"סייבר הוא לא בלם, הוא מערכת היגוי"
איציק מנשה, CISO ב-Telit Cinterion, חי את עולם ה-IT והסייבר כ-20 שנה ולא רק במישור הטכנולוגי - הוא מייעץ לסטארטאפים, משקיע ביזמים ומלווה הנהלות בכירות. מה האתגר הכי כואב בתפקיד ("לישון"), על מה לא לדבר עם הנהלות ("פיירוול") ואיך הוא מתמודד עם התנגדות בארגון ("להבין למה")?
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח איציק מנשה, VP Global IT Productivity ו-CISO ב-Telit Cinterion. שנתחיל?
היי איציק, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
התחלתי כילד בתחום המחשוב כבר בגיל 13, ובצבא התמקצעתי בתחום אבטחת מידע ותשתיות מחשוב, שם גם רכשתי כלים וניסיון לנהל ולהוביל פרויקטים מורכבים.
לאחר השירות הצטרפתי לחברת ייעוץ וייעצתי לחברות בתחומים שונים, בהם הייטק ופיננסים. ב-Telit Cinterion אני עובד כבר כ-18 שנה ומתמודד עם אתגרים מורכבים ביותר, שימור טאלנטים ופיתוח כלי הגנה יעילים שמשפיעים על הארגון בכל הרמות, כמובן תוך איזון בין הגנת סייבר ובין פרודקטיביות של העובדים. התפקיד שלי מעודד חשיבה חדשה ומשלב עולם טכנולוגי עם ראש עסקי, ובעצם חי על אוריינטציה עסקית. למעשה, אני מתנהל על קו התפר שבין החשש מבעיות לבין הסקרנות לפתור אותן תוך פיתוח והטמעה של אסטרטגיות אבטחת מידע מתקדמות, ניהול סיכוני סייבר, חדשנות ועוד.
במקביל אני גם משקיע ומייעץ לסטארטאפים ומשמש כ-Advisory ,Board Seed Investor ו-Executive Advisor. אני עוזר להבין את נקודת המבט של הלקוח הארגוני – איך הוא חושב, איך הוא קונה ומה באמת חשוב לו, למשל לא לדבר על פיירוול אלא על סיכון עסקי, לא על טכנולוגיה אלא על אמון. לאחר מכן אני עוזר לחדד את המסר, לבנות מוצר שמתאים לשוק ולפעמים גם לפתוח דלתות. אבל הכי חשוב – להיות שם כדי לשאול את השאלות הקשות. כשמבינים את סדרי העדיפויות של ההנהלה, אפשר לבנות אסטרטגיה שמשרתת את כולם – גם את הביטחון וגם את הצמיחה. לימים, כשהבורד הבין את הערך IT ואת הערך של אבטחת מידע, הם הפכו להיות חלק מהותי ברכישות ובמיזוגים שביצענו.
איציק מנשה, VP Global IT Productivity ו-CISO ב-Telit Cinterion
ספר לנו קצת על Telit Cinterion והתחום שבו היא פועלת.
Telit Cinterion היא חברה גלובלית ומובילה שמתמחה בפתרונות Internet of Things (IoT) מקצה לקצה, ומחברת בין העולם הפיזי לדיגיטלי. החברה מספקת פלטפורמות ענן לניהול התקני IoT, מודולים סלולריים, כרטיסי SIM חכמים ושירותי קישוריות כספק סלולר בינלאומי. הפתרונות שלנו מאפשרים לחברות לחבר מכשירים מכל תחום – תעשייה, רכב, אנרגיה ובריאות – בצורה מאובטחת ויעילה. אנחנו פועלים בפריסה של יותר מ-80 מדינות ב-40 לוקיישנים בעולם, שכוללים מספר מרכזי פיתוח.
Telit Cinterion משלבת חומרה, תוכנה ושירותי ניהול כדי להאיץ טרנספורמציה דיגיטלית. לדוגמה אנחנו מחברים מוצרים בערים חכמות כמו פחים דיגיטליים, מלכודות לעכברושים, מוני חשמל מים וגז דיגיטליים, מכונות ממכר וחניונים, רובוטים וכל מתקן או מכשיר שדורש חיבוריות אלחוטית. בעצם אנחנו IoT enablers.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה הדבר הכי חשוב שלמדת בתפקיד שלך?
ניהול אבטחת מידע הוא לא רק טכנולוגיה – זה בעיקר אנשים וניהול אמון. בתפישת העולם שלנו אנחנו לא רק מגנים על מערכות, אלא מספקים ביטחון עסקי. למדתי לדעת שהיכולת לדבר בשפה של ההנהלה, להבין את הסיכונים העסקיים ולתרגם אותם לפעולות טכנולוגיות שיוצרות השפעה עסקית ומייצרות אמון מול ההנהלה היא מה שמבדיל בין CISO טכני לבין הובלה אמיתית. בסופו של דבר, אבטחת מידע היא לא בלם, אלא מערכת היגוי. ניתן להפוך אותה ליתרון עסקי ולהאיץ תהליכים במקום להיות גורם מעקב.
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
לישון. וברצינות, האתגר המרכזי הוא לשמור על הקצב המואץ. העולם משתנה מהר והציפייה היא שנהיה תמיד צעד אחד לפני כולם: מול תוקפים, מול רגולציה וגם מול טכנולוגיות כמו GenAI. זה דורש חשיבה מחדש על מודלים של סיכון, על פרטיות ועל אמון.
אנחנו חברה שהיא סופר דינמית ורב תרבותית, ואתגר נוסף הוא לאזן בין חדשנות טכנולוגית ופרודקטיביות עסקית ובין ניהול סיכונים והגנה אפקטיבית על המידע. כל יחידה רוצה "חדשנות עכשיו", אבל האחריות שלי היא לשמור על נכסי החברה והתקציב מבלי לעכב אף צוות. לרוץ אחרי חדשנות, אבל לא ליפול בפח של הייפ.
יש קושי גם בגיוס ושימור טאלנטים בתחום, אבל מעל הכל נמצא האתגר הכי קשה: לגרום לאנשים להבין שסייבר זה לא נטל, אלא כלי לעבודה בארגון בריא. אני לא מנסה לשכנע, אלא להבין. התנגדות היא סימן שמשהו לא ברור או לא נוח, וברגע שמבינים את הפחד או החשש אפשר לבנות שינוי שהוא לא רק נכון אלא גם מקובל.
שינוי טכנולוגי הוא תמיד גם שינוי תרבותי; גיליתי ששיחה פתוחה ואמון בצוות מניעים יותר מכל ישיבה עם המצגות הכי יפות
באיזה תהליך שהובלת אתה הכי גאה?
בניתי צוות בינלאומי חזק שרץ יחד הרבה שנים ובו מדברים בעיניים. ביצענו כ-24 M&A's של חברות, עם תהליכי אינטגרציה מורכבים למערכות ליבה אחודות בתחום ה-IT ואבטחת מידע.
שינוי טכנולוגי הוא תמיד גם שינוי תרבותי; גיליתי ששיחה פתוחה ואמון בצוות מניעים יותר מכל ישיבה עם המצגות הכי יפות. כדי לבנות את הצוות הכי טוב חשוב למצוא אנשים עם סקרנות, ולא רק בעלי ניסיון. כאלה שלא מפחדים לשאול שאלות, לטעות וללמוד. כשאנשים מרגישים בטוחים הם פורחים, וצריך לדאוג לגירוי טכנולוגי מקצועי. אני גם רואה את זה בעבודה עם יזמים בסטארטאפים – כל העבודה שלנו מקנה לצוות סקרנות ועניין רב, קשרים, סיפוק ויצירה.
אילו שינויים יעבור לדעתך שוק ה-security בשנים הקרובות?
הכל יהפוך להיות מחובר יותר, גמיש יותר, נראה פחות תהליכים "מונוליטיים" ויותר אוטומציה. הענן יתפוס גם אצל השמרנים, אבל עדיין ב-hybrid-mode בשל עלויות.
AI יאפשר אקסטרה הבנה עסקית ויגלגל אחריות חדשה למנמ"רים ולמנהלי אבטחת מידע – לא רק לנהל, אלא גם לחבר בין טכנולוגיה לאסטרטגיה. מנגד יש התפתחות בשימוש בבינה מלאכותית על ידי תוקפים והאצת תהליכי תקיפה מורכבים. אנחנו בהגנה נערכים ומתחמשים בפתרונות חדשניים שעושים שימוש מושכל בבינה מלאכותית, שלמעשה משמשת כמכפיל כוח אדם ומשפרת את יכולות הזיהוי ותגובה בצורה אקספוננציאלית, ובעתיד הקרוב נראה גם מעבר מטכנולוגיות זיהוי ותגובה לתקיפות לטכנולוגיות שעוזרות במניעת תקיפות.
אם מנמ”ר אחר שואל אותך: ענן ציבורי, פרטי או היברידי ולמה. מה תענה?
זה תלוי ארגון וצרכים עסקיים, אבל באופן כללי אני מאמין בענן היברידי. לפעמים צריך את הגמישות של ספקי ה-hyperscale’s, ולפעמים את העלויות הנמוכות של מערכת פרטית. אין מתכון אחיד – תבינו את הצרכים, הסיכונים, הלחצים, וקחו את מה שבאמת מתאים לארגון שלכם, ולא רק מה שנחשב כהייפ. פתרון היברידי מאפשר התאמה מיטבית בהתאם לנכסים, לצורכי אבטחה ולרציפות עסקית, והשילוב בין ענן פרטי וציבורי מאפשר לאזן בין חוסן, שליטה ועלויות.
בעולם מקביל אם לא היית CISO, במה היית עוסק?
כנראה הייתי עוסק בנדל"ן והשקעות, אבל עם נגיעה יצירתית שמוסיפה עניין וייחוד.
איזה גאדג’ט אתה הכי רוצה לקנות עכשיו?
סקוטר לצלילה. אני רוצה מכשיר ממונע שמקל על השחייה מתחת למים ויעזור לי להגיע לאתרי צלילה רחוקים בלי להרגיש עייף. השותף שלי לצלילות תמיד טוען שאני קצת עצלן כשאני שוחה לאתרי צלילה מרוחקים, אז זה יהיה פתרון מושלם. אגב, אני רואה הרבה דמיון בין ניהול אבטחת מידע לצלילה כספורט: בשניהם נדרש ניהול סיכונים מדויק וזהירות מתמדת.
מה אתה עושה כדי להישאר מעודכן?
אני משקיע זמן בלמידה. המון שיחות וסיעור מוחות עם קולגות, מדבר עם סטארטאפיסטים, משתתף בפורומים מקצועיים, צופה ומקשיב לפודקאסטים. אבל הכי חשוב – אני מקשיב ולומד מהצוות שלי וקולגות.
על איזה כלי טכנולוגי אתה ממליץ?
פתרונות ה-vibe coding למיניהם. הם מאפשרים להפוך במהירות רעיונות שתמיד נשארו תקועים בראש שלנו לקוד, בלי לדעת לתכנת ובלי להשקיע שעות לימוד. זה פותח דלת לחדשנות, כי פתאום כל מי שיש לו רעיון יכול לבדוק ולבנות אותו בפועל בתקציב נמוך וללא ידע מעמיק בתכנות.
לאיזו חברה או מנמ”ר אחרים אתה רוצה לפרגן על עבודה טובה?
אני אשמח לפרגן לשלושה גורמים. הראשון הוא קהילת מנהלי אבטחת מידע, שבשנים האחרונות משתפים פעולה בצורה מעוררת השראה גם אל מול הקולגות מחו"ל. יש לנו קבוצות שונות בתחומים שונים עם שיתוף פעולה מלא בין אנשי מקצוע וזה חוסך זמן וסיכונים.
הקבוצה השנייה היא חברות ויזמי הסטארטאפים בישראל שמקימים חברות מדהימות מקדימות שוק עם הרבה חדשנות יותר מכל מקום אחר בעולם. היזמים האלה מנצלים בצורה מיטבית את החיבוק של קהילות אבטחת מידע ומנמ"רים בישראל כדי להיות מוכנים לשוק הגדול של ה-fortune 500, מקדמים את הטכנולוגיה והכלכלה בישראל.
הקבוצה השלישית היא הצוות המדהים שלנו שעושה נפלאות, למרות שהוא מצומצם, והוא נמנה עם שתי הקבוצות שציינתי קודם.
ליזמים שרוצים להיכנס לתחום אני ממליץ להתחיל מלימוד הבעיה, ולא מהפתרון. אבטחת מידע היא לא מוצר, אלא תהליך
ואחת לסיום: איזה טיפ תיתן למנהלי אבטחת מידע שרוצים להיות CISO?
לרוץ אחרי הבנה עסקית לפני שתעשו קפיצה לצד של ה-CIO או CISO. הטכנולוגיה חשובה, אבל לא פחות חשוב לדעת לתרגם אותה לאפקט עסקי, לשאול שאלות קשות – אלה הדברים שבסוף עושים את ההבדל בקריירה. להדגיש את הצורך בפיתוח מיומנויות מנהיגות ותקשורת לצד הבנה עמוקה בעולמות הטכנולוגיה והעסקים. להתייחס לחשיבות של בניית אמון בתוך הארגון, שמירה על יושרה מקצועית ויכולת להניע תהליכים מורכבים.
ליזמים שרוצים להיכנס לתחום אני ממליץ להתחיל מלימוד הבעיה, ולא מהפתרון. אבטחת מידע היא לא מוצר, אלא תהליך. חשוב להבין קודם איך עסקים עובדים, איך אנשים חושבים, ואז אפשר לבנות פתרונות שבאמת עובדים ותורמים.
