דלגו לתוכן
אסטרטגיה4 ביולי 20268 דק׳ קריאה

CISO חיצוני מול גיוס פנימי — איך מחליטים נכון?

משרה מלאה, מיקור חוץ או מודל משולב? השוואה עניינית לפי עלות, זמינות, עומק היכרות וניסיון רוחבי — עם נקודות ההחלטה שמתאימות לכל שלב של החברה.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

בשלב מסוים כמעט כל ארגון ישראלי שמנהל מידע, לקוחות ומערכות — מגיע לאותה שאלה: מי אחראי אצלנו על אבטחת המידע ברמה הניהולית? לא מי מתקין אנטי-וירוס, אלא מי מחליט מה רמת הסיכון המקובלת, מי עומד מול דירקטוריון ורגולטור, ומי מוודא שהשקעות האבטחה הולכות למקומות הנכונים. לשאלה הזו יש שלוש תשובות אפשריות: לגייס CISO במשרה מלאה, לעבוד עם CISO חיצוני (CISO as a Service), או לשלב בין השניים. במאמר הזה נשווה בין המודלים בצורה הוגנת — כולל המקרים שבהם גיוס פנימי הוא פשוט הבחירה הנכונה — כדי שתוכלו לקבל החלטה מושכלת, לא החלטה שיווקית.

גילוי נאות

Cybertis מספקת שירותי CISO כשירות. דווקא בגלל זה חשוב לנו להציג את התמונה המלאה: יש ארגונים שאנחנו עצמנו ממליצים להם לגייס פנימי — או לעבור למודל משולב. השוואה הוגנת משרתת את כולם.

מה תפקיד ה-CISO באמת דורש

לפני שמשווים מודלים של העסקה, כדאי להסכים על מה בכלל מדובר. CISO (Chief Information Security Officer) הוא פונקציה ניהולית, לא טכנית בלבד. התפקיד כולל בדרך כלל:

  • ניהול סיכונים ואסטרטגיה. מיפוי נכסי המידע, הערכת סיכונים, קביעת תיאבון סיכון מול ההנהלה ובניית תוכנית עבודה רב-שנתית מתוקצבת.
  • רגולציה וציות. עמידה בחוק הגנת הפרטיות ותיקון 13, תקנות אבטחת מידע, ולפי הענף — דרישות רשות שוק ההון, בנק ישראל, משרד הבריאות או תקני ISO 27001 ו-SOC 2.
  • ממשקי הנהלה ולקוחות. דיווח לדירקטוריון, מענה לשאלוני אבטחה של לקוחות אנטרפרייז, ליווי ביקורות ספקים ותהליכי Due Diligence.
  • ניהול אירועים. הובלת התגובה באירוע סייבר — החלטות, תקשורת, דיווח לרגולטור ולמבטח.
  • בקרה שוטפת. פיקוח על ספקים, הרשאות, מודעות עובדים, סקרי סיכונים ומבדקי חדירות.

וכאן נקודה שחשוב לומר בקול: כשארגון אומר ״אין לנו CISO״, המשמעות בפועל היא כמעט תמיד ״מנהל ה-IT סופג את זה״. מישהו הרי עונה לשאלוני האבטחה של הלקוחות, מישהו מחליט אם לפתוח פורט בפיירוול, ומישהו יצטרך להסביר לרגולטור מה קרה אחרי אירוע. כשאין בעל תפקיד מוגדר, ההחלטות האלה מתקבלות בדיעבד, בלי סמכות ובלי ראייה כוללת — והאחריות המשפטית והעסקית נשארת אצל המנכ״ל. השאלה היא לא ״האם יש לנו CISO״, אלא ״האם הפונקציה מאוישת במודע או במקרה״.

ההשוואה: משרה מלאה, חיצוני, או משולב

אין תשובה אחת נכונה — יש התאמה בין מודל לבין שלב הארגון. הטבלה הבאה מסכמת את ההבדלים המרכזיים. שימו לב שהעלויות מוצגות בסדרי גודל יחסיים, כי המספרים המדויקים משתנים לפי ענף, ניסיון והיקף:

קריטריוןCISO במשרה מלאהCISO חיצוני (כשירות)מודל משולב
עלות שנתיתהגבוהה ביותר — שכר בכירים מלא + תנאים נלווים, גם כשהעומס חלקישבריר מעלות משרה מלאה — משלמים על היקף בפועלביניים — משרת פנים זוטרה/חלקית + ליווי בכיר
זמן עד אפקטיביותחודשים: גיוס בכירים אורך זמן, ואחריו תקופת כניסה לתפקידשבועות: מתודולוגיה קיימת, כניסה מהירה לעבודהשבועות עד חודשים, לפי הרכיב הפנימי
עומק היכרות עם הארגוןהגבוה ביותר — נוכחות יומיומית, היכרות עם אנשים, פוליטיקה ומערכותטוב אך מוגבל להיקף המעורבות — דורש תהליך למידה מובנהגבוה — הרכיב הפנימי חי את הארגון יומיום
רוחב ניסיוןעמוק בענפים שבהם עבד — אך מוגבל לניסיונו האישירחב — חשיפה שוטפת לתקיפות, ביקורות ורגולציה אצל לקוחות רביםמשלב את שני העולמות
זמינות באירועמיידית ומלאה — אך אדם אחד, שגם יוצא לחופשותמותנית ב-SLA חוזי — חשוב לעגן זמינות חירום מראשתגובה ראשונית פנימית מיידית + תגבור בכיר
תלות באדם אחדגבוהה — עזיבה פירושה אובדן ידע ותהליך גיוס ארוךנמוכה יותר — צוות וספרייה מתודולוגית מאחורי איש הקשרנמוכה — הידע מפוזר בין פנים לחוץ
בניית צוות אבטחה פנימיהמודל הטבעי — ה-CISO מגייס, מפתח ומנהל צוותלא מיועד לכך — יכול ללוות גיוס אך לא לנהל צוות יומיומימסלול הצמיחה — הרכיב הפנימי גדל לצוות עם הזמן

מתי גיוס פנימי הוא הבחירה הנכונה

נתחיל דווקא כאן, כי זה החלק שספקים חיצוניים נוטים לדלג עליו. יש מצבים שבהם משרה מלאה היא לא מותרות אלא הכרח:

  • ארגון גדול או רגולציה כבדה שדורשת נוכחות יומיומית. גוף פיננסי מפוקח, ארגון בריאות גדול או חברה עם מאות עובדים ועשרות מערכות ליבה — שם נפח ההחלטות היומיומי פשוט לא מתאים למעורבות של ימים בודדים בשבוע, וחלק מהרגולטורים מצפים לבעל תפקיד ייעודי וזמין.
  • היקף עבודה שמצדיק משרה מלאה. אם כבר היום יש בארגון עבודת אבטחה שוטפת של חמישה ימים בשבוע — פרויקטים, ביקורות, אירועים, ניהול ספקים — מודל חיצוני יהיה יקר יותר ואפקטיבי פחות ממשרה מלאה.
  • צורך בבניית צוות אבטחה פנימי. מי שמתכנן להקים צוות SOC, אנליסטים או מהנדסי אבטחה — צריך מנהל שנמצא שם כל יום, מגייס, מחנך ובונה תרבות. את זה ספק חיצוני לא יעשה עבורכם, וטוב שכך.

מתי CISO חיצוני עדיף

  • היקף העבודה חלקי. ברוב החברות הקטנות והבינוניות — וברוב הסטארטאפים לפני צמיחה משמעותית — הפונקציה דורשת יום-יומיים בשבוע. לגייס בכיר במשרה מלאה למשימה חלקית זה בזבוז לשני הצדדים: הארגון משלם יותר מדי, והבכיר משתעמם ועוזב.
  • עלות. שכר CISO מנוסה הוא מהגבוהים בשוק הטכנולוגי. מודל חיצוני מאפשר גישה לאותה רמת ניסיון בשבריר מהעלות — ולהפנות את ההפרש לבקרות אבטחה בפועל.
  • רוחב ניסיון. CISO חיצוני שמלווה במקביל ארגונים בענפים שונים פוגש כל שנה יותר תרחישי תקיפה, ביקורות רגולטוריות ושאלוני לקוחות ממה שרוב ה-CISO הפנימיים פוגשים בעשור. הניסיון הרוחבי הזה מתורגם לזיהוי מהיר של פערים ולפתרונות שכבר הוכחו במקום אחר.
  • כניסה מהירה. תהליך גיוס בכירים אורך חודשים; ספק חיצוני מתחיל לעבוד תוך שבועות, עם מתודולוגיה, תבניות ונהלים מוכנים. כשיש דדליין — ביקורת לקוח, דרישת מבטח, תיקון 13 — זה ההבדל המכריע.
  • אי-תלות ועמידות. מאחורי איש הקשר עומד צוות: חופשה, מחלה או עזיבה לא משאירים את הארגון בלי פונקציה. ויש יתרון נוסף שפחות מדברים עליו — עצמאות מקצועית: גורם חיצוני שאינו תלוי בפוליטיקה פנים-ארגונית מוצא לעצמו קל יותר להגיד להנהלה דברים לא נוחים.

המודל המשולב — לא פשרה, אלא מסלול צמיחה

ההשוואה ״פנימי מול חיצוני״ מציגה את ההחלטה כבינארית, אבל בפועל הרבה ארגונים בוגרים עובדים במודל שלישי, בשתי וריאציות עיקריות:

  1. חיצוני שבונה — פנימי שמתחזק. CISO חיצוני מקים את התשתית: מיפוי סיכונים, מדיניות, נהלים, תוכנית עבודה, הסמכות. כשהארגון גדל והעומס מצדיק משרה מלאה — מגייסים CISO פנימי שנכנס לתשתית מסודרת במקום להתחיל מאפס, והספק החיצוני מלווה את החפיפה ויוצא (או נשאר כיועץ נקודתי). כך הגיוס נעשה בזמן הנכון, לא מוקדם מדי ולא באיחור.
  2. פנימי זוטר + ליווי בכיר חיצוני. הארגון מגייס מנהל אבטחה או Security Lead בתחילת דרכו — זול משמעותית מ-CISO בכיר — שמטפל בשוטף ונמצא בארגון כל יום, ולצדו CISO חיצוני בכיר שמספק את השכבה האסטרטגית: תעדוף, עמידה מול רגולטור ודירקטוריון, ליווי באירועים, וחניכה מקצועית של העובד הזוטר. הארגון מקבל גם נוכחות יומיומית וגם ניסיון בכיר — בעלות כוללת נמוכה ממשרת בכירים אחת.
לסטארטאפים בצמיחה

אם אתם לקראת גיוס הון או לקוחות אנטרפרייז ראשונים, המודל המשולב רלוונטי במיוחד — הרחבנו על התזמון במאמר למה סטארטאפ צריך CISO עוד לפני סבב A, ועל הליווי המלא בעמוד אבטחת סייבר לסטארטאפים.

ארבע שאלות שכל מנכ״ל צריך לשאול לפני ההחלטה

  1. מה היקף הרגולציה שחל עלינו? אם אתם גוף מפוקח עם דרישה רגולטורית לבעל תפקיד ייעודי וזמין — הכיוון הוא פנימי או משולב. אם החובות הן ״אופקיות״ (תיקון 13, תקנות אבטחת מידע, ISO 27001 לצורכי לקוחות) — חיצוני מכסה אותן היטב.
  2. מה הלקוחות שלנו דורשים? לקוחות אנטרפרייז ושאלוני אבטחה מחפשים פונקציה מאוישת, תוכנית עבודה ותשובות מקצועיות — לא בהכרח עובד בתקן. אם דרישות הלקוחות הן המניע המרכזי, חיצוני נותן מענה מהיר. אם לקוח אסטרטגי דורש במפורש בעל תפקיד פנימי — זה שיקול כבד לכיוון השני.
  3. כמה גדול הצוות הטכנולוגי שלנו? ככלל אצבע: צוות פיתוח ו-IT של עשרות בודדות מייצר עומס אבטחה חלקי שמתאים לחיצוני; ארגון עם מאות אנשי טכנולוגיה, סביבות ייצור מרובות ופרויקטים מקבילים — מתקרב לנקודה שבה משרה מלאה מוצדקת.
  4. מה התקציב הכולל לאבטחה — לא רק לשכר? אם גיוס CISO בכיר יבלע את רוב תקציב האבטחה ולא יישאר כסף לבקרות, כלים ומבדקים — עדיף מודל חיצוני או משולב שמשאיר תקציב ליישום בפועל. CISO בלי תקציב ביצוע הוא כותב מסמכים יקר.

דגלים אדומים בבחירת ספק CISO חיצוני

אם החלטתם ללכת על מודל חיצוני, ההחלטה הבאה חשובה לא פחות: מי הספק. השוק גדל מהר, ולא כל מה שנמכר כ-CISO as a Service אכן כזה. סימנים שכדאי לעצור בהם:

  • מוכרים לכם בכיר — מקבלים מנהל פרויקט זוטר. בפגישת המכירה יושב מומחה ותיק, ואחרי החתימה מגיע לפגישות עובד שנתיים בתחום. שאלו במפורש: מי האדם שיעבוד איתנו בפועל, מה הניסיון שלו, וכמה שעות בחודש הוא באמת מקדיש לנו — ועגנו זאת בהסכם.
  • אין נוכחות בהנהלה. CISO שלא מופיע בישיבות הנהלה, לא מדווח לדירקטוריון ולא מדבר עם המנכ״ל — הוא יועץ טכני, לא CISO. אם הספק מציע רק ״שעות ייעוץ ל-IT״, זו לא הפונקציה שאתם צריכים לאייש.
  • החבילה נמכרת יחד עם מוצרים. כשהגורם שממליץ מה לקנות הוא גם זה שמרוויח מהמכירה, ההמלצות מפסיקות להיות אובייקטיביות. CISO — פנימי או חיצוני — צריך להיות ניטרלי לחלוטין מול ספקי מוצרים. הפרדה בין ייעוץ למכירת מוצרים היא תנאי בסיסי, לא פינוק.
  • אין מתודולוגיה סדורה ותוצרים מוגדרים. בקשו לראות דוגמה (מותממת) של תוכנית עבודה, דוח סיכונים או נוהל. ספק רציני יראה לכם בדיוק מה תקבלו ומתי.

השורה התחתונה

אין מודל ״נכון״ אוניברסלית — יש מודל נכון לשלב שבו הארגון נמצא. ארגון גדול, מפוקח, עם עומס אבטחה יומיומי וצורך בצוות פנימי — צריך לגייס, וכל מי שאומר לו אחרת מוכר לו משהו. רוב החברות הקטנות והבינוניות בישראל, לעומת זאת, נמצאות בדיוק בטווח שבו הפונקציה נדרשת אך היקפה חלקי — ושם CISO חיצוני או מודל משולב נותנים יותר ביטחון על כל שקל, עם כניסה מהירה ובלי תלות באדם אחד. והכי חשוב: ההחלטה הגרועה היחידה היא לא להחליט — כי אז הפונקציה מאוישת בפועל על ידי מי שבמקרה הכי קרוב לשרת, בלי סמכות, בלי תוכנית ובלי אחריות מוגדרת.

מתלבטים איזה מודל מתאים לארגון שלכם? שיחת התאמה ראשונה עם Cybertis היא ללא עלות וללא התחייבות — ואם המסקנה תהיה שאתם צריכים לגייס פנימי, נגיד לכם בדיוק את זה.

לשירות CISO כשירות

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי, משפטי או המלצה גורפת. בחירת מודל אבטחת מידע מחייבת בחינה פרטנית של צורכי הארגון, הרגולציה החלה עליו ומשאביו.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il