Take the ISO 27001 course exam and get the
EU GDPR course exam for free
LIMITED-TIME OFFER – ENDS SEPTEMBER 29, 2022
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001

    Não espere que sua gerência entenda por conta própria por que a ISO 27001 é boa para a organização deles – você tem que trabalhar duro para convence-los. Essencialmente, você precisa ter dois elementos para ser bem-sucedido neste processo: (1) preparar uma lista de benefício de negócio que são realmente aplicáveis para a sua organização, e (2) comunicar estes benefícios de uma forma que seja compreensível por seus executivos.

    Eu cobra o tópico de benefícios de negócio neste artigo: Quatro benefícios fundamentais da implementação da ISO 27001, e no artigo que você está lendo eu escreverei sobre as melhores formas de comunicá-los.

    Infelizmente, uma apresentação para a sua alta direção não vai ser o bastante, não importa quão boa sua apresentação de PowerPoint pareça. A verdade é, muito mais é necessário do que uma simples apresentação, e levará mais tempo para a sua gerência entender todos os pontos chave.

    Aqui estão algumas técnicas que você pode usar para apresentar o seu caso de uma forma mais efetiva:

    Discurso do elevador

    As chances são de que você atingirá muito mais em ocasiões informais do que em reuniões formais – ex.: quando você acidentalmente encontra com o seu CEO em uma cafeteria, em um elevador, ou similar. Se você não está preparado para tal ocasião, você provavelmente ficará confuso – então, você tem que preparar um assim chamado discurso de elevador, um discurso de 30- a 60-segundos onde você vividamente apresenta o seu caso. Quando você o ensaia bem, você soara confiante e convincente. Por exemplo, meu discurso de elevador (como um consultor tentando vender meus serviços) é: O investimento na ISO 27001 se pagará se você prevenir apenas um incidente, de médio porte, sem mencionar incidentes e maior escala.

    Encontre um aliado

    Você precisa encontrar pessoas que são próximas ao seu CEO e que naturalmente estariam interessadas no que você está fazendo – por exemplo, seu gerente financeiro pode ver a segurança da informação como uma forma de reduzir o risco financeiro para a organização, assim ela pode decidir apoiar o seu esforço; o gerente de conformidade poderia ver o seu projeto como uma forma de liberá-lo de parte da carga de trabalho, enquanto que o pessoa do marketing pode ver isto como um ponto chave de venda adicional. Em qualquer caso, faça o seu dever de casa e pesquise quem estaria interessado nos benefícios da segurança da informação.

    Estas pessoas não apenas darão a você esclarecimentos adicionais sobre como a segurança da informação ajudará a organização, mas eles também tornarão mais fácil atingir a agenda da alta direção mais rapidamente.

    Regra 30-20-10 para a apresentações

    Quando você faz sua apresentação de PowerPoint, esqueça sobre todas aquelas estatísticas fantasiosas que você encontrou, e as centenas de slides que você preparou. Ao invés disso, vá pela regra 30-20-10: use fonte tamanho 30, máximo de 20 minutos, e até 10 slides. E foque nos benefícios – esta é a principal mensagem que você precisa entregar.

    E tente ser breve – sua apresentação deveria durar no máximo 10 minutos, mais 10 minutos para questionamentos e respostas. Aqui você encontrará uma apresentação de PowerPoint Project proposal for ISO 27001 implementation gratuita que inclui todos os elementos que precisam ser apresentados para a sua alta direção.

    Seja cuidadoso com as palavras

    Lembre-se, seu público alvo são gerentes que não entendem ou não gostam de suas expressões técnicas. Por exemplo:

    Ao invés de: Use isto:
    Backup, sistema de supressão de fogo (e outras salvaguardas) Prevenção (Nós preveniremos…)
    Custo Investimento (Ao investir em…, nós economizaremos xyz reais…)
    Probabilidade Risco (Nós reduziremos o risco de…)
    Incidente Dano (Nós reduziremos o dano pela implementação…)
    Desastre Perda/Tempo de inatividade (Nós perderemos xyz reais; nosso tempo de inatividade durará…)

    Desta forma, seus executivos perceberão você como alguém que entende a perspectiva de negócio da segurança da informação – em outras palavras, você construirá sua credibilidade perante aos olhos deles.

    Prepare-se para o longo prazo

    E aqui vem as más notícias – para ser bem-sucedido, você precisa de todas as qualidades de um bom vendedor: você precisa ser paciente, persistente e persuasivo. Eu sei que você provavelmente não queria se tornar um, mas isto é o que gestores de segurança da informação bem-sucedidos fazem.

    Após algum tempo, você certamente começará a notar algum progresso – pode não ser nos primeiros dias ou mesmo nos primeiros meses, mas não se deixe desencorajar.

    Este artigo é um trecho do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver o que está incluindo no livro…

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: