Salut, Ciprian!

Îmi sună super familiar dilema ta. Și eu am bătut capul cu asta când am făcut licența. E adevărat, partea tehnică e mult mai "tangibilă" și mai ușor de măsurat, pe când legislația și reglementările par mai degrabă niște "guidelines" care teatiaresc să le cuantifici.

Uite o idee la care m-am gândit eu sau pe care am văzut-o aplicată:
Poate încerci să faci o analiză de conformitate? Alegi standardele (cum ar fi GDPR, ISO 27001 - dacă se aplică industriei companiei) și vezi în ce măsură compania respectă cerințele. Aici poți să "traduceți" cerințele legislative în acțiuni sau controale specifice pe care le face (sau nu le face) compania.

De exemplu, dacă legea cere "protecția datelor personale", poți să analizezi cum implementează compania politici de anonimizare, control acces, managementul permisiunilor, backup-uri, ce fel de traininguri au angajații pe subiectul ăsta, cât de des se fac audituri interne pe conformitate etc. Poți să le grupezi pe categorii și să le dai niște scoruri, sau să le prezinți ca "prezent / absent / parțial implementat". Nu e chiar cuantificare științifică a legii în sine, dar cuantifici aplicarea ei în contextul companiei.

Altă abordare ar fi să te uiti la incidente de securitate raportate (sau nereportate) și cum se aliniază (sau nu) cu procedurile legale de raportare. Ai putea, de exemplu, să corelezi un tip de incident (ex: data breach) cu termenele legale de notificare și cu procesele interne ale companiei pentru a gestiona astfel de situații. Practic, vezi dacă "pe hârtie" și "în practică" se aliniază cu ce cere legea la momentul unui incident.

Ce părere ai de direcția asta? Sper să fie de ajutor!