הגיעה העת להבשלה של ענף אבטחת מידע והסייבר סקיוריטי, מקצועות והסמכות בישראל – פרק א'

בענף הנקרא "אבטחת מידע", קיימים מקצועות אחדים. הם נהוגים בכל העולם, ועוד מעט זה יהיה רשמי. קיימים חמישה מקצועות ליבה: (1) מיישם (טכנאי), (2) ארכיטקט (מומחה הגנה טכני), (3) מנהל (CISO – מומחה הגנה טכני ומינהלי), (4) בודק חדירות (תוקף – Penetration Tester), ו- (5) מבקר אבטחת מידע.

אז מה זה CISSP? ומה זה CCNA? ו-CCSA? כן, אלו הסמכות, תעודות. למה הן מתאימות? לכך נגיע בהמשך, דרך ההסבר על המקצועות, כי… מקצוע זו "מטרה", לימודים זו "דרך", ו-"הסמכה זו ההוכחה".

דרישות סף
כדי להתחיל באחד ממקצועות הענף נדרש לעמוד בדרישות סף: הכרת תקשורת, סיסטם, ובמקצועות התקיפה – גם לדעת תכנות בסיסי. תקשורת וסיסטם ניתן ללמוד בקורס "ניהול רשתות". תכנות בסיסי – כוונתנו לשליטה בשפת תכנות כלשהי, Python, או Ruby או Perl, וכמובן – שפת C רק תשביח את היכולת.

המקצועות

1. מיישם אבטחת מידע
המיישם הוא "טכנאי" של אנשי אבטחת המידע. בבסיס הידע והיכולת שלו – התקנה, תפעול ותחזוקה של כלי אבטחת המידע (בתוך מערכת ההפעלה ומחוצה לה – על גבי רשת התקשורת). כמעט כל "מנהל רשת", הוא גם "מיישם אבטחת מידע" במידה מסוימת. מה צריך ללמוד? בהנחה שלמדת או הנך עוסק בניהול רשתות, עליך ללמוד להתקין ולהפעיל מוצרים ספציפיים של יצרנים: Cisco, CheckPoint, Juniper, Fortinet, Symantec, Kasparsky, Imperva ועוד רבים.

בדרך כלל, נלמדים הדברים תוך כדי עבודה כמנהל רשתות דווקא, אך ניתן ללמוד אותם גם בקורסי הבסיס של היצרנים השונים. מסלול מיוחד לעניין זה, הוא המסלול להכשרת מיישמי אבטחת מידע. היכולת להתקין, להגדיר ולתחזק כלים אלו איננה אומרת בהכרח שהנך מבין את עקרונות ההגנה, אך הנך מומחה להפעלתם. המנחה המקצועי של המיישם הינו ארכיטקט אבטחת המידע. התעמקות יתר ביצרן מסוים בלבד, תוביל להתמחות באותו יצרן, ואינה יעילה לעניין הנדסת אבטחת מידע.

2. ארכיטקט אבטחת מידע (נקרא בטעות גם "יועץ אבטחת מידע")
הארכיטקט הוא ה-"ראש" שמאחורי ההגנה על המידע. הוא-הוא שיעמוד מול התוקף, יתכנן את המערכת, ינחה את המיישמים בעבודתם, יעצב את שיטת העבודה, יעקוב אחר האירועים לצורך איתור התקפה, וינחה את התגובה וההתמודדות עם התקפה. הארכיטקט אחראי לתכנון ולבניית ההגנה על מערכות ההפעלה, רשת התקשורת, הקוד והיישומים כנגד האקרים. את תפקידו יבצע באמצעות הנחיות למיישם אבטחת המידע. יימצא בארגונים כלליים בינוניים וגדולים ובחברות יעוץ ושירות בתחום אבטחת המידע. בחברות קטנות יבוצע התפקיד על-ידי מנהל הרשתות, מנהל הסיסטם או מנהל התקשורת.
דרישות הסף הינן ידע במערכות הפעלה ותקשורת, ותחומי הידע הנדרשים: הקשחת תשתיות מיחשוב, הקשחת יישומים, כלים וטכנולוגיות אבטחת מידע והבנה של עולם התקיפה (האקינג).

מה צריך ללמוד? בהנחה שלמדת או הנך עוסק בניהול רשתות, עליך ללמוד ארכיטקטורת כלים וטכנולוגיות, שיטות תקיפה וטכניקות הגנה.
תחומי הידע הנדרשים בעולם אבטחת המידע: הבנת תהליכי הקשחה לתשתיות מיחשוב ולהקשחת יישומים, ארכיטקטורת כלים וטכנולוגיות לאבטחת מידע והבנה של עולם התקיפה (האקינג).

בדרך כלל ימלאו תפקיד זה בעלי הכשרה ממסלול ISSA, אך מרבית המומחים הנם בעלי ניסיון ממקום עבודתם או כתוצאה מהכשרה עצמית, בעלי הסמכת CISSP-ISSAP או בלעדיה.

3. מנהל אבטחת מידע ארגוני (CISO)
ה-CISO (ר"ת Chief Information Security Officer) אמור להיות ממוקם בדרך כלל מחוץ ליחידת המחשבים, שכן עקב תפקידיו, הוא עלול להימצא בניגודי אינטרסים עם מנהל המיחשוב הארגוני.

מקורו של ה-CISO בתפקיד ארכיטקט אבטחת המידע, אך כולל, בנוסף לטיפול במימד הטכני, גם את שני המימדים הנוספים המהווים בסיס לעולם אבטחת המידע: טיפול באנשים וטיפול בתהליכים. כלומר: היבטים ניהוליים והיבטים הקשורים לטיפול בפן העיסקי – ניהול סיכונים, טיפול בהיבטי חוק ורגולציה, וטיפול בסתירה האינהרנטית שבין משימות האבטחה לצרכי הפתיחות של הארגון. במקרים רבים – אחראי ה- CISO גם לביצוע ביקורת טכנית ומנהלית על מנהל צוות אבטחת המידע.

תחומי הידע הנדרשים: הכשרות מעולמו של הארכיטקט, וכן לימודי ממשל אבטחת מידע (InfoSec Governance), וכן: ארגון, שיטות וניהול יחידת אבטחת מידע.

תפקיד ניהולי נוסף הדורש ידע זהה, הוא "מנהל מערכות אבטחת מידע" (ISSO) אשר מקומו דווקא בתוך יחידת המחשב. תפקיד ה-Information Systems Security Officer – לנהל את המיישמים שמקומם ביחידת המחשב,  ולוודא ביצוע נאות של מדיניות ה- CISO מחד, ושל מנהל מערכות המידע מאידך. במשק הישראלי צר המימדים פעמים רבות משמש רק אדם אחד בתפקיד ה-CISO, ה-ISSO והארכיטקט.

4. מומחה תקיפה – Penetration Tester / Hacker
מומחה תקיפה ISPT (ר"ת Information Security Penetration Tester) מבצע בדיקות חדירות למערך ההגנה הארגוני. מקצוע זה הינו מן המורכבים והמתוחכמים, מתאפיין במולטי-דיסציפינריות וביצירתיות רבה, שליטה במערכות הפעלה, בתקשורת על כל נדבכיה, ובעיקר פרוטוקולים מגוונים לסביבות שונות, בשפות תכנות (לפחות C, ורצוי גם Python או Perl, וכן Assembly, מכיר טכניקות הגנה וכלי אבטחת מידע, ושולט בטכניקות ובכלי תקיפה מגוונים. מומחי "תקיפה מתקדמת" יכירו היטב היבטים של Reverse Engineering ויישומים ארגוניים נפוצים שונים.

לימודי האקינג למקצוע ISPT עוסקים בעיקר בלימוד הטכניקה ולימודי מודיעין. הכלים הנפוצים להאקינג, הנם טרביאליים יחסית, ואינם מהווים "עיקר" בתחום התקיפה.

5. מבקר אבטחת מידע
למעשה, יש להבחין בין שני סוגים טיפוסיים של מבקרי אבטחת מידע. האחד – בעל רקע עמוק בארכיטקטורת אבטחת מידע בעיקר, אשר מתמחה בסוגים מסוימים של ביקורות לטכנולוגיות מסוימות, או לתהליכים ארגוניים. בדרך כלל ימונה לתפקיד בעל הכשרת ארכיטקט. ביקורות המבוצעות על-ידי בעל מקצוע זה מיועדות לתקן כשלים טכניים בטכניקה, או בטכנולוגיה, או בתהליכים הנוגעים אליהם.

השני – בעל רקע בראיית חשבון בהתמחות ביקורת מערכות מידע, אשר משימתו כוללת גם ביקורת אבטחת מידע. בדרך כלל יבצע את המשימה רואה חשבון חיצוני לארגון, הפועל מטעם פירמת ראיית חשבון המבקרת את הארגון, בעל הסמכת CISA. ביקורות המבוצעות על ידי בעל מקצוע זה, נוגעות במיוחד להתאמה שבין הרגולציה שמוטלת או שנטל על עצמו הארגון, ליישומה בפועל.

הכותב הוא אבי וייסמן, יו"ר הפורום הישראלי לאבטחת מידע IFIS, בעלים של המכללה לאבטחת מידע וללוחמת מידע See Security, ושותף בחברת היעוץ לאבטחת מידע CyberSec Consulting.

המשך יבוא…