Vender o planejamento de segurança para os executivos nunca é tarefa fácil. Uma pesquisa recente, realizada pelo Instituto Ponemon, indica que os executivos de negócios não compreendem bem o potencial dos riscos envolvidos com a cibersegurança. Como também não compreendem com facilidade que a solução não é adquirir ferramentas maiores e mais modernas. Existem diversos argumentos e pesquisas disponíveis publicamente que podem ser utilizados no convencimento dos executivos. Mas, qual a melhor forma de convencê-los do que é necessário?

Os executivos sempre estão com muitas coisas em mente. Geralmente conciliam vários números relacionados a riscos, de diferentes setores da empresa, o que inclui desde os riscos de segurança até riscos no mercado financeiro. Os recursos que a empresa possui para mitigar esses riscos são em geral menores do que o necessário. Eles vão definir a utilização dos recursos da empresa onde possuem a percepção de maior potencial danoso. Essa percepção é muitas vezes baseada em juízos de valor e experiências passadas. Se presenciaram um grande problema no passado, certamente irão atuar de forma mais firme para evitar um problema semelhante no futuro. A Target por exemplo, só instaurou a função de CISO depois de sofrer o grande vazamento.

O pior pode acontecer

O ser humano age dessa forma naturalmente. Somente passa a mitigar os riscos depois que algo acontece. Os primeiros carros não possuíam cintos de segurança, por exemplo. A segurança da informação, por sua vez, ainda está em estágios iniciais de maturidade. Em comparação com a história do cinto de segurança, é como se muitas empresas ainda não tivessem vivenciado um acidente de carro.

Essa situação cria grande dificuldade para os profissionais de segurança da informação. Eles precisam ser capazes de vender, para os executivos, a importância de se investir em projetos de segurança, antes que a empresa se torne uma vítima. E usamos aqui a palavra “vender” com um objetivo específico, relacionado ao ato de vender. Quem é da área de segurança costuma ser muito técnico, sem conseguir traduzir tudo o que enfrenta no dia-a-dia em argumentos para os executivos, que são leigos no assunto. Os gestores de segurança precisam “vender” as iniciativas de segurança como sendo algo quente, para convencer os executivos a liberar o orçamento para a área.

Técnicas de venda podem ser valiosas

Aprender como vender um planejamento de segurança pode ser uma skill valiosa. Existem diversos livros disponíveis no mercado com técnicas de venda. Essas técnicas podem ser adaptadas para a realidade da segurança. Os executivos possuem pouco tempo, então as requisições precisam ser priorizadas. Pode ser interessante aprender a arte da “conversa de elevador”, uma técnica que envolve a venda de uma ideia para uma pessoa no tempo de duração de uma viagem de elevador.

Outra possibilidade é podermos utilizar dashboards apresentando um top 10 de riscos de segurança da informação e as estratégias para mitiga-los. Essa técnica reduz o montante de informação a ser entregue para os executivos, facilitando a tomada de decisão. Demonstrar rapidamente ferramentas de invasão pode mostrar a facilidade com que um ataque é feito. Isso é muito mais persuasivo do que apenas mostrar uma tabela com os escores do CVE.

Em suma, os executivos são transportados diariamente para diversas áreas de operação de uma empresa. A segurança da informação é apenas mais uma área em que a companhia pode estar exposta a riscos. As empresas usualmente não se preparam para vazamentos de dados até que eles aconteçam um dia, o que faz com que os profissionais que saibam vender o planejamento de segurança de forma correta aos executivos tenham muito mais recursos para combater invasões e mitigar os riscos de segurança.

MikeHardenWhatsYourElevatorRant-300x200