מומחה מתודולוגיות הגנת סייבר (מנהלי): CSMP

משרד הגנה של ארה”ב (DoD) פרסם ב- 2004 הוראה מס’ 8570.1 בנושא: “הדרכת אבטחת מידע, הסמכה וניהול כוח אדם”.

ההוראה מחייבת כי כל בעל מקצוע טכני או מינהלי שהוא מומחה באבטחת מידע יוכשר ויוסמך בהתאם לתקן ברור, על-מנת לאפשר הגנה יעילה על מידע, מערכות מידע ותשתיות מידע של DoD, והגדיר קבוצות של מקצועות, ורמות בכירוּת שונות. [הוראה 8570.1].

מטה הסייבר הלאומי במשרד ראש הממשלה (INCB: israeli national cyber Bureau) פרסם רשימת מקצועות ליבה, ובהם:

1. מיישם הגנת סייבר (Cyber Security Practitioner),
2. מומחה טכנולוגיות (ארכיטקט – Cyber Security Technology Expert),
3. מומחה מתודולוגיות (מינהל ומימשל: Cyber Security Methodology Expert),
4. מומחה בדיקות חדירות (Cyber Security Penetration Testing Expert)
5. מומחה חקירות סייבר (Cyber Forensics Expert).
   התפקיד כולל הנחיה מקצועית ואחריות מלאה של תהליכים ארגוניים בתחום הגנת הסייבר, כגון ליווי הקמת מערכת הגנת סייבר ארגונית, הנחיה מקצועית וליווי של פרויקטים בהיבטי הגנת סייבר, אבטחת שרשרת האספקה, המשכיות עסקית, התאוששות מאסון וניתוח השפעות עסקיות. המטה הקיברנטי מתייחס למקצוע זה כרכיב המהותי ביותר במארג המקצועות המתחייב ביחידת סייבר.

מהות המקצוע על-פי מטה הסייבר:

מתודולוג הינו אדם האחראי על:

1. גיבוש, אפיון ומימוש תפיסות, שיטות ומתודולוגיות להגנת הסייבר בארגון.
2. הטמעת היבטי רגולציה (אסדרה) ותקינה ישראלית ובין-לאומית והיבטי הגנת הפרטיות.
3. ניהול סיכונים בהגנת הסייבר.
4. הנחיה מקצועית ואחריות מלאה של תהליכים ארגוניים בתחום הגנת הסייבר (כגון ליווי הקמת מערכת הגנת סייבר ארגונית,הנחיה מקצועית וליווי של פרויקטים בהיבטי הגנת סייבר, אבטחת שרשרת האספקה, המשכיות עסקית, התאוששות מאסון וניתוח השפעות עסקיות).
5. זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות הארגונית.
6. אחריות לקשר עם הנהלת הארגון לקבלת אישור מדיניות, לוידוא הגיבוי ליישום התפיסות, השיטות, והמתודולוגיות להגנת הסייבר בארגון, באמצעות כתב מינוי רשמי, תמיכה שיווקית פנימית, תקציב.תוכנית לימודים זו הינה חלק שני מתוך תוכנית לימודים הרחבה של מנהל טכנולוגיות ומתודולוגיות הגנת סייבר – CISO

מכללת See Security הנה מכללה התמחותית למקצועות ניהול רשתות והגנת סייבר, אחת מ- 7 מכללות מסוגה בעולם ועוסקת בלעדית בתחום זה בכל זמנה, תוך שימוש במתודולוגית הדרכה שנבנתה עבור גורמים ממלכתיים. מנהל המכללה, מר אבי ויסמן, הנו ממובילי ענף הגנת סייבר בישראל, פרשן ויועץ מבוקש בערוצי השידור בישראל, יו”ר הפורום הלאומי לאבטחת מידע IFIS, וכן מנכ”ל משותף בפירמה לייעוץ הגנת סייבר See Consulting ובחברה להשמת כח אדם מקצועי בענף הסייבר – SeeHR.

המכללה נודעה בענף בזכות משמעת הלימודים שלה, הרמה הגבוהה של מרציה, וההתעקשות הפדגוגית והסיוע האישי הניתן לתלמידיה ולבוגריה. מנכ”ל המכללה הגדיר במהלך השנים 2006 עד 2011 את המבנה והתכנים למקצועות אבטחת המידע בישראל, כפי שהם מיושמים החל משנת 2017 באמצעות מטה הסייבר הלאומי והרשות הלאומית להגנת סייבר.

תכנית הלימודים היוקרתית CSMP נועדה להכשיר מומחי הגנת סייבר המסוגלים לייעץ, להנחות ולקבל החלטות במשימות הגנת המידע, התחום המנהלי – ממשלי, ללא התחום הטכנולוגי-טקטי. היכולת תירכש מתוך היכרות עמוקה עם התקנים הבינלאומיים, הלאומיים, המגזריים והעסקיים, הכרת שיטות לקביעת מדיניות ארגונית, נהלים, והוראות העבודה הנהוגות (Best Practice) בתחומים אלו, לרבות טכניקות ניהול. יכולת זו תוקנה לתלמיד בתכנית הלימודים באמצעות הרצאות, התנסויות ותרגול רב.

לצד הידע המקצועי, פועלת התכנית להקניית הסמכת ISO 27001 Lead Auditor, ולחלק בהסמכת CISSP.

• קיימת חובת נוכחות ב-80% מהמפגשים.
• כל מודול נלמד מחייב עמידה במבחן פנימי ו/או בעבודות בציון 70 לפחות.
• בנושאים הטכניים: תרגול (Hands-on) בכיתה (מעבדת מחשבים)

מתכונת הלימודים:

משך התכנית כ- 88 שעות,  במתכונת של 22 מפגשי ערב  (כ-3 חודשים).  הלימודים  מתקיימים  בקמפוס המכללה ברמת-גן וב-ZOOM.  המסלול נפתח כ- 3 פעמים בשנה.

תכנית נבנתה לצרכי ידע מעשי, ומשמשת כהכנה למבחנים בינלאומיים שונים. לעומדים
בדרישות התכנית, תוענק תעודה מטעם מכללת See-Security:

“מומחה מתודולוגיות מינהל ומימשל סייבר – CSMP”.

GRC: InfoSec Governance, Risk & Compliance

עולם אבטחת המידע מקיים יחסי גומלין הדוקים עם תחום הממשל, ניהול הסיכונים והתאימות התאגידית, מזינה ומוזנת ממנו. מדובר בדיסציפלינה בעלת 3 משמעויות: ניהול הסיכון הארגוני כתוצאה מאירוע סייבר, עמידת הארגון בדרישות ההנהלה ובדרישות החוק והרגולציה בהיבטים רלבנטיים (למשל: חוק הגנת הפרטיות). בין השאר ייסקרו תחום הארגון והשיטות של עולם אבטחת המידע, ע”פ הפרקטיקה היום-יומית: האבטחה ISC2-CISSP, ISACA-CISM, תקני ISO 27000, SOX, DoD, PCI, ועל-בסיס החקיקה בישראל והרגולציות הענפיות.

Legal & Regulatory: The Applicable Legislation, The privacy Act, Information reservoirs Registration & Protection, The Regulation, 357, 257, SOX & iSOX, BASEL II, HIPPA
Program Management: The InfoSec Program From Three Points of View, Security Architecture Defined, Policies, Standards, Procedures, Baselines & Guidelines, InfoSec as a Process, Process Quality Management
Governance, Strategic plan: Corporate Governance Defined, InfoSec Governance, Corporate, IT & InfoSec Governance Relationship, Corporate strategy defined, Infosec Positioning, Infosec Strategy, InfoSec Strategic Planning. Statement of Applicability
Controls & Control Objectives: ISO 27001 -ISMS, InfoSec Control Objectives
Control Environment: Controls, Designing a Control Environment, Cobit, COSO
Privacy in the Digital Age
Program Audit & Maintenance: Internal Audit Defined, IT General Audit, Infosec Audit, Program Improvement, Pen tests

CISO Function & Roll

מה עושה מנהל אבטחת המידע מדי יום? מהי רשימת משימותיו ומהו סדר הפעולות הנכון? כיצד הופך התוצר של כל פעולה לחומר גלם של הפעולה הבאה?התורה הבלתי כתובה של תפקודי ה-CISO. בין השאר נסקרים:

CISO Role,
Infosec management premier,
InfoSec Risk management, Risk Assessment, Risk mitigation,
Infosec as a Process, IAM Process, TVM Process,
Budget and Investment,
Incident Response,
Communication and awareness,
Project Management,
BCM and disaster recovery,
Computer Forensic & Intellectual Rights,
Measuring Security,
Organizational Security Program

Final Assignment: Building an InfoSec Program

הסטודנטים מתבקשים לכתוב פרויקט המסכם את הידע הנרכש CISO Function, לרבות משמעויות הנובעות מפרק ממשל אבטחת מידע וניהול תהליכי אבטחת מידע, ובהתבסס על הידע שנרכש בפרק הטכנולוגיות והארכיטקטורה.

InfoSec Consulting Services

סדנת שירותי אבטחת מידע טיפוסיים: סקרי סיכונים תהליכיים וטכנולוגיים, מבדקי חדירות, סקירות תאימות GRC ועוד.