Sebbene i CISO siano bombardati ogni giorno dai messaggi di fornitori che pretendono di avere la risposta giusta a tutti i problemi di sicurezza IT aziendale, non devono farsi abbagliare dalla miriade di comunicazioni che garantiscono il prodotto migliore. Devono invece porsi le giuste domande per capire di quale soluzione ha davvero bisogno l’azienda e, quindi, da chi acquistarla. Una volta capito qual è il prodotto di cui si ha bisogno, trovare il fornitore adatto diventa semplice. Ecco 6 consigli da seguire:
#1 La fase di selezione
Per trovare potenziali venditori per uno specifico prodotto le fonti più accreditate da consultare sono il Gartner Magic Quadrant e la Forrester Wave. A partire da qui, conviene stilare una breve lista dei venditori che hanno valutazioni favorevoli sulla base delle proprie esigenze. Se si è in contatto con altri CISO, a questo punto è opportuno telefonare ai colleghi e chiedere il loro parere.
#2 La proof of concept
Una volta identificata la rosa di candidati migliori, occorre chiamarli per chiedere loro una dimostrazione pratica del funzionamento e delle vulnerabilità del prodotto/servizio d’interesse. Villegas fa notare che la proof of concept avrà un costo per l’impresa, poiché richiede che vangano impiegate risorse interne per testare il prodotto. Occorre poi sviluppare una serie di criteri di selezione basati su caratteristiche del prodotto, tipo di piattaforma utilizzata, risorse e competenze necessarie e costo dell’investimento. Votando tutti i prodotti in esame sulla base degli stessi parametri di selezione, si avrà un quadro completo e oggettivo della situazione. Il proof of concept non deve essere svolto utilizzando dati in tempo reale o in produzione. Si deve invece valutare l’impatto per il proprio ambiente considerando:
- Gli eventi previsti al secondo per l’ambiente testato nel proof of concept e stimare come sarebbero in produzione
- L’attività di registrazione e lo storage richiesto
- Se l’attività di registrazione sarebbe in linea o no e il relativo effetto sulla latenza della produzione
- Se il pacchetto richiede agenti sui dispositivi di destinazione: in quel caso, determinarne impatto, latenza, prestazioni e accessibilità
- Se occorreranno un supporto e delle risorse esterne o se saranno offerti dal fornitore stesso
#3 Le referenze
Tutti i fornitori dovrebbero fornire delle referenze. Villegas raccomanda di considerare quelle provenienti da realtà aziendali simili alla propria e di chiedere loro un colloquio in assenza del venditore, assicurandosi che non vi sia un conflitto di interessi tra le due parti. Le domande da porre, a questo punto, sono varie: da quanto tempo utilizzano il prodotto/servizio? Quali altre soluzioni avevano valutato? Come è andata la proof of concept? Perché hanno scelto proprio questa soluzione? C’è voluto molto tempo integrarla nel loro ambiente? In cosa il prodotto non è stato all’altezza delle aspettative iniziali? Ritengono che il costo sia stato ripagato dall prestazioni?
#4 Il costo
Il costo non dovrebbe essere il fattore primario per la selezione di un prodotto. Villegas, inoltre, sottolinea che tutti i prezzi sono trattabili con il fornitore e consiglia di non pagare mai il prezzo di listino. In fase di trattativa, per esempio, si può chiedere se il pacchetto può essere fornito in bundle con altri prodotti dello stesso fornitore. Conviene procedere con l’acquisto a fine mese, fine trimestre o fine anno: i fornitori hanno obiettivi di vendita da rispettare e saranno più propensi a trattare per portarsi a casa il risultato! Nel valutare i costi di un prodotto occorre esaminare anche il potenziale ROI di quell’investimento e valutare quali e quante aree dell’azienda potranno beneficiare di quella specifica soluzione.
#5 Ottenere il consenso della direzione
Villega consiglia di non far sapere al fornitore quale sia il budget di cui si dispone e di non confermare ai dirigenti il costo del prodotto fino al termine della trattativa con il fornitore. La direzione, in ogni caso, va tenuta aggiornata in merito alla gestione della trattativa e all’attività di due diligence effettuata. Una volta che la negoziazione è giunta al termine, è quindi opportuno mostrare ai dirigenti sia il prezzo di listino che il costo effettivo del prodotto.
#6 Le trattative contrattuali
Per esaminare il contratto da stipulare con il fornitore è opportuno farsi aiutare dagli esperti dell’ufficio legale aziendale. Villega raccomanda di prestare attenzione a termini e condizioni per proof of concept e vendita, licenza, costi di manutenzione/rinnovo e clausole di risoluzione. Il contratto dovrebbe avere una clausola bilaterale di limitazione di responsabilità e una di diritto di controllo. Inoltre, se il contratto si riferisce anche a un codice o un software, sarebbe opportuno prendere in considerazione clausole di deposito a garanzia di non divulgazione.
In conclusione: il miglior prodotto a volte è il più costoso, ma non è detto sia anche quello più adatto alle specifiche esigenze organizzative. Dipende molto dal modello di business, dal budget e dalle necessità: il prodotto giusto è quello che permette di raggiungere gli obiettivi prefissati ed è scalabile in base alle esigenze aziendali.