Superare le resistenze – Cinque obiezioni comuni e risposte concrete. Di seguito la terza parte dell’articolo di Francesco Di Maio.
Superare le resistenze – Cinque obiezioni comuni e risposte concrete
“Senza conseguenze, le persone diventeranno negligenti“
Questo è un vero pregiudizio ed un fraintendimento comune. La Just Culture calibra la risposta alla natura dell’errore: errori onesti = opportunità di apprendimento; negligenza grave e violazioni intenzionali continuano a implicare conseguenze disciplinari. La ricerca empirica, infatti, dimostra il contrario di quanto l’obiezione vorrebbe provare: le organizzazioni con Just Culture hanno tassi di incidenti più bassi perché i problemi vengono identificati e corretti prima di causare danni, con il vero coinvolgimento di tutti.
“Non possiamo permetterci di essere accomodanti“
La Just Culture applica rigore al sistema, non all’individuo. Identificare e correggere cause sistemiche è più difficile e impegnativo che licenziare o punire qualcuno, ma infinitamente più efficace. La Determinazione ACN richiede esplicitamente un approccio sistemico alla gestione del rischio (Funzione ID.RM del Framework Nazionale non con la presunta efficacia deterrente della pena, ma con azioni altrettanto sistemiche su persone, tecnologie e processi).
“Gli obblighi legali richiedono azioni punitive“
GDPR, NIS2 e PSNC richiedono serietà nella sicurezza, non astratta vocazione punitiva verso i dipendenti. Le autorità di controllo (Garante della Privacy, ACN) guardano favorevolmente alle organizzazioni con cultura di sicurezza forte e processi di apprendimento continuo e giustamente penalizzano in maniera afflittiva quelle organizzazioni che non lavorano sul sistema di gestione nella sua interezza, presentando solo il “cartonato”, la paper security.
“È troppo complesso da implementare“
È sicuramente richiesto un approccio incrementale e non si può immaginare una implementazione “plug & play”. Ma se l’aviazione civile nel campo safety ha impiegato decenni per maturare la sua Just Culture; la sicurezza delle informazioni può accelerare grazie alla conoscenza già acquisita.
“La nostra organizzazione è diversa“
Principi universali: cognizione umana, dinamica degli errori, apprendimento organizzativo valgono ovunque. Migliaia di organizzazioni hanno adattato con successo questi principi oltre all’aviazione civile, anche nei settori di sanità, nucleare, servizi finanziarie ingegneria del software.
La Sicurezza Psicologica Come Fondamento
Sottostante a tutti questi principi operativi c’è un concetto che la ricerca organizzativa ha identificato come critico: la sicurezza psicologica (psychological safety). Definita Amy Edmondson di Harvard [1] come “la convinzione condivisa dai membri di un team che il team sia sicuro per l’assunzione di rischi interpersonali”, la sicurezza psicologica è il substrato su cui cresce una Just Culture.
In un gruppo con alta sicurezza psicologica, i membri si sentono accettati e rispettati. Possono esprimere idee, fare domande, ammettere errori, e sollevare preoccupazioni senza timore di conseguenze negative per la loro immagine, status o carriera.
Nel contesto specifico della cybersecurity, la sicurezza psicologica è particolarmente importante perché:
- Gli errori sono inevitabili in sistemi complessi, e nasconderli amplifica i rischi invece di ridurli;
- L’innovazione richiede sperimentazione, che comporta la possibilità di fallimento;
- un ambiente che permette di chiedere aiuto e ammettere vulnerabilità è protettivo;
- La complessità delle minacce richiede collaborazione e condivisione aperta delle informazioni.
In un mondo sempre più digitale, dove i membri della comunità di servizio non hanno tutti le stesse competenze, le stesse capacità e le stesse inclinazioni tecnologiche, è indispensabile creare un clima di fiducia. Guardando al futuro della cybersecurity, è evidente che la tecnologia continuerà ad evolversi a ritmi vertiginosi. Avremo AI più sofisticate, crittografia quantistica, architetture zero-trust sempre più raffinate. Ma tutte queste tecnologie saranno progettate, implementate, gestite e utilizzate da esseri umani. E gli esseri umani, per la loro stessa natura, continueranno a commettere errori.
La lezione dell’aviazione è che accettare questa realtà – non come una resa, ma come una premessa su cui costruire sistemi robusti – è paradossalmente il percorso verso maggiore sicurezza ed un necessario riportare al centro della scena l’essere umano, rifiutando ogni determinismo e valorizzando la dignità della persona, non solo come dovere giuridico, ma imperativo etico e strategico, perché:
- riconosce la dignità delle persone che lavorano in sistemi complessi e sotto pressione, e rifiuta la logica del capro espiatorio che protegge le strutture disfunzionali incolpando gli individui. In un panorama normativo sempre più stringente (PSNC, NIS2, GDPR), le organizzazioni che adottano una Just Culture dimostrano una maturità etica che va oltre la compliance formale;
- Una Just Culture moltiplica esponenzialmente la capacità dell’organizzazione di rilevare, rispondere e imparare dagli incidenti di sicurezza. In un panorama dove le minacce informatiche si evolvono quotidianamente, dove attori statali e criminali dispongono di risorse e sofisticazione crescenti, dove l’interconnessione dei sistemi amplifica l’impatto di ogni vulnerabilità, non possiamo permetterci il lusso di una cultura che spreca il 64% delle segnalazioni potenziali perché le persone hanno paura di parlare.
Ogni organizzazione che gestisce dati sensibili, ogni soggetto del Perimetro della Sicurezza Nazionale Cibernetica, ogni ente essenziale o importante sotto NIS2, ma anche qualunque altra organizzazione che ha intrapreso un percorso di evoluzione digitale, ha l’opportunità – e sempre più, l’obbligo – di guardarsi nello specchio e chiedersi:
- La nostra cultura supporta veramente la sicurezza che vogliamo raggiungere?
- Le nostre persone si sentono sicure nel segnalare problemi?
- Impariamo dai nostri errori o semplicemente puniamo?
Le risposte a queste domande determineranno, più di qualsiasi firewall o sistema di intrusion detection, quanto saranno sicure le nostre organizzazioni nel futuro digitale.
La Just Culture, provata nei cieli e applicabile ai nostri processi, ci offre una strada alternativa verso quella sicurezza. Sta a noi scegliere di percorrerla.
Note
[1] https://www.youtube.com/watch?v=LhoLuui9gX8
