"הקמתי את אבטחת המידע וה-IT מאפס, ועכשיו מתחילים שאר האתגרים"
לגיל אוחיון, CISO בחברת Artlist, יש בכלל תואר בראיית חשבון, את הקפיצה הגדולה בקריירה בעולמות הסייבר הוא עשה בפיליפינים, הוא מפרגן לעבודה של צוותי אבטחת המידע של חברות Saas ישראליות ומספר על פריצה ממקום לא צפוי
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח גיל אוחיון, CISO בחברת Artlist. שנתחיל?
היי גיל, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
התחלתי את הקריירה שלי בעולמות הטכניים כבר בצבא. אמנם למדתי תואר בראיית חשבון, אבל הבנתי שהתשוקה שלי היא לטכנולוגיה. במשך 7 שנים שימשתי מנהל אבטחת מידע ב-Playtech, מתוכן 4 שנים ברילוקיישן במנילה, שם חוויתי קפיצה משמעותית בניהול צוותים, בניית אסטרטגיות אבטחה ויצירת מדיניות כוללת. לאחר מכן הצטרפתי כ-CISO לסטארטאפ Dome9 שהתמקד בהגנה על ענני מחשוב ציבוריים. לאחר שנתיים החברה נמכרה לצ'ק פוינט, ושם המשכתי לעסוק ב-DevSecOps בתוך ה-R&D. לפני 4 שנים הצטרפתי ל-Artlist והקמתי את תחום אבטחת המידע וה-IT כולו. כיום אני מוביל את כל פעילות האבטחה, כולל ניהול אסטרטגי, מדיניות גלובלית וקומפליינס.
גיל אוחיון, CISO בארטליסט. צילום: ישראל סרנגה
ספר לנו קצת על Artlist והתחום שבו היא פועלת.
ארטליסט היא חברת קריאייטיב וטכנולוגיה המספקת לחברות גלובליות ויוצרי תוכן בעולם פתרון מקיף ליצירת וידאו, עם מעל 2.5 מיליון מדיות דיגיטליות וכלים קריאטיביים מתקדמים. אנו משרתים יותר מ-27 מיליון משתמשים, כולל מותגים כמו Google, Amazon ו-Microsoft. הפלטפורמות שלנו, Artlist ו-Motion Array, מציעות קטלוג של מוזיקה, קטעי וידאו, טמפלטים, AI voiceover, פלאגינים ועוד, עם רישיון גלובלי לשימוש חוקי בתוכן וידאו מקצועי.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
האתגר המרכזי הוא למעשה להצליח לשמור על איזון בין חדשנות טכנולוגית לבין עמידה בסטנדרטים המחמירים ביותר של אבטחת מידע ורגולציה, וכל זה תוך תמיכה בצמיחה המהירה של החברה. אתגר נוסף שמתחבר לזה, במיוחד בסביבה עסקית של B2C, הוא הצורך לאזן ברמת אבטחת המידע, כך שהמשתמשים ירגישו בטוחים להתנהל במוצר, אך חוויית המשתמש שלהם (User Experience) שלהם לא תיפגע.
באיזה תהליך שהובלת את הכי גאה?
אני גאה מאוד בהקמת תחום האבטחה ב-Artlist מאפס. כחלק מהתהליך גיבשתי מדיניות אבטחה גלובלית, הובלתי הטמעת טכנולוגיות מתקדמות שיבטיחו רמת אבטחה גבוהה וכמובן בניתי צוות ייעודי שיודע לספק מענה ותמיכה רחבה ככל שהחברה ממשיכה לגדול.
בחברה שבה עבדתי בעבר קיבלנו התראות על דליפת נתונים רגישים, אך לא הצלחנו לאתר את מקור הפרצה. אחרי חקירה מאומצת של כל מערכות האבטחה, גילינו שהאקר פרץ למצלמת אבטחה ישנה שהייתה מאחורי עמדת נציג שירות
אילו שינויים יעבור לדעתך שוק מערכות המידע בשנים הקרובות?
בדומה לשווקים אחרים, גם בשוק מערכות המידע נרגיש את השפעתה של טכנולוגיית ה-AI. לכן, בעיניי, שוק מערכות המידע הולך לכיוון של אוטומציה מבוססת AI, ניהול זהויות מתקדם ואבטחה אוטונומית המשלבת מודלים של Zero Trust עם יכולות זיהוי איומים פרואקטיביות.
אם מנמ”ר אחר שואל אותך: ענן ציבורי, פרטי או היברידי ולמה. מה תענה?
לא פעם התשובה לשאלה הזו תלויה בסוג הארגון, הצרכים האסטרטגיים, סוג המידע שיש בארגון והדרישות הטכנולוגיות שלו. כיום אפשר להמליץ על שימוש בענן היברידי, שמשלב בין אבטחה גבוהה לגמישות עסקית. כלומר, ענן היברידי מספק גם את יתרונות הענן ציבורי בכל הנוגע לסקיילביליות, שמאפשר להרחיב או לצמצם משאבים בצורה דינמית לפי צורכי הארגון, ואת יתרונות הענן הפרטי, בעיקר כשקיימים צרכים רגולטוריים, רגישים או ייחודיים.
בעולם מקביל אם לא היית CISO, במה היית עוסק?
יזמות, כספים, נדל"ן, השקעות.
איזה גאדג’ט אתה הכי רוצה לקנות עכשיו?
הרובוט של טסלה, אופטימוס, הוא ללא ספק גאדג'ט שהייתי שמח שיהיה לי.
מקור: טסלה
איזה פודקאסט אתה שומע וכולם חייבים להכיר?
אחד הפודקאסטים שאני אוהב לשמוע הוא "Darknet Diaries" – פודקאסט שמציג סיפורים מעניינים מעולם הסייבר, כמו מתקפות סייבר, ריגול דיגיטלי, האקרים ופשעי רשת.
לאיזו חברה או מנמ”ר אחרים אתה רוצה לפרגן על עבודה טובה?
אני אוהב להסתכל על העבודה הטובה שעושים צוותי אבטחת המידע של חברות Saas ישראליות מובילות, לדוגמה WIX ו-monday.com. הם הצליחו להפוך שילוב של פתרונות צד שלישי כמו Cloudflare להיות חלק קבוע מהתשתית ולספק מערכות אמינות וחזקות יותר. גם הפתרונות של Palo Alto מספקים שכבת הגנה קריטית באבטחת תשתיות, ומאפשרים לחברות ליישם מדיניות אבטחה חכמה.
יש לך סיפור על מקרה מעניין, מצחיק או מעורר השראה שקרה במהלך הקריירה?
בחברה שבה עבדתי בעבר קיבלנו התראות על דליפת נתונים רגישים, אך לא הצלחנו לאתר את מקור הפרצה. אחרי חקירה מאומצת של כל מערכות האבטחה, גילינו שהאקר פרץ למצלמת אבטחה ישנה שהייתה מאחורי עמדת נציג שירות. באמצעות צפייה במסך הנציג דרך המצלמה, הוא הצליח לגנוב נתונים רגישים בלי לפרוץ ישירות למערכות שלנו. המסקנה היא כמובן שאבטחת מידע היא הרבה יותר ממחשבים – וכל מכשיר מחובר הוא פוטנציאל לפרצה.
ואחת לסיום: תן לנו טיפ לניהול עובדים.
תחשבו על העובדים שלכם כמו על משפחה. אנחנו מבלים יחד שעות רבות בכל יום, חולקים הצלחות ואתגרים, ולכן חשוב ליצור סביבת עבודה שבה כל אחד מרגיש שייך ושיש לו מקום לבטא את עצמו. זה מתחיל כבר בתהליך הגיוס 0 חשוב לגייס אנשים מתאימים שיכולים לצמוח יחד עם החברה. עובד שמתאים לערכי החברה לא רק ברמת המקצועיות שלו, אלא גם באופי, יחזיק מעמד זמן רב יותר ויתרום מעבר להגדרת התפקיד שלו.
בעיניי, חשוב לזכור שהשכר אינו הכל. שייכות, מוטיבציה והערכה אמיתית הם כוחות שמחזיקים עובדים לאורך זמן. אני מאמין שעובד שמרגיש שמקשיבים לו, שנותנים לו הערכה כנה ושמכירים בתרומתו, יהיה מחויב יותר לחברה ויהיה מוכן להתאמץ גם ברגעים קשים. תן לעובדים להרגיש שהם חלק מההצלחה – והם יהיו שותפים משמעותיים לדרך.
