המשרות שלי

10 הטעויות הנפוצות בבחירת CISO לסטארטאפ

10 הטעויות הנפוצות בבחירת CISO לסטארטאפ

בשעה טובה החלטתם לגייס CISO (מנהל אבטחת מידע) לסטארטאפ, אז מה עכשיו?

בשנים האחרונות חברות סטארטאפ רבות מבינות שנושא אבטחת מידע הופך להיות קריטי יותר ויותר, הן בהיבט של המוצר שהן מייצרות והן בהיבט של תשתיות המיחשוב של החברה, התהליכים, המדיניות, הנהלים והוראות העבודה בארגון.

חברות ש״נולדות״ בענן ולא מכירות את המושג on-prem הן חלק מהנוף הנוכחי, מה שמאתגר פרדיגמות אבטחה קלאסיות והופך את תחום אבטחת המידע לשיקול אסטרטגי. על אחת כמה וכמה נכון הדבר, בעולם שבו הפרטיות עוברת לקדמת הבמה ונתמכת ברגולציות נשכניות כגון GDPR, ו- CCPA.

בשלבים הראשונים נושא אבטחת מידע מטופל בדרך-כלל תחת גוף הפיתוח או התשתיות/IT אבל בשלב מסוים לאחר שהחברה גדלה, כשהמוצר בשל וכאשר הלקוחות דורשים ומתעקשים על סטנדרט “חדש” של אבטחה – אזי הסטארטאפ מבין, לעיתים “בעל כורחו” כי נדרש מנהל אבטחת מידע אשר ירכז את כל נושא אבטחת המידע תחתיו.

מדובר בסטארטאפים בשלבים שונים בחייהם, בד”כ בין 50-500 איש.

אז מה כוללת אחריות ה- CISO? 

בד”כ מנהל אבטחת המידע אחראי על הנושאים הבאים:

  • תשתיות אבטחת מידע
    • תכנון טבעות ההגנה הטכנולוגיות
    • סיוע בבחירת מוצרי ההגנה
    • הנחיה בנוגע להטמעה, לתפעול ולתחזוקה של מוצרים כמו FW, DLP, NAC, WAF או קלאוד  וסביבות production (לעיתים באחריות משותפת עם ה- IT אשר אמון על ההטמעה והיישום בפועל)
  • רגולציה, מתודולוגיה ומענה ללקוחות: סקרי סיכונים, נושאי פרטיות, הרחבת המודעות של העובדים והשותפים, התאמה לתקנות ולדרישות של לקוחות כמו ISO27001, GDPR
  • אבטחת מידע אפליקטיבית במוצר/פיתוח: ליווי תהליכי פיתוח מאובטח ותהליכי SDLC, הדרכות של מפתחים, הנחיה של בדיקות חדירות חיצוניות והטמעת הממצאים
  • טיפול באירועי אבטחת מידע: אם מול הארגון ואם מול המוצר, ע”י איש אבטחת מידע/אנליסט SOC או גוף חיצוני במודל MSSP.

אז מדוע חברות סטארטאפ רבות לא מצליחות לגייס מנהל אבטחת מידע גם לאחר חודשים ארוכים?

להלן 10 הטעויות הנפוצות בבחירת CISO  לסטארטפ (ופתרונות אפשריים)

1. הגדרת התפקיד:

מכיוון שמדובר בפעם הראשונה שהסטארטאפ מגייס איש/מנהל אבטחת מידע, למעשה אין מי שיגדיר בצורה נכונה את התפקיד ואת סמכויותיו. בד”כ האחריות מתחלקת בין מנהל הפיתוח/CTO, מנכ”ל ומנהל הIT אבל אף אחד מהם לא מתמצא בכל התחומים של אבטחת המידע. התוצאה: קודם מראיינים הרבה מועמדים, ורק אז – מגדירים “תוך כדי תנועה”.

הפיתרון: לקבל יעוץ מוקדם של אבטחת מידע חיצוני (בד”כ ברמת CISO) שיגדיר ביחד עם הארגון את הצרכים, ובשאיפה ילווה גם את תהליך הגיוס

2. כפיפות ארגונית:

מכיוון שהתפקיד לא הוגדר היטב גם הכפיפות היא בהתאם למי ש”חזק” יותר בארגון או זמין לנהל את ה- CISO. בד”כ זה יהיה סמנכ”ל פיתוח/CTO או סמנכ”ל מערכות מידע/IT או COO. במקרים בודדים בלבד, הארגון יקבע שה- CISO יהיה כפוף למנכ”ל.

בפועל ה- CISO הוא בעיקר גוף מנחה ולכן לא מומלץ שישב תחת הגוף שהוא מנחה אותו. שגיאה בסיסית מסוג זה גורמת למועמדים פוטנציאליים רבים לדחות את ההצעה לתפקיד.

הפיתרון: ה- CISO צריך לשבת תחת המנכ”ל או תחת סמנכ”ל בכיר שאינו עתיד להיות מונחה על-ידי ה- CISO, כמו למשל, ה- COO.

3. טייטל:

הגדרת תפקיד שאינה תואמת את דרישות הארגון, הסמכויות שאינן ברורות חוסר הבנה של האחריות המתלווה לתפקיד  – מתורגמת למיקום לא אופטימלי בעץ הארגוני. כתוצאה גם הטייטל שהתקבל הוא “משונמך”, החל מ- Security expert והמשך ב- Security manager, מה שמרתיע מועמדים בכירים.

הפיתרון: טייטל בכיר, לכל הפחות Director  או Chief information security ובשאיפה VP security. ניתן גם להתאים את הטייטל לבכירות של המועמד שהתקבל.

4. ניהול או הנדס הון?

מכיוון שמדובר בפועל באיש אבטחת המידע הראשון, יש נטייה שהוא יוכל לעשות או לדעת “הכל” וגם להיות Hands-on בהכל. בפועל, CISO בכיר יכיר את מרבית התחומים אך לא יהיה Hands-on בכולם, אלא בעיקר בתחום שממנו הגיע (IT/תשתיות, פיתוח או רגולציה).

הפיתרון: במידה ויישאר לשנה הקרובה ללא צוות תחתיו, מומלץ לחזק אותו ע”י יועצים / פרילאנסרים בתחומים בהם פחות חזק, עד שיוכל לגייס אנשים נוספים תחתיו.

5. תיאור תפקיד

מכיוון שהתפקיד לא הוגדר היטב אז בד”כ תיאור התפקיד יכיל “רשימת מכולת” של כל התחומים שתחת אחריות ה- CISO, או לחילופין רשימה חלקית שמתייחסת לתחום אחד או שניים שקריטיים לארגון. כתוצאה מכך הסטארטאפ יוצף בקורות חיים לא רלבנטיים , בכירים או זוטרים מידי.

הפיתרון: לאחר הגדרת תפקיד וסמכויות, ניתן יהיה להחליט מה התחומים שיהיו באחריותו, תוך חלוקה ברורה בין דרישות חובה (למשל GDPR) או דרישות שהן יתרון (למשל רקע בפיתוח). ישנם מאמרים רבים לגבי אחריות ה- CISO ורצוי לבנות לפי mind map של תחומי הסקיוריטי השונים, כמו זה  למשל.

6. ניסיון בCloud/SaaS

רבות מחברות הסטארטאפ עובדות בסביבת Cloud/SaaS, הן בסביבת פיתוח והן בסביבת Production ולכן הדרישה העיקרית היא למצוא CISO עם ניסיון בסביבות אילו ורצוי עם מוצר SAAS. דרישה נוספת היא רקע בפיתוח. כאן קיימת בעיה רצינית. אין הרבה מועמדים מסוג זה, והקיימים – מאוד מבוקשים.

הפיתרון: כמו כל טכנולוגיה, גם טכנולוגיות כאלו ניתן ללמד ולהכשיר. לחלופין, ניתן לקחת מועמדים שעבדו בחברות ייעוץ  בתפקידי CISO As a Service ונחשפו לסביבות מסוג זה. בהתחשב במחסור, רק במקרים חריגים זו תהיה דרישת סף.

7. טווחי שכר

רוב הסטארטאפים עובדים עם טבלאות ידועות כמו טבלאות צבירן או טבלאות מאתרי דרושים, ולכן הם אינם מכירים את טווחי השכר בעולם אבטחת המידע. כתוצאה, לעיתים מזומנות השכר נמוך מידי לדרישות או לרמת הבכירות של המשרה. בנוסף השכר בהייטק כמעט תמיד יהיה יותר גבוה מתפקיד מקביל בארגון Low-Teck ולכן מועמדים רבים נושרים מיד עם תחילת התהליך

הפיתרון: לעבוד עם טבלאות שכר מותאמות לתחום, הטווחים יכולים להיות רחבים יחסית (בממוצע 35-45) ועליהם נוספים תנאים כמו אופציות  ורכב. מומלץ לבנות חבילה גמישה שתתחשב בשכר/רמת הבכירות של המועמד ורצונו בשכר או אופציות גבוהים יותר.

8. ניהול התהליך

מכיוון שנושא הסמכות והאחריות מתחלק בין מספר גורמים בארגון, קיימת נטייה כואבת ומכשילה של “התשת” המועמדים עם מספר רב של מראיינים ממחלקות שונות (IT, פיתוח, ארכיטקטורה, ובכירים משיקים עד רמת המנכ”ל). היכולת לקבל החלטה מורכבת, עתירת התנגשויות אינטרסים, ולאחר שהמועמד עבד מספר ראיונות רב והותש כליל. במנגנון המסובך ורווי האינטרסים, המועמד נשאר מבולבל בנוגע למהות התפקיד, ומלא חששות. לעיתים המועמד מרואיין אצל המנהל הישיר רק אחרי שעבר מספר רב של ראיונות סינון.

הפיתרון: מדובר בתפקיד בכיר ולכן רצוי שהמנהל הישיר יהיה הראיון הראשון או השני, כדי לראות את הכימיה ביניהם וגם כדי לתאם ציפיות לגבי התפקיד. תפקיד ה- HR הוא לסנכרן בין כל הראיונות, לזרז את התהליך במידת הצורך ולוודא שכל המראיינים מיושרים על דרישות התפקיד.

9. תפסת מרובה לא תפסת

אז ראיתם הרבה מועמדים, חלק נשללו ויש אחרים שהתאימו חלקית. בפועל הסטארטאפ ממשיך לראיין בשאיפה למצוא את המועמד “המושלם” שיענה על כל הדרישות ואין מועמד כזה, כך שהתהליך נגרר חודשים ארוכים.

הפיתרון: כמו כל משרה בכירה יש להגדיר היטב את הקריטריונים לבחירה, במה ניתן להתפשר ובמידת הצורך להיעזר בממליצים חיצוניים בתהליך כדי לקבל החלטה סופית.

לסיכום:

אין דבר כזה “איש אבטחת מידע”. בענף הסייבר מוגדרים היטב בעלי תפקיד ומקצוע שונים, וחוסר ההיכרות שלכם עם התפקידים והאחריות הנובעת מכל אחד מהם, עלול להיות בעוכריכם. ה- CISO אינו כל-יכול, ואינו Super Cyberman.

גיוס של מנהל אבטחת מידע ראשון לסטארטאפ היא משימה מאתגרת, אך אפשרית.

יש להגדיר את התפקיד היטב תוך היעזרות באנשי מקצוע מהתחום, לנהל את התהליך בצורה מסודרת תוך היעזרות במגייסים המתמחים בתחום זה, ולהישאר גמישים לאורך התהליך כדי למצוא את המועמד המיטבי (אך לא בהכרח “המושלם”) עבור ארגונכם.

בהצלחה!

למידע נוסף על תפקיד מנהל אבטחת מידע ושכר

לרשימת משרות מנהל אבטחת מידע

 SeeHR הינו הגוף המקצועי והמתקדם ביותר בישראל בתחום גיוס עובדים והשמת עובדים לתחום  IT, אבטחת המידע והסייבר.

אנו מגייסים לתחומים של תשתיות IT, תקשורת, אבטחת מידע, פיתוח תוכנה, מחקר, ועוד

צור קשר