Quando si parla di cyber awareness, il pensiero dei più pessimisti, ai quali è riconosciuta l’arguzia di cogliere spunti e sfumature ben oltre ai proclami periodici dei moderni Pangloss del digitale, va verso un interrogativo: la stiamo facendo nel modo giusto?

Il che, beninteso, non è sintomo di insicurezza cronica bensì il riconoscimento di saper leggere – e aver letto nel tempo – i report relativi all’andamento delle minacce informatiche (da ultimo, quello pubblicato da ENISA).

Il pensiero è tentato a traghettare verso uno shakespeariano “Molto rumore per nulla”, ma questo comporterebbe l’accettazione as is del corrente stato della sicurezza informatica applicata.

Cosa che, beninteso, è un errore della stessa gravità dell’immotivato ottimismo metafisico dal momento che entrambe le rotte attraccano ad uno stallo decisionale.

E quindi al non far nulla, che significa restare immobili mentre gli scenari cambiano e si evolvono, lasciando che il tempo eroda ogni adeguatezza. Persino quelle derivanti da fortunate combinazioni casuali di elementi e fattori, dal momento che sono occorrenze raramente ripetibili.

Insomma: serve trovare il giusto modo, ma soprattutto approcciare la cyber awareness come qualcosa da mettere in pratica.

Cyber awareness come cultura operativa

La cyber awareness riguarda più strati della società e delle organizzazioni: cittadini, politici, tessuto imprenditoriale, governance, tecnici, consulenti, operatori.

Motivo per cui dev’essere in grado di provocare una reazione di ciascuno di questi differenti cluster o layer affinché quelle contemplate come “buone prassi” o “cyber hygiene” diventino abitudini quotidiane.

Queste abitudini devono però comportare un differente modo di intendere la sicurezza informatico, secondo un approccio basato su rischi e mitigazioni e non come qualcosa di “rimediale” per chiudere le proverbiali stalle dopo che gli altrettanto proverbiali buoi sono fuggiti. Contando soltanto su giudizi clementi di corti, autorità di controllo e mercati anziché ragionare prima.

Anche perché, una macchina del tempo al momento non esiste e qualora esistesse non credo rientrerebbe nella libera disponibilità di tutti.

Ben vengano dunque le ricorrenze come il Cyber Security Month di ottobre, che devono però avvicinare i tre mondi di chi fa sicurezza, chi ne parla facendo informazione e divulgazione e chi la vive.

Confidando che l’occasione di render note pubbliche virtù consenta di riparare quei vizi privati apportando i correttivi del caso.

Beninteso, il percorso di miglioramento copre tutti i mesi dell’anno dal momento che i cybercriminali sono i primi ad aver cura della propria continuità operativa. Ad esempio, leggendo il rapporto Clusit 2025 è possibile cogliere spunti di gestione relativi agli incidenti informatici per programmare attività di controllo, riesame e implementazione operativa.

Spunti che devono essere acquisiti, diffusi, recepiti ed implementati in un impegno che deve permanere e realizzarsi ben oltre quel ciclo di rotazione della nostra beneamata Terra attorno al Sole. Che forse è sufficiente, al più, per elaborare una to-do list.

Infine, è bene ricordare che chi vive la sicurezza è la categoria più ampia, poiché contempla tutti noi che riceviamo benefici e subiamo pericoli in tale ambito, ma è anche quella meno informata. Anzi, in realtà è quella peggio informata.

Il motivo è semplice: anche grazie ai new media, oramai la teoria della cyber awareness è ampiamente nota e diffusa. Quel che manca, invece, è un’altrettanta diffusa capacità di verificare se è correttamente messa in pratica. O anche una volontà di metterla in pratica.

Insomma: evitiamo di fare molta cyber awareness per nulla.

Piuttosto, facciamone il giusto. E sempre per realizzare qualcosa.

Qualcosa di pratico, utile, verificabile.