Muhammad Rezqi e il lato decisamente umano di un detective digitale

Il padre di Muhammad era un ingegnere informatico. Così, da giovani appassionati di videogiochi, lui e suo fratello non vedevano nulla di insolito nel creare trucchi per i giochi al computer, senza rendersi conto che in realtà si trattava di una forma di hacking di base. "Leggevamo i valori di memoria di un gioco e poi cambiavamo la quantità di denaro o di energia a nostra disposizione. A quell'età ero semplicemente curioso e volevo capire come funzionassero le cose, ma è così che è iniziato tutto."

Oggi, dopo aver seguito le orme del padre e aver conseguito una laurea in ingegneria informatica e un master in sicurezza informatica, Muhammad Rezqi guida il Cyber Security Incident Response Team di Canon EMEA con quella stessa curiosità insaziabile. Ma, solo a un esame più attento si comprende veramente quanto sia importante e, diciamolo pure, affascinante il lavoro che svolge.

Infatti, lui e il suo team sono detective digitali. Quando avvengono attacchi informatici, sono loro a ricostruire con precisione ciò che è successo, raccogliendo le prove e cercando risposte. Vogliono conoscere ogni minimo dettaglio, non solo per cercare di scoprire chi sia il responsabile ma, soprattutto, per assicurarsi che non accada di nuovo.

Tuttavia, è molto probabile che nessuno sia a conoscenza dell'esistenza di queste persone, poiché operano in gran parte in segreto, per una buona ragione. "Poiché la risposta agli incidenti riguarda attacchi in corso, la maggior parte di ciò che facciamo non può essere reso pubblico", spiega. "La sicurezza informatica è progettata per essere silenziosa: le persone vengono generalmente a conoscenza della nostra esistenza solo quando qualcosa va storto. Quindi, se non ci siamo significa che le cose stanno andando bene." Tuttavia, questo non vuol dire che lui e il suo team passino la maggior parte del tempo a rilassarsi per poi intervenire in modo spettacolare nei momenti di crisi: tutt'altro! La verità è che devono essere pronti a entrare in azione, 24 ore su 24, in qualsiasi momento. Si tratta letteralmente di un lavoro a tempo pieno.

Per cominciare, per essere il più efficaci possibile, hanno bisogno fin dall'inizio di una solida base di sicurezza, che deve essere mantenuta costantemente nel tempo. “Non esiste un momento in cui possiamo dire di aver finito”, sottolinea Muhammad. "È qualcosa che richiede un'attenzione costante." Questo è ciò che lui considera la prima delle tre priorità in materia di sicurezza informatica per qualsiasi organizzazione; la seconda è la prontezza, ovvero "assicurarsi di avere procedure di risposta chiare e immediate, team altamente qualificati e strumenti eccellenti. Anche questa è una costante, perché dobbiamo assicurarci che tutti sappiano esattamente cosa fare in caso di incidente."

La terza priorità potrebbe sorprendere, ma è importante in ogni tipo di crisi: la leadership. "Dovranno essere prese decisioni per garantire che la risposta immediata sia gestita in modo appropriato", afferma. "Naturalmente, ogni azienda e ogni incidente è diverso, ma da un lato ho visto situazioni in cui un'organizzazione ha dovuto fermarsi per tre mesi per riprendersi e, dall'altro, situazioni in cui una fabbrica di grandi dimensioni è semplicemente tornata a utilizzare processi manuali, come la documentazione cartacea, e non ci sono stati problemi. Tutto sta nella pianificazione e nell'esecuzione."

Sapere da dove solitamente hanno origine le violazioni è un altro aspetto importante della strategia, e sembra che, anche in questo caso, il tre sia il numero chiave. "Dalla mia esperienza investigativa, la prima origine delle violazioni è l'errore umano: errori non intenzionali. La seconda sono le vulnerabilità del sistema: nessun sistema è mai completamente privo di bug. E la terza sono le vulnerabilità umane: ad esempio, ingegneria sociale o phishing. In realtà, di solito tutte e tre compaiono contemporaneamente." E sebbene questo possa portarci a credere che la maggior parte degli attacchi informatici abbia origine da un errore umano, Muhammad non potrebbe essere più in disaccordo.

"Invece di chiederci chi ha commesso l'errore dovremmo domandarci perché quell'azione aveva senso in quel momento." E quando si comprende questa logica, diventa subito evidente come le sue competenze di ingegnere informatico e investigatore attento alle dinamiche umane si completino alla perfezione. "Le persone agiscono all'interno di sistemi", spiega. "Quindi, se le persone falliscono, non significa necessariamente che lo abbiano fatto di proposito. Ma che i sistemi lo abbiano consentito". Questo aspetto è centrale nel modo in cui Canon concepisce la sicurezza informatica, dove vige una "politica aperta" che non giudica nessuno e che incoraggia i colleghi a condividere le proprie preoccupazioni. Si tratta di un approccio che crea una cultura della fiducia che, a sua volta, rende il lavoro di Muhammad e del suo team molto più efficace a lungo termine.

"La mia opinione è che l'errore umano non sia una causa, ma un sintomo", sottolinea. "Ci saranno sempre dei dubbi, ma questo ci insegna ad andare oltre la semplice attribuzione della colpa. Una volta conclusa la fase più riservata della risposta a un incidente di sicurezza informatica, teniamo sempre quella che chiamiamo una "riunione sulle lezioni apprese" per discutere di ciò che è accaduto. E in nessun caso si tratta di incolpare qualcuno. Facciamo tesoro di ciò che abbiamo imparato e lo usiamo per tornare più forti e migliori."

Scopri di più sulle opportunità di lavoro in Canon.