Quem deveria ser seu gerente de projeto para a ISO 27001/ISO 22301?

Se você está planejando iniciar seu projeto de ISO 27001 e/ou ISO 22301, está provavelmente imaginando quem poderia liderar um projeto tão complexo – que tipo de pessoa você precisa, com quais autoridades, e você deveria ir com alguém da casa ou buscar alguém de fora?

Primeiro de tudo, nem mesmo pense em iniciar a implementação destas normas sem uma abordagem de projeto – para ter sucesso, você precisa de um gerente de projeto, um patrocinador, marcos e prazos claramente definidos, etc. Veja também: ISO 27001 project – How to make it work.

Perfil do gerente de projeto

Uma vez que a ISO 27001 e ISO 22301 são bastante relacionadas a tecnologia da informação, o gerente de projeto deveria ter ao menos um conhecimento mediado de TI; contudo, este projeto não deveria ser tratado como um projeto de TI, então você deveria evitar ter alguém de seu departamento de TI liderando este tipo de projeto. Veja também: Os 5 maiores mitos sobre a ISO 27001.

O que você precisa é de alguém com um conhecimento balanceado entre TI e dos processos de negócio de sua organização, porque a gestão da segurança da informação é, em muitos casos, relacionada a assuntos organizacionais (desenvolvimento de políticas e procedimentos, definição de responsabilidades e gestão de mudança), e não a tecnologia.

Uma vez que o gerente destes tipos de projeto frequentemente encontrará oposição de alguns de seus colegas, tal pessoa deveria ter autoridade suficiente seja por sua posição ou pelo respeito de seus pares.

Uma vez que este projeto seja concluído, esta pessoa é a mais provável candidata a se tornar seu gestor de segurança da informação (Chief Information Security Officer – CISO) ou gestor de continuidade de negócio. Para pequenas organizações, você geralmente terá uma posição que cubra tanto a segurança da informação quanto a continuidade de negócio, enquanto que em organizações maiores estas funções serão separadas – embora frequentemente no mesmo departamento. Veja também: Chief Information Security Officer (CISO) – where does he belong in an org chart?

Habilidade e disponibilidade necessária

Seria ideal se seu gerente de projeto tivesse experiência com a implementação da ISO 27001/ISO 22301, mas você raramente encontrará pessoas assim.

Em muitos casos, esta pessoa obterá estas habilidades através de cursos – os melhores são os cursos de auditor líder e de implementador líder. Saiba mais aqui: Curso de Auditor Líder vs. Curso de Implementador Líder – Por qual optar?

Com relação ao tempo necessário, para pequenas organizações o gerente de projeto precisará alocar aproximadamente 1 ou 2 horas por dia para este tipo de projeto; para uma organização com milhares de empregados, este tipo de projeto consumirá 100% do tempo desta pessoa durante toda a duração do projeto. Veja também Calculadora para Duração da Implementação.

De casa ou terceirizado?

Não há dúvida sobre isso – o gerente do projeto deve ser alguém de dentro da organização – isto é necessário porque alguém de fora pode não conhecer todos os detalhes e aspectos culturais de sua organização. Quando as coisas ficarem complicadas (e certamente ficarão durante este tipo de projeto), você precisará de alguém que saberá a quem recorrer, quais tipos de abordagem serão aceitas pelos empregados, e quais devem ser evitadas.

Não me entenda errado – você deveria obter alguma ajuda extra para obter o conhecimento necessário, mas um consultor não pode liderar seu projeto. Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

Que tipo de autoridade?

Esta é provavelmente a questão mais difícil – de um lado, o gerente de  projeto tem apenas um trabalho temporário, por outro lado, ele tem que mudar a forma como as coisas são feitas em sua organização. Então teoricamente falando, esta pessoa deveria ter uma autoridade formal para implementar quaisquer mudanças necessárias como parte deste projeto.

Mas, na realidade, as duas próximas características serão mais importantes do que autoridade formal:

1) Quão boa é a relação entre o gerente de projeto e o patrocinador – porque todas as vezes que o projeto atingir um obstáculo, será o patrocinador que irá providenciar ao gerente do projeto uma forma de remover este obstáculo.

2) O nível de habilidades “diplomáticas” do gerente de projeto – uma vez que o patrocinador não entrará em todos os detalhes, o gerente do projeto precisará encontrar meios de contornar alguns obstáculos.

Assim, o ponto é – o gerente do projeto é uma figura central em sua implementação, e o sucesso de seu projeto depende muito mais desta pessoa do que você pensa. Assim, para ter sucesso, encontre uma pessoa capaz, dê a ela as habilidades necessárias, e dê a ela um bom patrocinador. A alternativa é ter um destes projeto que nunca terminam.

Baixe este Modelo de Plano do projeto gratuito que é aplicável para organizações de pequeno e médio porte.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001