• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    4 técnicas cruciais para convencer sua alta direção sobre a implementação da ISO 27001

    Não espere que sua gerência entenda por conta própria por que a ISO 27001 é boa para a organização deles – você tem que trabalhar duro para convence-los. Essencialmente, você precisa ter dois elementos para ser bem-sucedido neste processo: (1) preparar uma lista de benefício de negócio que são realmente aplicáveis para a sua organização, e (2) comunicar estes benefícios de uma forma que seja compreensível por seus executivos.

    Eu cobra o tópico de benefícios de negócio neste artigo: Quatro benefícios fundamentais da implementação da ISO 27001, e no artigo que você está lendo eu escreverei sobre as melhores formas de comunicá-los.

    Infelizmente, uma apresentação para a sua alta direção não vai ser o bastante, não importa quão boa sua apresentação de PowerPoint pareça. A verdade é, muito mais é necessário do que uma simples apresentação, e levará mais tempo para a sua gerência entender todos os pontos chave.

    Aqui estão algumas técnicas que você pode usar para apresentar o seu caso de uma forma mais efetiva:

    Discurso do elevador

    As chances são de que você atingirá muito mais em ocasiões informais do que em reuniões formais – ex.: quando você acidentalmente encontra com o seu CEO em uma cafeteria, em um elevador, ou similar. Se você não está preparado para tal ocasião, você provavelmente ficará confuso – então, você tem que preparar um assim chamado discurso de elevador, um discurso de 30- a 60-segundos onde você vividamente apresenta o seu caso. Quando você o ensaia bem, você soara confiante e convincente. Por exemplo, meu discurso de elevador (como um consultor tentando vender meus serviços) é: O investimento na ISO 27001 se pagará se você prevenir apenas um incidente, de médio porte, sem mencionar incidentes e maior escala.

    Encontre um aliado

    Você precisa encontrar pessoas que são próximas ao seu CEO e que naturalmente estariam interessadas no que você está fazendo – por exemplo, seu gerente financeiro pode ver a segurança da informação como uma forma de reduzir o risco financeiro para a organização, assim ela pode decidir apoiar o seu esforço; o gerente de conformidade poderia ver o seu projeto como uma forma de liberá-lo de parte da carga de trabalho, enquanto que o pessoa do marketing pode ver isto como um ponto chave de venda adicional. Em qualquer caso, faça o seu dever de casa e pesquise quem estaria interessado nos benefícios da segurança da informação.

    Estas pessoas não apenas darão a você esclarecimentos adicionais sobre como a segurança da informação ajudará a organização, mas eles também tornarão mais fácil atingir a agenda da alta direção mais rapidamente.

    Regra 30-20-10 para a apresentações

    Quando você faz sua apresentação de PowerPoint, esqueça sobre todas aquelas estatísticas fantasiosas que você encontrou, e as centenas de slides que você preparou. Ao invés disso, vá pela regra 30-20-10: use fonte tamanho 30, máximo de 20 minutos, e até 10 slides. E foque nos benefícios – esta é a principal mensagem que você precisa entregar.

    E tente ser breve – sua apresentação deveria durar no máximo 10 minutos, mais 10 minutos para questionamentos e respostas. Aqui você encontrará uma apresentação de PowerPoint Project proposal for ISO 27001 implementation gratuita que inclui todos os elementos que precisam ser apresentados para a sua alta direção.

    Seja cuidadoso com as palavras

    Lembre-se, seu público alvo são gerentes que não entendem ou não gostam de suas expressões técnicas. Por exemplo:

    Ao invés de: Use isto:
    Backup, sistema de supressão de fogo (e outras salvaguardas) Prevenção (Nós preveniremos…)
    Custo Investimento (Ao investir em…, nós economizaremos xyz reais…)
    Probabilidade Risco (Nós reduziremos o risco de…)
    Incidente Dano (Nós reduziremos o dano pela implementação…)
    Desastre Perda/Tempo de inatividade (Nós perderemos xyz reais; nosso tempo de inatividade durará…)

    Desta forma, seus executivos perceberão você como alguém que entende a perspectiva de negócio da segurança da informação – em outras palavras, você construirá sua credibilidade perante aos olhos deles.

    Prepare-se para o longo prazo

    E aqui vem as más notícias – para ser bem-sucedido, você precisa de todas as qualidades de um bom vendedor: você precisa ser paciente, persistente e persuasivo. Eu sei que você provavelmente não queria se tornar um, mas isto é o que gestores de segurança da informação bem-sucedidos fazem.

    Após algum tempo, você certamente começará a notar algum progresso – pode não ser nos primeiros dias ou mesmo nos primeiros meses, mas não se deixe desencorajar.

    Este artigo é um trecho do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver o que está incluindo no livro…

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.