Het is jammer dat de term 'systeemgericht denken' een beetje saai klinkt, nietwaar? Want het is een slimme en bondige uitdrukking die iets beschrijft dat mensen al eeuwen proberen te doen: de wereld begrijpen door naar de onderdelen en relaties te kijken, observeren hoe dingen met elkaar verbonden zijn en, het allerbelangrijkste, te verbeteren hoe processen werken. We doen het vaak zonder dat we het door hebben, maar wanneer het een bewuste actie is en er goed over nadenken, is het inderdaad een zeer krachtige methode.
Kijk bijvoorbeeld naar de wereld van Dinesh Dilip Panjwani. Hij is onze Vulnerability Lead in PSIRT (het Product Security Incident Response Team van Canon EMEA) en, zoals de naam al suggereert, speelt hij een belangrijke rol in de beveiliging van onze producten. "Eventuele problemen worden aan ons gemeld, zodat wij kunnen beoordelen of er echt iets aan de hand is. Als dat het geval is, lossen we het probleem op, rollen we patches of firmware uit en geven we informatie aan onze klanten door, samen met de publicatie van CVE [Common Vulnerabilities and Exposures]", legt hij uit. In eerste instantie lijkt Dinesh binnen Canon een gesloten kring te vormen, waarbij binnen een zeer specifiek bedrijfsonderdeel wordt gewerkt aan een hele reeks situaties, maar dit is verre van waar. Hij en zijn collega's maken deel uit van een veel breder ecosysteem, binnen een teamdynamiek die niet zo vaak voorkomt als zou moeten, maar die veel wordt bewonderd in de wereld van informatiebeveiliging.
Vaak liggen de wereld van product- en bedrijfsbeveiliging ver uit elkaar. Sommige mensen zien het als twee aparte werelden. Productbeveiliging is immers een externe service, waar wordt gewerkt aan producten en ondersteuning voor klanten. Bedrijfsbeveiliging is echter een intern proces, waar wordt gewerkt aan de beveiliging van de systemen die een organisatie gebruikt om dagelijkse werkzaamheden uit te voeren. Maar volgens onze aanpak en het team waarin Dinesh werkt, zijn beide werelden als twee zijden van dezelfde medaille. We zijn ervan overtuigd dat de samenleving in het algemeen veiliger zou zijn als productveiligheid altijd samen gaat met bedrijfsbeveiliging. Waarom? Omdat een zwakke plek in beide gevallen een voor kwetsbaarheden kunnen zorgen bij bedrijven, maar ook bij partners, leveranciers en klanten.
"Onze functie als CSIRT [Corporate Security Incident Response Team] is om beveiligingsproblemen met betrekking tot de systemen die we gebruiken te beperken of op te lossen om onze klanten van dienst te zijn", legt Dinesh uit. "Net als zoveel andere bedrijven zijn we zowel leverancier als klant: we werken samen aan de algehele beveiliging van ons bedrijf en daardoor automatisch ook aan de beveiliging van een groot aantal andere bedrijven. Daarom moeten bedrijfs- en productbeveiliging een gemeenschappelijke taal hebben. We hebben samen hetzelfde doel." Dit betekent ook dat we resources kunnen delen, onderling informatie en ondersteuning kunnen bieden en zelfs feedbacklussen kunnen maken die zo belangrijk zijn voor effectieve teams.
Deze uitleg doet de rol van dit geïntegreerde beveiligingsteam nog tekort. Vooral wanneer je ernaar kijkt vanuit een breder perspectief op systemen. Dinesh en zijn collega's zijn binnen de organisatie op veel meer manieren verbonden dan je in eerste instantie misschien zou denken. In een bedrijf dat zo dicht bij klanten staat als Canon, zijn er veel gebieden waar beveiligingsexpertise niet alleen vereist, maar ook essentieel is.
Dit betekent dat het team actief betrokken is bij aanbestedingen en contracten, van het aanbieden van frameworks en verzekeringen voor cyberbeveiliging tot het bieden van de deskundige mening op het gebied van gegevensprivacy, wet- en regelgeving en naleving. Ze spelen ook een belangrijke rol in bedrijfsontwikkeling, bezoeken regelmatig klanten, zijn aanwezig in onze showrooms en, in het kort, dragen dus ook bij aan verkoopsuccessen. De functiegenoot van Dinesh in CSIRT, Wouter van Gils, heeft nauwe relaties met de dochterondernemingen van Canon en ondersteunt deze bedrijven door middel van audits en aanvragen voor certificeringen, zoals ISO. Ook daar zorgt Canon voor eenheid en continuïteit.
Bedrijfsbeveiliging en productbeveiliging moeten een gemeenschappelijke taal hebben."
Maar er is ook een ongelooflijk sterke nadruk op onderwijs. Dat is zelfs een van de belangrijkste principes van digitale beveiliging bij Canon. "We hebben opleidingsleiders die verantwoordelijk zijn voor het vergroten van de kennis over zowel product- als applicatiebeveiliging", legt Dinesh uit. Dit werk behoort net zo goed tot de verantwoordelijkheden van het beveiligingsteam en creëert een sterke cultuur van digitale veiligheid in de hele EMEA-organisatie, die de reputatie van Canon op het gebied van uitmuntendheid en de waarde van geïntegreerd denken versterkt.
Dit bewijst zeker het tegendeel als het gaat om het misverstand dat professionals op het gebied van informatiebeveiliging introverten zijn die alleen maar achter hun computer zitten. Dinesh en zijn collega's zijn compleet het tegenovergestelde van het stereotype. Ze wonen regelmatig evenementen in de branche bij en Dinesh maakt deel uit van een waardevol netwerk van beveiligingsonderzoekers en ethische hackers. Deze goedmoedige gemeenschap deelt kennis en middelen en draagt bij aan de digitale veiligheid voor iedereen.
Dit alles samen bewijst een voor de hand liggend punt, maar toch een cruciaal punt: het is belangrijk om die stap terug te zetten en het grote geheel goed in de gaten te houden. Twee teams parallel laten werken zou ongecompliceerd en zelfs eenvoudig zijn. Maar zou dit echt effectief zijn? Het antwoord van onze Senior Director of Information Security, Product Security and Global Response, Quentyn Taylor, is simpelweg "Nee. Gescheiden zien we slechts de helft van het geheel. Door op deze manier te integreren, kunnen teams de andere helft bekijken, waardoor ze beter inzicht krijgen in het beheer van kwetsbaarheden."
Waar we vandaag zijn, is het resultaat van jaren aan opletten op wat goed werkt. En op de plekken waar alles niet zo soepel draait als nodig. Het draait om het samenstellen van een team dat rekening houdt met hoe de organisatie als geheel werkt en hoe het de meeste waarde kan toevoegen. Daarom is het systeemgericht denken heel slim en helemaal niet saai. Het kan namelijk leiden tot een doordachte herinrichting en verrassende nieuwe manieren van werken die niet alleen de Chief Information Security Officers helpen om goed te slapen, maar iedereen gemoedsrust geeft.
Lees meer over carrières bij Canon.
Gerelateerd
-
De menselijke aard van cyberbeveiliging
De beste experts op het gebied van cyberbeveiliging zijn hét voorbeeld van een allrounder. Ze combineren sterke technische kennis met menselijke sterke punten en ervaringen.
-
Een geboren hacker: de roeping van Timur Iunusov
Toen Timur Iunusov op 8-jarige leeftijd zijn eerst computer kreeg, ging er een wereld voor hem open. Vandaag is hij onze EMEA Security Research Lead en beschermt hij onze producten.
-
Inspirerende vrouwen die toonaangevend zijn op het gebied van cyberbeveiliging
De 'meest inspirerende vrouwen op cybergebied', Zoë Rose en Sakina Asadova, bespreken hun loopbaan en geven advies aan de mensen die in hun voetsporen willen treden.
-
Betere technologie voor iedereen: hoe Wamda Saeid Elsirogi een uniforme visie op duurzaamheid in Europa biedt
Wamda Saeid Elsirogi vertegenwoordigt twee organisaties met één doel: goede afspraken voor zowel mensen als de planeet in de nieuwste duurzaamheidswetgeving op het gebied van technologie.