המסלול להכשרה ולהסמכת CISO

יועץ אקדמי: מר אבי ויסמן *

מבוא
פריחתו של ענף אבטחת המידע אינה דורשת הסבר. כמות הידע הנדרשת על-מנת להתמודד עם אתגרי ההתקפות ובעיות הסייבר תלויה בסוג התפקיד.
קיימים שישה תפקידי רוחב שונים, ומספר גדול עוד יותר של תפקידי התמחות, כפי שיוסבר בהמשך.
בין ששת תפקידי הרוחב הקיימים במערך אבטחת המידע, נמנים: מינהלן, מיישם (טכנאי), מומחה, מומחה בעל התמחות, מנהל אבטחה ב- IT, מנהל אבטחה ארגוני (CISO), ומבקר אבטחה. בנוסף, קיימים ’תפקידי עומק’ שמשמעו – בעל התמחות ספציפית (Pen-Tester, App-Tester וכו’).
התפקידים הזוטרים (מינהלן אבטחה ומיישם/טכנאי אבטחת מידע) מחייבים רכישת ידע בסיסי בהתקנה, הגדרה ותחזוקה של כלים בסיסיים (פיירוול, אנטי וירוס ודומיהם), ולצורך כך נדרש לימוד עצמי או קורסים בסיסיים כגון CCSA, CCNA, ISA ודומיהם (מסלול זה אינו מתאים לצורך זה).
אולם עיקר נטל האבטחה אינו מוטל על המיישמים, אלא על מתכנני מערך האבטחה ומעצביו (מהנדס/ מתכנן /ארכיטקט/ מומחה). כל ארגון נזקק לעמוד שידרה זה, והארגונים הקטנים מקבלים שרות זה באמצעות חברות היעוץ.
לכן, הדרישה ההולכת וגוברת למומחים ולמנהלי אבטחת מידע משכילים ובעלי ידע רחב ומעמיק, מחייבת רקע רחב ועמוק במיוחד, במסגרת מתודולוגית סדורה אשר תאפשר השתלטות על המידע הרב, וזו מהות המסלול.

מטרת התכנית
מסלול זה עוסק רק בדרגות האסטרטגיות – מומחה, מהנדס, ארכיטקט, מנהל ומבקר אבטחה, ואינו עוסק בתפקידי טכנאות אבטחה (לא בהתקנות ובתחזוקה).
המסלול יקנה לבוגר את היכולת להתמודד עם תפקיד ה- CISO ועם תפקיד ארכיטקט/מהנדס אבטחת מידע, יקנה יכולת לתכנן מערך אבטחת מידע, לבחור את הרכיבים הנכונים, ליישמו בטכניקה נבחרת, לעקוב ולנטר אירועי אבטחת מידע, לנתח ולהבין אירועי אבטחה, להגיב באופן מיידי והולם לאירועי האבטחה, ליזום ’סדר’ בפעילויות האבטחה הארגוניות, להתמודד עם הדרישות העסקיות, לקיים את החוקים, הרגולציות והתקנים הישראליים והבינלאומיים הנוגעים לנושא ולהציב עצמו כמועמד לתפקיד הבכיר של מנהל אבטחת המידע הארגוני.
על המרצים נמנים מובילי הענף, בהם: מנהלי אבטחת מידע ידועי שם, ומומחים מקצועיים המובילים בתחומם.

* יו’ר הפורום הישראלי לאבטחת מידע IFIS ומנכ’ל המכללה לאבטחת המידע See Security

קהל היעד
בעלי ידע מעשי בתחום התשתיות (מערכות הפעלה ותקשורת, ורצוי ידע בסיסי בכלי אבטחה בסיסיים) וכן בוגרי תואר ראשון או שני במדעי המחשב, הנדסת תוכנה\חומרה, המעוניינים לרכוש התמחות מקצועית וידע מעמיק וכן כלים ניהוליים בעולם אבטחת מערכות מידע ארגוניות (טכני וניהולי), לשם התמחות גבוהה בעולם אבטחת מידע וקבלת אחריות ניהולית ומקצועית בתחום הסיכונים העסקיים, ומעוניינים לגשת למבחני ההסמכה של CISSP או CISM או CEH.
המסלול איננו מתאים למתחילים.

תנאי הקבלה
● מיועד לבעלי רקע קודם בניהול רשתות Windows או Linux או באבטחת מידע או בפיתוח תכנה. נדרשת הכרת Windows, Linux, TCP/IP , Web ושירותים כגון:HTTP, SMTP, TELNET, FTP, DNS,.
● נכונות לעבודה עצמית מונחית רבת היקף (כ- 400 שעות לימוד ביתי).
● ראיון אישי.

מתכונת הלימודים
משך התכנית כ- 280 שעות, במתכונת של 70 מפגשים הפרושים על-פני כ- 35 שבועות. הלימודים מתקיימים בקמפוס See Security ברמת-גן. המסלול נפתח כ- 3 פעמים בשנה.

מטלות הקורס
● כל מודול נלמד מחייב עמידה במבחן פנימי בציון 75 לפחות. קיים מועד נוסף לנכשלים/נעדרים.
● חובת עמידה בעבודות בית המקנות ציון, ובעבודה מקיפה.
● בנושאים הטכניים - תרגול (Hands-on) בכיתה (מעבדת מחשבים).

זכאות לתעודה
● קיימת חובת נוכחות ב-80% מהמפגשים, ועמידה במבחנים/עבודות, בציון 70.
● לעומדים בדרישות התכנית תוענק תעודת הסמכה מטעם See Security ומכון התקנים:
’מנהל אבטחת מידע ארגוני בכיר – CISO’
● התוכנית נבנתה לצרכי ידע מעשי, ומשמשת כהכנה מלאה למבחני CISSP.

ה ע ר ו ת:
● פתיחת כל תכנית מותנית במספר הנרשמים.
● דמי ההרשמה אינם מוחזרים, אלא במקרה של אי פתיחת התכנית על ידי המכללה.
● דמי ההרשמה ומבחנים חיצוניים כלשהם אינם כלולים בשכר הלימוד.
● המכללה מביאה לידיעת הנרשמים והתלמידים כי ייתכנו שינויים במערך התכנית, במועדי הלימודים והבחינות
או בכל נושא אחר. הודעה על כל שינוי תימסר למשתתפים.

קורסים במסלול:
● סדנת סקירה – Thinking Security – מקורות הצורך לאבטחת מידע, מושגי יסוד באבטחת מידע, האיומים ואסטרטגיות התשובה עליהם, מקצועות האבטחה, התמחויות והסמכות.
● מכינת Networking & Protocols – סקירת רענון - מכינת חובה
● קורס Linux Fundamentals - קורס Basics Linux נכלל בתוכנית.
● קורס Hacking Techniques - כבעולם השחמט, אין די בהכרת תפקודם של הכלים השונים. עלינו ללמוד ’לשחק’. הקורס מכשיר להכרת עולם הטכניקות והכלים כאחד למשימות Penetration Testing. הקורס פורט לפרוטות את האיומים הקלאסיים לנכסי המידע הנגרמים ע’י גורם אנושי זדוני.

● קורס Architecting & Engineering Information Security - כבעולם השחמט, יש להבין אלו כלי עזר עומדים לרשותנו, מהי מהותם וכיצד להפעילם במלחמתנו בתוקף. לימוד המהויות של כל כלי, השימושים העיקריים בהם, ושילובם במערך אבטחה יעיל. הכלים והטכניקה משלימים זה את זה כחלק מהמענה הטכנולוגי לאיומים.
● מעבדת Windows Hardening – תכנון ההגנה על רשתות המידע באמצעות ההגנה על רכיבי הרשת התשתיתיים, שרתים ותחנות קצה באמצעות הקשחת מערכות ההפעלה שלהם?
● סדנת Secured development - כיצד יש לעצב, לחייב ולפקח על מפתחי תכנה? כמחצית חורי האבטחה אינם נוגעים לתשתיות מערכת ההפעלה והתקשורת, אלא לקוד הפיתוח ולאופן יישום האפליקציה הארגונית.

● קורס Security Governance - תחום הארגון והשיטות של עולם אבטחת המידע, ע’פ הפרקטיקה היום-יומית: האבטחה ISC2-CISSP, ISACA-CISM, תקני ISO 27000, SOX, DoD, PCI, ועל-בסיס החקיקה בישראל
והרגולציות הענפיות.
● קורס CISO Roles & Functions - מה עושה מנהל אבטחת המידע מדי יום? מהי רשימת משימותיו ומהו סדר הפעולות הנכון? כיצד הופך התוצר של כל פעולה לחומר גלם של הפעולה הבאה?התורה הבלתי כתובה של תפקודי ה-CISO.
● מרתון הכנה למבחן CISSP.
● עבודות: RFP & Security Architecture Design A + B .
● עבודה: הכנת תוכנית עבודה שנתית למחלקת אבטחת המידע.
● מבחנים נושאיים / קורסיאליים.