רבים למשרות שונות. ובאמת, רבים מאיתנו, במיוחד אנשים המעורבים בתהליכי גיוס, יכולים להעיד כי המחסור במומחי אבטחת מידע באמת חמור ודרמטי.
אם כן מה ניתן לעשות כדי לשפר את המצב?
אני מאמינה שישנן מספר דרכים להתמודד עם המצב:
1) ראשית יש לבחון מחדש את תיאורי התפקידים ותהליכי הגיוס. בזמן גיוס עובד חדש, מנסח הדרג המנהל בשיתוף פעולה עם משאבי האנוש תיאור משרה תוך התייחסות למועמד האידיאלי. בפועל, עלינו להפוך את התהליך לגמיש יותר – לזהות את הדרישות והכישורים העיקריים ולהבדיל אותם מכישורים שמועמד יכול לרכוש בזמן ביצוע התפקיד. עלינו להתייחס יותר לפוטנציאל ולגישה של המועמד לעומת הידע הקיים בו הוא מחזיק.
2) עידוד מעבר בין תחומי - סביבת אבטחת המידע היא עשירה ומגוונת כל כך, שכמעט כל אחד יכול למצוא בה כיוון להתפתחות. למשל: testing engineers יכולים להתקדם לכיוון penetration testing ומחקר, הכישורים של מהנדסי תוכנה שימושיים מאוד בתכנון ארכיטקטורת אבטחה, אנשי DevOps יכולים לקדם את עצמם לDevSecOps, מנהלי תוכנה ופרויקטים יכולים להמשיך את הקריירה שלהם בGRC, אנשי IT באבטחת חברה, אנשי תמיכה יוכלו להשתמש בניסיון שצברו בניהול תקריות, וכו'. כמובן שתידרש הכשרה נוספת ועבודה מעשית בתחום, אך שילוב התחומים השונים הללו מהווה בסיס מעולה לגדילה מקצועית וחדשנות.
3) פיתוח ותמיכה בתוכניות Security Champions פנימיות. תוכניות אלו בפני עצמן מאפשרות תמיכה והשפעה רבה לשיפור הגישה והתרבות של החברה לנושא הבטיחות בתוך צוותי הפיתוח, התמיכה, וארגונים אחרים בהם הוטמעו security champions.
4) עידוד חינוך בנושאי אבטחה כחלק מקורסים מקצועיים ותארים אקדמאיים - עקרונות קידוד בטוח צריכים להוות חלק מקורסי כתיבת תוכנה, תכנון אבטחה כחלק עיצוב מערכות, ובדומה. כמעט לכל תחום טכני כיום יש רכיבי אבטחה רלוונטיים שחשוב לכסות.
5) תמיכה בבוגרים חדשים ומומחים צעירים בצעדיהם הראשונים בתעשייה – יש לייצר תוכניות התמחות ולארגן מחנות הכנה לסטודנטים ובוגרים טריים.
בשורה התחתונה, שילוב מגוון שיטות אלה יוכל לעזור לנו להתמודד עם המחסור החמור במומחי אבטחת מידע, תוך שאנו מגדלים דור חדש של מומחי אבטחה בכל התחומים והרמות של העולם העשיר, המאתגר והחשוב הזה של אבטחת נתונים.
מאת ילנה קרבצ'נקו - Sr. Director of Security Architecture and Automation Tools, CTO Office, Imperva
d&b – לדעת להחליט