אלכס טושייף, VMware: "בסופו של יום, אני מנהל סיכונים ומנסה לאזן ביניהם"

"ישנם אתגרים רבים הניצבים בפני מנהלי אבטחת המידע בארגונים כיום. הסיכונים פנימיים וגם חיצוניים. בסופו של יום עלי לשקלל בין הסיכונים, לתעדף אותם, וללכת לסמנכ"ל הכספים ולתרגם את הסיכונים פעמיים – לדרישות תקציביות מחד ולמענה טכנולוגי מאידך", כך אמר אלכס טושייף, סגן נשיא ומנהל אבטחת מידע, VMware העולמית.

טושייף הגיע ארצה לשוחח עם מנהלי אבטחת מידע של ארגונים בישראל ולהיפגש עם חברות סטארט-אפ ישראליות בתחום הסייבר. הוא התראיין במסגרת פורום "שישו ושמחו" – מועדון מנהלי אבטחת המידע של VMware בישראל. האירוע, בהפקת אנשים ומחשבים, נערך שלשום (ג') בבית הבד במתחם שרונה בתל אביב.

טושייף משמש בתפקידו זה שנתיים. לפני כן היה מנהל אבטחת המידע של Pay Pal ובתחילת המילניום עבד בקרן ההשקעות St. Poul. "אני מהנדס בהכשרתי", אמר טושייף, "אבל החיים גלגלו אותי להפוך למומחה אבטחת מידע שמטפל בסיכונים. אני סוג של 'ג'נגלר' לסיכונים, מטפל בכל אחד מהם לחוד במידה הדרושה, ומשתדל לתת מענה לכולם יחד. בסופו של יום, אבטחת מידע היא עוד ניהול סיכונים".

צילום ועריכת וידיאו: ליאור רובינשטיין

האתגר הגדול שלו, אמר טושייף, "הוא הצורך לתת מענה לעובדים שרגילים לסביבת פעילות מסוימת מהיותם צרכנים פרטיים, ורוצים לשכפל את אותה חווייה לסביבת העבודה".

"העובדים רוצים לעבוד בכל מקום, בכל זמן והם רוצים את המידע זמין תמיד. אלא שבשנים האחרונות המגמה של BYOD לצד המגמה של 'צל IT' – במסגרתה העובדים עובדים עם הרכיבים הפרטיים שלהם, וצורכים שירותי IT בענן באופן עצמאי, משנה את יחסי הכוחות בתוך הארגון. אני לא מציין פה תופעה רעה, אבל זה דבר חדש, שנדרש להתייחס אליו".

לא לומר "לא" כל הזמן

"האתגר הוא בצורך למצוא איזון בין הגישה הצרכנית, של 'חופש לכל', אל מול הגישה השמרנית, המונעת הכל, כל הזמן. קל לומר 'לא', אבל לאורך זמן – זה לא עובד. ברור שאי אפשר ללכת לשני הקצוות, אלא נדרש למצוא בכל נקודת זמן את האיזון הנכון". אלא שבמצב זה, ציין, "טמונה גם הזדמנות: לשפר את חוויית המשתמש, ותוך כדי, להעלות את רמת האבטחה בארגון".

אחד האתגרים שכל ארגון נדרש להם, אמר טושייף, "הוא לצמצם את כמות המידע. המידע גדל בקצבים מטורפים, יש יותר מדי ממנו. אז צריך לוודא שהמידע נצרך כיאות, עם ממשל מידע, שנעשות פעולות לצמצום מידע שלא צריך, ומעל כל זה – נדרשת בקרה על כל התהליכים".

לא פעם, אמר טושייף, "אני נשאל האם צריך להוסיף ל-CIA, ר"ת של 'סודיות, אמינות, זמינות' – גם את הבקרה. למרות שאני עושה לא מעט בקרות, תשובתי היא – 'לא'. אנשי עושים כל מיני בקרות, למשל כשעובד עזב – לוודא שחוסלה הישות הארגונית שלו במחשב ושאין לו יותר גישה למידע. אבל הבקרות שלי נפרדות מהבקרות של מבקרי הפנים. בעיקר אני עסוק בבקרות על ה-IT".

לשנות את התרבות הארגונית

מימד נוסף בו הוא פועל, אמר טושייף, "הוא לנסות לשנות את התרבות הארגונית. עלי להביא למצב בו כלל יותר מ-20 אלף העובדים יהיו מודעים לסיכונים בכל עת".

"עובדי VMware בעלי יותר יכולות טכנולוגיות מארגון קמעונאי", ציין. "נראה כאילו אין הבדל גדול בין תפקיד כמנהל אבטחת המידע, או המקביל לי בבנק גדול. בפועל, זה לא כך. בבנק, לעובדים יש יותר מודעות שההתנהגות שלהם עלולה לגרום לפגיעה כספית בארגון. בבנק, האבטחה היא ב-DNA של כל עובד, כי היא מקושרת לכסף".

כך, אמר, "ב-VMware, כמו גם במקום העבודה הקודם שלי, אני עסוק בהקשבה לעובדים. אני הולך למנהלי צוותי פיתוח כדי לגשר יחד על פערי האבטחה הקיימים".

"האויב הנפוץ מבחינתי הם ההאקרים", ציין. "ככל ארגון גדול, אנו מהווים יעד לתקיפה, לטובת גניבת קניין רוחני. המניע של ההאקרים הוא כלכלי, הם מתמקדים במידע כי ניתן להוון את המידע הגנוב לכסף, ובמקרים לא רבים, גם להרבה כסף".

"התפקיד שלי נמצא בנקודה מאוד מעניינת", אמר טושייף. "אמנם אני כפוף ומדווח למנהל מערכות המידע בארגון, אלא שאני בעל עצמאות. כך, התקציב שלי אינו תלוי ואינו נגזרת מתקציב ה-IT, אלא הוא נגזרת של האיומים, אותם אני מציג לסמנכ"ל הכספים. בנוסף, אני מדווח גם ליחידת הבקרה בחברה".

"בנוסף לתקציב שיש לי מהארגון בכללותו, כ-20% ממנו אני מייצר מיחידות עסקיות בחברה, על שירותים שאני מספק להם. בסוף, אני מציג להנהלה את הסיכונים האינהרנטיים לארגון: אובדן הכנסות ורווח ופגיעה במוניטין".

משקפיים לניהול סיכונים

"המשימות שלי רבות, החל משינוי תרבות ארגונית, דרך הטמעת מוצרי אבטחה וכלה בטיפול באבטחת המידע בהיבט הטכנולוגי", אמר טושייף, "אבל בסוף, הכל נכנס למשקפיים של ניהול סיכונים. אני יודע על סיכון, משקף וממפה אותו על השולחן. אני רואה סיכון, מעלה את מודעות העובדים וההנהלה לקיומו. אני בוחן את מידת הפוטנציאל נזק שלו, מצמצם את יכולתו להתממש, ומפחית את משך הפגיעה שלו, אם הוא יקרה. במעט מקרים אבטח את הסיכון, כי ביטוח סייבר זה עסק יקר. לבסוף, ארצה לנהל את הסיכון – אם הוא יופיע".

בהיבט הטכנולוגי, ציין טושייף, "עלי לטפל ביותר מ-20 אלף עובדים, שחלקם נמצאים בקשר עם העולם החיצוני, ספקים וצדדי ג'. יש לי כ-60 טכנולוגיות ומוצרי אבטחת מידע, וכמו כל עמיתי, אני מנסה להפחית את הנתון הזה".

מבחינת חידושים טכנולוגיים, אמר, "מעבר למימוש תפיסת ארכיטקטורת שכבות אבטחת המידע הקלאסית, אנחנו עובדים על כמה דברים חדשניים: הכנסת בינה וחוכמה לעולם האבטחה, הכנסת מכונות לומדות לתחום, לימוד לעומק של התנהגות הרשת הארגונית, ניתוח רשתות וניהול מושכל של ישויות".

"עבדתי בקרן הון סיכון, אז אני מכיר את עולם הסיכונים", סיכם טושייף. "אם לא אוכל לתרגם את הסיכונים לטכנולוגיה ולתקציב – לעולם לא אוכל לאבטח כיאות את הארגון. בנוסף, צריך להיות קשוב לעובדים. אם לא תבין את נקודת המבט שלהם, לא תבין מה הם עושים ורוצים – בסוף זה יעלה לך יותר".