"להגן על שרתים זה כמו לרכוב לעבודה על סוס"
שחר גייגר מאור, CISO בחברת Fullpath, מעדיף לא לשמוע פודקאסטים, אומר ש"האויבת הגדולה של CISO היא תחושת הנוחות" ומסביר למה היה לו חשוב לאפשר אינטרנט כשר לעובדות במשרד
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח שחר גייגר מאור, מנהל אבטחת מידע (CISO) בחברת Fullpath. שנתחיל?
היי שחר, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
נכנסתי לתחום לגמרי במקרה. מילאתי מספר תפקידים בתחום אבטחת מידע, ואז הזדמן לי להיות CISO ראשון בחברת Fiverr, שהייתה אז עדיין חברה פרטית. עבורי זה היה בית ספר מדהים לחדשנות וטכנולוגית התקדמתי שם מאוד. לאחר שלוש שנים החלטתי לעשות שינוי ולהגשים שני חלומות במקביל: להצטרף לסטארטאפ Compete (כחלק מהנהלה) ולפתח מיזם ביחד עם מספר חברים לתעשייה להקמת מיקרו-קרן להשקעה בסטארטאפים (Kmehin, כמהין). אחרי תפקיד נוסף כסיסו הגעתי ל-Fullpath כדי להקים את תחום אבטחת המידע בחברה. זו הפעם הרביעית שיוצא לי להצטרף לחברה ולקדם אותה משמעותית בתחום, וזה מדהים בכל פעם מחדש.
שחר גייגר מאור, מנהל אבטחת מידע (CISO) בחברת Fullpath. "נכנסתי לתחום לגמרי במקרה"
ספר לנו קצת על Fullpath והתחום שבו היא פועלת.
Fullpath פעילה בתחום הרכב האמריקאי. היא פיתחה פלטפורמת SaaS שנועדה לעזור לסוכנויות רכב אמריקאיות (ויש המון כאלה) וליצרניות רכב לרכז ולמנף את המידע שברשותן, על מנת להגדיל את מספר הלקוחות והמכירות. החידוש הגדול מורכב מהיכולת של החברה להביא מידע מהרבה מקורות שונים שלא ״מדברים״ אחד עם השני, לאסוף אותם למערכת אחת ולהפוך את המידע לבעל ערך אמיתי לסוכני הרכב. השילוש של מידע, טכנולוגיה ושירות ערך מוסף, הופכים את הפלטפורמה לאטרקטיבית במיוחד.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
האויבת הגדולה של CISO היא תחושת הנוחות. זה תפקיד שקשה לישון בו טוב. הצוות שלי ואני נמצאים בשלב הכי רגיש: השלב בו מיפינו כבר את רוב אזורי הסיכון בחברה ועכשיו אנחנו מתחילים לסגור את הפערים. זה דומה לאדם שמרכיב משקפיים בפעם הראשונה ופתאום רואה את כל הליקויים; עכשיו צריך לתקן. המזל שלי הוא שבחברה השקיעו הרבה בתרבות המקדמת אבטחת מידע, ולכן רבים מהפערים שראיתי במקומות אחרים לא היו כאן. מצד שני, יש לא מעט אתגרים כי החברה עסוקה בצמיחה מהירה ובתנועה מתמדת. בנוסף, אנחנו נהנים משיתוף פעולה יוצא דופן שמתחיל בהנהלה הבכירה ומסתיים בעובדים החדשים.
באיזה תהליך שהובלת את הכי גאה?
אני גאה מאוד בצוות שלי. חלקו חדש מאוד כמוני, ובכל זאת כבר הביא לשינוי תפיסתי בארגון. אנחנו מנהלים כיום שלושה דומיינים שונים: אבטחת מידע, IT ו-DevOps. את שלושתם הצלחנו לקדם בצורה משמעותית בזמן מאוד קצר. לגבי פרויקטים, אחד הפרויקטים שאני מאוד גאה בו הוא פרויקט הניטור, שאותו הוביל מנהל הדבאופס אצלנו. ניטור הוא עניין תפיסתי והיכולת לשנות זאת בקרב אנשי פיתוח – שאמורים לשנות את הדרך שבה הם עובדים – דורשת הבנה מעמיקה בצרכים שלהם ודחיפה תמידית שלנו להשתמש ביכולות שאנחנו מציעים בתחום. באופן כללי, אני שם לב לאימפקט שלנו על החברה, על התהליכים בה ועל ההתקדמות שאנחנו תורמים לה בכל הקשור לחיזוק התשתיות והכנתן לקפיצה העסקית הבאה.
מיפינו כבר את רוב אזורי הסיכון בחברה ועכשיו אנחנו מתחילים לסגור את הפערים. זה דומה לאדם שמרכיב משקפיים בפעם הראשונה ופתאום רואה את כל הליקויים; עכשיו צריך לתקן
אילו שינויים יעבור לדעתך שוק אבטחת המידע בשנים הקרובות?
אבטחת מידע היא תחום דינמי המתפתח בהתאם לטכנולוגיה. יש תחומים בהם אבטחת המידע מצליחה לשמור על קצב דומה לטכנולוגיה שעליה היא מגנה, ויש מקומות שהפער גדול. במהלך השנים ראיתי לא מעט מקרים שיישום העקרונות הבסיסיים מכסה בדרך כלל את מרבית הבעיות (בקרת גישה, ניהול הרשאות, הצפנה וכן הלאה). מבחינת טכנולוגיה אני רואה שימוש גובר ב-AI כחלק אינטגרטיבי במוצר (שלנו בפרט, ובכלל בתעשייה), מה שמאפשר המון גמישות והתייעלות בכל הקשור לניהול משאבים. יש כלים שמאפשרים חיסכון אמיתי בכוח אדם על ידי שימוש במודלי שפה. מבחינתי מה שמישהו אחר כבר עשה, אין טעם שאני אעשה ידנית – תשאל את הצ׳אט. מודלי השפה השונים מאפשרים לצמצם את העיסוק במשימות שאינן ליבתיות ומאפשרים לנו למקד את עצמנו באמת במה שצריך.
אם מנמ”ר אחר שואל אותך: ענן ציבורי, פרטי או היברידי ולמה. מה תענה?
אני מניח שזה תלוי בצורך, ברגולציה ובמצב החברה. לי באופן אישי אין איזשהו עניין לעבוד בחברות שמחזיקות תשתית פרטית, משום שעולם התוכן שממנו אני בא מבוסס על SaaS וענן ציבורי. במקומות המעטים שבהם הייתה לי תשתית פרטית, העברתי הכל ביחד עם הצוות שלי לענן, ובשאיפה לשירות SaaS מלא. להגן על שרתים זה כמו לרכוב לעבודה על סוס.
בעולם מקביל אם לא היית CISO, במה היית עוסק?
אני מת לחזור לחקלאות. גדלתי בשדות. עד הצבא עבדתי בשדות יום בשבוע כחלק מתוכנית הלימודים שלי. זה מה שהיה מקובל פעם. אני עדיין חולם על שילוב של שבוע עבודה עם יום בשבוע על הג׳ון דיר, לפתוח תלמים – אני, האדמה והשמיים.
פינצ׳ר מעורב עם ג׳ק ראסל. מחסל מכונות ירי של כדורי טניס
איזה גאדג’ט אתה הכי רוצה לקנות עכשיו?
אני מחפש מכונת "ירי" של כדורי טניס לכלב שלי (פינצ׳ר מעורב עם ג׳ק ראסל). כזאת שהוא לא יצליח לשבור. השתיים הקודמות סיימו את תפקידן לאחר כשבוע.
איזה פודקאסט אתה שומע וכולם חייבים להכיר?
אני חייב לציין שאין לי הרבה סבלנות לשמוע פודקאסטים ואני מעדיף מוסיקה באוזניות. באופן כללי אני סקפטי מאוד לגבי מידע שאני צורך ברשת, ואולי מה שאני אגיד עכשיו אולי יישמע מוזר אבל – WhatsApp. כן כן, גיליתי שאם אני נמצא בקבוצות הנכונות, כל המידע שאני צריך מגיע לשם. יש המון שטחיות ובורות בדיון הציבורי, ואני מוצא את עצמי מעמת את הילדים שלי לא פעם עם "נתון״ או ״עובדה״ שהם שולפים משיחה ששמעו בפודקאסט או לייב של מישהו.
זה אולי יישמע מוזר אבל – WhatsApp. כן כן, גיליתי שאם אני נמצא בקבוצות הנכונות, כל המידע שאני צריך מגיע לשם. יש המון שטחיות ובורות בדיון הציבורי, ואני מוצא את עצמי מעמת את הילדים שלי לא פעם עם "נתון״ או ״עובדה״ שהם שולפים משיחה ששמעו בפודקאסט או לייב
לאיזו חברה או מנמ”ר אחרים אתה רוצה לפרגן על עבודה טובה?
יוסי עמרה, CIO ב- Outbrain. הוא הראשון שנתן לי הזדמנות וממנו למדתי המון על התחום. ואני רוצה לפרגן גם לגיא חנוכי מ-Fiverr, שלימד אותי לתת צ׳אנס לחברות סטארטאפ ישראליות וממש הפכנו את זה לתפיסת עולם.
יש לך סיפור על מקרה מעניין, מצחיק או מעורר השראה שקרה במהלך הקריירה?
אחד הסיפורים הכי מקסימים שהיו לי בקריירה קרו ממש כאן ב-Fullpath, וזה קרה רק בגלל שהחומר האנושי פה מאוד מיוחד ובעיקר שונה בתכלית מהסטיגמה של הייטקיסטים. משרדי החברה נמצאים בירושלים ובתל אביב, והצוות מורכב מכל גוני הקשת הישראלית – מנהלות דתיות שבצוותי הפיתוח שלהן יש עובדים מוסלמים; מנהל מוסלמי שיש לו צוות עם עובדים יהודים, דתיים וחילונים; צוותים מעורבים של מפתחות חרדיות לצד חילונים גמורים. הירושלמיות שמחלחלת משלושת המייסדים של החברה ביחד עם התל אביביות, מביאה שילובים מופלאים שמספרים בצורה הכי טובה את ההצלחה של ההייטק הישראלי.
אז מה קרה לי כאן? במהלך השבועות הראשונים שלי בחברה מצאתי את עצמי יושב מול שתי מפתחות חרדיות שהציגו בעיה שמעולם לא חשבתי שאתקל בה. הן שאלו אם אאפשר לעובדות חרדיות להתקין ״אינטרנט רימון״ על המקבוק שלהן. למי שלא מכיר, מדובר בספק אינטרנט כשר, שמפעיל יכולות מתקדמות של סינון אתרים ומחייב את המתקין ״לפתוח״ בפניו את כלל תעבורת התקשורת על המחשב.
"אינטרס ברור להתקין אינטרנט כשר". תמונה: dreamstime
הדילמה למנהל אבטחת מידע במצב כזה היא אם לאפשר לעובדת להתקין מערכת שתעקוף את כלי ההגנה שלנו, כדי שהיא לגלוש בצורה כשרה על מחשב של עבודה. לכאורה יכולנו לדחות את הבקשה והעובדות היו מקבלות את זה בהבנה. מצד שני, רצינו לבדוק אם ניתן למצוא פתרון שיאפשר להן לעבוד בצורה נאותה מבחינתן. חשוב להגיד שאם לא היינו מוצאים פתרון, זה עלול היה להערים קשיים בגיוס מפתחות חרדיות נוספות, שכן מדובר בשאלה נפוצה בראיונות בקרב מועמדות.
בקיצור, יש לנו אינטרס ברור למצוא פתרון. לאחר מספר לא קטן של שיחות עם הספק ובירורים טכניים של פתרונות שונים ומשונים, הצלחנו להגיע לנוסחה שתאפשר עבודה עם התקן של רימון על עמדת עבודה של החברה. הפתרון כלל החרגה של מספר מערכות קריטיות ממערכת הסינון של החברה. זה לא היה דבר של מה בכך, שכן החרגה של שירות אינטרנט עלולה לפסול את הכשרות של הפתרון. לשמחתנו, הם קיבלו את הצעת ההחרגה שלנו וכך יכלו העובדות להתקין את המערכת ולעבוד בצורה מאובטחת על מהערכות החברה, וללא פגיעה באבטחת המידע.
ואחת לסיום: תן לנו טיפ לניהול עובדים.
סגנון הניהול שלי הוא: תן מרחב (space) ותאתגר (challenge). הכי נוח לי לעבוד עם אנשים שרוצים לרוץ קדימה ולקבל החלטות. עם השנים למדתי לדבר פחות ולתת לצוות את הבמה. אחד הדברים שאני שואל בראיונות הוא מה התחנה הבאה של המועמד/ת ואיך אנחנו יכולים להביא אותך לשם. אני מאמין שתפקיד של מנהל הוא לתת את הכלים לעובד/ת ולהכין אותם לשלב הבא בקריירה שלהם, בשאיפה שהם יבחרו שזה יהיה איתי.
