בהמשך לפוסט הקודם בנושא, שפרסמתי לפני קצת יותר משבועיים, בנוגע למשרות פנויות בחברה שלי, F5 Networks, נוספה כעת משרת פיתוח חדשה שמיועדת לסטודנט הלומד לתואר במדעי המחשב.
אם אתם מעוניינים, בבקשה שלחו קובץ קורות-חיים לכתובת מייל של f5jobs בדומיין caspi.org.il וציינו בשורת הנושא של המייל את שם המשרה המבוקשת.
כמו כן, בסוף הפוסט הזה יש מגוון אייקונים לשיתוף הפוסט הזה דרך שליחת הקישור שלו במייל, הדפסה ושאר דרכי שיתוף – כך שתוכלו לשלוח את המשרות האלו למשפחה, מכרים וחברים רלוונטיים.
תודה.
Developer Intern (Student)
• Technion/University only excelled computer science student, 2nd year and above
• Willing to work part time (25 hours a week) within the software department
• Familiarity with C & Linux.
• Knowledge of web security, internet protocols TCP/HTTP, script languages (Shell, Perl) – advantage
• Programming experience – advantage
אני יודע, מזמן לא כתבתי, וזאת בגלל שאני מאוד שקוע בעבודה החדשה שלי ב-F5 Networks, מה גם שחלק מהתפקיד שלי כולל נסיעות די תכופות לחו"ל, כך שאין לי הרבה זמן לנשום.
החברה מתמקדת כעת יותר באבטחת מידע ונמצאת בתהליך גידול באופן כללי (ההכנסות עברו השנה לראשונה את מיליארד הדולר, החברה נמצאת בשנת 2011 במקום ה-48 מבין 100 החברות הצומחות ביותר על פי מגזין Fortune (עלייה של 16 מקומות ממיקום 64 בשנת 2010) ובישראל גם נרכשו נכסים מסוימים מחברת crescendo networks שנסגרה וחלק מאנשיה עברו ל-F5).
בהתאמה, אנו רוצים לצרף אלינו עובדים רבים, בכדי שנוכל לעמוד ביעדים שלנו, ולכן, כפי שבטח הבנתם, זה פוסט "דרושים"… לחלק מהתפקידים יש צורך במספר אנשים.
אם אתם מעוניינים, בבקשה שלחו קובץ קורות-חיים לכתובת מייל של f5jobs בדומיין caspi.org.il וציינו בשורת הנושא של המייל את שם המשרה המבוקשת.
כמו כן, בסוף הפוסט הזה יש מגוון אייקונים לשיתוף הפוסט הזה דרך שליחת הקישור שלו במייל, הדפסה ושאר דרכי שיתוף – כך שתוכלו לשלוח את המשרות האלו למשפחה, מכרים וחברים רלוונטיים. תודה. .
R&D MANAGER
Position Summary
Manager, SW development, managing 2-3 teams
Responsibilities
- Manage all teams activities such as development tasks, schedule, hiring etc, .
- Coordinate activities with other teams on site and remotely.
- Act as a technical authority, help drive issues to resolution.
- Own releases across the board, from time to time.
- Help create a creative and pleasant environment.
Qualifications
- Bachelor’s degree in computer/engineering related field.
- 10-15 years of industry experience.
- At least 3 years in managing SW teams of 10-15 engineers.
- Strong management and interpersonal skills
- Strong knowledge of IP networking.
- Strong knowledge and experience in writing code in C.
- Strong knowledge of Application layer protocols. Detailed knowledge of HTTP protocol is desirable.
- Experience in Development of HTTP applications or Web Server applications is an advantage.
- Understanding and familiarity with web application technologies such as HTML, XML, and JavaScript is an advantage.
- Good UNIX knowledge including network configuration.
- Experience in security in general or specifically in application security is an advantage.
- Proven ability to deliver products with highest quality and on-time.
- Good collaboration skills, communication, and writing skills are required.
.
Manager, Product Development
Position Summary
Manage team of Software or Hardware Engineers. Manage progress of product development projects.
Coordinate group’s activities with other company divisions.
Responsibilities
- Provide technical and logistical direction and support to development team.
- Evaluate performance of direct-reports and assist them in creating career development plans.
- Interview and hire capable additions to the team.
- Participate in defining new software architectures, products and solutions.
- Monitor and coordinate activities of key vendors/partners through regular meetings.
- Keep abreast of new technologies, potential business partners.
- Facilitate open communication with other departments.
- Identify creations which can be patented and assist in patent applications.
- Maintain and promote high morale.
- Facilitate progress of direct reports by shielding them from unnecessary meetings, supplying them with all necessary equipment, documentation and other support.
- Foster professional growth of direct reports by encouraging ongoing education, sending them to seminars and conferences, and providing a generous budget for books and other educational material.
Qualifications
- BSCS or BSEE with minimum 5 years experience in low-level driver and kernel development. Proven track record in both software development and in managing a development group.
- In-depth knowledge of Intel-based PC architecture, especially PCI bus, interrupt and memory subsystems. Extensive experience coding and debugging in ‘C’ at the kernel/driver level.
- Detailed knowledge of TCP/IP and other network protocols. Knowledge of other microprocessor architectures a plus. Knowledge of digital circuits and basic electronics helpful.
- Strong organizational skills. Ability to work well with a wide variety of personalities.
- Must have strong written and verbal communication skills.
.
SYSTEM ARCHITECT NOT a Managerial position
Position Summary
A System Architect, defining functionality and architecture for Application Security solution
Responsibilities
- Write functional specifications,
- Work with relevant development teams on architecture and help resolve technical issues.
- Act as a technical authority.
- Drive projects from a technical perspective.
- Hand on!
- Requires coding from time to time.
Qualifications
- Bachelor’s degree in computer/engineering related field, advanced degree is an advantage.
- 10+ years of industry experience.
- Previous experience of at least 5 years in system architecture.
- Strong knowledge of IP networking: routing, switching, and network standards.
- Extensive experience in web based applications
- Deep understanding in web application security is desired.
- Strong knowledge and experience in writing code in C.
- Strong knowledge of Application layer protocols. Detailed knowledge of HTTP protocol is required.
- Understanding and familiarity with web application technologies such as HTML, XML, and JavaScript is an advantage.
- Good UNIX knowledge.
- Experience with network troubleshooting/management and protocol analysis tools is a plus.
- Proven ability to deliver products with highest quality and on-time.
- Good collaboration skills, communication, and writing skills are required.
.
Senior Software Engineer (there are 2 open position for this vacancy)
- 5-7 years programming experience in C/C++ – must
- Experience in Linux/Unix – must
- Experience in networking, internet protocols: HTTP, TCP/IP
- BS in Computer Science or related field from leading universities
- Experience in web application security – advantage
.
QA Engineer
- 3+ years of experience in testing software products – MUST
- Strong Automation Skills. Knowledge of scripting languages such as TCL. Experience working with traffic generators, capturing tools, replay tools for functional,/performance/load testing is required.
- BS in Computer Science or related field or equivalent experience - 3+ years Linux\Unix experience - Thorough familiarity with HTTP, TCP/IP, HTML – MUST
- Good knowledge and experience with test methodologies used in software development.
- Experience with network troubleshooting/management and protocol analysis tools
- Experience in web application security – advantage
Security Research Engineer
- BS in Computer Science or related field from leading universities
- At least 3 years of experience in network security research (IPS/IDS/Firewall) – please do not send system IT candidates related
- Experience in vulnerability and penetration testing – must
- Substantial experience in a variety of networking and internet protocols
- Programming experience – advantage
.
Student position – Security Research (hourly)
F5 networks is looking to hire a student to perform layer 3&4 security research and testing on F5 product. 20-25 hours per week ONLY Second year students of Computer Science from Universities Requirements:
- Mandatory – deep understanding of layer 3 and 4 communication.
- Mandatory – relevant degree: B.SC in Computer Sciences or Communication systems engineering.
- Mandatory – At least 25 working hours a week.
- Programing skills and knowledge in network/application security.
אוקיי, קוראים יקרים, אני שמח לבשר לכם שהתחלתי עבודה חדשה. כרגע אני לא כותב כאן את שם החברה. אתם יודעים, תנו לי זמן להיכנס לעניינים.
עדכון מה-19/1/2011 – החלטתי שזה טפשי. החברה היא F5 Networks, שרכשה בשנת 2004 את MagniFire הישראלית, ומאז, בנוסף לסניף מכירות ישראלי, יש לה כאן מחלקת פיתוח של מוצר WAF (Web Application Firewall) בשם ASM או בשמו המלא Application Security Manager, שהוא כמובן ההמשך למוצר של MagniFire.
אני מבטיח שבכל מקרה שלדעתי יש סיכוי לניגוד עניינים בכתיבה שלי – אני אציין זאת.
בכל מקרה, כרגיל, אני כותב כאן רק את דעתי האישית ולא מייצג את דעת או מדיניות החברה בה אני עובד.
המון תודה לכל מי שסייעו לי בתקופת האבטלה – ניסו למצוא לי עבודה, עודדו ובעיקר היו איתי. תודה לכם!
אגב, את העבודה הזו מצאתי דרך ניוזלטר מקצועי שהייתי מנוי עליו ולא דרך חברת השמה או מיקור חוץ – ללמדכם על חשיבות הצורך לשמור על קשר עם מקורות ידע ועדכון מקצועיים, שלעיתים כוללים גם אפשרות לשינויים בקריירה.
נשארתי בתחום אבטחת המידע רק ששיניתי עיסוק וכעת אני עובד במרכז פיתוח ישראלי של יצרן מחו"ל, שמפתח מוצרי תקשורת ואבטחת מידע, ותפקידי הוא להיות האיש הטכני הבכיר של מוצר אבטחת מידע, האדם המקשר בין הפיתוח לבין התמיכה, המכירות הטכניות (Presale), ההדרכה, התיעוד ועוד, ובנוסף אני אחראי להכניס שיפורים בנושאי פונקציונליות, שימושיות ועוד.
בשבילי זה שינוי משמעותי כי לראשונה אני עובד עבור חברה מחו"ל, שיש לה סניפים ברחבי העולם, שהרבה מהעבודה הוא מול אנשים שונים מהעולם, בפעם הראשונה עבודה מול פיתוח, בפעם הראשונה אצל Vendor, ובפעם הראשונה שהמנהל הישיר שלי הוא לא-ישראלי. הרבה מהעבודה שלי היא עצמאית ויש עלי הרבה אחריות להתנהל בעיקר לבד מול הרבה גורמים, בארץ ובחו"ל, להיות צומת של ידע ושינוי.
זה אתגר גדול ואמרו לי שייקח לי חודשים לא מעטים להיכנס לעניינים, כי זה מוצר גדול וחברה גדולה, אבל מאמינים בי ובשבילי זה גורם המוטיבציה מספר אחד.
מן הסתם, בהתאמה, יש סיכוי גבוה שקצב העדכון של הבלוג הזה יפחת (מה גם שגם כך אני סבור שהוא שקצב העדכון לא מספיק, לבטח לא כמו שהייתי רוצה. יש לי המון טיוטות והרבה דברים לעדכן שלא הספקתי), אבל אשתדל לעשות כמיטב יכולתי בכדי לשמר ולפתח את ההשקעה שלי בבלוג הזה, למעני ולמענכם.
ולסיום, אני רוצה לאחל לכולנו שנה אזרחית טובה, שנת בריאות ואושר, ובכדי שגם נחייך, מצורפת הרצאה של האקר בשם zoz, מכנס Defcon. הרצאה שבה הוא מספר כיצד הוא החזיר לעצמו את המקינטוש שלו שנגנב ממנו (פלוס סיפור קטן בהתחלה). מצחיק ומאלף. סוג של שיעור בנחישות ופורנסיק, וכמובן גם קצת מזל. שנה טובה!
עכשיו זה זמן טוב, כאשר אני לא עובד באף חברה, לשחרר את הסיפור הזה, בלי שהוא ישויך למקום עבודה ספציפי (ולא, אין טעם לנחש, אני לא אאשר ולא אכחיש שום ניחוש). מקרה שקרה באמת, כולל עדים אנושיים וממוחשבים, ומעניין אותי לשמוע מה אתם (אצבע מורה כלפיכם, פאוזה ארוכה) הייתם עושים ומה אתם (אצבע מורה כלפיכם, פאוזה ארוכה), הייתם מרגישים.
נוהל הטיפול בחברה באירועי אבטחת מידע של עובדים, כגון קוד זדוני, שימוש בהרשאות של אחרים, התקנה/שימוש בתוכנות אסורות וכדומה היה מוסדר למדי וכלל רישום בקובץ אקסל מסודר בכדי שתהיה היסטוריה לכל עובד סורר וגם משלוח מייל מפורט לעובד ולמנהל הישיר שלו, כולל אסקלציות למתמידים.
יום אחד פנה אלי, חיוור למדי, קולגה צעיר, שבזמן המדובר היה חדש בעבודה והוא היה עובד במיקור חוץ, וביקש שאני, בתור זה שהוא כן עובד חברה, ובתור הוותיק וזה שאין לו אלוהים, אטפל במקרה הזה, כי הוא היה אובד עצות וקצת פחד לגעת במקרה הזה.
מה היה העניין?- מערכת ה-IPS ברמת הקליינט (או HIPS, Host based IPS) מצאה וחסמה פעילות תקשורתית של התקנת eMule. יפה, לא משהו נורא ולא משהו נדיר, אבל בהחלט משהו שדורש התייחסות, בייחוד כאשר לרוב העובדים אין הרשאות ניהול במחשב שלהם, אלא רק למי שצריכים זאת לתפקידם.
ומי היה הזוכה המאושר?
לא פחות מאשר מנהל מחלקת אבטחת המידע. Our fearless leader כמו שאומרים.
היה לו מחשב נייד שמזמן לא הופיע במערכות הניהול של הארגון, כי כנראה הוא לקח אותו לביתו והפך אותו למחשב ביתי נוסף, ומסיבה כלשהי היה לו צורך להתחבר לארגון ב-SSL VPN והוא רק שכח שנפתחה תקשורת עבור קליינט ה-HIPS לדווח מבחוץ למערכת הניהול… אופס.
כן, לא היתה לי ברירה והתקשרתי אליו. הוא אישר מייד את הממצאים בקול בוטח ואמר שהוא ידאג לפרמט את המחשב ושאפשר בהתאמה למחוק את רישום המחשב הזה ממערכת ניהול ה-HIPS כי ממילא הוא ידאג שהמחשב הזה יפורמט (מה גם שמחיקת האובייקט ממערכת הניהול תמחק גם את היסטורית הרישום של פעילות ה-eMule…)
כן, אני משער שלאחר השיחה שלי איתו הוא הבין למה ה-eMule לא עבד לו. והמצחיק הוא שיש לו הרשאות לנטרול ה-HIPS במחשב שלו, רק שהוא לא קלט מה "הבעיה" ולכן בהתאמה לא ניטרל את ה-HIPS.
מצד אחד, למען הסדר הטוב ולמניעת אפליה – רשמתי את האירוע בקובץ האירועים. בכל אופן, הוא עובד חברה.
מצד שני, לא עשיתי כלפיו את מה שעשיתי מול עובדים אחרים, לא שלחתי לו ולמנהל הישיר שלו (מנהל אגף תשתיות, שבעצמו לא שם את אבטחת מידע בראש דאגותיו, מאוד בלשון המעטה) את מייל הנזיפה הסטנדרטי. בהתאמה גם לא דיווחתי על כך למנהל שלו בערוצים אחרים - לא טלפונית וגם לא בע"פ. זה נראה לי חסר טעם. לדווח למנהל האגף שמנהל אבטחת המידע התקין eMule? אותו eMule שבגללו אנו פועלים נגד עובדים מן המניין?
מה גם שהם חברים נורא, אבל נורא, טובים.
כלום לא היה יוצא מזה, כמו הרבה דברים שלא יצא מהם שם דבר, מעבר לידי חובה, להראות שעבודה כלשהי מבוצעת.
ביום ההוא נשבר סופית האמון שלי באדם הזה.
כמובן שהמקרה הזה היה הפתעה, כי לא ציפיתי לרמה כזו, אבל זו לא היתה הפתעה גמורה כי הכרתי את האיש עוד מקודם כמי שיודע לדבר את הדיבור המקצועי, האבטחתי, ה"נכון", אבל בפועל הוא יודע להשתמש בתפקיד באופן פוליטי ולשחרר את החבל למי שהוא חפץ ביקרו (או לחילופין חושש מכוחו), וגם דאג למנות תחתיו מנהלים חלשים ואומרי הן שלא יאיימו על מעמדו.
אבל כמובן שהמשכתי לעבוד מולו כרגיל, כאילו דבר לא קרה, עוד יותר משנה. אדם שמפרנס משפחה צריך לבלוע הרבה צפרדעים ולשתוק בכדי לשמור על מקום עבודתו, גם אם הוא מת מבפנים מחדש בכל יום עבודה.
זה קשה לעבוד במקצוע הזה בלי איזו שרשרת אמון. זה לא מקצוע רגיל. יש בו, לדעתי בכל אופן, משהו קצת שונה, משהו שאמור להיות יותר ערכי לעומת מקצועות IT אחרים (בלי להפחית מחשיבותם של מקצועות ה-IT האחרים).
אז אני רוצה לשאול אתכם – איך אתם הייתם מרגישים? מה הייתם עושים? נוהגים כמוני? אחרת?
אני מקווה שכעת, בזמן השיקום שיהיה לי עד למציאת עבודה חדשה – אעדכן כעת יותר את הבלוג הזה, שדי הזנחתי אותו, למרות שלפי הסטטיסטיקות ראיתי ששבתם באופן קבוע לראות אם יש בו משהו חדש.
תודה.
די מזמן לא כתבתי ולא עדכנתי את הבלוג, בגלל עניינים אישיים ומשפחתיים חשובים שדרשו ממני את מיטב המשאבים והזמן. אשתדל לחזור בקרוב לבלוג ולתת לו יותר יחס חם.
בהתאמה, משהו אישי הפעם.
מזה מעט מעל שלוש שנים אני עובד כשכיר בתחום אבטחת המידע באותו מקום עבודה. חברה ישראלית גדולה, אלפי עובדים, באזור המרכז. רוב הזמן היה מעניין טכנולוגית ובנוסף החברה גם הלכה לקראתי ואפשרה לי שימוש חורג במנגנון ימי המחלה בזמן של משבר משפחתי קשה לאורך מספר חודשים.
אולם, לאחרונה אני מרגיש צורך בשינוי, גם כי אני מרגיש שאינני יכול עוד להתקדם במקום הנוכחי, לא היררכית ולא טכנולוגית וגם כי אני רוצה למצות את היכולות האישיות והטכנולוגיות שלי, שאני מרגיש שאני עדיין רחוק ממיצוי שלהן.
לכן, אני רוצה להיעזר בפלטפורמה של הבלוג הזה, ובכם הקוראים כמובן, בכדי לבדוק אפשרויות שונות לדרך מקצועית חדשה: תחום עיסוק: אבטחת מידע כמובן אבל גם ניהול תשתיות/IT רצוי מבחינתי כי לפני שהתחלתי לעסוק באבטחת מידע באופן עיקרי – ניהלתי במשך ארבע שנים תשתיות של בנק בינוני בעל פריסה ארצית (כולל אבטחת מידע). תפקיד: בעדיפות ראשונה תפקיד ניהולי. לא ניהול פרויקטים אלא ניהול במובן ההיררכי – לנהל מחלקה/צוות או מנהל IT בחברה קטנה עד בינונית. אני מעוניין לקדם לא רק את הצד הטכנולוגי אלא גם את הצד העסקי, האנושי והתקציבי של העבודה.
בעדיפות שנייה תפקיד טכנולוגי בכיר כגון ייעוץ/הנחיה או ניהול פרויקטים (אגב, יש לי אהבה (ויכולת) גדולה למידענות, אבל אני לא יודע כמה פרנסה יש בזה). אין בעיה עם Hands On (וזה גם חשוב לדעתי, לשמור על קשר עם המציאות הטכנולוגית), אבל לא אינטגרציה.
בנוסף, אני פתוח לשמוע הצעות מקוריות לתפקידים אחרים שאולי לא חשבתי עליהם. מעסיק: בעדיפות ראשונה חברה גדולה שמשקיעה ותשקיע באבטחת מידע ותשתיות (אין דבר מתסכל יותר מלרצות לעשות ולשפר אבל בולמים אותך) ובעדיפות שנייה חברה בינונית-קטנה. אין העדפה של ממש לתחום העיסוק של החברה, אולי קצת להייטק כי בחברות כאלו טרם הזדמן לי לעבוד. אזור גיאוגרפי: במידה ומדובר במיקום קבוע רוב הזמן, אז אתחום את המרחב בנתניה בצפון, לוד במזרח וראשון לציון בדרום, אך אין לי בעיה עם נסיעות מדי פעם ללקוחות/סניפים ברחבי הארץ, דבר שנפוץ בדרך כלל בייעוץ. חו"ל אפשרי כל עוד מדובר בגיחות לתקופות קצרות שלא יעלו על 30%-20% מזמן העבודה הכולל. שיטת העסקה: נכון להיום אני שכיר ובהחלט אשמח להמשיך להיות כזה אולם להפוך לעצמאי זו גם אפשרות שאני מוכן לשקול במידה ומדובר בהתקשרות ארוכת טווח ועם תכולה מספקת של עבודה.
כל זאת על קצה המזלג ומי שרציני ומוכן להציע עבודה תואמת מוזמן לפנות אלי באמצעות טופס כתבו אלי בבלוג זה, ומי שאתקדם איתו בתהליך – יישלח אליו כמובן קובץ קורות חיים מלא.
דרך האתר law.co.il של עו"ד חיים רביה, העוסק בצד המשפטי של החיים הדיגיטליים (יש אתר דומה של עו"ד אביב אילון, netlaw.co.il), ואליו אני מנוי, נודע לי כי בימים אלו באה לסיומה פרשת גניבת נתוני ההזדהות של לקוחות הבנק הבינלאומי על ידי עובד אבטחת המידע של הבנק, דן טירספולסקי, נתונים אשר הועברו לאנשים נוספים אשר בתורם גנבו כספים מהחשבונות שפרטיהם נגנבו.
טירספולסקי נידון, במסגרת עסקת טיעון בין הפרקליטות לעו"ד של טירספולסקי, לשנת מאסר אחת, מאסר על תנאי למשך 10 חודשים לתקופה של 3 שנים (והתנאי הוא כי לא יעבור כל עבירת רכוש, מרמה או הונאה) וקנס בסך 10,000 ₪ או 60 ימי מאסר תמורתו.
הפרשה, אשר נחשבת למעילת האינטרנט הבנקאית הראשונה בישראל, נחשפה בשנת 2005 (ראויה לציון תגובה 11), אז נחשף כי טירספולסקי, עובד במחלקת אבטחת המידע של הבנק הבינלאומי, אשר היתה לו גישה לפרטי החשבונות של לקוחות הבנק, כולל פרטי ההזדהות שלהם באתר האינטרנט של הבנק, מסר נתונים של ארבעה לקוחות של הבנק, תושבי חוץ, לידי אנשים נוספים שפרטיהם לא מוזכרים, והם בתורם, בעזרת הפרטים שקיבלו מטירספולסקי, גנבו סך של 103,700 ש"ח מלקוחות אלו.
בכתבה שפורסמה ב"גלובס" בעת גילוי הפרשה נטען כי טירספולסקי לא הצליח להחזיר חוב לקרוב משפחה (שגם נעצר) ובשל כך נסחט על ידי גורמים עבריינים במאפיה הרוסית.
לטענת העו"ד של טירספולסקי, על פי גזר הדין, הוא ביצע את המעילה לא עבור עצמו אלא כי נסחט באיומים על ידי אותם גורמים אליהם העביר את פרטי הלקוחות (מה שלא ממש נכון לדעתי, כי הוא השתמש בנתונים שגנב כתחליף להחזר חוב, ומי שבעצם "החזיר את החוב" הם אותם לקוחות של הבנק).
באופן מעורר שאלות, בגזר הדין רשום לגבי באת כוח התביעה (כלומר פרקליטות המדינה) ש"בנוסף היא מאשרת כי נעשו ניסיונות להשיב את הכסף שנגנב, אולם הבנק לא הראה נכונות לקבלו". גישה מעניינת של הבנק.
אז מה אנו למדים ממקרה זה?
- אל תיקחו הלוואות מקרובי משפחה.
- אם כבר אתם לוקחים הלוואה מקרובי משפחה. תבדקו שאין להם קשר לגורמי פשיעה או שהם לא מסוכנים אם לא מחזירים להם את הכסף.
- אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן, כי ברור שלא ניתן למנוע גישה אליהן כי הן מטופלות על ידי עובדי מחלקת המחשוב של הבנק (אנשי סיסטם, מפתחי האתר, DBAים, אנשי הגיבוי והאחסון וכן הלאה). פעולה זו היתה מכשילה בוודאות גבוהה את האפשרות לאירוע מסוג זה להתרחש.
- חשוב שנבין שעיקרון המידור ועקרון ה-Need to know (והצפנה למעשה משלבת את שניהם) מגינים לא רק על בעלי המידע שכן מורשים לגשת אליו ולעשות בו שימוש אלא גם עלינו, אנשי אבטחת המידע (וה-IT בכלל), שיכולה להיות להם גישה למידע, אפילו באופן לא מכוון או מודע, כחלק מעבודתם. העקרונות הללו מפחיתים את רמת הידע שלנו אודות מידע רגיש ובכך מפחיתים את הסיכון שלנו לפיתויי שימוש ברעה על ידינו או לחצים להעביר מידע זה לידי גורמים חיצוניים.
לכן, אם בעבודתכם אתם שמים לב שקיימים מצבים שבהם אתם (או אחרים) יודעים או יכולים לדעת יותר מדי, או יכולים לעשות יותר מדי – תפנו למנהלים הרלוונטיים ותתריעו בפניהם על כך.
תמיד עדיפה מניעה מראש על פני תיקון בדיעבד (שלא תמיד אפשרי).
זה קשור רק חלקית למקרה הנ"ל, אבל מזמן רציתי להגיד את זה: המקצוע שלנו הוא לא חד וחלק, לא ברור ולא מתוחם. לטוב ולרע. ולפעמים יש רע. ואסור לשכוח זאת ואסור להתעלם מכך.
רוצים שנשמור על הארגון, על המידע הרגיש והסודי, אבל שלא נחשף אליו ולבטח לא נעשה בו שימוש לרעה. זה הגיוני, זה דורש אמינות, זה דורש כוח רצון ועמידה בפיתויים ובלחצים, וזה דורש לוליינות טכנולוגית ואישיותית. המקצוע דורש ממך ללכת על חבל דק, על הגבול, ולעולם לא לקבל החלטה שגויה. והקביעה האם ההחלטה שגויה או לא יכולה להיות לפעמים תלוית מקום, זמן, מערכת, מידע, יחסים, פוליטיקות ואין סוף פרמטרים. לפי הצורך והמטרה של המחליט. ולא תמיד אתם הם המחליטים…
ככל שהעולם נכנס יותר ויותר למחשוב, לתקשורת ולאינטרנט – כך בהתאמה מתגברת המשפטיזציה של התחום הזה ושל אבטחת מידע בכלל, כמקבילה הדיגיטלית של תחום הבטחון הפיזי, ובהתאמה העובדים במקצוע (ולא רק באבט"מ, גם אנשי סיסטם, DBAים ועוד) עוסקים בתכנים שהם קריטיים לארגונים ועל כן בקלות יכולים למצוא עצמם בסיטואציות משפטיות שונות, מדיונים עם עורכי הדין של החברה לגבי אירועי אבטחת מידע, דרך איתור תכנים לכתבי תביעה (Forensic) ועד עדות או כנאשמים במשפטים מסחריים ו/או פליליים.
ולדעתי המצב היום הוא שאין לעוסקים במקצוע מספיק מודעות וידע משפטי לגבי המותר והאסור, ואין להם עם מי להתייעץ כיצד לנהוג במצבים מיוחדים, במצבי קצה, ויש כאלה לא מעט במקצוע שלנו. את המצב הזה לדעתי צריך לשנות.
שעת ייעוץ של עו"ד יכולה בקלות להגיע למאות ש"ח/דולר, שלא לדבר על הדרכות/הרצאות משפטיות תקופתיות – מה שמן הסתם גורם לרבים שלא לפנות לייעוץ משפטי אלא לסמוך על השיפוט האישי שלהם בלבד.
אני מקווה ש-IFIS ישימו לב לעניין זה וייזמו הדרכות משפטיות על ידי חברי הפורום בעלי השכלה משפטית בנושא ואולי גם ישיגו תעריפי ייעוץ מופחתים לחברי הפורום אצל משרדי עורכי דין בעלי התמחות מתאימה. יכול להיות שצריך גם לשקול השגת תעריפים מופחתים לביטוח אחריות מקצועית (אם כי אני לא בטוח אם קיים ביטוח כזה בישראל בנוגע לאנשי מחשבים בכלל ואבטחת מידע בפרט).
בינתיים, תשימו לב ותשמרו על עצמכם, ואם אתם לא בטוחים – תשאלו חברים או בעלי מקצוע ותיקים שאתם יכולים לסמוך על דעתם. תמיד עדיף לשמוע כמה דעות לפני שמקבלים החלטה חשובה.
בעבר עסקנו בנושא הסמכות אבט"מ באופן כללי, שם גם אזכרנו מעט את ההסמכה ל-CISSP. נדמה לי ש-CISSP היא דה-פקטו ההסמכה הנפוצה בשוק כיום.
אותי, אישית, מרגיז שגוף שמצהיר על עצמו שהוא ללא כוונות רווח (מה שתמיד מעלה לי את הדעה שאולי הארגון הוא ללא כוונות רווח, אבל העובדים בו דווקא כן…) ושכל תכליתו לקדם את תחום אבטחת המידע – רוצה 549 דולר (ככל שזכור לי) על מבחן ההסמכה לתואר (נוסף לשלל דרישות אחרות).
בסכום כזה לא באמת מקדמים את התחום אלא מנסים לתחום אותו ולהגביל את כמות המוסמכים, ולכן לכאורה יש ניסיון מלאכותי ליצירה של קהל מומחים (עם או בלי מירכאות). אני לא רואה סיבה שאדם ישלם באופן פרטי סכום כזה, מקסימום על חשבון המעסיק (אם מצליחים לשכנע אותו…).
אני מקווה בעתיד להרים פוסט ייחודי להשוואה בין ההסמכות השונות בכלל והמצב בישראל בפרט.
בכל מקרה, לשוק הקטן של הדרכות אבט"מ ייעודיות לקראת CISSP נכנסה השנה חברת GSECTRA (קטלוג הקורסים שלהם לשנת 2009, מסמך PDF), אשר משלבת כוחות עם חברת רואי-החשבון "Deloitte בריטמן אלמגור זהר" שמגבירה את עיסוקה גם בתחומי אבטחת המידע וניהול הסיכונים.
דרך חבר לעבודה קיבלתי דוא"ל שהוא קיבל, המפרסם את האירוע שלהלן, ובו שתי החברות יקיימו יום פתוח להסברים אודות מסלול ה-CISSP שהן פותחות. מצורפת בהמשך תמונה עם המודעה אודות היום הפתוח.
היום יתקיים ביום ראשון, 16 באוגוסט 2009, בין השעות 17:00-19:30 במרכז עזריאלי, הבניין העגול, קומה 45 (כנראה המשרדים של דלויט).
מאחר ואני מקדם בברכה כל פעילות שמקדמת את שוק אבטחת המידע, הרי שכניסת חברת הדרכה חדשה יכולה להוסיף ידע לעובדים בתחום ולהוריד מחירים בשל תחרות מוגברת – אני מפרסם כאן לידיעתכם את היום הזה, ולמען ההגינות מוסיף גם אזכור של החברות הנוספות בשוק המקיימות הדרכות ייעודיות לקראת הסמכת ה-CISSP:
(לא אפרט כאן חברות הדרכה שמקיימות קורסים ואף מסלול מרובה-קורסים של אבטחת מידע שטוענות ש"ניתן" לגשת לבחינות ה-CISSP לאחר הלימוד בהם. יכול להיות שזה נכון אבל כאן אפרט רק קורסים/מסלולים שמכוונים באופן ייעודי לקבלת ההסמכה)
הטכניון (לימודי חוץ) – מקיימים "קורס הכנה להסמכת CISSP" (כנראה כרגיל אצלם, בשיתוף See Security), בלי יותר מדי פירוט: 8 ימים ביוני 2009 נכון לכתיבת שורות אלו. נכון, זה מאחורינו, אבל אולי שווה לברר לגבי המועד הבא.
בעבר מכללות ההדרכה הייטק ומדיאטק קיימו מסלולים של CISSP אבל מבדיקה שערכתי לאחרונה מסתמן שהמסלולים האלו ירדו – פרטים נוספים בעמוד "חברות וארגונים בתחום אבטחת המידע בישראל" (חפשו CISSP).
כך שנראה שהמצב של הדרכות לקראת CISSP אינו מזהיר (מן הסתם בשל העלויות הגבוהות, לפחות של המבחן שהזכרתי לעיל…), ונקווה שהיוזמה של GSECTRA תוביל גופי הדרכה נוספים לארגן מסלולים ייחודיים לקראת ההסמכה עבור אנשי מקצוע ותיקים ולא רק כחלק ממסלול הכשרה מלא של אבטחת מידע.
בהמשך ל"מיזם" חולצות אבטחת המידע שלי, שהביא ליצירת "חנות" ב"לופה", ובהמשך לבקשת הקהל (נו, טוב, רק CISO, אבל בטח גם אחרים ירצו, כי זה עיצוב קלאסי), "לופה" אישרו לי שני עיצובי got root ואחד מקורי משלי:
אוקיי, אנו עולים לשלב חדש.
אני מאוד שמח שההשקעה שלי בבלוג זה מניבה קהל קוראים קבוע, זרם קטן אבל קבוע של קוראים חדשים, וגם יותר מכם מגיבים בפוסטים וזה מחייה את הבלוג.
כידוע, מבלוג לא חיים ויש לי עבודה במשרה מלאה, אבל כל אדם שמח לקבל פידבקים חיובים על העשייה שלו, בצורות שונות, כולל כסף.
השיטה הסטנדרטית של פרסומות גוגל על פי הקלקות אינה ממש אפקטיבית, אולי גם כי אין מספיק מפרסמים בתחום האבט"מ בישראל ו/או בעברית.
כמו כן, ברור לי שיהיה לקוראים יותר קל להוציא כסף לכיוון שלי ברגע שהם יקבלו תמורה יותר פיזית לכספם, ולכן… פתחתי חשבון באתר החולצות של לופה, Lupa Look.
האתר מאפשר לכל אדם לפתוח באתר חשבון, לעצב *לעצמו* חולצות ולרכוש אותן.
כמו כן קיים "לופה מרקט", שהוא מיני-אתר למכירה פומבית של חולצות שעוצבו על ידי מעצבים שזה תחום עיסוקם העיקרי, והם מרוויחים עמלה קטנה על העיצוב שלהם ממכירת כל חולצה.
כאמור, פתחתי חשבון באתר ויצרתי מספר עיצובים ראשונים המיועדים לקהילת אבטחת המידע.
אמנם אינני מעצב, אבל אני חושב שיש לי חוש אסטטי וביצועי לא רע, כך שאני סבור שהעיצובים שיצרתי הם בהחלט טובים וכי יש ל"לופה" עתיד טוב יותר אם הוא ייפתח לקהלים נוספים, כמו בלוגרים, שבצורה זו יוכלו להרוויח יותר (כלומר, בכלל) מהבלוג שלהם – לא הכל זה עיצוב אלא לפעמים גם המסר, החידוד והבדיחה. אולם מפעילי האתר התעקשו עד כה שקהל היעד של המוכרים הוא מעצבים מקצועיים.
אבל למרות הנ"ל, וכמעין ניסוי לראות איך זה ילך, הם בכל אופן הסכימו שאפתח דף מעצב משלי, אך אישרו למכירה פומבית רק עיצוב אחד, שאני קראתי לו "רות. סוף." עם תיאור של "המילה האחרונה", אולם הם משום מה שינו את שמו ל"האקר" עם תיאור של "חוד החנית של העידן הדיגיטלי.", שילוב שהגיע מחולצה אחרת שלא אושרה עדיין לפרסום. שונה ל-"root. סוף." עם תיאור "המילה האחרונה שמורה להאקר.".
רות. סוף.
מה שיעזור לשכנע את מפעילי האתר לאשר לי עיצובים נוספים הוא שני דברים: בתור התחלה חשוב דירוג גבוה לעיצוב (בדף החולצה יש יישומון דירוג לעיצוב) ומה שיהיה הכי טוב – רכישה של חולצה/חולצות. אם תלחצו בדף החולצה על כפתור "הוסף לעגלה" תהיה לכם אפשרות לבחור חולצות מסוגים שונים ובצבעים שונים ולאחר מכן הקלקה על החולצה תיתן לכם סימולציה של החולצה הסופית כפי שהיא נראית על הגוף.
אם דברים יתקדמו כמתוכנן ויאשרו לי להוסיף עיצובים נוספים, הנה עוד כמה עיצובים שכבר מוכנים:
What the Hack. עיצוב 1.
What the Hack. עיצוב 2.
אני אוהב את רות.
ויש לי עוד הרבה רעיונות לעיצובים נוספים, רק שאני רוצה לראות קודם שמה שכבר קיים מתממש, ואז נמשיך הלאה.
מחירי החולצות נעים בין 49 ש"ח (ילדים) ל-69 ש"ח (מבוגרים, יש דגם אחד של 49 ש"ח), משלוח בדואר רשום מוסיף לעסקה 15 ש"ח, איסוף עצמי הינו כמובן בחינם ויש אפשרות לשליח עד אליכם תוך 72 שעות במחיר של 35 ש"ח.
אני חושב שהמחירים סבירים בהחלט לחולצות T בכלל ולבטח לכאלו עם עיצוב ייחודי.
אני כבר רכשתי אחת היום.
דבר חשוב נוסף: אני, כמוכר באתר, לא מקבל פרטים אישיים כלשהם עליכם במידה וביצעתם רכישה. רק פרטים מסחריים כגון אילו מוצרים נרכשו והסכומים הכספיים המשויכים להם.
אז אני מאוד אודה לכם אם תתנו דירוג גבוה לחולצה ועוד יותר אם תרכשו את החולצה "רות. סוף.", ובכך גם תקבלו חולצה מקצועית (תרתי משמע…) וגם תביעו בכך את הערכתכם למה שאני עושה (ועוד אעשה) בבלוג זה. תודה.
