מקצועות ליבה באבטחת מידע 1. מינהלן אבטחת מידע: ISAD
Information Security Administrator אחראי על מנגנון אישור ובקרת הרשאות גישה לאנשי הארגון במחלקת אבטחת מידע, על ניהול מערכת ה- IDM, על הגדרת מדיניות בקרת גישה למערכות מידע בחברה, אחריות על בקרות SOX הקשורות לעניין הרשאות גישה.
בדרך-כלל נדרשת הכרות עם סביבת Active Directory, היכרות עם מבנים ארגוניים טיפוסיים על מחלקותיהם, והכרות עם מבנה אפליקציות ארגונית, שרתים ומערכות הפעלה. בד"כ תבוצע הכשרה תוך כדי עבודה בארגון. 2. מיישם מערכות אבטחת מידע: ISSI
Information Security Systems Integrator אחראי להתקנה, הגדרה, תחזוקה ותפעול שוטף של כלי אבטחת מידע כגון: Firewall, IDS, IPS, Anti-Virus, Anti-Spam, Anti-Spy ועוד. בדרך-כלל יבוצע תפקיד זה באמצעות טכנאי המחשבים או מנהל הרשתות. בארגונים גדולים במיוחד יְיוּחד בעל מקצוע נפרד לתפקיד זה.
בדרך-כלל מדובר בבעלי רקע או הסמכה מהסוגים CheckPoint-CCSA, Cisco-CCNA, או Microsoft-ISA. ההכשרה: באמצעות גופים מסחריים המשווקים קורסים, או במקרים נדירים יותר – בהכשרה עצמית. קיימת הכשרה במכללת See Security. 3. מהנדס/ארכיטקט אבטחת מידע: ISE
Information Security Engineer אחראי לתכנון ולבניית ההגנה על מערכות ההפעלה, רשת התקשורת, הקוד והיישומים כנגד האקרים. את תפקידו יבצע באמצעות הנחיות למיישם אבטחת המידע. יימצא בארגונים כלליים בינוניים וגדולים ובחברות יעוץ ושירות בתחום אבטחת המידע. בחברות קטנות יבוצע התפקיד על-ידי מנהל הרשתות, מנהל הסיסטם או מנהל התקשורת. דרישות הסף הינן ידע במערכות הפעלה ותקשורת, ותחומי הידע הנדרשים: הקשחת תשתיות מיחשוב, הקשחת יישומים, כלים וטכנולוגיות אבטחת מידע והבנה של עולם התקיפה (האקינג). בדרך-כלל ימלאו תפקיד זה בעלי הכשרה ממסלול CISO של שיא, או בעלי ניסיון הכשרה עצמית בעלי הסמכת CISSP או בלעדיה. קיימת הכשרה (ידועה ומפורסמת) במכללת See Security, המשותפת גם לתפקיד מנהל אבטחת מידע. נדיר למצוא גופי הכשרה איכותיים נוספים למקצוע זה. לפיכך, עד לאחרונה היתה נהוגה במקרים רבים הכשרה עצמית. לבוחרים במסלול זה, מומלץ להשלים השכלתם בהמשך גם באמצעות תואר אקדמי בתעשיה וניהול, כלכלה וניהול, מנהל עסקים, ומסלולים אקדמאים בעלי אוריינטציה דומה. 4. מנהל אבטחת מידע ביח' המחשב: ISSO
Information Systems Security Officer תפקידו דומה לתפקיד מהנדס אבטחת המידע, אך כולל היבטים ניהוליים אחראי גם לניהול צוות אבטחת המידע. מיקומו – במחלקת ה- IT.
דרישות הסף הינן ידע במערכות הפעלה ותקשורת, ותחומי הידע הנדרשים: הקשחת תשתיות מיחשוב, הקשחת יישומים, כלים וטכנולוגיות אבטחת מידע והבנה של עולם התקיפה (האקינג), וניהול יחידת אבטחת מידע.
בדרך-כלל ימונה לתפקיד מהנדס בעל ניסיון. 5. מנהל אבטחת מידע ארגוני: CISO
Chief Information Security Officer תפקידו דומה לתפקיד מהנדס אבטחת המידע, אך כולל היבטים ניהוליים והיבטים הקשורים לטיפול בפן העיסקי – ניהול סיכונים, טיפול בהיבטי חוק ורגולציה, וטיפול בסתירה האינהרנטית שבין משימות האבטחה לצרכי הפתיחות של הארגון. במקרים רבים – אחראי גם לביצוע ביקורת טכנית ומינהלית על מנהל צוות אבטחת המידע. מיקומו בדרך-כלל, אך לא בהכרח – מחוץ למחלקת ה- IT. תחומי הידע הנדרשים: הקשחת תשתיות מיחשוב, הקשחת יישומים, כלים וטכנולוגיות אבטחת מידע והבנה של עולם התקיפה (האקינג), וכן מימשל אבטחת מידע וניהול יחידת אבטחת מידע.
בדרך-כלל ימלאו תפקיד זה בעלי הכשרה ממסלול CISO של See Security, או בעלי ניסיון מהכשרה עצמית בעלי הסמכת CISM או בלעדיה. ההכשרה – משותפת גם לתפקיד מהנדס, קיימת ב- See Security. נדיר למצוא גופי הכשרה איכותיים למקצוע זה. לפיכך – עד לאחרונה הייתה נהוגה במקרים רבים הכשרה עצמית. לבוחרים במסלול זה, מומלץ להשלים השכלתם בהמשך גם באמצעות תואר אקדמי בתעשייה וניהול, כלכלה וניהול, מנהל עסקים, ומסלולים אקדמאים בעלי אוריינטציה דומה. בדרך-כלל ימונה לתפקיד מהנדס בעל ניסיון. 6. מבקר אבטחת מידע: ISSA
Information Security Systems Auditor למעשה, יש להבחין בין שני מבקרי אבטחת מידע טיפוסיים. האחד – בעל רקע עמוק בארכיטקטורת אבטחת מידע בעיקר, אשר מתמחה בסוגים מסוימים של ביקורות לטכנולוגיות מסוימות, או לתהליכים ארגוניים. בדרך-כלל ימונה לתפקיד בעל הכשרת מהנדס-ארכיטקט. השני – בעל רקע בראיית חשבון בהתמחות ביקורת מערכות מידע, אשר משימתו כוללת גם ביקורת אבטחת מידע. בדרך-כלל יבצע את המשימה רואה חשבון חיצוני לארגון, הפועל מטעם פירמת ראיית חשבון המבקרת את הארגון, בעל הסמכת ISA. |
