Como vender SI na própria organização?

Nas muitas palestras, aulas e compartilhamento de conhecimento que eu participo, recebo constantemente o questionamento sobre como vender a segurança da informação dentro da própria organização. Normalmente quem traz o assunto é um profissional que recebeu a missão de ser o responsável pelo processo de proteção da informação. Como é um assunto de interesse de novos e experientes (para não dizer antigos) profissionais de segurança, faço algumas considerações neste espaço.1. Não existe uma receita (tipo bolo) igual para todas as organizaçõesIsto acontece porque as organizações são diferentes. Mesmo que uma organização seja parecida com outra, as pessoas que formam cada uma das organizações são diferentes. Por tanto é necessário considerar as características da organização em foco.2. Considere sempre que a segurança existe por causa do negócio e dos objetivos da organização.Como gestor coloque essa verdade na sua mente. Pense isso e viva isso. Fale isso o tempo todo sempre que você puder. A venda vai acontecer sempre.3. Analise as ameaças e riscos e apresente para os executivos da organização.Ao mostrar as ameaças e as possibilidades de impactos financeiro, de imagem e operacional que a organização sofre, os executivos serão levados a decidir: querem ou não querem proteger o negócio? Evidentemente depois haverá uma discussão de como acontecerá e como será o ritmo da implantação.4. Analise a legislação e como o mercado se comportaVerifique se a organização está submetida (ou estará) a alguma legislação especifica. Mas lembre sempre aos executivos que um administrador deve ser probo nas suas ações na organização (vide o Código Civil) e atualmente já existe no Brasil, em português normas internacionais sobre segurança da informação que caso a organização não siga, estará demonstrando negligência.5. Aproxime-se das áreas de negócioAproxime-se das áreas de negócio e entenda cada vez mais o negócio e objetivos da organização. Entenda os fatores críticos para o sucesso do negócio e identifique o pontos de dependência com a informação e consequentemente com a segurança da informação. Identifique a proteção da informação como um ator coadjuvante, mas importante. Porém o palco e as luzes focam o negócio.6. Lembre-s que o ótimo é inimigo do bomA implantação da segurança da informação pode e deve acontecer de maneira gradual. Sempre avalie o nível de segurança em termos absoluto e em termos relativos. Em muitos casos a empresa ainda não está no nível adequado, mas já melhorou enormemente nos últimos doze meses. A venda que aconteceu há um ano permitiu que hoje você venda novas ações de segurança para que a organização alcance o nível adequado.7. A segurança acontece pelas pessoas e pelas áreasO gestor de segurança deve vender a segurança através das diversas áreas. Exemplo: para a conscientização e treinamento das pessoas essa venda tem que ser feita junto com a área de recursos humanos. É investimento em pessoas. Outro exemplo é o requisito de que sistemas devem seguir uma metodologia de desenvolvimento deve ser uma venda junto com a gestão de desenvolvimento de sistemas. Se hoje a organização não tem uma metodologia, a área de desenvolvimento de sistemas é quem deve buscar essa ferramenta.8. Uma venda demoraSe você já realizou atividades de venda de serviços a clientes externos, sabe muito bem que algumas vendas demoram muito tempo. Mesmo em ambientes saudáveis. O serviço é bom, o cliente quer, existe condição financeira, mas tem outras questões: vai mexer em cultura, uma grande mudança está por acontecer na organização então vamos esperar, e outras. Na venda interna é assim mesmo. Muitas vezes a venda demora. Afinal a organização t~em as suas limitações.9. Os executivos têm que confiar em vocêOs executivos têm que confiar em você e você precisa ser confiável. Sua postura profissional, seu conhecimento no assunto, sua experiência prática, fazem de você um profissional confiável. A venda da segurança internamente em uma organização deve ter como objetivo o que será vendido e a prioridade. Não pode acontecer que os executivos da organização, representantes dos acionistas, não acreditem naquilo que você está apresentando porque você não é confiável.10. Realize a venda sempreA venda da segurança da informação não acontece na venda de um projeto.  A segurança da informação é um processo que não termina nunca enquanto a organização existir.Finalizando lembro que existe uma premissa básica: a organização, ou melhor, os executivos da organização precisam ter a abertura para que a organização tenha um processo de segurança da informação. Às vezes, por conveniência pessoal, executivos não desejam um processo profissional de segurança da informação. É minoria, mas existe.Mas do que vender você precisa viver e acreditar na segurança da informação!Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]“Viver é reconhecer todas as tolices que temos feito no dia anterior”, João Guimarães Rosa, Escritor.