Parlando di cultura aziendale e cyber security, la storia recente di Nokia rappresenta un’utile lezione per i CISO del futuro.

«Non abbiamo fatto nulla di sbagliato, ma in qualche modo abbiamo perso»: con queste parole l’AD di Nokia nel 2016 sintetizzava il fallimento di un colosso che esisteva dal 1865. Un’organizzazione economicamente solida, avversa al rischio, che non commetteva errori dal proprio punto di vista ma fece l’errore fatale: diede per scontata la propria rilevanza senza elaborare una strategia alternativa.

È appunto una lezione per i CISO moderni che devono influenzare la cultura organizzativa per ottenere il consensus del top management. La cultura influenza la percezione del programma di sicurezza a tutti i livelli e spesso riflette la personalità del CISO stesso. La sfida è integrare abitudini e convinzioni di sicurezza attraverso flessibilità culturale, documentazione formale e comunicazione efficace.

Ecco, dunque, una semplice guida pratica per fornire ai professionisti gli strumenti per leggere, comprendere e influenzare la cultura organizzativa, trasformando la sicurezza da obbligo tecnico a valore culturale condiviso[1].

La parabola Nokia: quando la solidità diventa rigidità

Nokia esisteva dal 1865 ed era una delle più grandi aziende del mondo nel 2016. Economicamente solida, avversa al rischio, dal proprio punto di vista non commetteva errori. Ma diede per scontata la propria rilevanza e non sentì il bisogno di elaborare una visione strategica.

Non si assunse alcun rischio imprenditoriale, non diversificò il proprio business e nel 2016 fu venduta: una lezione drammatica di come la percezione interna possa divergere completamente dalla realtà di mercato, portando al collasso anche giganti apparentemente invincibili.

Il pianto del cigno

L’immagine dell’AD e del suo team che piangono pubblicamente dopo aver dichiarato di non aver fatto nulla di sbagliato rappresenta l’epitome della disconnessione tra leadership e realtà.

Dichiarare di non aver fatto nulla di sbagliato, di fronte a un risultato così fallimentare, significa non aver preso coscienza del proprio errore né prima, né dopo. E chi non elabora la propria storia, la dimentica o la minimizza, è destinato a ripeterla.

Si tratta di un monito per ogni organizzazione che si considera al sicuro semplicemente perché segue le regole interne.

Cultura e sicurezza: un’equazione complessa

La cultura di un’organizzazione influenza direttamente la percezione del programma di sicurezza da parte dei dipendenti a tutti i livelli. Il programma spesso riflette la personalità del CISO, creando un circolo vizioso o virtuoso che può determinare successo o fallimento delle iniziative di sicurezza.

Il CISO deve comprendere quale sia la cultura della propria organizzazione prima di tentare qualsiasi influenza, per evitare di replicare l’errore Nokia su scala diversa.

I quattro pilastri dell’influenza culturale

In particolare, la costruzione di una corretta cultura aziendale della cyber security si fonda su quattro pilastri:

1. Enfatizzare obiettivi e risultati attesi. Per influenzare la cultura agli occhi dei membri senior che dovranno fornire il consensus, il primo passo è enfatizzare gli obiettivi e gli esatti risultati attesi. Chiarezza e misurabilità diventano fondamentali per ottenere supporto dal top management.
2. Ricompensare comportamenti allineati. Ricompensare i comportamenti in linea con obiettivi e risultati attesi rinforza positivamente la trasformazione culturale. Il sistema di incentivi deve supportare concretamente i cambiamenti desiderati invece di ostacolarli.
3. Dare l’esempio. Se vuoi vedere più lavoro di squadra, partecipa più spesso al lavoro di squadra. La leadership by example rimane lo strumento più potente per influenzare la cultura organizzativa, specialmente in ambiti percettivi come la sicurezza.
4. Gestire comportamenti non allineati. Punire o mettere in imbarazzo le persone non funziona. I comportamenti da correggere vanno scoraggiati fornendo inizialmente feedback in meeting vis a vis. Se ci sono reiterazioni, il richiamo verbale può diventare scritto e, per recidivi cronici, rimane solo la strada del licenziamento.

I tre principi di integrazione culturale

Terminata la costruzione di una cultura aziendale della cyber security è poi utile individuare e applicare i tre principali principi di integrazione culturale.

1. Flessibilità alla cultura aziendale. Il primo principio richiede adattamento della strategia di sicurezza alla cultura esistente, invece di tentare di imporre modelli esterni incompatibili. La flessibilità culturale permette di innestare cambiamenti sostenibili.
2. Documentazione formale. Policy, standard e procedure devono essere formalizzati per creare riferimenti chiari e misurabili. La documentazione trasforma principi culturali in regole operative concrete e verificabili.
3. Comunicazione e formazione. Creare consapevolezza dell’esistenza delle nuove policy attraverso comunicazione efficace, accompagnata dalla formazione necessaria per comprenderle e dipanare dubbi. Senza comunicazione, anche le migliori policy rimangono lettera morta.

Cinque domande per diagnosticare la cultura

1. Test di fiducia reciproca. Hai una fiducia tale nei tuoi colleghi a tutti i livelli da scommetterci il tuo stipendio? La fiducia reciproca tra organizzazione e dipendenti rappresenta un elemento basilare per il successo e la costruzione di un ambiente lavorativo sano.
2. Job rotation strategica. In azienda è presente la job rotation dei dirigenti? Questa pratica sviluppa leadership più completa, garantisce esperienza in diverse aree e può smascherare comportamenti opachi che il successore può mettere in luce rispetto al predecessore.
3. Silos organizzativi. Gli uffici sono cittadelle fortificate ognuna con il proprio feudatario, ciambellani e soldati? La presenza di silos può ostacolare comunicazione e collaborazione, creando strascichi tra persone e dipartimenti.
4. Ostacoli alla collaborazione. Come avete rimosso gli ostacoli per la collaborazione tra uffici? La rimozione può essere raggiunta attraverso policy di comunicazione chiare, promozione di cultura collaborativa, formazione dipendenti e strumenti di collaborazione online.
5. Analisi comportamentale. I dati mostrano pattern di comportamenti dei clienti che ti aiutano a interagire meglio? L’analisi dei dati comportamentali – anche per clienti interni come Board o uffici – rivela modelli, preferenze ed esigenze per adattare strategie e migliorare l’esperienza.

Strumenti pratici per il cambiamento

Sessioni informali e ludiche tra membri di team diversi risultano più efficaci di 100 sessioni in aula: una partita a calcio, la raccolta differenziata nei boschi, uno spettacolo teatrale con disabili creano legami autentici che superano barriere organizzative.

In un team building misto, definire obiettivi comuni condivisi che richiedano collaborazione interdisciplinare rompe naturalmente i silos e crea necessità di comunicazione tra dipartimenti precedentemente isolati.

Verso una sicurezza culturalmente integrata

Affrontare l’avversione al rischio richiede educazione su conseguenze di cattiva gestione e sviluppo di policy equilibrate che riducano rischi senza compromettere efficienza operativa.

La valutazione e gestione dei rischi devono diventare parte integrante della cultura per decisioni informate, non avventate né inerti.

Solo affrontando queste sfide interne l’organizzazione può migliorare significativamente la propria postura di sicurezza e ridurre il rischio di replicare il destino Nokia: essere tecnicamente corretti, ma strategicamente irrilevanti.

[1] Per approfondire le tecniche di analisi e trasformazione culturale, metodologie per ottenere consensus dal top management e strumenti per integrare la sicurezza nella cultura aziendale, il Manuale CISO Security Manager dedica ampio spazio alle dinamiche organizzative e alla leadership trasformazionale.