קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.
מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.
הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."
אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.
אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.
כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.
.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
13 תגובות
אם אנו כבר בנושאי שלטון, הנה משהו חמוד דרך רשימת הדיוור Technical – Security של אייל איסטרין (הוא מוצא כל מיני קישורים מעניינים בנושאי אבט"מ ומשתף אותנו. כדאי).
כן, גבירותיי ורבותי, לאוסטרליה יש שר בשם Stephen Conroy. על מה הוא ממונה?
על Broadband, Communications and the Digital Economy . יש ממש משרד ממשלתי כזה. לא פחות. הוא מונה לתפקידו בדצמבר 2007. והתפקיד הזה, עם שינויים מדי פעם בהגדרת התפקיד, קיים באוסטרליה משנת 1997.
התפקיד נראה כמו עירוב של משרד התקשורת, חינוך, ספורט, אמנות וגם עידן המידע. אחלה. לא ציפיתי למשרד שלם לעידן המידע אבל גם התייחסות לנושא כתחום שראוי להתייחסות ממשלתית שווה שאפו.
אז מר קונרוי הכריז השבוע בנאום על שבוע E-security Awareness . כחלק מנאומו הוא קורא לאזרחים להחליף סיסמאות פעמיים בשנה לפחות, לסיסמאות חזקות, להתקין תוכנות אבטחת מידע, לעדכן תיקוני אבטחת מידע, לחשוב לפני שמקליקים על קישורים לא מוכרים ולהיזהר מלמסור מידע אישי ברשת. וגם הוקם אתר ממשלתי ייעודי לנושא.
רגע, והוא מפרט, בנאום הפומבי (!) הנ"ל – סיסמאות חזקות צריכות להיות בעלות מינימום של 8 סימנים, שילוב של אותיות גדולות וקטנות, לפחות מספר אחד ולפחות סמל אחד. (הצחקתם את Ophcrack. אבל זה כבר נושא אחר)
כאילו היה איש אבט"מ מהשורה.
וזאת במקביל לנאום של נשיא ארה"ב הצעיר והטרי, ברק אובמה, על חשיבות תשתיות דיגיטליות מאובטחות.
ואצלנו? בשנת 2001 כתבתי טור דעה ל-TheMarker שמציע יצירת תפקיד של שר הייטק. לא שבאמת ציפיתי שזה יקרה. הייתי, ואני עדיין, כל כך אופטימי שאני אפילו לא מצפה שזה יקרה.
אני יודע שחבר הכנסת מיכאל איתן (כיום שר בתפקיד המגוחך "שר בלי תיק האחראי על שיפור השירות הממשלתי לאזרח ולציבור") הוא, ככל שידוע לי היחיד שבאופן קבוע ועקבי חי את נושא עידן המידע ומנסה לקדם אותו. אבל, זה הוא, האדם. לממשלה זה לא באמת אכפת ואין שום תכנית נראית לעין לשינוי המצב.
כן, אני יודע, יש את "היום הלאומי לאינטרנט בטוח". זה עדיין לא זה. זה לא מגיע ממשרד ייעודי, אלא ממשרדי החינוך והבריאות, בדגש על קהל יעד של ילדים-נוער והורים-מחנכים ולא על כלל האוכלוסייה, שלא לדבר על זה שהיום הזה הוא בשילוב של גורם מסחרי מובהק אחד, חברת Microsoft, שזה ממש טעם לפגם.
מאוד מטריד לראות בתחתית דף השער את הטקסט
©2006 Microsoft Corporation. All rights reserved. כולל קישורים של "תנאי שימוש", "סימנים מסחריים" ו"הצהרת פרטיות" שכולם מפנים לדומיין של Microsoft. הטקסט הנוסף שם של "מיקרוסופט מארחת את האתר משיקולי אבטחת מידע." הוא לא פחות מבושה לממשלת ישראל. מה קרה? חוות השרתים של תהיל"ה לא מספיק מאובטחת? חסר לממשלת ישראל שרת לארח את האתר הזה? נתרום לה.
אולי זו שוב הגישה שקיימת כאן "שהאזרחים יהיו אחראים לבצע בעצמם ובכלל לגורלם", אולי זו ההתמקדות העיוורת והבלתי פוסקת במספר מצומצם של נושאים הרי גורל כמו הסכסוך עם הערבים, דת ומדינה וכדומה – וכל השאר לא חשוב ולכן לא קיים.
מתי לממשלה כאן יהיה אכפת מהאזרחים? מתי היא תצטרף למדינות המתוקנות? תבין שעידן המידע כבר מזמן כאן? שהמדינה צריכה, גם לטובת המשך קיומה, לסייע לאזרחים להעצים עצמם ובשל כך את המדינה, ביכולות תקשוב, ובכללן כמובן אבטחת המידע?
.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
2 תגובות
מתוך מודעת דרושים להאקר (הקליקו על התמונה להגדלה):
.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
תגובות
אני לא מכיר אישית את מיכל הלמן (Michal Helman), אבל נתקלתי ברשת בשתי מצגות/הרצאות שלה ומאוד נהניתי.
היא עובדת (עבדה? כי אני לא מוצא אזכור שלה כיום באתר של החברה) בחברת הייעוץ STKI כאנליסטית אבטחת מידע.
לצערי רק מצגת אחת שרדה ולצערי היא דווקא המוקדמת מבין השתיים. נו, שוין, זה מה שיש.
המצגת (PDF, 39 עמודים), היא מתוך כנס Secure Remote Management שנערך ב-2006.
מצגת זו מכסה באופן מעמיק למדי לדעתי את שוק אבטחת המידע הישראלי, בשנים 2006-2007, הן מצד הלקוחות והן מצד היצרנים (קיימת גרסה מעט מוקדמת למצגת זו, רק אודות 2006, כאן, אבל הן די זהות).
זה מסוג הדו"חות שאין ספק שהייתי שמח לקבל פעם בשנה, בכדי לקבל מבט-על על התחום בכלל ובישראל בפרט (אפילו שברור לי שיש סיכוי לא קטן שרובו נאסף ממקורות בחו"ל (ולפעמים רואים זאת במצגת עצמה…) + סיכום ראיונות של לקוחות בישראל. העיקר התוצאה).
(לגבי 2008 יש באתר ג'ון ברייס מצגת בשם "מגמות בתחום אבטחת מידע לשנת 2008" של ארז בן-ארי, גם מ-STKI, אבל המצגת מאוד כללית ולא כ"כ נוגעת ספציפית לשוק הישראלי)
המצגת מכסה את בגרות תחום אבטחת המידע בארגונים (מדיניות, תוכניות עבודה, מיקום הדרג הניהולי, טכנולוגיות ומוצרים ועוד), מבנה מחלקת אבטחת המידע ומיקומה בארגון, המעבר שרק מתחיל מתפיסת "אבטחת מידע" לתפיסת "ניהול סיכונים" (מהלך שמן הסתם נועד בעיקר לשדרג את מעמד אבטחת המידע לדרג ה-C), התגברות הדרישה להסמכות, המעבר מהטיפול הטכני בלבד אל היצמדות והיענות לדרישות עסקיות, התגברות הרגולציה (בחו"ל ובישראל) כ"שוט" אישי כנגד המנהלים הבכירים בארגון – לאלץ אותם להשקיע משאבים באבטחת מידע (מה לעשות, התחת האישי של המנכ"ל הוא תמיד הנכס הכי רגיש וחשוב של הארגון…), כיווני טכנולוגיות ומוצרים, הגברת החיבור בין אבטחת מידע לאבטחה פיזית, תקציב מחלקת אבט"מ (אשר גדל לאורך השנים) ואופן ניצולו, אתגרי טשטוש גבולות הרשת עקב עבודה עם הרבה גורמי חוץ ומיקור חוץ, עבודה בחוץ ובעזרת גישה מרחוק וטלפונים ניידים חכמים.
בקיצור, מומלץ.
מכיוון שמן הסתם חברות ייעוץ לא ישחררו דו"חות כאלו בחינם, אולי IFIS ירימו את הכפפה ויארגנו דו"ח שנתי כזה, בדגש כמובן על הנעשה בישראל.
ומשהו משעשע לסיום, קמפיין מודעות אבטחת מידע לעובדי תנובה (PDF), בעזרת עולם המושגים של תנובה…
.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
3 תגובות
לאחר התחלה איטית ומעט מגומגמת (למרות שאנשים שילמו…), אני רוצה לעדכן שהקורסים של IFIS סופסוף מתחילים בשבוע הבא (אבטחת יישומים ו-DB + קורס CISO, ושבוע לאחר מכן – קורס PEN TEST).
מצורף קובץ הקורסים IFIS – אינדקס קורסים עדכני ל-25/1/2009 (תבנית PDF).
באופן אישי התנדבתי לסייע בהקמת האתר של IFIS, בדגש על התכנים ופחות בצד הטכני, אולם לצערי, בשל נסיבות אישיות, נאלצתי להפסיק פעילות זו וכרגע אינני עוסק בכך. אני מקווה שאחרים יקדמו את הנושא וכאשר ייטב – אחזור לפעילות זו.
אז אם אתם מעוניינים ליהנות מתכני הקורסים – הירשמו בהקדם ל-IFIS.
.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
תגובה אחת
לאחרונה אני עוסק באופן אינטנסיבי יותר בהטמעת מערכת אבטחת נקודות קצה (מה שנקרא
Endpoint Security), המשלבת AV, אנטי-ספייוור, FW ו-IPS כרכיבים עיקריים.
ראיתי את התופעה שלהלן בעבר, אבל כעת, כאשר הכלים לנקודות הקצה הופכים חזקים ומתוחכמים יותר, לאחר שקיבלו יכולות שבעבר היו נחלתם של מוצרי רשת בלבד – הזבל שצף הוא בכמויות ובאיכויות שלא הכרתי בעבר.
כנראה שלא בגלל שקודם הוא לא היה שם, אלא בגלל שקודם לא היו הכלים שיציפו את הממצאים.
בכל פעם אני נדהם מחדש ממה עובדים מכניסים למחשב שלהם. יהיו אלו תוכנות או קבצים – מולטימדיה, P2P, BitTorrent, קראקים, עוקפי פרוקסי, MP3 כמובן, תמונות פורנו, סרטי פורנו מלאים או חלקיים וכן הלאה. הדבר יותר אופייני וחזק במחשבים ניידים, שמלווים את העובדים לאורך כל היום, כולל בביתם.
נדהם, לא כי אני יכול לטעון שאני יותר מוסרי מהם או שאינני עוסק בתכנים דומים, אלא כי הם עושים זאת על גבי מחשב שהוא, לפחות רשמית, של מקום העבודה, ולעתים, מה לעשות, גם מחובר לרשת ולמערכות של מקום העבודה.
מילא חשבתם מותר/אסור, חשבתם שלא יעלו עליכם, אין סיכוי שיפטרו אתכם על דברים כאלו וכדומה – אבל לא חשבתם לפחות על הסיכוי לבושה, כאשר יום אחד מישהו מהארגון ישלח אליכם דוא"ל או ירים אליכם טלפון ויחזיק מולכם תמונת ראי של הצד "השובב" של החיים שהכנסתם למחשב עסקי? ומן הסתם הוא לא יהיה היחיד שיקבל עדכון על כך, אלא גם המנהל הישיר שלכם ואולי גם משאבי אנוש?
.
מושג המפתח פה הוא "המחשב שלהם". כאן נעוץ לדעתי שורש העניין. של מי המחשב?
בואו וננסה להתחקות אחר התפתחות העניינים:
1. מכירות המחשבים הניידים עברו לאחרונה את אלו של המחשבים הנייחים. המחירים יורדים כל הזמן, האיכות והכמות עולה, יתרונות הניידות רבים מאוד. אין שאלה לגבי הכדאיות. וארגונים עסקיים מבינים זאת ובהתאמה כמות הניידים בארגונים עולה בהתמדה.
עלויות רכישת החומרה, התוכנה, הקישוריות (בעיקר הסלולרית), החלפים, התחזוקה והתמיכה – אין שאלה, חלות על הארגון בלבד.
2. אשליית הפרטיות הידועה בכינויה "אם-אני-לא-רואה/יודע-שרואים-אותי-זה-סימן-שלא-רואים-אותי" – אנשים, בייחוד אלו שאינם טכניים, בטוחים בפרטיותם ולא יודעים שאם, חס וחלילה, הם לא הפעילו מערכות הגנה משלהם במחשבים שלהם, אז רואים להם הכול. אבל הכול.
אז כמו הילד המכסה את עיניו בידיו ולכן בטוח שלא רואים אותו – כך העובדים בטוחים שהארגון לא רואה מה עושים במחשב שלהם.
3. טשטוש הגבולות הכמעט יזום בין הארגוני לפרטי. לפעמים הארגון דוחף עובדים לעבוד מכל מקום ובכל שעה, העיקר לקדם את העניינים – על חשבון זמן ומשאבים פרטיים בחלקם, והוא מסייע לעובדים לממש זאת על ידי מתן משאבים כגון מחשבים ניידים, תקשורת נתונים סלולרית, גישה מרחוק לארגון ועוד.
מטרת הטשטוש מבחינת הארגון היא מן הסתם להעביר משאבים מהפרטי אל העסקי, השאלה היא כיצד העובד רואה זאת, מה מטרתו וכיצד הוא מממש זאת. אולי להיפך מכוונת הארגון?
זו משיכת חבל בלתי-נגמרת בין האישי לארגוני, וכל אחד דוחף ומפרש את הנתונים לפי מטרותיו.
4. תרבות ישראלית חופשית, חברית ובלגניסטית – הן ברמת הפרט והן ברמת הארגון, אינה מסייעת, בלשון המעטה, לפיתוח גבולות, הגבלות ונהלים. כבר נתקלתי במקרים שאפילו בין מנהל לעובד היו חילופי תכנים כנ"ל.
בהתאמה, הארגון אינו טורח להגדיר במפורש גבולות שימוש נאותים. מה מותר ומה אסור. לא בע"פ ולבטח לא בכתב.
5. העובד מקבל מחשב נייד צמוד (במקרים הרלוונטיים, כמובן). ממש כמו הרכב הצמוד.
ברכב הצמוד מישהו אומר לו לאן לנסוע? מה להעמיס על האוטו? בקושי רק חברות מעטות מגבילות קילומטרז' בשל עלויות צריכת הדלק.
אז למה שבמחשב הנייד, זה שהולך איתו לבית הקפה עם האינטרנט החופשי, או בבית עם האינטרנט הפרטי (ולעתים על חשבון העבודה) – יגידו לו מה לעשות איתו? להיכן לגלוש? במה לצפות? מה להוריד? מה להתקין (אם מאפשרים לו מבחינת הרשאות התקנה במערכת ההפעלה)? מה להריץ (אם ניתן להרצה בלי התקנה)?
כך שמחשבתית, אפילו שהרכב לרוב הוא למעשה הטבה כלכלית/חוזית ולא כלי עבודה, בעוד שהמחשב הוא כלי עבודה ולא הטבה – הרי שבתנאים הנ"ל המחשב נתפס גם הוא כהטבה לשימוש סמי-פרטי.
מן הסתם גם העובדה שהשימוש לרוב נעשה שלא במבנה/אתר של הארגון, תורם להרגשת החופשיות של העובד בתוספת הרגשת היעדר ההשגחה הארגונית.
אני משער שבלא מעט מקרים המחשב הנייד של העבודה פשוט משמש כמחשב הביתי העיקרי או כמחשב ביתי נוסף.
על כן, לאור הסעיפים הנ"ל, העובדים למעשה מקבלים מסר פאסיבי (ואולי אף מעט אקטיבי בשל הענקת משאבי הניידות למטרת עבודה בכל מקום) של "תעשו מה שבא לכם" בכל הנוגע למחשב הארגוני, בייחוד הנייד. המסר הזה מן הסתם מוביל לתופעות שתיארתי לעיל.
.
אבל מצידו השני של הארגון, יש צורך באבטחת מידע, וכאן אנשי האבט"מ נכנסים עם הכלים שלהם ומפוצצים את הבועה של העובדים (או שלא… תלוי בגישת הארגון ומנהליו ולמי לבסוף הם יתנו גיבוי…), שלא מבינים מאיפה נחתו עליהם. כבר קיבלתי תגובה בסגנון "מה פתאום נכנסת מרחוק למחשב שלי? אסור לך! זה מחשב אישי!". בחיי.
יש כבר כאלו שהלכו צעד קדימה והרימו FW משלהם על המחשב בכדי למנוע ממני גישה, שלא אראה מה קורה אצלם… אבל זו כבר רמה אחרת וסיפור אחר.
שורש הבעיה כאן לדעתי הוא שאין רצף של גישה מצד הארגון – מצד אחד הוא נותן חופש משתמע לעובד, אבל מצד השני מפעיל כלים למניעת הסיכונים הנובעים מחופש זה, ובכך גם במידה רבה מוליך שולל את העובדים וגם מקשה ומייקר את פעילות אבטחת המידע, כי היא נאלצת להתמודד עם יותר איומים מבית מאשר מחוץ.
על כן, לדעתי, ואומר זאת שוב ושוב, אסור להתמקד רק בצד הטכני של האבט"מ – אלא להבטיח סגירת מעגל מלאה שהצד הטכני יהיה רק חלק ממנה, החלק של וידוא הביצוע ואיתור החריגות.
צריך לוודא עם מחלקות משאבי אנוש ומשפטית את ההגבלות שמצד אחד רוצים ומצד שני יכולים להחיל על העובדים (ושיש לכך גיבוי מהדרגים הגבוהים ביותר בארגון) – וממגבלות אלו ליצור נהלים מתאימים, ולוודא שהם מועברים לעובדים כך שהם יהיו מודעים למגבלות אלו במלואן ולסנקציות שיינקטו כנגד מי שלא עומדים בהן.
חשוב שנזכור שאבטחת מידע, כפי שאנו מכירים אותה, הטכנית בעיקר, היא למעשה קצה הקרחון של מגוון רחב של נושאים בארגון – משפטיים, חברתיים, כלכליים, מוסריים, פסיכולוגיים ועוד – ולכן כדאי להתייחס לכולם בכדי ליצור אבטחת מידע יעילה יותר, וכך מן הסתם, גם העבודה שלנו תהיה מעניינת יותר…
.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
תגובות
תמיד כשאני נופל על אתרים שהדפדפן מתריע על תעודה דיגיטלית שאינה בתוקף במסגרת קישור SSL, אני חוטף קריזה.
כמה? כמה קשה לנהל רישום של תעודות ולשים תזכורת באאוטלוק לרכוש תעודה חדשה, ככה, חודש לפני תפוגת התעודה הקיימת? כמה קשה?!
אז הנה דוגמא שנתקלתי בה היום (בתזמון מופלא עם ההמלצה של MS להפסיק להשתמש ב-MD5 בתעודות דיגיטליות. ת.נ.צ.ב.ה.), ובחברה לא קטנה ושאני משער שלא ניתן להגיד שלא אכפת לה מאבט"מ, "בזק".
חיפשתי בגוגל טלפון של חברה מסוימת, והקישור מגוגל הוביל משום מה לדף מבוסס SSL, באתר המן-הסתם-פופולרי, 144 של בזק (https://www.b144.co.il), וזו הודעת האזהרה שקיבלתי מ-FF (הקליקו):
בנוסף, כפי שתשימו לב, התעודה פגה ב-25/11/2008, כלומר, לפני יותר מחודש…
אז נכון, מן הסתם רוב המשתמשים באתר זה לא צריכים SSL, אבל יש חלק באתר שנועד לעסקים שרוצים לקדם עצמם בתוצאות החיפוש (…), וכאשר ניגשים מהדף הראשי של האתר אל דף ה-Login עבור עסקים אלו (קישור ייעודי), הקישור בכלל לא עובר ל-SSL אלא נשאר ב-Clear…
אין במסגרת טופס ההזדהות אפילו קישור המציע טופס מאובטח עם הפנייה ל-SSL, למי שרוצה להגן על נתוני ההזדהות שלו.
אז נגיד שחוסר השימוש ב-SSL הוא החלטה של הארגון שלא להשתמש ב-SSL.
בסדר, לגיטימי, אבל לפחות תסגרו את הגישה ל-443 ב-FW או שתעשו הפניה אוטומטית חזרה לאתר הרגיל – העיקר שלא להפגין סטטוס אבטחה לא שלם למי שינסה בכל אופן, באופן עצמאי, לאבטח את נתוני ההזדהות שלו ע"י שינוי ה-HTTP ל-HTTPS.
הראיה שלי את נושא ה-SSL היא שלא מדובר רק בעניין אבט"מ טהור, אלא גם במוניטין וברצינות של הארגון (ולו ברמת הנִרְאוּת (Visibility)), עד כמה הוא מסייע ללקוחות שלו לשמור על פרטיות וסודיות המידע שלהם – כך שהיעדר שימוש ב-SSL בדף ההזדהות + אי-עדכון התעודה הדיגיטלית רומז ללקוחות הארגון שאבטחת מידע, לפחות זו הרלוונטית למידע של הלקוחות, אינה כל כך מעניינת אותו.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
תגובה אחת
טוב, אז בסוף הצלחתי להשתתף בוועידה, ואפילו עד הסוף. להלן סיכום ההתרשמות שלי.
דף סיכום הכנס, כולל המצגות שהיו בו נמצא בקישור http://www.rfigo.co.il/pcsec2008/ .
הערות כלליות
- בפוסט שסיפרתי לכם על הועידה, ניב, קולגה אהוב, כתב בתגובות שהכנסים האלו הם בזבוז זמן ולא לומדים מהם שום דבר חדש. אתם יודעים מה? הוא לא טועה לחלוטין. אבל מצד שני, זה לא חסר ערך לגמרי. בכל אופן, ועידה/כנס זה לא קורס, לא POC ולא פיילוט. זה סוג של "תקציר מנהלים" בעל גוון בהחלט מסחרי. וגם לזה יש מקום במינון מועט. ולפעמים, הפתעה, יש משהו, אפילו קטן, שהוא חדש, אפילו לא מוצר, אלא סתם זווית ראיה מקורית ושיתוף בניסיון אישי – דברים שאפשר לקחת איתכם ולהשתמש בהם.
פוגשים חברות ומוצרים חדשים ומוכרים, יש מגע אנושי עם קולגות ומתחרים (ואולי גם יריבים…), לומדים מי נשאר, מי עזב, לאן עזב, למה עזב, מי רוצה לעזוב, מי נהיה עצמאי, מי חזר להיות שכיר. מתעדכנים בשילוב החברתי-מקצועי של שוק העבודה הרלוונטי, וזה לא מעט.
- גדי עברון הנחה באלגנטיות. אני זוכר אותו מוביל את TauSec בבטחה, אבל זו היתה קבוצה מקצועית פרופר, והפעם זה היה כנס מכובד ורשמי יותר (לא ש-TauSec לא היתה מכובדת, אבל אתם מבינים אותי. אני מקווה…). בכל מקרה, זה נראה הרבה יותר טוב שאת הכנס מנחה אדם שאולי אינו מנחה מקצועי ומלא שארם אבל מצד שני הוא איש מקצוע ותיק, שמכיר את הקהל ואת המרצים, ויודע לשאול את השאלות הנכונות, אלו שיוציאו מהמרצים ומהקהל את התשובות שיתנו ערך אמיתי למפגש.
לזכותו של גדי ושל המרצים ייאמר שקצב ההרצאות היה טוב, ולהפתעתי, בפעם הראשונה שלי בכנס בישראל (כך נדמה לי) – לא היו חריגות מזמני ההרצאות! הכל רץ חלק (אולי בכל אופן גדי צריך להפוך למנחה אירועים מקצועי. בר מצוות וכאלו…).
- ישראלים, וסליחה על ההכללה, לא יודעים לתת הצגה. לא יודעים ליצור ולהעביר מצגת מעניינת, מושכת, מלמדת, מקצועית. אין לנו כנראה את יכולת ה-Show השיווקית של הגויים. רואים את ההבדל בין הרצאות של אורחים מחו"ל לבין הרצאות של ישראלים, וזה עוד יותר מודגש כאשר ישראלים מעבירים מצגות שנבנו בחו"ל, כי אז רואים את הפער בין הכתוב לבין המוצג, וזה פשוט כואב. וזה כמובן נכון לא רק לאבט"מ.
- מתי אולמות אירועים ומלונות ידאגו לבידוד רעשים נורמלי בין אולם ההרצאות לשאר חלקי הבניין, בייחוד המטבח?!
זה מדהים, אין כנס שאין בו מדי פעם במהלך ההרצאות – רעשים איומים של קרקושי סירים, שבירת צלחות או סתם עבודות שיפוץ – רעשים שמאוד מפריעים הן לקהל והן למרצה.
תסדרו את זה, בחייכם.
- לשמחתי האולם היה כמעט מלא, להערכתי היו בערך 400 איש, אולי יותר.
- מגמה חדשה ומשמחת שהבחנתי בה היתה שהיו בקהל הרבה יותר נשים. באופן מובהק. תחום המחשוב האינסטלטורי (כלומר, לא תכנות. סיסטם ואבט"מ) ידוע ככזה שמעטות בו הנשים, והנה – הן כאן. זה משמח לא רק כי יש יותר נשים במובן הסקסיסטי (שזה תמיד משמח. ואני עוד אחטוף על זה מאשתי), אלא כי נשים יכולות להכניס לתחום זוויות ראיה וגישה שונות מאלו של הגברים, ופלורליזם תמיד עוזר.
וכעת, להערות קצרות או פחות על ההרצאות השונות, לפי סדר הופעתן. קבצי המצגות, כאמור לעיל, נמצאים בדף הסיכום:
- שחר גיגר מאור, אנליסט, STKI – "מגמות באבטחת מידע בישראל ובעולם" – הרצאת יועצים קלאסית המנתחת את מצב השוק, איומים, פתרונות וכן הלאה. חביב.
.
- Adrian Harrington, Channel Sales Manager – Emerging Markets, GFI Israel -
"GFI – The best kept secret in IT" – הרצאת מכירות טהורה. החברה מתרכזת במכירות לשוק ה-SMB בדגש על מחיר נמוך. החברה מפתחת גם מוצרי סיסטם ולא רק אבט"מ.
.
- טל קנדל, מהנדס מערכות בכיר, סימנטק ישראל – "Endpoint Security incidents – אז מה היה לנו שם?" – את טל אני מכיר מהטמעה שהוא מסייע לה במקום עבודתי. כראוי לאיש פרה-סייל טוב, הוא היה מקצועי, רהוט וקצבי. נתן דוגמאות לבעיות והפתרונות שסימנטק מייצרת. שוב, הרצאת מכירה, אבל לפחות טובה.
.
- יהודה פיינזילבר, מנכ"ל, Panda Security Israel -
""From traditional Antivirus to Collective Intelligence – Security "From the Cloud" – שם קצר ובומבסטי להרצאת מכירות מאוד סטנדרטית שניתנה בטון דידקטי ומרדים.
.
- אבנר הרשקוביץ, סמנכ"ל טכנולוגיה, Jetro Platforms – "Jetro COCKPIT2i לגלישה וירטואלית בטוחה באינטרנט" – הרצאה רגילה של הצגת מוצר, אבל זה מוצר שמציג קונספט מעניין.
הרי האינטרנט הוא אבי כל חטאת (וחרטאת…) ואנו רוצים להרחיק את הרשת מאיתנו כמה שיותר. אז כן, יש פרוקסי ומסננים בדרך, אבל בסוף – ביטים מגיעים מהאינטרנט למחשב הארגוני, דו-כיוונית, וזה לא משהו. החברה לקחה את הקונספט של שרתי טרמינל (ע"ש Citrix), בהם המשתמשים מקבלים סביבת עבודה על גבי שרת, והעבירה אותה ל-DMZ ובאופן ייעודי לגלישה. כך שהגלישה למעשה מבוצעת מה-DMZ ולא מהמחשב אישי ב-LAN. יש עם זה גם לא מעט בעיות תפעוליות שהם מנסים לענות עליהן, אבל הכיוון נכון. עוד לא יצא לי לבדוק את הפתרון, אבל אני מקווה שזה יקרה בעתיד הקרוב.
.
- שוקי פרייס, אחראי לנושא אבטחת מידע, מכון התקנים הישראלי – "תרומתו של תקן 27001 לעולם העסקים: ראיות מהשטח" – שוב, הרצאת מכירה. וכמו שגדי אמר בהערה בסיום הרצאה זו – קל מאוד לזייף ולתחמן את התנאים הנדרשים לעמידה בתקן או לשמירת הרצף שלו, כך שהסיכוי לאוויר חם מאחורי ביצוע התקן הוא לא קטן, אבל לאף אחד אין אינטרס להרוס את זה – החברות רוצות טייטל תקן ומכון התקנים רוצה למכור את תהליך התקינה.
לדעתי הנושא, בייחוד במדינה חפיפניקית כמו שלנו, הוא חשוב, כי הוא נותן שלד להיצמד אליו במקום לקפוץ מדבר לדבר ולכבות שריפות. עד כמה זה מיושם במקומות שזכו בתקן? אלוהים יודע.
.
- דייויד ממן, CTO, חברת Moksai – "אתגרי אבטחת מידע ללא מענה, שנידרש לתת עליהם את הדעת" – טיפוס אמיתי. צעיר, מתלהב, בקול רם, כמעט צורם, רץ במילים, לא נינוח. לא מה שהייתי מצפה מחברת ייעוץ – להראות ניסיון, ביטחון, חוכמה, ללמד אותי משהו חדש. המון באזים שחוזרים על עצמם. בעיקר FUD בדגש על בעיות שעדיין פתוחות ובלי מענים מספיקים באבט"מ. דווקא בסוף, לאחר שאלה של גדי, הוא אמר משהו חכם שמצא חן-בעיני ואני מסכים איתו: הרבה מנהלים ב-IT לא מכירים מה יש להם. מה המערכות, היכן הן יושבות, באיזה סדרי גודל. הוא אמר שלפני הכל צריך לבצע מיפוי ורק עד להמשיך. אין מה להגיד – צודק לחלוטין, הן בבעיה והן בפתרון.
.
- נדב אריכא, יועץ אבטחת מידע וידע – "אבטחת מידע כתרבות ארגונית" – הרצאה רכה יותר, בדגש על הקישור בין תרבות וחינוך לאבטחת מידע. התכנים היו כאילו זה מבוא לאבט"מ, שזו לדעתי היתה בחירת תוכן שגויה עבור קהל שמן הסתם כבר מנוסה למדי ומחפש ללמוד משהו חדש, לעלות דרגה.
.
- אלי בקר, מנהל אבטחת מידע, קומברס – "טרור קיברנטי והאם יש דבר כזה בכלל?" – לא התייחס לעבודתו הספציפית, אלא נתן סקירה כללית של תחום התעניינות שלו, הטרור הדיגיטלי ברשת בתוספת הגנת תשתיות קריטיות. היתה הרצאה נחמדה שלקחה את הועידה קצת הצידה, להיבטים אחרים, רחבים יותר, של אבט"מ.
.
- פאנל – יוסי גביש (סמנכ"ל סיכונים תפעוליים ואבטחת מידע בקבוצת "מגדל". גילוי נאות: היה מנהל ישיר שלי), ירון גיל (מנהל אבטחת מידע, מירס תקשורת), גידי גואל (סגן סמנכ"ל מערכות מידע, דואר ישראל), שוקי פרייס (אחראי לנושא אבטחת מידע, מכון התקנים הישראלי) – נושא הפאנל: "ההשקעה הכספית באבטחת מידע".- הפאנל פחות נסב סביב חישובים כספיים מעשיים אלא יותר בטכניקות תקשורת ו"מכירה" (אפשר גם בלי מירכאות) של אבטחת המידע והתקציבים שהמחלקה מבקשת מהנהלת החברה.
הדגשים היו לא להפחיד, להיות חיוביים, להבין שההנהלה לא מבינה בנושא וגם לא את השפה הטכנית ולכן צריך לבצע הסבה של הדברים לשפה שההנהלה מבינה (איפשור התהליך העסקי, אבט"מ כ-Business Enabler, הגנה על מוניטין, רגולציה מחייבת הכרוכה באחריות של ההנהלה, מנוף למכירות (בין השאר על ידי הסמכות ותקנים) המעניק ביטחון ללקוחות ולספקים).
ה-CISO נאלץ להפוך במפגשי התקציב עם ההנהלה להפוך לאיש מכירות. זה לא טבעי אבל זה חלק הכרחי מהעבודה.- נושא נוסף שנדון הוא מיקום ה-CISO במבנה הארגוני. נושא שהוא עדיין בעייתי ומורכב ואין לו אמת אחת. מגיע לו פוסט נפרד בעתיד. מיקום ה-CISO מתחת למנכ"ל נותן לו אפשרות לקבל כוח והשפעה מול הארגון אבל רוב הזמן הוא לבד *מול* ולא *עם* הארגון (למעשה, בעיקר מחלקת מערכות מידע) וגם כאמור, לרוב המנכ"ל לא מבין את הנושא. אם המיקום הוא בתוך מערכות מידע, מתחת למנמ"ר, אז זה תלוי רבות באישיות ובאינטרסים של המנמ"ר, כי אבט"מ הוא גורם נוסף שמעמיס עבודה, כלים, צורך תקציב ומעכב לוחות זמנים. עדיין, לדעתי, יש יותר סיכוי להשפיע מתוך מערכות מידע מאשר מבחוץ, שם נתפס האבט"מ כגוף מבקר ולא מסייע.
- לשאלתו של גדי הודו חלק מהמשתתפים שכאשר הם לא מצליחים להעביר את המסרים שלהם להנהלה, הם מביאים יועצים בכדי להעביר את אותו המסר דרך צד ג', לכאורה אובייקטיבי ונטול אינטרסים.
לדעתי במצב כזה יש כשל בארגון כי אם אותו מסר לבסוף עבר דרך היועץ ולא ישירות מה-CISO להנהלה, הרי שהתקשורת הפנים ארגונית נכשלה (אולי כי אין אמון ב-CISO? שזה מאוד גרוע), ובכדי להגיע לתוצאה גם בוזבז זמן וגם כסף.
- נושא אחר שגדי שאל עליו, אבל לא הצליח כל-כך לקבל תשובה הוא כיצד מצליחים ה-CISOים לקבל את שיתוף הפעולה של הגורמים השונים במערכות מידע, כגון מנהלי רשת שצריכים כעת גם להתקין תיקוני אבטחת מידע ולבצע אתחולים לשרתים. לא סתם גדי לא הצליח לקבל תשובות. זו בעיית יסוד של אבט"מ כפעילות היקפית ולא ליבה.
מחשבה שלי בעקבות הפאנל – יש פרדוקס מסוים במקרים של אירועי אבט"מ משמעותיים בארגון – מצד אחד זה כישלון של האבט"מ בארגון, אך מצד שני, מה לעשות, לא נעים אבל ככה זה עובד – זה כלי מכירות המבהיר את מה שהנהלות לא יכולות או לא רוצות להבין ומדחיקות. כך שה-CISO לא יודע אם הוא רוצה שיקרה משהו או לא… (אולי שיקרה נזק קטן שייתפס במהרה וימנע נזק גדול יותר…).
זהו לפעם, נתראה בכנס הבא.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
תגובה אחת
לאחרונה הוצעה לי משרת ניהול בכירה בתחום, בחברה בינלאומית, אך לצערי היה תנאי סף בסיסי שמטה החברה בחו"ל לא הסכים לוותר עליו – הסמכה רשמית באבטחת מידע, עם תואר בעל X אותיות לועזיות.
כבר בהתחלה, רק מסיבה זו, לא יכולתי להתקדם עם חברה זו.
למעשה, זו הפעם הראשונה שבה אני נתקל בישראל (לפחות לגבי תפקידים שעניינו אותי) בדרישה זו כדרישת סף, ולא רק למשרות ניהוליות. האם זו התבגרות של התחום? או רק חריגה שהגיעה מחו"ל במקרה ספציפי?
עד היום לא טרחתי לעבור הסמכה שתיתן לי טייטל רשמי, לא בסיסטם ולא באבט"מ.
הסיבות היו מגוונות – כסף, זמן, חיי משפחה אינטנסיביים ובעיקר חוסר הערכה לתארים הללו.
בהחלט ייתכן שהדעות שלי על ההסמכות האלו אינן מבוססות, אבל זה ניסיון חיי המקצועי.
יצא לי להכיר לא מעט בעלי MCSE שלא ממש ידעו מהחיים שלהם, וגם יצא לי לעבור לא מעט קורסים של MS שאולי נותנים בסיס ראשוני להיכרות עם המוצרים, אך לבטח לא מכסים את כל המוצר (גם לא שילוב של כל הקורסים של אותו מוצר) ובוודאי לא מכינים את הלומד לעבודה ויישום בארגון עסקי.
בצד ה-CISSP, שנדמה לי שהוא ההסמכה הנפוצה בישראל, יצא לי להכיר אדם שעבדתי איתו באופן אישי תקופה של יותר משנה, כאשר הוא היה למעשה איש מכירות, ולאחר מספר שנים פגשתי אותו והוא סיפר לי שהוא עשה CISSP והוא כעת יועץ עצמאי שהקים חברה משלו. ואני מכיר את האיש, והוא נחמד וידידותי לסביבה – אבל אני גם יודע שאין לו גישה טכנית, וגם אין לו ניסיון מעשי באבטחת מידע או תשתיות.
וכן, גם שמעתי בחצי-אוזן על הצורך לדעת מה גובה הגדר הנדרש במבחן ההסמכה…
אז המקרה המוזכר בתחילת הפוסט בהחלט גרם לי לחשוב. אולי כדאי בכל אופן לשנס מותניים ולהוציא הסמכה, אפילו שאני יודע שזה מיועד בעיקר לחברות ההשמה ולמעסיקים פוטנציאלים, שיוכלו לקבל סטמפה סטנדרטית שאני מכיר את העבודה, וזה ירגיע אותם ויסייע להם לראות אותי באור חיובי יותר כבר על הסף.
מצד שני, אולי בכל אופן אלמד במהלך ההסמכה דברים שלא ידעתי קודם או אפילו סתם אסדר את הידע בראש באופן יותר מסודר ומובנה?
חשוב לי לשמוע מה דעתכם וניסיונכם לגבי הסמכות אבטחת מידע, באופן רלוונטי לשוק הישראלי – האם בכלל צריך להוציא הסמכה? אם כן, איזו הסמכה? למה דווקא הסמכה זו? מה היתרונות שלה? כיצד כדאי להתכונן אליה? וכן הלאה.
אני חושב שהתשובות שלכם יכולות גם להאיר את דרכם של עובדים המתחילים את דרכם במקצועות אבטחת המידע.
התגובות לרשותכם.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
11 תגובות
קיבלתי השבוע דוא"ל מ-"הפורום הישראלי לאבטחת מידע" (IFIS, The Israeli Forum for Information Security. עד לא מזמן השם היה NSIF, ובינתיים זה גם שם הדומיין, עד לשינוי) המודיע כי הוא מתחיל בפעילות פומבית.
הפורום הוא, ככל שידוע לי, ההתארגנות המקצועית הרצינית הראשונה והמקיפה בישראל בתחום אבטחת מידע (ולא, תחום ביקורת מערכות מידע לא נכלל כאן לדעתי), כזו שמקבלת חברים בלי צורך לעמוד במבחנים או לקבל תארים בעלי שלוש אותיות לועזיות בתוספת סיכה ותעודה (תמצאו כאלו בדף שלי "חברות וארגונים בתחום אבטחת המידע בישראל").
הפורום מסונף (ואינני יודע כרגע מה משמעות המילה הזו מעבר לסיוע לוגיסטי לפורום) לאיל"א (איגוד ישראלי לטכונולוגיית מידע).
אני סבור שכמו כל ארגון מקצועי-התנדבותי, כוחו והשפעתו ישאבו כוח מכמות החברים ומרמת האקטיביות של תרומתם ופעילותם בפורום ולכן אני מתכוון להירשם (ברגע שאשתי תאשר את הפעילות וההוצאה…) ומעודד גם אתכם להצטרף.
ביקשתי וקיבלתי אישור להעלות כאן את תוכן הדוא"ל שקיבלתי ואת קבצי ה-PDF שקיבלתי עם הדוא"ל (זמינים להורדה כקובץ ZIP אחד).
רק תיקון טעות קטן שקיבלתי עליו אישור – ב-PDF של "טופס הצטרפות" דמי החבר מקנים לכם חברות עד 31/08/2009 ולא 31/08/2008 כפי שרשום בטופס.
להלן תוכן הדוא"ל:
"
|
שאלות? בירורים?
אינך מצליח לפתוח המסמכים המצ"ב?
צור קשר ישיר עם דורית: 03-7731001
|
שלום רב,
לאחר כשנה של פעילות – הרחק מעין הציבור, יוצאת העמותה / הפורום לדרך ציבורית. דרך זו הינה דרך של התנדבות מחד, וזכויות להכשרה מקצועית מאידך.
הנך מוזמן להצטרף לשורות הפורום הישראלי (לאומי) לאבטחת מידע.
1. קרא/י את הפיסקה שלמטה (תמצית).
2. קרא/י את מסמך "עלון מידע" המצ"ב.
3. קרא/י את מסמך "אינדקס קורסים" המצ"ב. שים דגש בקריאתך: הכשרה מקצועית ללא תשלום לחברי הפורום.
4. מצ"ב טופס הרשמה – למשלוח רק בפקס. החתימה בטופס ההרשמה מחייבת אישור קריאת תקנון העמותה.
תמצית – הפורום הישראלי לאבטחת מידע
כללי
העמותה נוסדה בידי קבוצת אנשי ומנהלי אבטחת מידע מובילים שמטרתם קידום נושא אבטחת המידע ברמה הממלכתית והציבורית, צמצום הסיכונים לפרט ולמדינה, ובניית מדרג מקצועי והכרה לעוסקים בתחום אבטח המידע, והיא מסונפת לאיל"א.
בראשה– נשיא העמותה – האלוף (מיל') יעקב עמידרור, יו"ר העמותה – אבי ויסמן, יו"ר איל"א – עמירם שור וסגני יו"ר העמותה – איתי ינובסקי – CISO צים נתיבי ספנות ומשה חורב – מנכ"ל Oracle ישראל.
מטרות העמותה
העמותה תתנדב ותסייע לחבריה – אנשי אבטחת מידע והעוסקים בתחומי המיחשוב, המשפטים והביקורת, בהכשרה ללא תשלום ובהסמכה, וכן תסייע למוסדות המדינה:
1. מרכז יעוץ לרשויות הממלכתיות בנושאי אבטחת מידע (למשרדי הממשלה, לכנסת, להנהלת בתי משפט, למשטרת ישראל, לעמותות נוספות).
2. מרכז לקידום תקינה וחקיקה בתחום אבטחת מידע (תרומת ידע לגורמים המחוקקים).
3. מרכז לגיבוש וקידום מודעוּת ותרבות אבטחת מידע (מרכז מידע חינוכי ומקצועי לציבור).
4. מרכז ידע ומצוינות בתחום אבטחת מידע- ומקור להעשרה והחלפת מידע מקצועי בתחום (מרכז הכשרה ומידע מקצועי סגור לחברים).
5. מרכז להסדרה ולחיזוק מעמדם המקצועי של אנשי אבטחת מידע והעוסקים בתחום (מרכז הסמכות סגור לחברים).
6. מרכז לייזום ולחיזוק מיזמי אבטחת מידע ממלכתיים ופרטיים.
קבוצות לימוד והכשרה
לרשות חברי העמותה מעמידה ועדת הכשרה מקצועית קבוצות הכשרה מקצועיות לתת-עולמות אבטחת המידע. הלימודים יועברו באמצעות מרצים בכירים במשק הישראלי, במתכונת מפגשים חד-חודשיים בני שעתיים, וסך הכל 24 שעות הכשרה נטולת אוריינטציה מכירתית. בנפרד ממערכת הלמידה הרישמית, תתאפשר חשיפה ליצרנים וספקי שירותים במסגרת נפרדת, תחת תנאים מגבילים המאפשרים למידה. קבוצות הלימוד:
1. קבוצת לימוד – Infrastructure Security (24 שעות שנתיות)
2. קבוצת לימוד – Application & DB Security (24 שעות שנתיות)
3. קבוצת לימוד – Security Tools & Technologies (24 שעות שנתיות)
4. קבוצת לימוד - Hacking & Anti-Hacking Techniques(24 שעות שנתיות)
5. קבוצת לימוד – Security Management, Regulations,& Auditing (24 שעות שנתיות)
6. קבוצת לימוד – Fraud Prevention (24 שעות שנתיות)
7. קבוצת לימוד – Security Innovations & Manufacturers (24 שעות שנתיות)
הנהלת פורום CISO (מנהלי אבטחת מידע בישראל)
הנהלת הפורום כוללת כ- 50 מנהלי אבטחת המידע הבכירים בישראל, 3 נציגים מכל אחד מהמגזרים: ממשלה, ביטחון, רפואה, הייטק, תעשיה ומסחר, סלולר, אינטרנט, תקשורת, אקדמיה, בנקים, ביטוח ואשראי. הנהלת פורום CISO הינה הגוף המקצועי הבכיר בעמותה, תשתלב בפעילויות ההתנדבות ותתווה את מדיניותה המקצועית של העמותה. חברי הנהלת פורום CISO:
מימשל: בועז דולב, מימשל זמין, מנכ"ל, חוזה כהן, רשות המיסים, CISO, יצחק יצ'קו שד"ר, כנסת ישראל, CISO, איתן לרמן, דואר ישראל, CISO, נאוה טרינצ'ר, חברת חשמל, CISO, ביטחון: אבנר בן-אפריים, משהב"ט, רון ארד, משטרת ישראל, עידו שליט, תעשיה אוירית, CISO, דרור חפר, רפא"ל, CISO, ISP's: אריאל פיסצקי, נטוויז'ן Netvision, CISO, אופיר ליבר, סמייל 012, CISO, עמי הופמן, בזק בינלאומי, CISO, תקשורת: זאב גולדשטיין, HOT, CISO, חיים פלדמן, בזק, CISO, שמוליק רוטשס, YES, CISO, סלולר: דודי אבלגון, פלאפון, CISO, ירון גיל, מירס, CISO, מתי מגירא, סלקום, CISO, גולן ברש, פרטנר, CISO, הייטק: אלי בקר, קומברס, CISO, דוד ישראל, מוטורולה, CISO, תעשיה ומסחר: איתי ינובסקי, צים, CISO, ג'ט דאב, כתר פלסטיק, CISO, יובל אילוז, שטראוס עלית, CISO, חנן דקל, אוסם, CISO, מרק לוכטר , טבע, CISO, עידית ישראלי, אל-על, CISO, שמואל דולצ'ה, תנובה, CISO, אקדמיה: אריאל בינר, אונ' ת"א, האנק נוסבכר, מחב"א, רפואה: איציק כוכב, שרותי בריאות כללית, CISO, אבישי שליבקוביץ, לאומית, CISO, בועז ירושלמי, מכבי, CISO, ליאור אילן, משרד הבריאות, CISO, בנקאות: אילן כהן , בנק פועלים, CISO, חקו גייפמן, בנק דיסקונט, CISO, מיכה קורקידי, בנק לאומי לישראל, CISO, מיכה וייס, בנק מזרחי-טפחות, CISO, אשראי: גון קמני, לאומיקארד, CISO, יונתן סרוגו, ויזה כאל, CISO, עמוס בר-סלע, ישראכרט, CISO, ביטוח: לאה גוטרמן, מגדל ביטוח, CISO, מיקי בלחסן, כלל ביטוח, CISO, מרון בכר, הפניקס הישראלי, CISO, מיכאל וייס, הראל ביטוח, CISO.
אנו צופים כי מרבית העוסקים בתחום ייצטרפו לעמותה, ומברכים על-כך.
שימו לב, קורסי ההכשרה המקצועית מתחילים במחצית הראשונה של חודש ספטמבר.
אל תתעכב. הסדר מיד את הרשמתך בפקס כמפורט בראש המייל.
בברכה,
"
עד כאן תוכן הדוא"ל של IFIS.
אתם מוזמנים להירשם, להשתתף ורצוי גם לתרום מיכולותיכם – ארגון מקצועי יכול רק לקדם אותנו בינינו לבין עצמנו ומול העולם.
אבטחת המידע הוא מקצוע צעיר יחסית, בואו ונבנה אותו ביחד.
שתפו או שמרו פוסט/עמוד זה
קישור קבוע
2 תגובות
« העמוד הקודם « העמוד הקודם לפוסטים הבאים »
