"מנהל תשתיות בחברה גדולה אמר לי: '12 שנה לא קרה כלום. למה שנצטרך גיבויים?'"
מאז תחילת הקריירה שלו הספיק ה-CISO הגלובלי של Plarium, אורן זנסקו, לכהן בתפקיד דומה בשתי חברות בהן גם הקים את כל המערך והצוות מאפס. איך לדעתו ייראה שוק אבטחת המידע בעתיד, למה הוא מעדיף ענן ציבורי ואיפה הוא מתעדכן בכל המידע החדש?
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח אורן זנסקו, Global CISO בחברת Plarium. שנתחיל?
היי אורן, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
התחלתי את הקריירה שלי בשירותי הצבאי כקצין ביטחון מידע, ולאחר מכן הייתי יועץ לחברות במגוון סקטורים (הייטק, בנקים, חברות ביטוח ועוד). בהמשך מוניתי להיות ה-CISO הראשון של אלטשולר שחם, שם בין השאר הקמתי את צוות אבטחת המידע, הטמעתי מערכות וכלי Information Securit ועבדנו על התאמה לרגולציות של המפקח על שוק ההון והגנת פרטיות. לאחר 5 שנים מוניתי ל-Global CISO בחברת סייבר, ומשם הגעתי לתפקידי הנוכחי Global CISO בחברת Plarium.
גם בפלריום, כמו באלטשולר שחם, אני ה-CISO הראשון בחברה, והתפקיד כולל הקמה וביסוס של המחלקה, הטמעת כלי Information Security, קונסולידציה של תהליכים גלובליים בין מספר חברות בנות והכנסה של כולן תחת מטרייה גלובלית אחת של Global InfoSec. ב-3.5 השנים האחרונות הבאתי את רמת בשלות ה-Infosec להיות המובילה בקבוצה באותה תקופה. בנוסף, ליוויתי תהליכים משמעותיים כמו מיגרציה של המשחק הכי חשוב שלנו (Raid shadow ledgends) מסביבת On Prem ל-Cloud כולל תוכנית BCP ו-DR.
אורן זנסקו, Global CISO בחברת Plarium. צילום: אריאל הופרט
ספר לנו קצת על פלריום והתחום שבו היא פועלת.
Plarium היא חברת גיימינג גלובלית, עם מאות מיליוני שחקנים עם מעורבות יומיומית חזקה וכמה משחקים מוצלחים. המוביל שבהם הוא Raid: Shadow Legends ויש משחקים חדשים שצפויים להשתחרר בשנים הקרובות. יש לנו פיתוחים פנימיים נוספים כמו מערכות Data מתקדמות, מערכת Marketing שפותחה במיוחד לתמוך בצורכי הארגון, ואפילו Desktop launcher בשם Plarium Play, שמאפשר לשחק את משחקי החברה גם בדסקטופ מהנקודה שבה הפסקת במובייל.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
פלאריום היא חברה גלובלית עם מספר Studios במדינות שונות (ישראל, אוקראינה, פולין ופינלנד). לכל סטודיו יש תהליכים שונים, תרבות שונה ולפעמים אפילו כלים טכנולוגיים שונים. מורכבות כזאת מייצרת באופן טבעי אתגרים רבים ל-CISO, והמרכזי שבהם הוא היכולת "להתעקש" על סטנדרט אחיד וקונסולידציה של טכנולוגיות אבטחת מידע, אבל גם לדעת להיות Business enabler ולא לפגוע ביכולת של צוותי הפיתוח והאופרציה לדלוור. בסופו של יום CISO נדרש לתמרן בין הרצוי למצוי ולבצע הערכת סיכונים מתמדת שבסופה מתקבלת ההחלטה – האם אנחנו יכולים לקבל את הסיכון, להפחית אותו או למנוע אותו לגמרי?
באיזה תהליך שהובלת אתה הכי גאה?
במהלך השנים האחרונות צוות ה-Global Infosec שלנו הצליח להגיע להישגים משמעותיים בהמון תחומים. לאחר עבודה קשה מאוד ומאומצת הצלחנו למצב את אבטחת המידע בפלריום כמדד ייחוס בארגון כולו. תהליכים וכלים רבים שהטמענו בחברה הועתקו לאחר מכן לכלל החברות המקבילות ברחבי העולם, בקבוצה של למעלה מ-10,000 עובדים וצוות Infosec של 60 איש. אימוץ רחב כזה הוא הוכחה ברורה לכך שהגישה שלנו יצרה ערך משמעותי הרבה מעבר לפלריום עצמה.
לאחר עבודה קשה מאוד הצלחנו למצב את אבטחת המידע בפלריום כמדד ייחוס בארגון כולו – תהליכים וכלים שהטמענו הועתקו לכלל החברות המקבילות ברחבי העולם
אילו שינויים יעבור לדעתך שוק אבטחת המידע בשנים הקרובות?
אנחנו רואים את יישומי ה-AI השונים שדוהרים קדימה בקצב מסחרר, והרבה חברות עדיין לא מבינות שלא מדובר רק ב-LLM סטייל ChatGPT ששואלים אותו שאלות כלליות. Agentic AI זה השלב הבא באבולוציה של התחום ואני רואה עוד ועוד חברות שמבססות מוצרים שלהם סביב סוכני AI עם קבלת החלטות אוטונומית.
אם בעבר מערכות מידע נבנו סביב איסוף נתונים והצגת דוחות, כיום יש כבר דרישות שהמערכת תלמד מהנתונים, תכין דוחות חדשים ותבצע פעולות בזמן אמת, כש-Multi-agents יידעו לתמוך במספר תהליכים במקביל שרצים באופן אוטומטי על ידי מספר סוכני AI שונים. לדוגמה: סוכן AI מזהה מגמה חדשה שעשויה להוביל למחסור במלאי ומעביר לסוכן AI נוסף שמכין הזמנה חדשה וסוכן AI שלישי בודק מול התקציב ומבצע את הרכש החריג. כל זה ללא מגע יד אדם אך עם פיקוח אנושי (לפחות כרגע). תהליכים אלו כמובן מייצרים משטח תקיפה שונה לגמרי ממה שהכרנו עד היום ודורשים מה-CISO הארגוני להטמיע אסטרטגיה, תהליכים וכלים מתאימים שיגנו על הארגון מפני התקפות ממוקדות.
נוצר באמצעות AI
אם מנמ”ר אחר שואל אותך: ענן ציבורי, פרטי או היברידי ולמה. מה תענה?
ענן ציבורי. פלריום היא חברת Cloud First מתוך הבנה שהיכולות והאופציות שמציעים ספקי הענן הגדולים (CSPs) הן כמעט בלתי ניתנות להשוואה לכל אלטרנטיבה אחרת. בענן הציבורי אנחנו מקבלים:
Availability – זמינות עולמית עם SLA ומערכות מתקדמות של רפליקציה והתאוששות.
Security – סטנדרטים גבוהים של אבטחת מידע, עם יכולת צריכה של שירותי אבטחה מתקדמים.
Operations – תפעול יעיל, סקיילבילי וגמיש, עם פחות עומס על צוותי ה-IT הפנימיים.
BCP/DR – רציפות עסקית והתאוששות מאסון מוטמעות כחלק אינהרנטי מהשירות ותומכת גם בהטמעות מורכבות יותר של תוכנית המשכיות עסקית ואתרי התאוששות מאסון, בהתאם לצורכי הארגון.
Cost Efficiency – מודל תמחור שמתאים לצרכים עסקיים משתנים, עם יכולת שליטה ובקרה בזמן אמת.
בהשוואה לסביבות On-Prem או Private Cloud, שמצריכות השקעות עצומות, תחזוקה מורכבת והטמעות מגושמות, מבחינתי היתרונות של הענן הציבורי ברורים, וכשמוסיפים לזה את כל נושא ה-AI הענן הציבורי הוא מכפיל כוח רציני.
בעולם מקביל אם לא היית CISO, במה היית עוסק?
ייעוץ אסטרטגי וניהול סיכונים לחברות גלובליות ומקומיות. אני גם בן אדם של אינטרקציות מול אנשים ומשתדל תמיד להבין את העמדה של האדם שמולי ומאיפה הוא מגיע, כדי להגיע לרמת הבנה עמוקה של התהליכים והסיכונים המגולמים בהם.
לאיזה פודקאסט אתה מאזין וכולם חייבים להכיר?
כשאני מגיע למשרד עם הרכב אני תמיד מאזין לפודקסטים – לרוב כאלו שקשורים בעולמות ה-Security, IT, AI and Cloud. בעבר הייתי לומד בעזרת ספרים וקורסים Online סטייל Coursera, Pluralsight ו-Udemy, אבל כיום יש שפע של מקורות שמתעדכנים מהר מאוד, והמובילים שבהם הם כמובן כלי ה-AI השונים שגם מסכמים, מרדדים את המידע הלא חשוב ואפילו יודעים לקחת מאמרים כתובים ולהפוך אותם לפודקאסט, כמו NotebookLM.
להבין טכנולוגיות ואיומים זה תנאי מינימום לתפקיד, אבל כדי באמת להצליח בתפקיד צריך להיות מחובר לתהליכים העסקיים של הארגון
איך אתה נשאר מעודכן?
כיום אני חבר בכמה פורומים של CISOים, חלקם בישראל וחלקם גלובליים (Team8 CISO village למשל). לינקדאין, טלגרם, בלוגים, פודקאסטים, כנסים ואפילו שיחות מסדרון בפלריום מאפשרים לי להתעדכן בכל מה שזז בתחום.
לאיזו חברה או מנמ"ר אחרים אתה רוצה לפרגן על עבודה טובה?
אמנם בפלריום אין מנמ"ר או CIO, אבל לגמרי הייתי רוצה לפרגן לקולגה שלי דוד פנדוישוילי, Global IT director, שמוביל תהליכים גלובליים מדהימים בסביבה מורכבת עם תוצאות מעולות. אם הייתי צריך לבחור מנמ"ר מחברה אחרת שיש לי אליו הערכה עצומה אז אני רוצה לפרגן לעוזי דביר, ממנו למדתי המון לגבי ניהול מערכות מידע וחשוב מכך – ניהול של אנשים בגובה העיניים. עוזי היה המנהל שלי בתקופתו כמנמ"ר באלטשולר שחם, וכיום הוא CIO בחברת WalkMe.
ספר לנו על מקרה מעניין שקרה לך במהלך הקריירה?
באחת מהחברות שעבדתי בהן ישבתי עם מנהל התשתיות של אחד המשרדים (מעל 1,000 עובדים) ושאלתי אותו איפה שומרים את הגיבויים של ה-Asset החשוב ביותר. התשובה שקיבלתי הייתה ששומרים עותק של ה-Data על השרת עצמו ושאין גיבויים. כששאלתי מדוע לא מבצעים גיבוי ושומרים עותק במיקום מבודד כמו שכל Best practice קובע, קיבלתי את התשובה האייקונית "12 שנים לא קרה כלום, למה שנצטרך גיבויים?".
ואחת לסיום: איזה טיפ תיתן למנהלי אבטחת מידע שרוצים להיות CISO?
הייתי אומר שלהבין טכנולוגיות ואיומים זה תנאי מינימום לתפקיד, אבל כדי באמת להצליח בתפקיד צריך להיות מחובר לתהליכים העסקיים של הארגון, להבין איפה ניתן לתת ערך ואיך לנהל סיכונים באופן שלא יפגע בעקרונות קריטיים של אבטחת מידע, אך גם לא יגביל את יכולות הארגון לרוץ קדימה ולהשיג את המטרות שלו.
