Gestione fornitori

Proof of Concept: come attuare un processo di gestione efficiente dei fornitori in 7 mosse

Decidere cosa acquistare e da chi è complesso per ogni azienda. Una fase importante del percorso di scelta è la stesura di un PoC, una prova di concetto che evidenzi le qualità e le caratteristiche di un prodotto o di un servizio dimostrando che rappresenta la scelta giusta per il business. Come realizzarlo in una guida passo a passo

Aggiornato il 03 Lug 2023

redazione TechTarget

PoC - Proof of Concept

Un PoC, acronimo di Proof of Concept (in italiano letteralmente “prova di concetto”) ha lo scopo di determinare la fattibilità dell’idea o di verificare che l’idea funzionerà come previsto, ecco perché è una pratica ottimale per scegliere il migliore fornitore di servizi per la sicurezza informatica.

Quando si acquistano nuovi prodotti per la sicurezza informatica, il budget limitato e la paura di trovarsi di fronte a vendor troppo aggressivi induce le aziende ad acquistare un prodotto che, alla fine, rischia di non risolvere i problemi.

I CISO sono bombardati, anche più volte al giorno, da fornitori convinti di avere le risposte giuste a tutti i loro problemi. Alcuni fornitori sono così fastidiosi che, anche se il loro prodotto è il migliore in circolazione, il CISO arriva al punto di preferirne altri solo per interrompere un approccio troppo aggressivo e a lungo andare, chiaramente fastidioso.

Le domande che ci si pone in questi casi sono essenzialmente tre:

  • Esistono delle linee guida che, in modo chiaro ed esplicito, determinino i criteri di acquisto rispetto al prodotto migliore per le esigenze aziendali?
  • Cosa deve chiedersi un CISO prima di vagliare un potenziale fornitore?
  • Quali sono gli errori più comuni da evitare?

Fornitori alle porte, il PoC aiuta a scegliere quello giusto

Tenendo presente anche il fattore dei rapporti interpersonali tra CISO e fornitore, la sfida è cosa comprare e da chi, cercando di non commettere errori che potrebbero portare a una spesa inutile. Una volta determinato quale prodotto serva all’azienda – SIEM, FIM, NGFW, WAF, antivirus, antimalware, DLP, e chi ne ha più ne metta – il consiglio degli esperti è di avviare un processo di gestione dei fornitori, selezionando con cura quali potrebbero essere i potenziali venditori del prodotto di cui si ha necessità.

Ecco una special list di best practice.

Identificare i fornitori

Fonti affidabili per trovare potenziali vendor che fanno al caso nostro sono il Magic Quadrant di Gartner e il Forrest Wave. Partendo da un presupposto di metodo e di analisi il che, in sintesi, significa avere in mente le risposte ad alcuen domande fondamentali: quali sono i vendor più interessanti rispetto al prodotto che vi serve? Un alternativa opens source ha più senso, rispetto al prodotto in questione? Scegliere il prodotto meno costoso è la scelta giusta?

Fare un breve elenco (e confrontarsi con la community dei CISO)

Una volta individuati quali possano essere i vendor che fanno al caso vostro e che hanno quindi dei rating favorevoli, se siete in contatto con altri CISO una buona soluzione è quella di alzare i telefono e chiedere il loro parere rispetto ai fornitori che avete scelto.

Utilizzare gli stessi criteri di valutazione

Una volta stilato l’elenco, il passo successivo nel processo di gestione dei fornitori è quello di chiamare i vendor scelti e creare un Proof of Concept (PoC), ovvero stilare un documento che evidenzi le qualità di un prodotto o servizio che può essere la scelta giusta per le vostre esigenze. A questo proposito si possono attuare una serie di azioni come:

  • valutare recensioni del prodotto indipendenti,
  • fare un’analisi superficiale dell’azienda che vi vende il prodotto
  • pianificare una presentazione del prodotto da parte del vendor
  • invitare a tale presentazione esperti di settore che possono così capire se il software scelto, già in prima analisi, è quello che vi serve 

Senza dubbio, attuare un PoC ha un costo per l’azienda, in quanto richiede risorse interne per testare il prodotto. Assicuratevi di stipulare un accordo di non divulgazione e sviluppate una metodologia di test che tenga presente caratteristiche quali funzioni, piattaforme compatibili (appliance e software) risorse e competenze necessarie e infine, il costo.

Infine, dare un voto a tutti i prodotti testati utilizzando sempre gli stessi criteri di selezione, può già restringere il campo a due/tre prodotti che saranno valutati per scegliere quello migliore per le vostre esigenze.

Controllare le referenze

Tutti i fornitori devono fornire referenze sulla vendita del loro prodotti alle altre aziende. Scegliere quindi quelle aziende che hanno un ambiente di rete simile al vostro e operano nello stesso campo industriale. Assicurarsi che le referenze offerte non siano in conflitto di interessi con il vendor. Chiedere alle aziende simili alla vostra da quanto tempo hanno installato il prodotto, quali altri prodotti hanno preso in considerazione, se hanno eseguito un Proof of Concept, perché hanno scelto questo prodotto, se sono soddisfatti del prodotto, se ci è voluto molto tempo per far funzionare il prodotto nel loro ambiente, quali funzioni non sono previste e che invece servirebbero, se il costo è giusto in base al valore del prodotto.

Valutare il costo

Il costo non dovrebbe essere un fattore primario nella selezione di un prodotto, ma è bene ricordare che tutti i prezzi sono negoziabili con il fornitore. Mai, ad esempio, pagare il prezzo di listino. Valutate se il prodotto può essere venduto in bundle con altri prodotti dello stesso fornitore.

I fornitori hanno obiettivi di vendita che possono essere sfruttati per abbassare il costo, ma non perdete troppo tempo se non avete intenzione di comprare quel prodotto se non vi convince sotto altri aspetti più funzionali. Se la differenza di prezzo tra due prodotti non è molto vicina, è bene determinare se le funzionalità offerte dal più costoso valgono la pena di spendere qualche euro in più.

Se il prezzo è maggiore del budget a disposizione è utile stabilire se la stime del return on investment (ROI) sono superiori alla delta del prezzo. Condividete il costo del software con gli altri dipartimenti (IT, sicurezza, gruppi di sviluppo, audit, risk management e compliance) per capire se anch’essi possono utilizzare il prodotto.

Informare la direzione

A nessuno piacciano le sorprese, tanto meno alla Direzione della vostra azienda. Non informare però la direzione amministrativa fino a quando non si saprà il costo finale del prodotto, cosa che avverrà al termine delle trattative con il fornitore. Fate in modo che mai il fornitore venga a sapere il budget a vostra disposizione. Tenete informata la Direzione delle trattative in corso e sui vari passi del processo di gestione del fornitore. Chiedete un parere legale prima di acquistare il prodotto. Questo aiuta l’Amministrazione ad essere tranquilla nella gestione di acquisto del prodotto. Chiedete anche un parere al team IT. Esponete sempre al dirigenti come le fasi di scelta del prodotto sono state eseguite con la dovuta diligenza. Una volta completata la trattativa, mostrate il prezzo di listino e il costo effettivo che l’azienda deve sostenere.

Farsi supportare sulle trattative contrattuali

Avere qualcuno del reparto legale che aiuta nella trattativa dovrebbe essere un must. Questa figura può assicurarsi che il contratto stipulato rispetti i Termini e le Condizioni previste per il Proof of Concept e per l’acquisto. A volte, dopo tutto il tempo per attuare un PoC, uno o entrambi i dipartimenti legali (il vostro e quello del vendor) possono non essere d’accordo su alcune questioni, e portare alla non vendita del prodotto. Assicuratevi che ci sia una clausola di risoluzione del contratto di acquisto per giusto o mancata causa. Il contratto inoltre dovrebbe comprendere una limitazione bilaterale per quanto riguarda la clausola di responsabilità. Se è coinvolto un codice o un software, prendete in considerazione le clausole di deposito e, naturalmente clausole di non divulgazione.

Valutare l’impatto sull’ambiente di rete

Il PoC non deve essere testato utilizzando dati in tempo reale o durante le fasi delle produzione. Si deve anche valutare l’impatto sull’ambiente di rete, considerando:

  • gli eventi previsti, con una stima di cosa succederebbe se fosse in esecuzione
  • le attività di logging, valutando se in-line o out-of-line, e i relativi effetti sulla latenza se il software fosse installato e attivo
  • quanta memoria è richiesta e quali infrastrutture sono necessarie per questo tipo di attività
  • se il software richiede user agent supplementari da installare sui dispositivi di destinazione
  • quali possono essere gli eventuali problemi sugli user agent, sulla latenza, le prestazioni o l’accessibilità
  • se il software scelto richiede una formazione specifica
  • se sono necessarie risorse esterne e, nel caso, se saranno fornite dal vendor e a quali costi

Attenzione alla scalabilità

C’è un ultimo consiglio che gli specialisti offrono ai Ciso alla ricerca di risposte e prodotti: non comprate una Cadillac se vi serve un furgoncino. Scegliete sempre il prodotto giusto per voi, non il migliore in assoluto. Il migliore prodotto spesso è il più costoso, e non potrebbe corrispondere al vostro modello di business, al vostro budget, o peggio, alle vostre necessità.

Assicurarsi sempre che il prodotto scelto sia scalabile in base alla crescita della vostra azienda. Ci possono essere altri fattori da valutare, come il vostro particolare settore industriale, le competenze interne, la vostra cultura aziendale, ma sempre è imperativo comprare quello che vi serve realmente e non necessariamente quello che vorreste.

Come realizzare un PoC efficace in 5 passi

Per stilare un Proof of Concept è opportuno seguire alcuni passaggi chiave. Questi i 5 step principali:

  1. Descrivere in modo approfondito i business need, ovvero i problemi a fronte dei quali viene proposta la soluzione identificata, sottolineando gli aspetti innovativi e i benefici che porta con sé.
  2. Identificare i soggetti coinvolti nel progetto.
  3. Eseguire uno studio preliminare per descrivere in maniera approfondita la strategia che è alla base della soluzione proposta e l’approccio che si intende adottare per raggiungere gli obiettivi identificati.
  4. Eseguire un’analisi di fattibilità che dimostri la disponibilità effettiva delle competenze e delle risorse necessarie a portare avanti l’iniziativa, identificando anche le fonti da cui attingere le risorse finanziarie e il contesto di riferimento del progetto.
  5. Condividere KPI e strumenti di misurazione, oltre alle best practice utili per risolvere rapidamente gli eventuali problemi.

Articolo originariamente pubblicato il 09 Giu 2021

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4