Buongiorno a tutti.
Nell’enciclica “Lausato sì” di Papa Francesco si legge più volte questo concetto:
“gli accordi hanno avuto un basso livello di attuazione perché non si sono stabiliti adeguati meccanismi di controllo, di verifica periodica e di sanzione delle inadempienze.”
L’essere umano è fatto così.
Sulle Misure Minime di Sicurezza ICT che stiamo presentando ai Sindaci abbiamo poca presa proprio perchè mancano questi meccanismi di controllo, verifica periodica e sanzione delle inadempienze.
Quindi sembrerebbe che il tema sia: se vuoi che qualcosa venga fatto, fai in modo che ci siano i controlli e le sanzioni. Un meccanismo abbastanza “bambinesco” ma efficace, a mio avviso. Come del resto il tema dei “premi” per i virtuosi.
Quindi penso che nel futuro il “business plan” di ogni nuova regola/ottemperanza/altro potrebbe essere:
1. valutazione di esigenza o problema
2. legislazione a riguardo di tipo macro
3. individuazione dei fondi
4. progettazione e attuazione tecnica di tipo fattivo
5. verifica e controllo
5.1 sei virtuoso: premio
5.2 non ottemperi: sanzione per chi ha preso la decisione di non ottemperare in base al principio di “Skin on the game” di Taleb
6. goto 1
Questo potrebbe essere un modo per far espandere le buone progettazioni.
Sul GDPR infatti notiamo sensibilità perchè ci sono sanzioni oggettive e rischi diretti per la figura giuridica e fisica, sulle Misure Minime pochissima sensibilità visto che queste mancano. Fortunatamente nel caso delle Misure Minime, valutandole come propedeutiche al GDPR, qualcosa si riesce a fare.
Ma in caso di altre normative (anche del passato), ci si è sempre basati sul “tanto poi spostano la data” o sul “non lo farà nessuno”.
Un problema di cultura e mentalità molto serio, su cui lavorare.
Tornando a pallino, credo che senza fondi, controlli, sanzioni e premi, sia difficile ottemperare a qualsiasi norma.
Andrea