Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

security awareness

Cultura aziendale e cyber security: la lezione di Nokia per i CISO del futuro

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

La cultura aziendale influenza la percezione del programma di sicurezza a tutti i livelli e spesso riflette la personalità del CISO stesso. La sfida è integrare abitudini e convinzioni di sicurezza attraverso flessibilità culturale, documentazione formale e comunicazione efficace. Ecco come

Pubblicato il 2 dic 2025
Fabrizio Saviano

CISO ANPS Milano

Cultura aziendale e cyber security; Comandare nel caos: la logica come disciplina nelle crisi digitali

Parlando di cultura aziendale e cyber security, la storia recente di Nokia rappresenta un’utile lezione per i CISO del futuro.

«Non abbiamo fatto nulla di sbagliato, ma in qualche modo abbiamo perso»: con queste parole l’AD di Nokia nel 2016 sintetizzava il fallimento di un colosso che esisteva dal 1865. Un’organizzazione economicamente solida, avversa al rischio, che non commetteva errori dal proprio punto di vista ma fece l’errore fatale: diede per scontata la propria rilevanza senza elaborare una strategia alternativa.

È appunto una lezione per i CISO moderni che devono influenzare la cultura organizzativa per ottenere il consensus del top management. La cultura influenza la percezione del programma di sicurezza a tutti i livelli e spesso riflette la personalità del CISO stesso. La sfida è integrare abitudini e convinzioni di sicurezza attraverso flessibilità culturale, documentazione formale e comunicazione efficace.

Ecco, dunque, una semplice guida pratica per fornire ai professionisti gli strumenti per leggere, comprendere e influenzare la cultura organizzativa, trasformando la sicurezza da obbligo tecnico a valore culturale condiviso[1].

Sicurezza come elemento di business: gli scandali passati e la lezione per il Sistema-Italia

La parabola Nokia: quando la solidità diventa rigidità

Nokia esisteva dal 1865 ed era una delle più grandi aziende del mondo nel 2016. Economicamente solida, avversa al rischio, dal proprio punto di vista non commetteva errori. Ma diede per scontata la propria rilevanza e non sentì il bisogno di elaborare una visione strategica.

Non si assunse alcun rischio imprenditoriale, non diversificò il proprio business e nel 2016 fu venduta: una lezione drammatica di come la percezione interna possa divergere completamente dalla realtà di mercato, portando al collasso anche giganti apparentemente invincibili.

Il pianto del cigno

L’immagine dell’AD e del suo team che piangono pubblicamente dopo aver dichiarato di non aver fatto nulla di sbagliato rappresenta l’epitome della disconnessione tra leadership e realtà.

Dichiarare di non aver fatto nulla di sbagliato, di fronte a un risultato così fallimentare, significa non aver preso coscienza del proprio errore né prima, né dopo. E chi non elabora la propria storia, la dimentica o la minimizza, è destinato a ripeterla.

Si tratta di un monito per ogni organizzazione che si considera al sicuro semplicemente perché segue le regole interne.

Cultura e sicurezza: un’equazione complessa

La cultura di un’organizzazione influenza direttamente la percezione del programma di sicurezza da parte dei dipendenti a tutti i livelli. Il programma spesso riflette la personalità del CISO, creando un circolo vizioso o virtuoso che può determinare successo o fallimento delle iniziative di sicurezza.

Il CISO deve comprendere quale sia la cultura della propria organizzazione prima di tentare qualsiasi influenza, per evitare di replicare l’errore Nokia su scala diversa.

I quattro pilastri dell’influenza culturale

In particolare, la costruzione di una corretta cultura aziendale della cyber security si fonda su quattro pilastri:

  1. Enfatizzare obiettivi e risultati attesi. Per influenzare la cultura agli occhi dei membri senior che dovranno fornire il consensus, il primo passo è enfatizzare gli obiettivi e gli esatti risultati attesi. Chiarezza e misurabilità diventano fondamentali per ottenere supporto dal top management.
  2. Ricompensare comportamenti allineati. Ricompensare i comportamenti in linea con obiettivi e risultati attesi rinforza positivamente la trasformazione culturale. Il sistema di incentivi deve supportare concretamente i cambiamenti desiderati invece di ostacolarli.
  3. Dare l’esempio. Se vuoi vedere più lavoro di squadra, partecipa più spesso al lavoro di squadra. La leadership by example rimane lo strumento più potente per influenzare la cultura organizzativa, specialmente in ambiti percettivi come la sicurezza.
  4. Gestire comportamenti non allineati. Punire o mettere in imbarazzo le persone non funziona. I comportamenti da correggere vanno scoraggiati fornendo inizialmente feedback in meeting vis a vis. Se ci sono reiterazioni, il richiamo verbale può diventare scritto e, per recidivi cronici, rimane solo la strada del licenziamento.

I tre principi di integrazione culturale

Terminata la costruzione di una cultura aziendale della cyber security è poi utile individuare e applicare i tre principali principi di integrazione culturale.

  1. Flessibilità alla cultura aziendale. Il primo principio richiede adattamento della strategia di sicurezza alla cultura esistente, invece di tentare di imporre modelli esterni incompatibili. La flessibilità culturale permette di innestare cambiamenti sostenibili.
  2. Documentazione formale. Policy, standard e procedure devono essere formalizzati per creare riferimenti chiari e misurabili. La documentazione trasforma principi culturali in regole operative concrete e verificabili.
  3. Comunicazione e formazione. Creare consapevolezza dell’esistenza delle nuove policy attraverso comunicazione efficace, accompagnata dalla formazione necessaria per comprenderle e dipanare dubbi. Senza comunicazione, anche le migliori policy rimangono lettera morta.

Cinque domande per diagnosticare la cultura

  1. Test di fiducia reciproca. Hai una fiducia tale nei tuoi colleghi a tutti i livelli da scommetterci il tuo stipendio? La fiducia reciproca tra organizzazione e dipendenti rappresenta un elemento basilare per il successo e la costruzione di un ambiente lavorativo sano.
  2. Job rotation strategica. In azienda è presente la job rotation dei dirigenti? Questa pratica sviluppa leadership più completa, garantisce esperienza in diverse aree e può smascherare comportamenti opachi che il successore può mettere in luce rispetto al predecessore.
  3. Silos organizzativi. Gli uffici sono cittadelle fortificate ognuna con il proprio feudatario, ciambellani e soldati? La presenza di silos può ostacolare comunicazione e collaborazione, creando strascichi tra persone e dipartimenti.
  4. Ostacoli alla collaborazione. Come avete rimosso gli ostacoli per la collaborazione tra uffici? La rimozione può essere raggiunta attraverso policy di comunicazione chiare, promozione di cultura collaborativa, formazione dipendenti e strumenti di collaborazione online.
  5. Analisi comportamentale. I dati mostrano pattern di comportamenti dei clienti che ti aiutano a interagire meglio? L’analisi dei dati comportamentali – anche per clienti interni come Board o uffici – rivela modelli, preferenze ed esigenze per adattare strategie e migliorare l’esperienza.

Strumenti pratici per il cambiamento

Sessioni informali e ludiche tra membri di team diversi risultano più efficaci di 100 sessioni in aula: una partita a calcio, la raccolta differenziata nei boschi, uno spettacolo teatrale con disabili creano legami autentici che superano barriere organizzative.

In un team building misto, definire obiettivi comuni condivisi che richiedano collaborazione interdisciplinare rompe naturalmente i silos e crea necessità di comunicazione tra dipartimenti precedentemente isolati.

Verso una sicurezza culturalmente integrata

Affrontare l’avversione al rischio richiede educazione su conseguenze di cattiva gestione e sviluppo di policy equilibrate che riducano rischi senza compromettere efficienza operativa.

La valutazione e gestione dei rischi devono diventare parte integrante della cultura per decisioni informate, non avventate né inerti.

Solo affrontando queste sfide interne l’organizzazione può migliorare significativamente la propria postura di sicurezza e ridurre il rischio di replicare il destino Nokia: essere tecnicamente corretti, ma strategicamente irrilevanti.

[1] Per approfondire le tecniche di analisi e trasformazione culturale, metodologie per ottenere consensus dal top management e strumenti per integrare la sicurezza nella cultura aziendale, il Manuale CISO Security Manager dedica ampio spazio alle dinamiche organizzative e alla leadership trasformazionale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Fabrizio Saviano
CISO ANPS Milano
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Videocamere di sorveglianza

  • I SUGGERIMENTI

    Videocamere di sorveglianza: un buco nero per la security?

    21 Ott 2025

    di Marco Schiaffino

    Condividi
  • cyber attacchi russi - Dal cyberspazio al territorio: come la Russia arruola volontari locali per sabotaggi in Europa (e ora in Italia)

  • guerra ibrida

    Dal cyberspazio al territorio: come la Russia arruola volontari per sabotaggi, anche in Italia

    28 Ott 2025

    di Luca Mella

    Condividi
  • Mic-E-Mouse

  • l'analisi tecnica

    Mic-E-Mouse, il mouse che ascolta: quando un sensore ottico diventa un microfono

    14 Ott 2025

    di Salvatore Lombardo

    Condividi
  • Videosorveglianza nei negozi

  • l'analisi

    Videosorveglianza nei negozi, il Garante privacy richiama Confcommercio: cosa impariamo

    04 Ago 2025

    di Stefano Manzelli

    Condividi
0
Lascia un commento, la tua opinione conta.x