חן חפר,ראש תחום אבטחת המידע בפירמת רו"ח Deloitte ברייטמן-אלמגור-זהר, רואה חשיבות גדולה בכך שיועצי אבטחת המידע של Deloitte יהיו חברים מן המניין ב- IFIS – הפורום הישראלי לאבטחת מידע

על הארגון

חברת Deloitte & Touche מעסיקה כ-170,000 עובדים מקצועיים ב-140 מדינות, המספקים שירותי ביקורת פנימית, ייעוץ מס, ייעוץ ניהולי וייעוץ פיננסי לשמונים אחוז מהחברות המובילות בעולם. בישראל בלבד מעסיקה החברה למעלה מאלף עובדים מקצועיים אשר נותנים שירותים פיננסיים ללקוחות הגדולים והמובילים במשק. בראיון אשר נערך במשרדו בקומה הארבעים ושלוש של מגדלי עזריאלי , מסביר חפר, הממונה על אבטחת המידע בארגון, כי חברת Deloitte  והעובדים בה נדרשים לשמור על סטנדרט גבוה של אבטחת מידע, ומשתף אותנו בגישתו לגבי נושאים שונים ביניהם גישת אבטחת המידע בפירמה, שירותי ענן, דעתו האישית על IFIS ואף על גישתו לגיוס עובדים.

חפר, נשוי ואב לשלושה, מביא עמו ניסיון עשיר מחברת DataSafe  בה עמד בראש חטיבת הפרויקטים ומבנק לאומי בו ניהל פרויקטי אבטחת מידע אסטרטגיים ורגולאטורים. "אני משתדל לשמור על קשר הדוק עם לקוחות וספקים כאחד על מנת לשמור על עדכניות באשר לנוגע בשוק אבטחת המידע בישראל. בנוסף, עומדת לרשותי רשת מומחי אבטחת המידע של הפירמה ברחבי העולם, המונה כ- 10,000 מומחים אשר מאגדים יחד צבר מידע עצום בכל הנוגע לאבטחת מידע, ומהווים מקור איכותי לעדכונים ולחדשנות בתחום. בתור חבר בפורום CISO אני משתדל להתעדכן כמה שיותר בפורומים, בכנסים ובספרות מקצועית".

מהי תפיסת העולם בנוגע לאבטחת המידע בפירמה?

"ב- Deloitte, מבינים כי אבטחת המידע היא תהליך מתמשך ולא פרויקט עם Dead line, ותוכניות העבודה נגזרות מתפיסה זו. החברה מחויבת לעמוד בדרישות אבטחת המידע לפי סטנדרטים שמציבה לעצמה וכאלו שמציבים לה לקוחותיה בישראל ובחו"ל. Deloitte ישראל הגדירה כי אחד מיעדיה לשנה הקרובה הוא לעמוד בתקן אבטחת המידע ISO 27001. שמירה על חיסיון המידע של לקוחות הפירמה הינו ערך מוביל ואנו גוזרים מכך את יעדי אבטחת המידע לאורך זמן."

בשנה האחרונה, הפירמה בישראל הקצתה משאבים משמעותיים לשיפור תשתיות אבטחת המידע. חפר מספר כי צוות אבטחת המידע שבניהולו מבצע מדי שנה סקר סיכונים פנימי לפירמה ובהתאם לתוצאותיו מחליטה הפירמה על סדרי העדיפויות לקידום תשתיות אבטחת המידע בארגון. "החברה מבצעת סקרי Penetration testing הן ע"י מומחים מבית והן ע"י חברות אבטחת מידע חיצוניות. כמו כן הושם דגש על שיתוף פעולה יעיל עם ממוני האבטחה הפיזית של הארגון במטרה ליצור את הסינרגיה האמיתית והמתבקשת בין אבטחת המידע והביטחון הפיזי".

כיצד אתם מעלים את מודעות העובדים לנושא אבטחת המידע?

"אנו מפתחים היום תוכנית הדרכה אשר כל עובד בחברה, בין אם הוא רו"ח, עו"ד שותף בכיר או מזכירה יעשו בה שימוש על מנת להבין את חשיבות אבטחת המידע, והדרכים לשמור עליו. אנו מבצעים ביקורות באופן שוטף אשר מטרתם אינה להעניש אלא בכדי ללמוד מהממצאים ולקדם את הארגון לרמת מודעות גבוהה יותר. אני בהחלט יכול להעיד על כך ממקור ראשון כי העומדים בראש הפירמה רואים חשיבות גבוהה ביותר לנושא אבטחת המידע ונותנים לכך רוח גבית חשובה והכרחית".

האם בדלויט נצפית מגמה גוברת בישראל של מעבר לשירותי Cloud Computing וכיצד מעבר שכזה יכול להשפיע על רמת אבטחת המידע?

"לדעתי אכן קיימים יתרונות רבים במעבר לשירותי ענן, אך המעבר טומן בחובו שינוי תפיסת עולם מבחינת אבטחת המידע. המנהלים וממוני אבטחת המידע ייאלצו להפנים כי המידע אינו נשמר בחסותם אלא אצל גורם צד ג' עליו הם יצטרכו לסמוך בכל הקשור לאבטחת מידע – וזאת בהתבסס על חוזים ובקרות נוספות. זהו שינוי מהותי והוא רחוק מאד מלהיות פשוט. לדעתי, לקוחותינו מצפים מאיתנו שבתור פירמה בינלאומית מהגדולות בעולם נדע להגן על המידע בעצמנו בתוך גבולות הארגון. בסופו של דבר ארגונים יטמיעו את שירותי מחשוב ענן רק במידה וה-ROI  יוצג כמשתלם משמעותית. נותני השירותים יאלצו לפני כן להשקיע רבות בחשיבה על נושאי אבטחת המידע השונים – מידור מידע ומניעת זליגות ודלף מידע בטרם יספקו ללקוחותיהם שירותי מחשוב ענן. כרגע אני לא רואה נהירה לנושא בקרב ארגונים גדולים ומסורתיים."

מה דעתך על IFIS?

"לדעתי עצם קיומו של ארגון אשר ירכז מקצועית ויקדם את תחום אבטחת המידע בישראל הוא דבר מבורך אשר כולנו נהנים מפרותיו בהווה ועוד נהנה אף יותר בעתיד. אני אישית חותר לכך כי העובדים בתחום אבטחת המידע של הפירמה יהיו חברים בIFIS  על מנת שיוכלו להפרות ולפרות מהכוח המקצועי של ארגון כזה. הקורסים המקצועיים, הוועדות ותתי הוועדות שהארגון מציע מהוות קרקע חשובה לפיתוח וקידום תחום אבטחת המידע בישראל. כמו שלרואי החשבון יש את לשכת רואי החשבון אשר מציעה השתלמויות, כנסים ועוד, כך גם חשוב שלתחום מקצועי חשוב כמו אבטחת מידע יהיה גוף מרכז. עצם העובדה שבראש הארגון עומד האלוף במיל' עמידרור, נותנת לנושא דחיפה עצומה ומבורכת. העלות הכספית לאדם לעומת הרווח המקצועי שניתן לקבל בהחלט מצדיקה את הצטרפותם של רבים לארגון."

האם תוכל לספר מהו הפרופיל המקצועי אשר נדרש בשביל לעבוד בתור יועץ אבטחת מידע מטעם Deloitte?

"המוטו של Deloitte הוא הסטנדרט למצוינות, וגם באבטחת המידע אנחנו שואפים תמיד לשמור על הרמה הגבוהה ביותר. כיום אנו מחפשים בעובדים את הכישורים הטכנולוגיים עם ניסיון Hands-on יחד עם ראייה מתודולוגית והבנה טכנולוגית. לדעתי חשובה גם ההסמכה אשר מועמדים מגיעים איתה. ללא ספק מועמד אשר מגיע ומתמודד על תפקיד אשר מצריך ידע מתודולוגי רב, הסמכת CISSP  הבינלאומית תתרום לו רבות. למועמדים טכנולוגיים הסמכות טכנולוגיות נישטיביות בכלל והסמכת CISO  בפרט יהוו יתרון משמעותי יותר כיוון שההסמכה מכסה מגוון של נושאים טכנולוגיים רלוונטיים בתחום, ואני באופן אישי מכיר חלק מהמרצים בתחום ויכול להיות סמוך ובטוח שהעובדים תחתי למדו מהטובים ביותר."

הראיון נוהל ע"י ניר פרי, וועדת יחס"צ של IFIS ביום 10 באוגוסט 2009.