Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Gestione fornitori

PoC, ovvero Proof of Concept (& Co): come attuare un processo di gestione dei fornitori efficiente in 7 mosse

Il processo di gestioni dei fornitori può essere difficile da attuare, soprattutto quando è il momento di decidere cosa comprare e da chi. Una fase importante è chiamare i vendor scelti e creare un Proof of Concept (PoC), stilando un documento che evidenzi le qualità di un prodotto o servizio che può essere la scelta giusta per le vostre esigenze. Ecco alcuni consigli degli esperti per ottimizzare l’attività

05 Gen 2016

redazione TechTarget

Quando si acquistano nuovi prodotti per la sicurezza, il budget limitato e la paura di trovarsi di fronte a vendor troppo aggressivi induce le aziende ad acquistare un prodotto che, alla fine, rischia di non risolvere i problemi.

I CISO sono bombardati, anche più volte al giorno, da fornitori convinti di avere le risposte giuste a tutti i loro problemi. Alcuni fornitori sono così fastidiosi che, anche se il loro prodotto è il migliore in circolazione, il CISO arriva al punto di preferirne altri colo per interrompere un approccio troppo aggressivo e a lungo andare, chiaramente fastidioso.

Le domande che ci si pone in questi casi sono essenzialmente tre:

  • Esistono delle linee guida che, in modo chiaro ed esplicito, determinino i criteri di acquisto rispetto al prodotto migliore per le esigenze aziendal?
  • Cosa deve chiedersi un CISO prima di vagliare un potenziale fornitore?
  • Quali sono gli errori più comuni da evitare?

Fornitori alle porte

Tenendo presente anche il fattore dei rapporti interpersonali tra CISO e fornitore, la sfida è cosa comprare e da chi, cercando di non commettere errori che potrebbero portare a una spesa inutile. Una volta determinato quale prodotto serva all’azienda – SIEM, FIM, NGFW, WAF, antivirus, antimalware, DLP, e chi ne ha più ne metta – il consiglio degli esperti è di avviare un processo di gestione dei fornitori, selezionando con cura quali potrebbero essere i potenziali venditori del prodotto di cui si ha necessità. Ecco una special list di best practice:

1) Identificare i fornitori: fonti affidabili per trovare potenziali vendor che fanno al caso nostro sono il Magic Quadrant di Gartner e il Forrest Wave. Partendo da un presupposto di metodo e di analisi il che, in sintesi, significa avere in mente le risposte ad alcuen domande fondamentali: quali sono i vendor più interessanti rispetto al prodotto che vi serve? Un alternativa opens source ha più senso, rispetto al prodotto in questione? Scegliere il prodotto meno costoso è la scelta giusta?

2) Fare un breve elenco (e confrontarsi con la community dei CISO): una volta individuati quali possano essere i vendor che fanno al caso vostro e che hanno quindi dei rating favorevoli, se siete in contatto con altri CISO una buona soluzione è quella di alzare i telefono e chiedere il loro parere rispetto ai fornitori che avete scelto.

3) Definire un Proof of Concept: una volta stilato l’elenco, il passo successivo nel processo di gestione dei fornitori è quello di chiamare i vendor scelti e creare un proof of concept (POC), ovvero stilare un documento che evidenzi le qualità di un prodotto o servizio che può essere la scelta giusta per le vostre esigenze. A questo proposito si possono attuare una serie di azioni come:

  • valutare recensioni del prodotto indipendenti,
  • fare un’analisi superficiale dell’azienda che vi vende il prodotto
  • pianificare una presentazione del prodotto da parte del vendor
  • invitare a tale presentazione esperti di settore che possono così capire se il software scelto, già in prima analisi, è quello che vi serve 

Senza dubbio, attuare un POC ha un costo per l’azienda, in quanto richiede risorse interne per testare il prodotto. Assicuratevi di stipulare un accordo di non divulgazione e sviluppate una metodologia di test che tenga presente caratteristiche quali funzioni, piattaforme compatibili (appliance e software) risorse e competenze necessarie e infine, il costo. Infine , dare un voto a tutti i prodotti testati utilizzando sempre gli stessi criteri di selezione, può già restringere il campo a due/tre prodotti che saranno valutati per scegliere quello migliore per le vostre esigenze. Il POC non deve essere testato utilizzando dati in tempo reale o durante le fasi delle produzione. Si deve anche valutare l’impatto sull’ambiente di rete, considerando:

  • gli eventi previsti, con una stima di cosa succederebbe se fosse in esecuzione
  • le attività di logging, valutando se in-line o out-of-line, e i relativi effetti sulla latenza se il software fosse installato e attivo
  • quanta memoria è richiesta e quali infrastrutture sono necessarie per questo tipo di attività
  • se il software richiede user agent supplementari da installare sui dispositivi di destinazione
  • quali possono essere gli eventuali problemi sugli user agent, sulla latenza, le prestazioni o l’accessibilità
  • se il software scelto richiede una formazione specifica
  • se sono necessarie risorse esterne e, nel caso, se saranno fornite dal vendor e a quali costi

4) Controllare le referenze: tutti i fornitori devono fornire referenze sulla vendita del loro prodotti alle altre aziende. Scegliere quindi quelle aziende che hanno un ambiente di rete simile al vostro e operano nello stesso campo industriale. Assicurarsi che le referenze offerte non siano in conflitto di interessi con il vendor. Chiedere alle aziende simili alla vostra da quanto tempo hanno installato il prodotto, quali altri prodotti hanno preso in considerazione, se hanno eseguito un POC, perché hanno scelto questo prodotto, se sono soddisfatti del prodotto, se ci è voluto molto tempo per far funzionare il prodotto nel loro ambiente, quali funzioni non sono previste e che invece servirebbero, se il costo è giusto in base al valore del prodotto.

5) Valutare il costo: il costo non dovrebbe essere un fattore primario nella selezione di un prodotto, ma è bene ricordare che tutti i prezzi sono negoziabili con il fornitore. Mai, ad esempio, pagare il prezzo di listino. Valutate se il prodotto può essere venduto in bundle con altri prodotti dello stesso fornitore. I fornitori hanno obiettivi di vendita che possono essere sfruttati per abbassare il costo, ma non perdete troppo tempo se non avete intenzione di comprare quel prodotto se non vi convince sotto altri aspetti più funzionali. Se la differenza di prezzo tra due prodotti non è molto vicina, è bene determinare se le funzionalità offerte dal più costoso valgono la pena di spendere qualche euro in più. Se il prezzo è maggiore del budget a disposizione è utile stabilire se la stime del return on investment (ROI) sono superiori alla delta del prezzo. Condividete il costo del software con gli altri dipartimenti (IT, sicurezza, gruppi di sviluppo, audit, risk management e compliance) per capire se anch’essi possono utilizzare il prodotto.

6) Informare la Direzione: A nessuno piacciano le sorprese, tanto meno alla Direzione della vostra azienda. Non informare però la direzione amministrativa fino a quando non si saprà il costo finale del prodotto, cosa che avverrà al termine delle trattative con il fornitore. Fate in modo che mai il fornitore venga a sapere il budget a vostra disposizione. Tenete informata la Direzione delle trattative in corso e sui vari passi del processo di gestione del fornitore. Chiedete un parere legale prima di acquistare il prodotto. Questo aiuta l’Amministrazione ad essere tranquilla nella gestione di acquisto del prodotto. Chiedete anche un parere al team IT. Esponete sempre al dirigenti come le fasi di scelta del prodotto sono state eseguite con la dovuta diligenza. Una volta completata la trattativa, mostrate il prezzo di listino e il costo effettivo che l’azienda deve sostenere.

7) Farsi supportare sulle trattative contrattuali: avere qualcuno del reparto legale che aiuta nella trattativa dovrebbe essere un must. Questa figura può assicurarsi che il contratto stipulato rispetti i Termini e le Condizioni previste per il POC e per l’acquisto. A volte, dopo tutto il tempo per attuare un POC, uno o entrambi i dipartimenti legali (il vostro e quello del vendor) possono non essere d’accordo su alcune questioni, e portare alla non vendita del prodotto. Assicuratevi che ci sia una clausola di risoluzione del contratto di acquisto per giusto o mancata causa. Il contratto inoltre dovrebbe comprendere una limitazione bilaterale per quanto riguarda la clausola di responsabilità. Se è coinvolto un codice o un software, prendete in considerazione le clausole di deposito e, naturalmente clausole di non divulgazione.

C’è un ultimo consiglio che gli specialisti offrono ai Ciso alla ricerca di risposte e prodotti: non comprate una Cadillac se vi serve un furgoncino. Scegliete sempre il prodotto giusto per voi, non il migliore in assoluto. Il migliore prodotto spesso è il più costoso, e non potrebbe corrispondere al vostro modello di business, al vostro budget, o peggio, alle vostre necessità. Assicurarsi sempre che il prodotto scelto sia scalabile in base alla crescita della vostra azienda. Ci possono essere altri fattori da valutare, come il vostro particolare settore industriale, le competenze interne, la vostra cultura aziendale, ma sempre è imperativo comprare quello che vi serve realmente e non necessariamente quello che vorreste.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4