"כיום CISO חייבים לדעת לדבר בשפת ההנהלה הבכירה, להציג סיכונים במונחים של השפעה כספית"
גיא שטרן, CISO של חברת ActiveFence מדבר על האתגר שבשילוב אידיאל האבטחה המוחלטת למציאות העסקית, איך GenAI צפוי לשנות את עולם הסקיוריטי ומה הוא היה רוצה להיות אם הקריירה הייתה מפתחת אחרת
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח גיא שטרן, CISO של חברת ActiveFence. שנתחיל?
היי גיא, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
אני נמצא בתחום אבטחת המידע כ-16 שנים ומילאתי מגוון רחב של תפקידים. התחלתי את דרכי כמנהל רשתות ותקשורת, בגף תקשורת מערכות מידע בחיל האוויר. הניסיון הראשוני המהותי והמרכזי בתחום אבטחת המידע, המשכיות עסקית והתאוששות מאסון היה כשעבדתי בפירמת הייעוץ BDO (בזמנו Secoz שמוזגה) במתן שירותים מגוונים בכל מגזר אפשרי, ובדגש על הפיננסי.
לאחר מכן, במשך כארבע שנים הייתי יועץ חיצוני במשרה מלאה לעניין אבטחת מידע וסייבר בבנק ישראל (יחידת הסייבר בפיקוח על הבנקים) – וזו הייתה תחנה משמעותית בקריירה. בתפקידי האחרון לפני ActiveFence, עבדתי בחברת Fireblocks שעוסקת בתחום הבלוקצ'יין, לשמחתי נפל בחלקי להקים ולנהל את יחידת ה-Cyber GRC לראשונה, שכללה התייחסות רחבת היקף ומורכבות טכנית רבה ב-scale מאוד גבוה.
כיום, אני מכהן כ-CISO ב-ActiveFence ואחראי על ניהול מערך אבטחת המידע הארגוני הגלובלי, לרבות אבטחת המוצר, ניהול סיכוני הסייבר ועוד.
גיא שטרן, CISO של חברת ActiveFence. תמונה: באדיבות המצולם
ספר לנו קצת על ActiveFence והתחום שבו היא פועלת.
אקטיבפנס היא סטרטאפ ישראלי המונה כיום כ-300 עובדים. אנו מפתחים פתרונות מתקדמים בתחום AI Safety & Security. החברה מגינה על יותר מ-3 מיליארד משתמשים, LLMs ועל הפלטפורמות הטכנולוגיות הגדולות בעולם. ארגונים שמבצעים אימפלמנטציה של GenAI יכולים להסתמך על מוצרי ה-Red Teaming וה-Guardrails של אקטיבפנס כדי לאתר נקודות תורפה, למנוע סיכונים ולבנות חוויית משתמש בטוחה ומוגנת יותר. בין שאר הפתרונות אנו משלבים גם מודיעין איומים מבוסס מומחי תוכן, יחד עם יכולות ייחודיות לאיתור תוכן מזיק, ומאפשרים לפלטפורמות גלובליות לפעול בבטחה ובאחריות ביותר מ-100 שפות.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
כ-CISO אני מוכרח לשלב בין אידיאל האבטחה המוחלטת למציאות העסקית. בראש בראשונה אני צריך להיות business enabler לארגון בצורה מאובטחת, לצד הסתכלות עסקית שבה כל השקעה ב-security תהיה מוצדקת ותתמוך ביעדים הארגונים.
במילים אחרות, חשוב להתבונן בעשייה מתוך פריזמה של איזונים ובלמים, הבנת הרגולציות ודרישות לקוחות ועמידה ביעדי אבטחת המידע באופן שיהיה חלק אינטגרלי מהביזנס פלואו. האתגר הוא להבין את המתח בין השניים ולנהל את הסיכונים בצורה שגם "מאפשרת" וגם "מגינה".
כשמביטים על הזירה כולה, המורכבות רק גוברת – לא רק טכנולוגיות חדשות, אלא סביבות עבודה מבוזרות, אנשים, תהליכים ונוף איומים דינמי. הייתי אומר ש-CISO נדרש להיות אדריכל ביטחון, הבונה חומות גמישות שיכולות להתאים את עצמן לשינויים ואיומים מתפתחים.
כשמביטים על הזירה כולה, המורכבות רק גוברת – לא רק טכנולוגיות חדשות, אלא סביבות עבודה מבוזרות, אנשים, תהליכים ונוף איומים דינמי
באיזה תהליך שהובלת את הכי גאה?
היו מספר תהליכים שונים שהובלתי במהלך הקריירה, חלקם בעבודתי הנוכחית וחלקם בתפקידים קודמים, אך הגאווה העיקרית נובעת מיצירת שינוי משמעותי וחיובי בתרבות הארגונית וב-cyber resilience שלו, תוך תמיכה ביעדים העסקיים. בסופו של דבר, כשאני רואה ש-security הוא חלק אינטגרלי ובלתי נפרד מהעשייה העסקית – למשל מול הלקוחות, כשהעובדים מבינים את הצרכים ורמת ההגנה עולה עם תקציבים אחראיים – אני גאה בכך.
אילו שינויים יעבור לדעתך שוק ה-scurity בשנים הקרובות?
GenAI פתח צוהר התקדמותי מדהים, אך גם כמה אתגרים וסיכונים חדשים שלא היו קיימים בעבר. בינה יוצרת משנה את האופן שבו תוקפים יכולים לפעול ואת סוגי האיומים שארגונים נדרשים להתמודד איתם, כמו למשל דיפ פייק, קוד זדוני מותאם אישית ומתוחכם יותר, ובעיקר ניצול של חולשות במודלים של GenAI.
בקיצור, GenAI הוא כוח משנה משחק בתחום הסייבר ו-CISO שלא יבינו את ההשלכות הללו ויפעלו בהתאם יחשפו את הארגונים שלהם למתקפות מתוחכמות וקשות לגילוי. ההתעלמות מהפוטנציאל של הטכנולוגיה הזו לשנות את נוף האיומים היא טעות שארגונים לא יכולים להרשות לעצמם.
בנוסף, אני מאמין שנושא הזהויות יהיה מרכז כובד לכל אסטרטגיית security ושהיישום של טכנולוגיות AI ו-ML יקחו אפילו חלק מהותי יותר בכלי הגנה מול מתקפות מאוד מתוחכמות שקשה כיום לזהות באמצעים ״קונבנציונליים״. אני מתכוון למשל לניתוח כמויות אדירות של מידע בזמן אמת, ולשיפור במערך הניטור, הזיהוי והתגובה כדי להקדים את התוקפים.
דבר אחרון שחייבים לשים לב אליו הוא אבטחת סיכוני סייבר בשרשרת האספקה. לדעתי כבר היום ארגונים צריכים לבצע חשיבה מחודשת על המערכות המוטמעות בארגון שמשתמשות (כ-shadow) ב-AI. אלה מחייבות תהליכי הערכה וניטור קפדניים יותר מתמיד.
אם מנמ”ר אחר שואל אותך: ענן ציבורי, פרטי או היברידי ולמה. מה תענה?
הייתי משיב שזה תלוי בארגון הצרכים שלו, השוק הרלוונטי שמולו הוא פועל, ורק אז מקבל החלטה מושכלת ומבוססת מידע בהתאם. ברמה אישית אני מאוד מאמין בענן ובאפקטיביות שלו, לצד הבנה של הערכות לסיכונים השונים הכרוכים בכך, כמו בכל דבר.
בעולם מקביל אם לא היית CISO, במה היית עוסק?
אמת שעוד מגיל צעיר מאוד עסקתי רבות באומנויות לחימה שונות – אני מאמין שאם לא הייתי CISO הייתי מקדיש זמן ודגש רב יותר בנושא הזה.
תמונה: unsplash
איזה גאדג’ט אתה הכי רוצה לקנות עכשיו?
משקפי VR משולבים AR.
לאיזה פודקאסט אתה מאזין וכולם חייבים להכיר?
אני מאוד נהנה לשמוע את "Darknet Diaries" – פודקאסט שמדבר על פריצות, האקרים, לוחמה קיברנטית ועוד. הוא מספק קונטקסט חשוב לגבי האיומים הקיימים וכיצד הם מתפתחים בסביבות טכנולוגיות מודרניות. לא פעם הפרקים גורמים לי לתהות אם צריך לחשוב אחרת.
לאיזו חברה או מנמ”ר אחרים אתה רוצה לפרגן על עבודה טובה?
תומר ממן, ה-CISO של Similarweb, הוא מביא תמיד שיח מקצועי ופורה לשולחן.
ואחת לסיום: איזה טיפ תיתן ל-IT דירקטור שרוצה להיות CIO או CISO?
בקצרה, הייתי ממליץ להרחיב את נקודת המבט הטכנית הקיימת לראייה עסקית-אסטרטגית של סיכוני סייבר. בין השאר להתחיל להבין כיצד סיכוני סייבר משפיעים ישירות על היעדים העסקיים. זה אומר ללמוד לדבר בשפת ההנהלה הבכירה, להציג סיכונים במונחים של השפעה כספית, פגיעה במוניטין, הפרעות בפעילות ועמידה ברגולציה או דרישות לקוחות.
