ISO 27001: Técnicas para convencer a la alta dirección de su implementación
ISO 27001
No puedes esperar que todos los miembros de la organización comprendan el motivo por el que es necesario implementar la norma ISO 27001, por lo que debes emplearte en convencerlos.
Es necesario tener dos elementos para conseguir el éxito en este proceso:
- Preparar una lista de beneficios de negocio que son realmente aplicables en su organización.
- Comunicar los beneficios de una forma que sea comprensible para los ejecutivos.
La presentación del proyecto a la alta dirección no es suficiente, no importa lo bonita que sea la presentación. La verdad es que se necesita mucho más que una simple presentación, es necesario tiempo para gestionar la compresión de todos los puntos clave. Durante este artículo queremos ofreceros algunas técnicas que pueden ser utilizadas para presentar el proyecto de una manera eficiente.
Discurso de ascensor
Es posible que usted consiga mucha más en reuniones informales que en las reuniones formales, por ejemplo, en un encuentro fortuito con el CEO en la cafetería, en el ascensor, etc. Si no te encuentras preparado para la ocasión, es posible que se confunda por lo tanto debe preparar un denominado “discurso de ascensor”. Siendo un discurso que dure entre 30 o 60 segundos en el que presenta de forma clara y escueta el caso. Cuando se ensaya bien, sonará seguro y convincente. Podemos poner un ejemplo de “discurso de ascensor”: La inversión en la norma ISO 27001 valdrá la pena si impide algún incidente por pequeño que sea, por no hablar de los grandes incidentes.
Encontrar un aliado
Contar con las personas que se encuentran cerca del CEO y que se encuentran interesados en la implementación de la norma ISO 27001 es muy importante. Por ejemplo, el director financiero puede ver que la seguridad de la información es una forma de minimizar el riesgo financiero de la organización. Sería muy buena opción contar con su apoyo. El director del cumplimiento puede ver su proyecto de forma que reparta su carga de trabajo, mientras que los individuos de la comercialización pueden ver esto como un punto clave de venta adicional. Realizar las tareas de investigación es un proceso largo y tedioso.
Estas personas no sólo te ofrecerán información adicional sobre la manera en la que la seguridad de la información ayudará a la organización, sino que también hará que sea mucho más fácil para llegar a la agenda de la alta dirección con mayor rapidez.
La regla del 30-20-10
Cuando realizas una presentación en PowerPoint, se debe olvidar de poner todas las estadísticas que ha encontrado, y cientos de diapositivas que tiene preparada. En su lugar, deberá utilizar la regla 30-20-10:
- Tamaño de letra 30
- Máximo de 20 minutos
- Utilizar hasta 10 diapositivas
La presentación se debe centrar en los beneficios, siendo el mensaje principal que hay que entrar. Debe de ser corto, no se recomienda que dure más de 10 minutos y otros 10 minutos más para contestar a las preguntas que hayan surgido.
Utilizar las palabras adecuadas
Debe recordar que su grupo objetivo son los gerentes, y que hay palabras que no les gusta utilizar por lo que se deberán cambiar por otras expresiones:
- En lugar de decir copia de seguridad de los sistemas de supresión de incendios, utilizar vamos a prevenir los incendios.
- En lugar de utilizar la palabra costo es mejor utilizar la palabra inversión.
- En lugar de utilizar la palabra probabilidad es mejor utilizar la palabra riesgo.
- En vez de utilizar la palabra incidentes es mejor utilizar daños.
- En lugar de hablar de desastre es mejor usar pérdida de productividad.
De esta forma, los ejecutivos perciben que se entiende desde el punto de vista del negocio de seguridad de la información, en otras palabras, usted va a construir su credibilidad.
Prepararse para el largo plazo
Para obtener éxito, es necesario contar con todas las cualidades con la que debe contar un buen vendedor:
- Paciente
- Persistente
- Persuasivo
Después de un tiempo, comenzará a notar algunos avances. No en los primero días pero si a los meses, por lo que no debes desanimarte.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.