Alguma vez você já tentou convencer sua gerência a financiar a implementação da segurança da informação? Se você já tentou, provavelmente sabe como funciona: eles vão lhe perguntar quanto custa, e se parecer muito caro eles irão dizer que não.
Na verdade, você não deve culpá-los, afinal, a responsabilidade principal deles é a rentabilidade da empresa. Isso significa que todas as decisões deles se baseiam no equilíbrio entre investimento e benefício, ou, na linguagem da administração, ROI (retorno sobre o investimento).
Isso significa que você deve fazer sua lição de casa antes de tentar propor um investimento dessa natureza – pense cuidadosamente sobre como apresentar os benefícios, utilizando uma linguagem que a gerência irá entender e aprovar.
Tentarei ajudá-lo. Os benefícios da segurança da informação, principalmente a implementação da ISO 27001, são inúmeros. Mas, segundo a minha experiência, os quatro a seguir são os mais importantes:
1. Conformidade
Pode parecer estranho listar a conformidade como o primeiro benefício, mas ela muitas vezes mostra o mais rápido “retorno sobre o investimento”: se uma organização precisa cumprir com diversos regulamentos sobre proteção de dados, privacidade e governança de TI (especialmente se for uma organização financeira, de saúde ou governamental), a ISO 27001 pode trazer a metodologia que permitirá fazer isso da maneira mais eficiente.
2. Vantagem de mercado
Em um mercado que é cada vez mais competitivo, às vezes é muito difícil encontrar algo que irá diferenciá-lo aos olhos dos clientes. A ISO 27001 pode ser, de fato, um ponto de venda inigualável, especialmente se você lida com informações confidenciais dos clientes.
3. Redução de despesas
A segurança da informação geralmente é considerada como um custo sem ganho financeiro aparente. No entanto, há ganho financeiro se você diminuir os gastos causados por incidentes. Você provavelmente tem interrupções no serviço, ou vazamentos ocasionais de dados, ou funcionários descontentes. Ou ex-funcionários descontentes.
A verdade é que ainda não existe uma metodologia e/ou tecnologia para calcular quanto dinheiro você poderia economizar se prevenisse esses incidentes. Mas é sempre bom chamar a atenção da gerência para esses casos.
4. Organização da empresa
Este é provavelmente o ponto mais subestimado – se sua empresa vem crescendo acentuadamente durante os últimos anos, você pode ter problemas como: quem tem de decidir o quê, quem é responsável por determinados ativos de informações, quem tem de autorizar o acesso a sistemas de informações etc.
A ISO 27001 é especialmente útil na solução desses problemas, pois ela irá forçá-lo a definir muito precisamente tanto as responsabilidades quanto os deveres e, portanto, reforçar sua organização interna.
Para concluir, a ISO 27001 pode trazer muitos benefícios e não ser apenas mais um certificado em sua parede. Na maioria dos casos, se você apresentar esses benefícios de forma clara, a gerência irá começar a prestar atenção.
Clique aqui para ingressar gratuitamente ISO 27001 Lead Implementer course onde você pode aprender tudo o que precisa saber sobre a implementação da ISO 27001.