CISO חיצוני מול גיוס פנימי — איך מחליטים נכון?
משרה מלאה, מיקור חוץ או מודל משולב? השוואה עניינית לפי עלות, זמינות, עומק היכרות וניסיון רוחבי — עם נקודות ההחלטה שמתאימות לכל שלב של החברה.
בשלב מסוים כמעט כל ארגון ישראלי שמנהל מידע, לקוחות ומערכות — מגיע לאותה שאלה: מי אחראי אצלנו על אבטחת המידע ברמה הניהולית? לא מי מתקין אנטי-וירוס, אלא מי מחליט מה רמת הסיכון המקובלת, מי עומד מול דירקטוריון ורגולטור, ומי מוודא שהשקעות האבטחה הולכות למקומות הנכונים. לשאלה הזו יש שלוש תשובות אפשריות: לגייס CISO במשרה מלאה, לעבוד עם CISO חיצוני (CISO as a Service), או לשלב בין השניים. במאמר הזה נשווה בין המודלים בצורה הוגנת — כולל המקרים שבהם גיוס פנימי הוא פשוט הבחירה הנכונה — כדי שתוכלו לקבל החלטה מושכלת, לא החלטה שיווקית.
Cybertis מספקת שירותי CISO כשירות. דווקא בגלל זה חשוב לנו להציג את התמונה המלאה: יש ארגונים שאנחנו עצמנו ממליצים להם לגייס פנימי — או לעבור למודל משולב. השוואה הוגנת משרתת את כולם.
מה תפקיד ה-CISO באמת דורש
לפני שמשווים מודלים של העסקה, כדאי להסכים על מה בכלל מדובר. CISO (Chief Information Security Officer) הוא פונקציה ניהולית, לא טכנית בלבד. התפקיד כולל בדרך כלל:
- ניהול סיכונים ואסטרטגיה. מיפוי נכסי המידע, הערכת סיכונים, קביעת תיאבון סיכון מול ההנהלה ובניית תוכנית עבודה רב-שנתית מתוקצבת.
- רגולציה וציות. עמידה בחוק הגנת הפרטיות ותיקון 13, תקנות אבטחת מידע, ולפי הענף — דרישות רשות שוק ההון, בנק ישראל, משרד הבריאות או תקני ISO 27001 ו-SOC 2.
- ממשקי הנהלה ולקוחות. דיווח לדירקטוריון, מענה לשאלוני אבטחה של לקוחות אנטרפרייז, ליווי ביקורות ספקים ותהליכי Due Diligence.
- ניהול אירועים. הובלת התגובה באירוע סייבר — החלטות, תקשורת, דיווח לרגולטור ולמבטח.
- בקרה שוטפת. פיקוח על ספקים, הרשאות, מודעות עובדים, סקרי סיכונים ומבדקי חדירות.
וכאן נקודה שחשוב לומר בקול: כשארגון אומר ״אין לנו CISO״, המשמעות בפועל היא כמעט תמיד ״מנהל ה-IT סופג את זה״. מישהו הרי עונה לשאלוני האבטחה של הלקוחות, מישהו מחליט אם לפתוח פורט בפיירוול, ומישהו יצטרך להסביר לרגולטור מה קרה אחרי אירוע. כשאין בעל תפקיד מוגדר, ההחלטות האלה מתקבלות בדיעבד, בלי סמכות ובלי ראייה כוללת — והאחריות המשפטית והעסקית נשארת אצל המנכ״ל. השאלה היא לא ״האם יש לנו CISO״, אלא ״האם הפונקציה מאוישת במודע או במקרה״.
ההשוואה: משרה מלאה, חיצוני, או משולב
אין תשובה אחת נכונה — יש התאמה בין מודל לבין שלב הארגון. הטבלה הבאה מסכמת את ההבדלים המרכזיים. שימו לב שהעלויות מוצגות בסדרי גודל יחסיים, כי המספרים המדויקים משתנים לפי ענף, ניסיון והיקף:
| קריטריון | CISO במשרה מלאה | CISO חיצוני (כשירות) | מודל משולב |
|---|---|---|---|
| עלות שנתית | הגבוהה ביותר — שכר בכירים מלא + תנאים נלווים, גם כשהעומס חלקי | שבריר מעלות משרה מלאה — משלמים על היקף בפועל | ביניים — משרת פנים זוטרה/חלקית + ליווי בכיר |
| זמן עד אפקטיביות | חודשים: גיוס בכירים אורך זמן, ואחריו תקופת כניסה לתפקיד | שבועות: מתודולוגיה קיימת, כניסה מהירה לעבודה | שבועות עד חודשים, לפי הרכיב הפנימי |
| עומק היכרות עם הארגון | הגבוה ביותר — נוכחות יומיומית, היכרות עם אנשים, פוליטיקה ומערכות | טוב אך מוגבל להיקף המעורבות — דורש תהליך למידה מובנה | גבוה — הרכיב הפנימי חי את הארגון יומיום |
| רוחב ניסיון | עמוק בענפים שבהם עבד — אך מוגבל לניסיונו האישי | רחב — חשיפה שוטפת לתקיפות, ביקורות ורגולציה אצל לקוחות רבים | משלב את שני העולמות |
| זמינות באירוע | מיידית ומלאה — אך אדם אחד, שגם יוצא לחופשות | מותנית ב-SLA חוזי — חשוב לעגן זמינות חירום מראש | תגובה ראשונית פנימית מיידית + תגבור בכיר |
| תלות באדם אחד | גבוהה — עזיבה פירושה אובדן ידע ותהליך גיוס ארוך | נמוכה יותר — צוות וספרייה מתודולוגית מאחורי איש הקשר | נמוכה — הידע מפוזר בין פנים לחוץ |
| בניית צוות אבטחה פנימי | המודל הטבעי — ה-CISO מגייס, מפתח ומנהל צוות | לא מיועד לכך — יכול ללוות גיוס אך לא לנהל צוות יומיומי | מסלול הצמיחה — הרכיב הפנימי גדל לצוות עם הזמן |
מתי גיוס פנימי הוא הבחירה הנכונה
נתחיל דווקא כאן, כי זה החלק שספקים חיצוניים נוטים לדלג עליו. יש מצבים שבהם משרה מלאה היא לא מותרות אלא הכרח:
- ארגון גדול או רגולציה כבדה שדורשת נוכחות יומיומית. גוף פיננסי מפוקח, ארגון בריאות גדול או חברה עם מאות עובדים ועשרות מערכות ליבה — שם נפח ההחלטות היומיומי פשוט לא מתאים למעורבות של ימים בודדים בשבוע, וחלק מהרגולטורים מצפים לבעל תפקיד ייעודי וזמין.
- היקף עבודה שמצדיק משרה מלאה. אם כבר היום יש בארגון עבודת אבטחה שוטפת של חמישה ימים בשבוע — פרויקטים, ביקורות, אירועים, ניהול ספקים — מודל חיצוני יהיה יקר יותר ואפקטיבי פחות ממשרה מלאה.
- צורך בבניית צוות אבטחה פנימי. מי שמתכנן להקים צוות SOC, אנליסטים או מהנדסי אבטחה — צריך מנהל שנמצא שם כל יום, מגייס, מחנך ובונה תרבות. את זה ספק חיצוני לא יעשה עבורכם, וטוב שכך.
מתי CISO חיצוני עדיף
- היקף העבודה חלקי. ברוב החברות הקטנות והבינוניות — וברוב הסטארטאפים לפני צמיחה משמעותית — הפונקציה דורשת יום-יומיים בשבוע. לגייס בכיר במשרה מלאה למשימה חלקית זה בזבוז לשני הצדדים: הארגון משלם יותר מדי, והבכיר משתעמם ועוזב.
- עלות. שכר CISO מנוסה הוא מהגבוהים בשוק הטכנולוגי. מודל חיצוני מאפשר גישה לאותה רמת ניסיון בשבריר מהעלות — ולהפנות את ההפרש לבקרות אבטחה בפועל.
- רוחב ניסיון. CISO חיצוני שמלווה במקביל ארגונים בענפים שונים פוגש כל שנה יותר תרחישי תקיפה, ביקורות רגולטוריות ושאלוני לקוחות ממה שרוב ה-CISO הפנימיים פוגשים בעשור. הניסיון הרוחבי הזה מתורגם לזיהוי מהיר של פערים ולפתרונות שכבר הוכחו במקום אחר.
- כניסה מהירה. תהליך גיוס בכירים אורך חודשים; ספק חיצוני מתחיל לעבוד תוך שבועות, עם מתודולוגיה, תבניות ונהלים מוכנים. כשיש דדליין — ביקורת לקוח, דרישת מבטח, תיקון 13 — זה ההבדל המכריע.
- אי-תלות ועמידות. מאחורי איש הקשר עומד צוות: חופשה, מחלה או עזיבה לא משאירים את הארגון בלי פונקציה. ויש יתרון נוסף שפחות מדברים עליו — עצמאות מקצועית: גורם חיצוני שאינו תלוי בפוליטיקה פנים-ארגונית מוצא לעצמו קל יותר להגיד להנהלה דברים לא נוחים.
המודל המשולב — לא פשרה, אלא מסלול צמיחה
ההשוואה ״פנימי מול חיצוני״ מציגה את ההחלטה כבינארית, אבל בפועל הרבה ארגונים בוגרים עובדים במודל שלישי, בשתי וריאציות עיקריות:
- חיצוני שבונה — פנימי שמתחזק. CISO חיצוני מקים את התשתית: מיפוי סיכונים, מדיניות, נהלים, תוכנית עבודה, הסמכות. כשהארגון גדל והעומס מצדיק משרה מלאה — מגייסים CISO פנימי שנכנס לתשתית מסודרת במקום להתחיל מאפס, והספק החיצוני מלווה את החפיפה ויוצא (או נשאר כיועץ נקודתי). כך הגיוס נעשה בזמן הנכון, לא מוקדם מדי ולא באיחור.
- פנימי זוטר + ליווי בכיר חיצוני. הארגון מגייס מנהל אבטחה או Security Lead בתחילת דרכו — זול משמעותית מ-CISO בכיר — שמטפל בשוטף ונמצא בארגון כל יום, ולצדו CISO חיצוני בכיר שמספק את השכבה האסטרטגית: תעדוף, עמידה מול רגולטור ודירקטוריון, ליווי באירועים, וחניכה מקצועית של העובד הזוטר. הארגון מקבל גם נוכחות יומיומית וגם ניסיון בכיר — בעלות כוללת נמוכה ממשרת בכירים אחת.
אם אתם לקראת גיוס הון או לקוחות אנטרפרייז ראשונים, המודל המשולב רלוונטי במיוחד — הרחבנו על התזמון במאמר למה סטארטאפ צריך CISO עוד לפני סבב A, ועל הליווי המלא בעמוד אבטחת סייבר לסטארטאפים.
ארבע שאלות שכל מנכ״ל צריך לשאול לפני ההחלטה
- מה היקף הרגולציה שחל עלינו? אם אתם גוף מפוקח עם דרישה רגולטורית לבעל תפקיד ייעודי וזמין — הכיוון הוא פנימי או משולב. אם החובות הן ״אופקיות״ (תיקון 13, תקנות אבטחת מידע, ISO 27001 לצורכי לקוחות) — חיצוני מכסה אותן היטב.
- מה הלקוחות שלנו דורשים? לקוחות אנטרפרייז ושאלוני אבטחה מחפשים פונקציה מאוישת, תוכנית עבודה ותשובות מקצועיות — לא בהכרח עובד בתקן. אם דרישות הלקוחות הן המניע המרכזי, חיצוני נותן מענה מהיר. אם לקוח אסטרטגי דורש במפורש בעל תפקיד פנימי — זה שיקול כבד לכיוון השני.
- כמה גדול הצוות הטכנולוגי שלנו? ככלל אצבע: צוות פיתוח ו-IT של עשרות בודדות מייצר עומס אבטחה חלקי שמתאים לחיצוני; ארגון עם מאות אנשי טכנולוגיה, סביבות ייצור מרובות ופרויקטים מקבילים — מתקרב לנקודה שבה משרה מלאה מוצדקת.
- מה התקציב הכולל לאבטחה — לא רק לשכר? אם גיוס CISO בכיר יבלע את רוב תקציב האבטחה ולא יישאר כסף לבקרות, כלים ומבדקים — עדיף מודל חיצוני או משולב שמשאיר תקציב ליישום בפועל. CISO בלי תקציב ביצוע הוא כותב מסמכים יקר.
דגלים אדומים בבחירת ספק CISO חיצוני
אם החלטתם ללכת על מודל חיצוני, ההחלטה הבאה חשובה לא פחות: מי הספק. השוק גדל מהר, ולא כל מה שנמכר כ-CISO as a Service אכן כזה. סימנים שכדאי לעצור בהם:
- מוכרים לכם בכיר — מקבלים מנהל פרויקט זוטר. בפגישת המכירה יושב מומחה ותיק, ואחרי החתימה מגיע לפגישות עובד שנתיים בתחום. שאלו במפורש: מי האדם שיעבוד איתנו בפועל, מה הניסיון שלו, וכמה שעות בחודש הוא באמת מקדיש לנו — ועגנו זאת בהסכם.
- אין נוכחות בהנהלה. CISO שלא מופיע בישיבות הנהלה, לא מדווח לדירקטוריון ולא מדבר עם המנכ״ל — הוא יועץ טכני, לא CISO. אם הספק מציע רק ״שעות ייעוץ ל-IT״, זו לא הפונקציה שאתם צריכים לאייש.
- החבילה נמכרת יחד עם מוצרים. כשהגורם שממליץ מה לקנות הוא גם זה שמרוויח מהמכירה, ההמלצות מפסיקות להיות אובייקטיביות. CISO — פנימי או חיצוני — צריך להיות ניטרלי לחלוטין מול ספקי מוצרים. הפרדה בין ייעוץ למכירת מוצרים היא תנאי בסיסי, לא פינוק.
- אין מתודולוגיה סדורה ותוצרים מוגדרים. בקשו לראות דוגמה (מותממת) של תוכנית עבודה, דוח סיכונים או נוהל. ספק רציני יראה לכם בדיוק מה תקבלו ומתי.
השורה התחתונה
אין מודל ״נכון״ אוניברסלית — יש מודל נכון לשלב שבו הארגון נמצא. ארגון גדול, מפוקח, עם עומס אבטחה יומיומי וצורך בצוות פנימי — צריך לגייס, וכל מי שאומר לו אחרת מוכר לו משהו. רוב החברות הקטנות והבינוניות בישראל, לעומת זאת, נמצאות בדיוק בטווח שבו הפונקציה נדרשת אך היקפה חלקי — ושם CISO חיצוני או מודל משולב נותנים יותר ביטחון על כל שקל, עם כניסה מהירה ובלי תלות באדם אחד. והכי חשוב: ההחלטה הגרועה היחידה היא לא להחליט — כי אז הפונקציה מאוישת בפועל על ידי מי שבמקרה הכי קרוב לשרת, בלי סמכות, בלי תוכנית ובלי אחריות מוגדרת.
מתלבטים איזה מודל מתאים לארגון שלכם? שיחת התאמה ראשונה עם Cybertis היא ללא עלות וללא התחייבות — ואם המסקנה תהיה שאתם צריכים לגייס פנימי, נגיד לכם בדיוק את זה.
לשירות CISO כשירות*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי, משפטי או המלצה גורפת. בחירת מודל אבטחת מידע מחייבת בחינה פרטנית של צורכי הארגון, הרגולציה החלה עליו ומשאביו.*