הגיעה העת להבשלה של ענף אבטחת מידע והסייבר סקיוריטי, מקצועות והסמכות בישראל – פרק ב' ואחרון

במאמר הקודם הרחבנו על מקצועות אבטחת המידע. עתה נתמקד בהסמכות, בדרך להיות מומחים בתחום.

הסמכות
ל-"ואקום" שבו המדינה איננה מסמיכה ואינה מפקדת על מקצועות אבטחת המידע, נכנסו כאמור בעיקר היצרניות. אלה – מסמיכות בתחום הצר של מקצוע "מיישם אבטחת מידע", הדבר נהוג גם בענפים אחרים ואל למדינה להתערב בתהליך הנורמלי. גם גופים אחרים שאינם "יצרניות", נכנסו לזירת ההסמכות.

הידועה שבהם היא ISC 2, ארגון שנוסד ב-1989. קונסורציום ההסמכה הבינלאומית לאבטחת מערכות מידע הוא ארגון ללא כוונת רווח המתמחה בחינוך לאבטחת מידע והסמכות, ונחשב ל"ארגון אבטחת המידע הגדול ביותר בעולם". ההסמכה המוכרת ביותר המוצעת על ידי ISC 2 היא CISSP, אשר מותאמת לתחום הידע של מנהל אבטחת מידע CISO. בעולם כ-86,000 בעלי הסמכת CISSP.

בנוסף להסמכה הגבוהה CISSP, מסמיך הארגון גם למספר מקצועות והתמחויות נוספות:
•    Certified Secure Software Lifecycle Professional (ר"ת CSSLP)
•    Certified Authorization Professional (ר"ת CAP)
•    Systems Security Certified Practitioner (ר"ת SSCP)
•    Certified Cyber Forensics Professional (ר"ת CCFP)

בישראל מיוצג ארגון ISC 2 באמצעות מכללת See Security לאבטחת מידע וללוחמת מידע.

גוף נוסף הוא ISACA, איגוד מקצועי בינלאומי התמקד בממשל IT. אשר ראשי התיבות שלו בעבר שיקפו את השם: "איגוד הביקורת ובקרת מערכות מידע", אך כיום עוסק במכלול מקצועות אבטחת המידע. ההסמכה הנפוצות של הארגון הן CISM למנהלי אבטחת המידע, ונושאים בה כ- 19,000 בעלי מקצוע (מעט מאוד בישראל), והסמכת CISA למבקרי אבטחת מידע שמתהדרים בה כ- 105,000 אנשי מקצוע, רבים גם בישראל.

מדוע הסדר הטבעי הזה לא היה עד כה ידוע לכל?
קיימות מספר סיבות לכך: האחת – הענף צעיר בהשוואה לענפי מחשבים אחרים. השנייה – ליצרניות – הגופים העשירים ביותר ועתירי הפרסום, יש אינטרס כי הצעירים ילמדו את המוצרים שלהן, ואינן מעוניינות לפתח לפיכך את תודעת הידע ההנדסי הכולל. השלישית – המטה הקיברנטי הוקם אך ורק לפני שנתיים, ועסוק בכמות עצומה של תחומי התפתחות בעולם ההגנה על המידע והמערכות הלאומיות והפרטיות. הרביעית – אין בישראל רגולציה חינוכית ממלכתית אשר דאגה להסמיך, לשלול או לאשר "מומחים".

הסמכות "בכלל" – מטעם המדינה
למדינת ישראל אין כיום גוף המפקח על מומחי אבטחת מידע, מסמיכם, ובוחן את כשירותם המקצועית. המדינה כגוף רגולטיבי, נטלה על עצמה את הפיקוח על 3 מגזרי חינוך בלבד: הצעירים שעד גיל 18, באמצעות משרד החינוך, האקדמאים, באמצעות המל"ג – "המועצה להשכלה גבוהה", וההנדסאים והטכנאים – באמצעות מה"ט – "המכון הממשלתי להכשרה בטכנולוגיה ובמדע".

כיצד, למשל, היא מפקחת על מקצועות רגישים אחרים כגון עורכי דין או רואי חשבון או העוסקים במקצועות הרפואה? באמצעות מנגנון של "לימודים מפוקחים" על-ידי המל"ג מחד, ומנגנון של "עבודה מפוקחת" על-ידי "מועצת רואי החשבון בישראל" או "לשכת עורכי הדין" בהתאמה,
לשכת רואי חשבון בישראל היא גוף התנדבותי המאגד את רואי החשבון בישראל המעוניינים בכך. רישיון העיסוק במקצוע מוענק על ידי מועצת רואי חשבון בישראל שהיא גוף נפרד, הפועל בפיקוח משרד המשפטים. לאחר קבלת הרישיון, יכול רואה החשבון להחליט האם ברצונו להצטרף כחבר ללשכת רואי החשבון אם לאו.

מועצת רואי חשבון בישראל היא גוף סטטוטורי, הפועל במסגרת משרד המשפטים, מתוקף חוק רואי חשבון. תפקידיה העיקריים של מועצת רואי החשבון הם:
1. רישוי רואי חשבון, לרבות הענקת רישיון לעסוק במקצוע ראיית החשבון בישראל, פיקוח על ההתמחות, הפעלת הליכים משמעתיים.
2. הסדרת הכללים החלים על רואי החשבון על פי החוק והסדרת השימוש ברישיון רואי החשבון.
למועצת רואי חשבון אין סמכויות מקצועיות, כלומר היא אינה קובעת כללים בחשבונאות או בביקורת (את זאת עושה לשכת רואי החשבון – ה"גילדה המקצועית"). למועצת רואי חשבון סמכויות ענישה, למשל בגין התנהגות שאינה הולמת את כבוד המקצוע. העונשים שהמועצה מוסמכת להעניש הם נזיפה, התראה, שלילה זמנית או שלילה לצמיתות של הרישיון. עונשים אלה יכולים להיות מלווים בקנס.

לשכת עורכי הדין בישראל היא תאגיד סטטוטורי (מעין "גילדה מקצועית") המאגד את עורכי הדין בישראל. על מנת להיות עורך דין בישראל, אדם חייב להיות חבר בלשכת עורכי הדין. הלשכה מאגדת את כל עורכי הדין בישראל. הלשכה רושמת, מפקחת ובוחנת מתמחים בעריכת דין ואחראית להסמכתם כעורכי דין ולשיפוט המשמעתי של עורכי הדין והמתמחים. הלשכה עוסקת בנושאים הקשורים בתחום המשפטים בכלל ובמיוחד בנושאים הקשורים בעיסוקם של עורכי הדין, וכן בהגנה על ענייניהם המקצועיים, באתיקה מקצועית, עזרה הדדית בין חברי הלשכה, ביטוח, קרנות פנסיה לחברי הלשכה ועוד.

כלומר: בשני המקרים קיימת "גילדה מקצועית" – הלשכה. במקרה האחד – לשכת עורכי הדין אחראית לכללים המשפטיים ובמקביל – לטובתם של חבריה – עורכי הדין, ובמקביל – גם להסמכתם הרשמית. במקרה השני, לשכת רואי החשבון אחראית לכללים החשבונאיים ולטובתם של חבריה – רואי החשבון, ואילו ההסמכה המקצועית מבוצעת על-ידי גוף נפרד – "המועצה".

להבדיל, מי שמפקח על מקצועות הרפואה הוא "האגף לרישוי מקצועות רפואיים" במשרד הבריאות. מתפקידיו:
• אחראי ליישום מדיניות המשרד בתחום רישוי והכרה במעמד המקצועי של העוסקים במקצועות הבריאות ויועץ להנהלת המשרד בנושאים שבאחריותו (פרט למגזר האחיות ורישום פסיכולוגים).
• אחראי לקביעת סטנדרטים בכל הקשור לרישוי מקצועי לעובדי הבריאות בארץ, כולל הכשרה ("סטאז"), מומחיות, בחינות והשתלמויות לקבלת הזכאות. יוזם תיקונים, שינויים ותוספות  בחוקים ובתקנות הקשורות לרישוי.
• אחראי לריכוז ועדות מייעצות לרישוי המקצועות, ועדות בחינה ומשמש גורם ממליץ בנושא משמעת במקצועות בריאות על פי סוגיהן.  מייצג את המשרד ומשתתף בועדות, עפ"י מינוי  מהגורם המוסמך ובתיאום עם הממונה. משתתף בפעילות בוועדות הכנסת בכל הקשור לחקיקה למקצועות הרפואיים.

ובתחום אבטחת מידע?
אף לא גוף אחד, ובסוגיה זו עוסק כיום המטה הקיברנטי בשיתוף רמו"ט – "הרשות למשפט טכנולוגיות ומידע" במשרד המשפטים.

הפורום הישראלי לאבטחת מידע IFIS – גוף המאגד את מנהלי אבטחת המידע, פועל להקמת גילדה מקצועית בדומה ללשכות רואי החשבון ועורכי הדין בישראל. במשך מספר שנים, פעלה IFIS להגדרת מקצועות אבטחת המידע, כפי שתוארו בכתבה זו, והיא משיכה לפעול בשיתוף עם המטה הקיברנטי.

הכותב הוא אבי וייסמן, יו"ר הפורום הישראלי לאבטחת מידע IFIS, בעלים של המכללה לאבטחת מידע וללוחמת מידע See Security, ושותף בחברת היעוץ לאבטחת מידע CyberSec Consulting.