"פיתחנו את JUMBOmail בכלל כדי לפתור בעיה של מוצר אחר"
ערן רונן, CO-CEO & CISO ב-JUMBOmail, בכלל רצה סטארטאפ של ברכות מסלבס כמו נינט והראל סקעת, אבל טוויסט בעלילה שינה הכל. איך הוא מתמודד עם ריבוי התפקידים, למה הוא גאה דווקא בהסמכות האבטחה הבינלאומיות ואיך כל זה קשור לאשתו?
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח ערן רונן, CO-CEO & CISO ומייסד JUMBOmail. שנתחיל?
היי ערן, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
עוד כסטודנט להנדסת תעשייה וניהול, היה לי ברור שאני רוצה לבנות משהו בעצמי בעולמות הטכנולוגיה. התחלתי את דרכי כפרילנסר בפיתוח אתרים. לאחר סיום הלימודים עבדתי תקופה קצרה כשכיר וב-2006 הקמתי יחד עם אחי, שחר, את חברת Netbiz.
הדנ"א של החברה היה של סטארטאפ. החזון שלנו היה לפתח מוצר בתחום עריכת הווידאו אונליין, אך כמו יזמים רבים המציאות בשטח הובילה אותנו לכיוונים אחרים, ומהר מאוד מצאנו את עצמנו בונים מערכות מורכבות עבור כמה מהשמות הגדולים במשק – מאולפני הרצליה וטדי הפקות, דרך מרתון תל אביב והמצפה התת ימי באילת ועד החברה המרכזית למשקאות. הפעילות הזו כחברת פרויקטים הייתה חשובה והיא למעשה הפכה למנוע שמימן את החלום האמיתי שלנו: להמשיך ולפתח מוצרים.
לאורך הדרך היו לנו מספר ניסיונות, ואחד מהם היה JUMBOmail. הוא לא נולד מתוך רצון לפתור בעיה של לקוח חיצוני, אלא מתוך צורך טכני שלנו. פיתחנו אז מערכת שידורי וידאו והיינו צריכים למצוא דרך לאפשר למשתמשים להעלות אליה קובצי וידאו גדולים. למעשה, פיתחנו את מנוע העלאת הקבצים של ג'מבומייל כדי לפתור בעיה של מוצר אחר שלנו.
עם הזמן, ראינו שה'פרויקט הצדדי' הזה תופס תאוצה משלו והופך למשהו גדול ומשמעותי. הגענו לצומת שבה היינו צריכים לבחור – אחרי שנים של פיצול משאבים ותשומת לב בין חברת שירותים למספר מוצרים, הבנו שנדרש מיקוד, מיקוד, מיקוד. קיבלנו החלטה אסטרטגית לשים את כל הקופה על המוצר שבו זיהינו את הפוטנציאל הגדול ביותר לצמיחה, ו'הרגנו' את השאר.
באופן סימבולי, Netbiz, חברת השירותים שהייתה ה'אמא', הפכה למנוע שמימן ואישר ל'ילד', JUMBOmail , לגדול מספיק כדי ללכת לבד, ללא גיוס הון חיצוני. המעבר הזה השלים עבורי את המסע מיזם שמחפש את דרכו, למנכ"ל שמוביל חברת מוצר עם חזון ברור לייצר את מוצר החלומות שאני הייתי רוצה להשתמש בו בתור לקוח. זה גם מה שמוביל אותי כל הזמן לעוד חידושים ועוד תוספות ושדרוגים. אנחנו בעצם בעבודה מתמדת של שיפור המוצר, גם מבחינה טכנולוגית וגם מבחינת חווית משתמש.
ערן רונן, JUMBOmail. תמונה: יח"צ
ספר לנו קצת על JUMBOmail והתחום שבו היא פועלת.
בשלוש מילים – שליחת קבצים מאובטחת. בפירוט – חברת JUMBOmail מפתחת ומפעילה פלטפורמת SaaS גלובלית למסירה וניהול דיגיטלי של קבצים בצורה מבוקרת ומאובטחת.
במהותה, הפלטפורמה נועדה לפתור את הכשלים וחוסר היעילות הקיימים בתהליכי עבודה המסתמכים על דואר אלקטרוני, שאינו מיועד להתמודד עם הנפחים, שירותי FTP מיושנים והדרישות האבטחתיות של הכלכלה הדיגיטלית המודרנית. השירות שלנו פועל בקנה מידה משמעותי, עם תעבורת נתונים חודשית ממוצעת של כ-780 TB המשרתת קהל של כמיליון מבקרים וכ-5 מיליון דפים נצפים מדי חודש בישראל בלבד. הניתוח שלנו מראה שהצורך הוא רוחבי: ממשתמשים פרטיים ועד ארגוני אנטרפרייז.
לגבי המודל העסקי שלנו, אז באמת אנחנו מאפשרים שליחת קבצים גדולים לאנשים פרטיים ולקוחות יומיומיים בשמחה ובאהבה ללא תשלום. אבל שירותי הפרימיום שלנו הם השירותים שעליהם משלמים וזה כבר עולם אחר לגמרי, שכולל מגוון פיצ'רים ויכולות מתקדמות למנויים עסקיים וארגונים.
המוצר מתמקד בשלושה רבדים עיקריים: העברה מאובטחת ומבוקרת: הליבה הטכנולוגית שלנו מאפשרת העברה אמינה של קבצים גדולים, עד לגודל של 1TB לפעולה בודדת. ניהול תהליכי עבודה (Workflow): פיתחנו יכולות המאפשרות לארגונים להטמיע 'דלת כניסה דיגיטלית' ובכך לרכז ולנהל את כל תעבורת המידע הנכנס לארגון במקום אחד. מסירה ממותגת (Branded Delivery): אנו רואים בפעולת המסירה נקודת מגע קריטית עם הלקוח, ולכן הפלטפורמה מאפשרת התאמה אישית מלאה של חווית המסירה.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
אני חושב שהאתגר הגדול ביותר נובע מהשילוב של התפקידים השונים שאני ממלא. בתור מנכ"ל, הדחף המרכזי הוא לחדש, לצמוח ולהביא ערך חדש ומרגש ללקוחות שלנו כמה שיותר מהר ותוך ראיית הצורך של הלקוח אל מול הפן העסקי. מהפכת ה-AI, למשל, פותחת בפנינו הזדמנויות אדירות לשפר את המוצר, והלחץ בשוק הוא לרוץ קדימה.
במקביל, בתור CISO ו-DPO, האחריות העליונה שלי היא לוודא שהפלטפורמה תישאר מאובטחת ותשמור על פרטיות המשתמשים. בתחומים האלה, 'לרוץ מהר' זה מתכון לאסון. לכן, האתגר הכי קשה מבחינתי הוא ניהול המתח המובנה בין מהירות החדשנות לבין עומק האחריות. זה בא לידי ביטוי בכל החלטה. לדוגמה, כשאנחנו רוצים להטמיע פיצ'ר חדש, הצד הניהולי רוצה להשיק אותו מחר בבוקר. אבל הצד האחראי על אבטחה ופרטיות חייב לעצור ולשאול שאלות קשות: האם הפיצ'ר החדש מאובטח? היכן המידע מעובד? האם הבטחנו בידוד מוחלט בין המידע של משתמש אחד למשני? האם תנאי השימוש שלנו שקופים לחלוטין לגבי הפעולה הזו?
האתגר הגדול ביותר הוא לא טכנולוגי, אלא תרבותי: לשמר בארגון צומח את הדנ"א ששם את האבטחה והפרטיות במקום הראשון, לא כ'מפריע' לחדשנות, אלא כתנאי היסוד המאפשר אותה. זהו איזון עדין ויומיומי בין הגז לברקס.
באיזה תהליך שהובלת אתה הכי גאה?
ערן רונן, JUMBOmail. תמונה: יח"צ
לאורך השנים הובלתי תהליכים רבים בחיי המוצר והחברה שאני גאה בהם, אך אם צריך לבחור תהליך אחד שאני הכי גאה בו הוא דווקא לא פיתוח של פיצ'ר ספציפי, אלא התהליך המקיף והתובעני שעברנו כחברה כדי לקבל את הסמכות האבטחה הבינלאומיות שלנו – ISO 27001, 27017 ו-SOC 2 Type 2.
זה אולי נשמע טכני, אבל בפועל זה היה תהליך ששינה את הדנ"א של החברה. זה הרבה יותר מקבלת תעודה, זה תהליך ארוך ויקר שמכריח אותך לבחון כל תהליך פנימי בחברה ומקצה לקצה: מאופן כתיבת הקוד, דרך ניהול ההרשאות של עובדים ועד לאופן שבו אנחנו מגיבים לתקלות. הוא מחייב כל עובד, מהמפתח הזוטר ועד להנהלה, לחשוב ולפעול כל הזמן תחת משקפיים של אבטחה, פרטיות וניהול סיכונים.
אני גאה בתהליך הזה כי הוא הפך אותנו מאוסף של אנשים מוכשרים לארגון בוגר עם מתודולוגיות סדורות. הוא הפך את האבטחה מנושא של מחלקה אחת לשפה משותפת של החברה כולה. כשאני מדבר עם CISO של תאגיד אנטרפרייז, אני לא רק מבטיח לו שאנחנו בטוחים, אני מציג לו דוח ביקורת של פירמה חיצונית ובלתי תלויה שמוכיח את זה. בעולם שבו כולם מדברים על פרטיות, אנחנו עוברים מ'תסמוך עליי' ל'הנה ההוכחות'. התהליך הזה הוא המימוש המעשי של ההבטחה שלנו ללקוחות: המידע שלכם נמצא בידיים בטוחות. אבל בהסתכלות כללית, יש משהו נוסף רחב יותר שקורה לעיתים קרובות כשאני מספר שאני המנכ"ל של JUMBOmail. השאלה הראשונה שאני נשאל מיד אחרי זה היא: "זה ישראלי? אתם הסניף המקומי?". התדהמה על פניהם של אנשים כשהם מבינים שזה מוצר 'כחול-לבן' לחלוטין והתגובות שמגיעות מיד אחרי "כולנו משתמשים בזה, איזה מוצר מדהים, הייתי בטוח שזה משהו עולמי" – זה מה שאני הכי גאה בו.
הפכנו מאוסף של אנשים מוכשרים לארגון בוגר עם מתודולוגיות סדורות, ובעולם שבו כולם מדברים על פרטיות, אנחנו כבר לא 'סמוך עליי', אלא 'הנה ההוכחות'
אילו שינויים יעבור לדעתך שוק אבטחת המידע בשנים הקרובות?
אצל החברות שבראש הפירמידה, ההתלהבות הראשונית מהמהפכה של הבינה המלאכותית פוגשת סוג של רוויה ואנחנו רואים שהמשחק משתנה. צ'אטבוטים וסוכני AI הם כבר סטנדרט, וכעת החזית זזה מ'מה ה-AI יכול לעשות?' ל'איך הוא עושה את זה?'.
התחרות עוברת לשתי זירות מרכזיות שפועלות במקביל. הזירה הראשונה היא המעבר מאוטומציה נקודתית לאוטונומיה רחבה. אנחנו רואים את זה בבירור במגמה של אוטומציות דפדפן וסוכנים אוטונומיים, כפי שמובילות חברות כמו Perplexity, Anthropic ו-OpenAI. המטרה היא כבר לא רק לענות על שאלה, אלא לבצע עבורנו סדרה של פעולות מורכבות בעולם הדיגיטלי.
במקביל, הזירה השנייה היא המירוץ למהירות ה-Inference – כלומר, כמה מהר מודל ה-AI מסוגל להפיק תוצאה בזמן אמת. ההכרזה של אילון מאסק על שאיפתו להיות חברת ה-Inference המהירה בעולם ממחישה את הנקודה: ככל שה-AI הופך לאוטונומי יותר, הערך הוא כבר לא רק באיכות הפעולה, אלא בזמן התגובה המיידי. מהירות הפכה לפיצ'ר קריטי שמפריד בין הכלים השונים. ובטווח הרחוק יותר, אחרי שהבינה המלאכותית תהיה אוטונומית ומהירה בעולם הדיגיטלי, אנחנו כבר רואים את הניצנים של החזית הבאה והמאתגרת ביותר: שילוב עמוק של AI בחומרה (AI On Device) – במכשירי קצה, במוצרים כמו המשקפיים החכמות של מטא ובתחום הרובוטיקה.
המטרה הסופית היא להפוך את ה-AI לחלק אינטגרלי מהעולם הפיזי שלנו, ולא רק משהו שאנחנו 'מתחברים' אליו דרך הדפדפן. לעומת זאת, עבור רוב החברות הטכנולוגיות, כמונו, האתגר הוא לא להמציא את מודל השפה הבא, אלא לקחת את היכולות האדירות האלה וליישם אותן בצורה חכמה ואחראית. אך ככל שאנו מטמיעים יותר כלי AI של צד שלישי, כך דגדלה האחריות שלנו כלפי הלקוחות. לכן, חברות חייבות לבנות 'ארכיטקטורת אמון': להוכיח בשקיפות שהן שומרות על פרטיות ולהציג הסמכות חיצוניות (כמו ISO ו-SOC 2) כסטנדרט. בסופו של דבר, התפקיד שלנו כחברות מוצר הוא לא להחליף את חברות הליבה, אלא ליצור התמחויות תוך ניצול אופטימלי של הטכנולוגיות האלו. הן מספקות את ה'מוח' הכללי, ואנחנו לוקחים אותו ומתאימים אותו באופן מדויק (Fine-Tuning) כדי לפתור בעיות בתחום הספציפי שלנו.
האתגר הוא לא להמציא את מודל השפה הבא, אלא לקחת את היכולות האדירות האלה וליישם אותן בצורה חכמה ואחראית
בעולם מקביל אם לא היית CISO, במה היית עוסק?
זה קל. מוזיקאי. בעל אולפן הקלטות עם מלא גיטרות ומגברים מסביב. תמיד אהבתי ליצור וזה מה שמשך אותי בתחילת הדרך לעולם התוכנה. אז אם כבר יצירה בעולם מקביל, הייתי בוחר במוזיקה.
איזה גאדג'ט אתה הכי רוצה לקנות עכשיו?
הגאדג'ט שאני הכי רוצה לקנות כרגע הוא לא טלפון, שעון חדש או צעצוע אלקטרוני, אלא גיטרה חשמלית PRS 513 ומגבר Fender Twin Reverb שאני זומם עליהם כבר זמן מה.
PRS. תמונה: אתר החברה
באיזה כלי אתה משתמש וכולם חייבים להכיר?
בשוטף קשה באמת לעקוב ולהספיק לקרוא ולהתעדכן עם כל עומס המידע שיש היום. הפתרון שמצאתי שעוזר לי להתמודד הוא כלי בשם https://www.inoreader.com. הוא מספק שירות דומה ל-feedly המוכר והידוע, כלומר סוג של RSS, אבל יש לו כמה יתרונות נחמדים שהופכים לדעתי את השימוש בו לטוב יותר.
איזה פרומפט משמש אותך בחיים המקצועיים או האישיים?
אני משתמש הרבה ב-Master Prompt שמטרתו לחולל פרומפט אופטימלי למה שאני באמת רוצה לקבל. כלומר הוא הקדמה לפרומפט אחר, כך שאני לא מבקש מה-AI לבצע את המשימה ישירות, אלא קודם כל הופך את ה-AI לדמות מומחית ספציפית, "מומחית על" לאופטימיזציה של פרומפטים. אבל הפרומפט החשוב בחיי תלוי על המקרר וזו טבלת המשימות והלו"ז המשפחתי שלנו, הוא כתוב בכתב יד ומנוהל על יד המנכ"לית האמיתית של הבית, שם אני רואה מתי אני יכול לעבוד עד מאוחר ומתי אני צריך לאסוף מכדורגל או לקחת לקאנטרי, ולא לשכוח בשביל מה ומי אני מתאמץ כל כך קשה כל היום.
איך אתה נשאר מעודכן?
אני נחשף לרעיונות חדשים, כלים ושירותים שונים משיחות עם חברים, שותפים, עובדים. מדבר עם קולגות, מקשיב לפודקאסטים ועוקב אחרי ערוצים שונים ברשתות חברתיות. מבין כל אלה אני שמח על כך שאני עדיין לומד מהשותפים שלי בחברה. אבי ברזילי, שאיתו אני עובד צמוד כמנכ"ל משותף בחברה; דוד פוגאטש, ה-CTO שלנו שדואג תמיד להיות בקדמת הטכנולוגיה ומזקק את החידושים בתחום בצורה מקצועית ומדויקת, ושחר רונן, ה-CFO ומנהל הפיתוח עסקי של החברה, שהוא קודם כל אח שלי והוא גם השותף שלי מהיום הראשון.
לאיזו חברה או מנמ"ר אחרים אתה רוצה לפרגן על עבודה טובה?
לאורך הדרך יצא לי לעבוד בשיתוף פעולה עם מגוון ספקים בתחומים שונים, אבל אשמח לנצל במה זו לפרגן לחברה שאיתם עבדתי באופן צמוד לאחרונה. חברת Scytale – סטארטאפ ישראלי שפיתח פלטפורמה לאוטומציה של תהליכי תאימות ואבטחת מידע. העבודה איתם הייתה בתחושה של שותפות אמיתית ועזרה לי לייעל ולנהל את כל תהליך ה-Compliance ועמידה בתקני האבטחה.
ספר לנו על מקרה מעניין שקרה לך במהלך הקריירה?
כשהקמתי עם שחר, אח שלי, את החברה הראשונה שלנו, היינו בטוחים שיש לנו רעיון שישנה את העולם: מערכת ליצירת וידאו דינמי שהיישום הראשוני שלה זה שירות לברכות וידאו אישיות מסלבריטאים. דמיינו, הימים של אחרי 'כוכב נולד' הראשון והשני, כשנינט והראל סקעת הם הדבר הכי חם במדינה, והייתם מקבלים ברכה אישית ליומולדת או לגיוס או לברית.
הגענו לפגישה אצל טמירה ירדני בטדי הפקות עם אב טיפוס, חדורי אמונה שאנחנו הולכים לכבוש את השוק. הפגישה הייתה מצוינת, אבל לא מהסיבות שחשבנו. במקום למכור את מוצר החלומות שלנו, יצאנו משם עם פרויקט אחר לגמרי: לבנות את האתרים הרשמיים של נינט ושל הראל סקעת. וכך, בלי שתכננו נשאבנו לעולם של בניית אתרים מורכבים עבור לקוחות גדולים. אבל הדבר הכי טוב שיצא מכל הסיפור הזה הוא שבזכות הטוויסט הזה בעלילה הכרתי את אשתי. היא עבדה בטדי הפקות ומולה עבדנו על הקמת האתרים.
לאורך הדרך נאצלנו לפתח כלים בעולמות הווידאו, סלולר, Micro payment, ונאלצנו להתמודד עם הצורך לאפשר העברת קבצים גדולים של וידאו. זה בעצם היה הבסיס שעליו נבנה אתר JUMBOmail בגרסתו הראשונה. בשלב מסוים הבנו שהפתרון לבעיה הגדולה והאמיתית של השוק לא היה ברעיון הגרנדיוזי והסקסי שלנו, אלא בכלי הצדדי וה'משעמם' שבנינו כדי לפתור בעיה טכנית קטנה.
התובנה המשמעותית עבורי מהסיפור הזה היא שיזמות היא לא תמיד היכולת להמציא את הטכנולוגיה הבאה של העתיד, אלא לפעמים היא היכולת לזהות את הפוטנציאל העצום בפתרון בעיות פשוטות בהווה. ג'מבומייל לא נולדה מחזון לשנות את העולם, היא נולדה מהצורך הפשוט לעשות את העבודה, וזה, בסופו של דבר, מה שבאמת משנה.
יזמות היא לא תמיד היכולת להמציא את הטכנולוגיה הבאה של העתיד, אלא לפעמים היא היכולת לזהות את הפוטנציאל העצום בפתרון בעיות פשוטות בהווה
ואחת לסיום: איזה טיפ תיתן למנהלי אבטחת מידע שרוצים להיות CISO?
מעבר מפוקוס טכנולוגי לפוקוס עסקי. לרוב, אנשי IT מתמקדים ב"איך"- איך המערכות יפעלו ביציבות, איך הרשת תהיה מהירה, איך נפתור תקלות. לעומת זאת, CIO ו-CISO הם חלק מההנהלה הבכירה, והם חייבים להתמקד ב"למה" וב"מה אם".
כדי לבצע את המעבר הזה, על מנהל ה-IT לשנות את נקודת המבט שלו. זה אומר לתרגם כל נושא טכני למונחים של סיכון עסקי וכסף, ולצאת מהדאטה סנטר לפגישות יזומות עם מנהלי היחידות העסקיות כדי להבין איך הטכנולוגיה יכולה לעזור להם להשיג את היעדים שלהם או לספק מענה לבעיות שיש להם. במקביל, עליו לקחת בעלות על תחום הרגולציה והפרטיות, להבין את המשמעויות העסקיות של חוקים כמו תיקון 13, ולהפוך ליועץ האסטרטגי של ההנהלה בנושאים אלה. בסופו של דבר, המעבר הוא מניהול מכונות ותשתיות לניהול סיכונים, הזדמנויות עסקיות ואנשים.
