Come il Systems Thinking rende la sicurezza più solida e integrata

Il termine Systems Thinking può sembrare astratto o poco accattivante. In realtà descrive un concetto semplice ma potentissimo: comprendere il funzionamento delle cose osservando le relazioni tra le parti, riconoscendo le interconnessioni e migliorando i processi nel loro insieme. È ciò che gli esseri umani hanno cercato di fare da sempre, spesso inconsapevolmente. Ma quando diventa un metodo consapevole, i risultati possono essere straordinari.

Un esempio concreto è il lavoro di Dinesh Dilip Panjwani, Vulnerability Lead nel nostro PSIRT (Product Security Incident Response Team). Il suo ruolo è assicurare che i prodotti Canon siano protetti. "Quando ci viene segnalato un problema, ne verifichiamo la fondatezza. Se confermato, lo risolviamo, rilasciamo patch o firmware aggiornati e informiamo i clienti, pubblicando anche la relativa CVE [Vulnerabilità ed esposizioni comuni, NdR]", racconta Dinesh. Il suo lavoro potrebbe sembrare confinato in un ambito tecnico molto specifico all'interno di Canon. Ma la realtà è ben diversa. Lui e i suoi colleghi fanno parte di un ecosistema molto più ampio, inseriti in una dinamica di team che non si vede spesso, ma che è molto apprezzata nel mondo della sicurezza informatica.

Infatti, i mondi della sicurezza dei prodotti e della sicurezza aziendale raramente si incontrano. Spesso si pensa che la sicurezza dei prodotti sia rivolta all'esterno (protezione dei clienti e dei loro acquisti), mentre quella aziendale riguardi l'interno (protezione dei sistemi usati dall'organizzazione). Ma per noi queste due dimensioni sono inseparabili. Anzi, crediamo che la società nel suo insieme sarebbe più sicura se la sicurezza dei prodotti fosse sempre affiancata a quella aziendale. Perché? Un punto debole in una delle due aree mette a rischio l'intera organizzazione, e con essa partner, fornitori e clienti.

"Il nostro CSIRT gestisce i rischi legati ai sistemi interni che usiamo per servire i clienti", spiega Dinesh. "Come altre realtà, siamo sia fornitori sia clienti: lavoriamo per garantire la sicurezza complessiva della nostra azienda e, di conseguenza, anche quella di molte altre. Per questo, sicurezza aziendale e sicurezza dei prodotti devono condividere un linguaggio comune. I nostri obiettivi sono gli stessi." Questa visione condivisa consente di scambiarsi risorse, informazioni e competenze, creando cicli di feedback che rendono i team più efficaci.

Ma la spiegazione non rende del tutto giustizia al ruolo di questo team. Soprattutto se lo guardiamo da una prospettiva di Systems Thinking. Dinesh e i suoi colleghi sono connessi all'interno dell'organizzazione in modi che non emergono subito. In un’azienda vicina ai clienti come la nostra, ci sono molte aree in cui l'esperienza in materia di sicurezza non è solo utile, ma essenziale.

Il team partecipa attivamente a gare d'appalto e contratti, fornendo competenze su sicurezza informatica, privacy dei dati, normative e conformità. Contribuisce anche allo sviluppo commerciale, partecipando a visite presso i clienti e a showroom. L'omologo di Dinesh nel CSIRT, Wouter van Gils, lavora con le nostre filiali per audit e certificazioni come ISO. In questo modo, favorisce la coesione e la continuità all'interno di Canon.

Un altro aspetto fondamentale è la formazione. In effetti, è uno dei pilastri della sicurezza digitale in Canon. "I nostri Education Leads si occupano di sensibilizzare sia sulla sicurezza dei prodotti che su quella delle applicazioni", spiega Dinesh. Questa attività rappresenta un elemento fondamentale delle responsabilità del team e sta contribuendo in modo concreto a diffondere una solida cultura della sicurezza digitale in tutta l'area EMEA, rafforzando non solo la nostra reputazione di eccellenza, ma anche il valore di un pensiero realmente connesso.

Al tempo stesso, mette in discussione lo stereotipo dei professionisti della sicurezza informatica visti come introversi isolati davanti a un computer. Dinesh e i suoi colleghi incarnano l'esatto contrario: partecipano attivamente a eventi di settore e fanno parte di una rete di ricercatori e hacker etici, una community generosa che condivide conoscenze e risorse, contribuendo così al rafforzamento della sicurezza digitale a livello globale.

Tutto questo evidenzia un punto tanto semplice quanto essenziale: per ottenere risultati concreti è necessario saper fare un passo indietro e osservare l'insieme. Due team che lavorano in parallelo sarebbe forse una scelta più immediata e apparentemente semplice. Ma sarebbe davvero la scelta più efficace? La risposta del nostro Senior Director of Information Security, Product Security and Global Response, Quentyn Taylor, non lascia spazio a dubbi: "No, altrimenti vedremmo solo metà del quadro. L'integrazione consente ai team di osservare anche l'altra faccia della medaglia, garantendo una visibilità più completa nella gestione delle vulnerabilità".

L'approccio che adottiamo oggi è il risultato di anni di osservazione e di esperienza: un percorso che ci ha permesso di capire cosa funziona in modo fluido e dove invece servono aggiustamenti mirati. È un processo che non riguarda solo la risoluzione di problemi, ma la costruzione di un team capace di considerare l'organizzazione nella sua totalità e di generare valore reale. Ed è proprio qui che il Systems Thinking dimostra la sua forza: lungi dall'essere un concetto astratto, è uno strumento intelligente capace di favorire riprogettazioni mirate e nuovi modi di lavorare sorprendenti. Un approccio che non solo permette ai Chief Information Security Officer di dormire sonni tranquilli, ma contribuisce a dare maggiore serenità a tutti noi.

Scopri di più sulle carriere in Canon.