Não espere que sua gerência entenda por conta própria por que a ISO 27001 é boa para a organização deles – você tem que trabalhar duro para convence-los. Essencialmente, você precisa ter dois elementos para ser bem-sucedido neste processo: (1) preparar uma lista de benefício de negócio que são realmente aplicáveis para a sua organização, e (2) comunicar estes benefícios de uma forma que seja compreensível por seus executivos.
Eu cobra o tópico de benefícios de negócio neste artigo: Quatro benefícios fundamentais da implementação da ISO 27001, e no artigo que você está lendo eu escreverei sobre as melhores formas de comunicá-los.
Infelizmente, uma apresentação para a sua alta direção não vai ser o bastante, não importa quão boa sua apresentação de PowerPoint pareça. A verdade é, muito mais é necessário do que uma simples apresentação, e levará mais tempo para a sua gerência entender todos os pontos chave.
Aqui estão algumas técnicas que você pode usar para apresentar o seu caso de uma forma mais efetiva:
Discurso do elevador
As chances são de que você atingirá muito mais em ocasiões informais do que em reuniões formais – ex.: quando você acidentalmente encontra com o seu CEO em uma cafeteria, em um elevador, ou similar. Se você não está preparado para tal ocasião, você provavelmente ficará confuso – então, você tem que preparar um assim chamado discurso de elevador, um discurso de 30- a 60-segundos onde você vividamente apresenta o seu caso. Quando você o ensaia bem, você soara confiante e convincente. Por exemplo, meu discurso de elevador (como um consultor tentando vender meus serviços) é: O investimento na ISO 27001 se pagará se você prevenir apenas um incidente, de médio porte, sem mencionar incidentes e maior escala.
Encontre um aliado
Você precisa encontrar pessoas que são próximas ao seu CEO e que naturalmente estariam interessadas no que você está fazendo – por exemplo, seu gerente financeiro pode ver a segurança da informação como uma forma de reduzir o risco financeiro para a organização, assim ela pode decidir apoiar o seu esforço; o gerente de conformidade poderia ver o seu projeto como uma forma de liberá-lo de parte da carga de trabalho, enquanto que o pessoa do marketing pode ver isto como um ponto chave de venda adicional. Em qualquer caso, faça o seu dever de casa e pesquise quem estaria interessado nos benefícios da segurança da informação.
Estas pessoas não apenas darão a você esclarecimentos adicionais sobre como a segurança da informação ajudará a organização, mas eles também tornarão mais fácil atingir a agenda da alta direção mais rapidamente.
Regra 30-20-10 para a apresentações
Quando você faz sua apresentação de PowerPoint, esqueça sobre todas aquelas estatísticas fantasiosas que você encontrou, e as centenas de slides que você preparou. Ao invés disso, vá pela regra 30-20-10: use fonte tamanho 30, máximo de 20 minutos, e até 10 slides. E foque nos benefícios – esta é a principal mensagem que você precisa entregar.
E tente ser breve – sua apresentação deveria durar no máximo 10 minutos, mais 10 minutos para questionamentos e respostas. Aqui você encontrará uma apresentação de PowerPoint Project proposal for ISO 27001 implementation gratuita que inclui todos os elementos que precisam ser apresentados para a sua alta direção.
Seja cuidadoso com as palavras
Lembre-se, seu público alvo são gerentes que não entendem ou não gostam de suas expressões técnicas. Por exemplo:
Ao invés de: | Use isto: |
Backup, sistema de supressão de fogo (e outras salvaguardas) | Prevenção (Nós preveniremos…) |
Custo | Investimento (Ao investir em…, nós economizaremos xyz reais…) |
Probabilidade | Risco (Nós reduziremos o risco de…) |
Incidente | Dano (Nós reduziremos o dano pela implementação…) |
Desastre | Perda/Tempo de inatividade (Nós perderemos xyz reais; nosso tempo de inatividade durará…) |
Desta forma, seus executivos perceberão você como alguém que entende a perspectiva de negócio da segurança da informação – em outras palavras, você construirá sua credibilidade perante aos olhos deles.
Prepare-se para o longo prazo
E aqui vem as más notícias – para ser bem-sucedido, você precisa de todas as qualidades de um bom vendedor: você precisa ser paciente, persistente e persuasivo. Eu sei que você provavelmente não queria se tornar um, mas isto é o que gestores de segurança da informação bem-sucedidos fazem.
Após algum tempo, você certamente começará a notar algum progresso – pode não ser nos primeiros dias ou mesmo nos primeiros meses, mas não se deixe desencorajar.
Este artigo é um trecho do livro Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver o que está incluindo no livro…
Nós agradecemos a Rhand Leal pela tradução para o português.