• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Quem deveria ser seu gerente de projeto para a ISO 27001/ISO 22301?

    Se você está planejando iniciar seu projeto de ISO 27001 e/ou ISO 22301, está provavelmente imaginando quem poderia liderar um projeto tão complexo – que tipo de pessoa você precisa, com quais autoridades, e você deveria ir com alguém da casa ou buscar alguém de fora?

    Primeiro de tudo, nem mesmo pense em iniciar a implementação destas normas sem uma abordagem de projeto – para ter sucesso, você precisa de um gerente de projeto, um patrocinador, marcos e prazos claramente definidos, etc. Veja também: ISO 27001 project – How to make it work.

    Perfil do gerente de projeto

    Uma vez que a ISO 27001 e ISO 22301 são bastante relacionadas a tecnologia da informação, o gerente de projeto deveria ter ao menos um conhecimento mediado de TI; contudo, este projeto não deveria ser tratado como um projeto de TI, então você deveria evitar ter alguém de seu departamento de TI liderando este tipo de projeto. Veja também: Os 5 maiores mitos sobre a ISO 27001.

    O que você precisa é de alguém com um conhecimento balanceado entre TI e dos processos de negócio de sua organização, porque a gestão da segurança da informação é, em muitos casos, relacionada a assuntos organizacionais (desenvolvimento de políticas e procedimentos, definição de responsabilidades e gestão de mudança), e não a tecnologia.

    Uma vez que o gerente destes tipos de projeto frequentemente encontrará oposição de alguns de seus colegas, tal pessoa deveria ter autoridade suficiente seja por sua posição ou pelo respeito de seus pares.

    Uma vez que este projeto seja concluído, esta pessoa é a mais provável candidata a se tornar seu gestor de segurança da informação (Chief Information Security Officer – CISO) ou gestor de continuidade de negócio. Para pequenas organizações, você geralmente terá uma posição que cubra tanto a segurança da informação quanto a continuidade de negócio, enquanto que em organizações maiores estas funções serão separadas – embora frequentemente no mesmo departamento. Veja também: Chief Information Security Officer (CISO) – where does he belong in an org chart?

    Habilidade e disponibilidade necessária

    Seria ideal se seu gerente de projeto tivesse experiência com a implementação da ISO 27001/ISO 22301, mas você raramente encontrará pessoas assim.

    Em muitos casos, esta pessoa obterá estas habilidades através de cursos – os melhores são os cursos de auditor líder e de implementador líder. Saiba mais aqui: Curso de Auditor Líder vs. Curso de Implementador Líder – Por qual optar?

    Com relação ao tempo necessário, para pequenas organizações o gerente de projeto precisará alocar aproximadamente 1 ou 2 horas por dia para este tipo de projeto; para uma organização com milhares de empregados, este tipo de projeto consumirá 100% do tempo desta pessoa durante toda a duração do projeto. Veja também Calculadora para Duração da Implementação.

    De casa ou terceirizado?

    Não há dúvida sobre isso – o gerente do projeto deve ser alguém de dentro da organização – isto é necessário porque alguém de fora pode não conhecer todos os detalhes e aspectos culturais de sua organização. Quando as coisas ficarem complicadas (e certamente ficarão durante este tipo de projeto), você precisará de alguém que saberá a quem recorrer, quais tipos de abordagem serão aceitas pelos empregados, e quais devem ser evitadas.

    Não me entenda errado – você deveria obter alguma ajuda extra para obter o conhecimento necessário, mas um consultor não pode liderar seu projeto. Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

    Que tipo de autoridade?

    Esta é provavelmente a questão mais difícil – de um lado, o gerente de  projeto tem apenas um trabalho temporário, por outro lado, ele tem que mudar a forma como as coisas são feitas em sua organização. Então teoricamente falando, esta pessoa deveria ter uma autoridade formal para implementar quaisquer mudanças necessárias como parte deste projeto.

    Mas, na realidade, as duas próximas características serão mais importantes do que autoridade formal:

    1) Quão boa é a relação entre o gerente de projeto e o patrocinador – porque todas as vezes que o projeto atingir um obstáculo, será o patrocinador que irá providenciar ao gerente do projeto uma forma de remover este obstáculo.

    2) O nível de habilidades “diplomáticas” do gerente de projeto – uma vez que o patrocinador não entrará em todos os detalhes, o gerente do projeto precisará encontrar meios de contornar alguns obstáculos.

    Assim, o ponto é – o gerente do projeto é uma figura central em sua implementação, e o sucesso de seu projeto depende muito mais desta pessoa do que você pensa. Assim, para ter sucesso, encontre uma pessoa capaz, dê a ela as habilidades necessárias, e dê a ela um bom patrocinador. A alternativa é ter um destes projeto que nunca terminam.

    Baixe este Modelo de Plano do projeto gratuito que é aplicável para organizações de pequeno e médio porte.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001