RFP (Request for Proposal) de seguridad informática
La famosa Solicitud de Propuesta o "Request for Proposal" (RFP) como suele llamársela es uno de los documentos más importantes para los responsables de la seguridad informática de cualquier organización.
Ventajas de usar un RFP
Toda adquisición de servicios o productos debiera basarse siempre en un RFP ya que este documento define las características (obligatorias y deseables) así como las restricciones de cualquier servicio. Un buen RFP evita que:
* Se adquiera un servicio o producto distinto al que se requiere
* El proveedor no cumpla con las expectativas del cliente
* Se genere una propuesta con un costo distinto (muy bajo o muy alto) con respecto a lo que realmente se requiere
* Se pierda tiempo de forma innecesaria en la negociación con proveedores
* Se entreguen requerimientos distintos a diversos proveedores (en el caso de licitaciones o procesos similares de búsqueda de ofertas de varias empresas)
La creación de un RFP ciertamente implica tiempo, pero a la larga el tiempo invertido en su desarrollo evita serios dolores de cabeza y una pérdida de tiempo mayor para ambas partes.
Para no generar un RFP nuevo cada vez que vez que se busca adquirir un nuevo producto o servicio, es conveniente tener a la mano un formato con la estructura y algo de contenido por omisión.
Estructura de un RFP
A continuación les comparto una estructura general del RFP para seguridad informática con base en mi experiencia:
Datos generales de la empresa
Contiene la información relevante del cliente para poner en contexto al proveedor. Incluye entre otras cosas:
* Nombre de la empresa
* Giro/sector de la empresa
* Antecedentes de la empresa (Algunos o todos los siguientes: Cuando fue fundada, presencia en el país, presencia en otras partes del mundo, número de empleados)
Datos del producto o servicio
Información sobre el producto o servicio requerido, incluyendo para el caso de productos:
* Protocolos/ algoritmos (ej. en el caso de requerimientos criptográficos)
* Características técnicas (tamaño, consumo de energía, anchos de banda, puertos, etc.)
* Cantidad requerida
* Compatibilidad (plataformas, bases de datos, consolas de administración)
* Estándares (ej. ISO, FIPS)
En el caso de servicios se suele incluir información como:
* Rangos de tiempo estimados para el inicio y fin del servicio
* Alcance (cantidad de elementos así como nivel de detalle)
* Objetivos
* Habilidades/experiencia/certificaciones de consultores
* Otras restricciones (algunas fechas u horarios, limitaciones técnicas para hacer el trabajo, limitaciones legales como permisos de trabajo para extranjeros, etc.)
* Herramientas
* Metodologías en el caso de algunos servicios (ej. ISSAF, OSSTMM, IAM)
Entre más información se proporcione en esta sección es más fácil para los proveedores determinar un precio adecuado pero sobre todo cumplir con las expectativas del cliente. Por ejemplo, pedir sólo un firewall es muy distinto a pedir un firewall de red capa 7 con capacidad de 4 puertos Gigabit que soporte protocolos HTTP y SMTP.
Criterios de aceptación y selección
Información sobre el proceso para escoger al servicio o producto (en caso de solicitar propuestas de varias empresas) así como las características que debe cumplir para ser aceptado (por ejemplo, entregables para dar como concluido de forma satisfactoria un servicio).
Estos criterios son importantes porque le indican a la empresa los factores más importantes en los que debe hacer énfasis dentro de su propuesta para obtener el contrato (e.g. calidad, precio, experiencia, prestigio). Aquí se incluyen cosas como:
* Tiempos de entrega
* Desempeño (para hardware)
* Experiencia (para software)
* Cumplimiento con requerimientos técnicos
* Reportes de resultados (para servicios)
* Soporte
* Precio
Es muy importante dejar claro el orden de importancia cuando hay varios criterios. Usualmente el criterio de precio se suele dejar al último como criterio de desempate, poniendo primero al de cumplimiento y después de éste a otros criterios de calidad como desempeño y soporte. En otras palabras: primero se suele elegir a aquellas propuestas que cumplen con nuestra expectativas y nos dan mayor calidad, y luego se escoge a la más barata de entre estas propuestas.
Restricciones legales
Algunas empresas como por ejemplo Instituciones Financieras o del Sector Salud tienen que cumplir con ciertas normas. Aquí es donde se detalla este tipo de requerimientos. Por ejemplo, en algunos países existen normas sobre el manejo de información personal, por lo cual el contrato deberá incluir cláusulas que sean congruentes con dicha regulación.
Formato de entrega de propuesta
Si se pretende hacer una selección de entre varios proveedores lo más sano es desarrollar un formato de entrega de información para que los proveedores contesten ahí los requerimientos del RFP. Si no lo hacemos de esta manera tendremos que revisar con detalle la documentación entregada por los proveedores, la cual puede variar significativamente en forma y orden, lo que nos pone en riesgo de omitir algún detalle importante a la hora de hacer la comparación de las propuestas.
Dentro del formato de entrega se suelen incluir requerimientos como:
* Moneda para cotizar (Dólares, Euros, Pesos, etc.)
* Inclusión o no de viáticos e impuestos
* Desglose de cotización por fases de servicios o grupos de productos
* Anexos que debe de traer (en el caso de productos es común que se pida la ficha técnica como un anexo)
Información de contacto
Esta sección contiene la información necesaria para que los proveedores envíen sus propuestas y resuelvan dudas que pudieran tener al respecto. Incluye:
* Nombre del responsable por parte de la empresa
* Puesto del responsable
* Teléfono/ correo electrónico/ fax
* Dirección física de la empresa
Con un buen RFP podemos mejorar nuestro proceso de adquisición de soluciones de seguridad y evitar que algún proveedor se pase de listo al vendernos algo demasiado caro o que no satisfaga nuestras necesidades.
Fuente: http://candadodigital.blogspot.com/2007/10/rfp-de-seguridad-informtica.html
Ventajas de usar un RFP
Toda adquisición de servicios o productos debiera basarse siempre en un RFP ya que este documento define las características (obligatorias y deseables) así como las restricciones de cualquier servicio. Un buen RFP evita que:
* Se adquiera un servicio o producto distinto al que se requiere
* El proveedor no cumpla con las expectativas del cliente
* Se genere una propuesta con un costo distinto (muy bajo o muy alto) con respecto a lo que realmente se requiere
* Se pierda tiempo de forma innecesaria en la negociación con proveedores
* Se entreguen requerimientos distintos a diversos proveedores (en el caso de licitaciones o procesos similares de búsqueda de ofertas de varias empresas)
La creación de un RFP ciertamente implica tiempo, pero a la larga el tiempo invertido en su desarrollo evita serios dolores de cabeza y una pérdida de tiempo mayor para ambas partes.
Para no generar un RFP nuevo cada vez que vez que se busca adquirir un nuevo producto o servicio, es conveniente tener a la mano un formato con la estructura y algo de contenido por omisión.
Estructura de un RFP
A continuación les comparto una estructura general del RFP para seguridad informática con base en mi experiencia:
Datos generales de la empresa
Contiene la información relevante del cliente para poner en contexto al proveedor. Incluye entre otras cosas:
* Nombre de la empresa
* Giro/sector de la empresa
* Antecedentes de la empresa (Algunos o todos los siguientes: Cuando fue fundada, presencia en el país, presencia en otras partes del mundo, número de empleados)
Datos del producto o servicio
Información sobre el producto o servicio requerido, incluyendo para el caso de productos:
* Protocolos/ algoritmos (ej. en el caso de requerimientos criptográficos)
* Características técnicas (tamaño, consumo de energía, anchos de banda, puertos, etc.)
* Cantidad requerida
* Compatibilidad (plataformas, bases de datos, consolas de administración)
* Estándares (ej. ISO, FIPS)
En el caso de servicios se suele incluir información como:
* Rangos de tiempo estimados para el inicio y fin del servicio
* Alcance (cantidad de elementos así como nivel de detalle)
* Objetivos
* Habilidades/experiencia/certificaciones de consultores
* Otras restricciones (algunas fechas u horarios, limitaciones técnicas para hacer el trabajo, limitaciones legales como permisos de trabajo para extranjeros, etc.)
* Herramientas
* Metodologías en el caso de algunos servicios (ej. ISSAF, OSSTMM, IAM)
Entre más información se proporcione en esta sección es más fácil para los proveedores determinar un precio adecuado pero sobre todo cumplir con las expectativas del cliente. Por ejemplo, pedir sólo un firewall es muy distinto a pedir un firewall de red capa 7 con capacidad de 4 puertos Gigabit que soporte protocolos HTTP y SMTP.
Criterios de aceptación y selección
Información sobre el proceso para escoger al servicio o producto (en caso de solicitar propuestas de varias empresas) así como las características que debe cumplir para ser aceptado (por ejemplo, entregables para dar como concluido de forma satisfactoria un servicio).
Estos criterios son importantes porque le indican a la empresa los factores más importantes en los que debe hacer énfasis dentro de su propuesta para obtener el contrato (e.g. calidad, precio, experiencia, prestigio). Aquí se incluyen cosas como:
* Tiempos de entrega
* Desempeño (para hardware)
* Experiencia (para software)
* Cumplimiento con requerimientos técnicos
* Reportes de resultados (para servicios)
* Soporte
* Precio
Es muy importante dejar claro el orden de importancia cuando hay varios criterios. Usualmente el criterio de precio se suele dejar al último como criterio de desempate, poniendo primero al de cumplimiento y después de éste a otros criterios de calidad como desempeño y soporte. En otras palabras: primero se suele elegir a aquellas propuestas que cumplen con nuestra expectativas y nos dan mayor calidad, y luego se escoge a la más barata de entre estas propuestas.
Restricciones legales
Algunas empresas como por ejemplo Instituciones Financieras o del Sector Salud tienen que cumplir con ciertas normas. Aquí es donde se detalla este tipo de requerimientos. Por ejemplo, en algunos países existen normas sobre el manejo de información personal, por lo cual el contrato deberá incluir cláusulas que sean congruentes con dicha regulación.
Formato de entrega de propuesta
Si se pretende hacer una selección de entre varios proveedores lo más sano es desarrollar un formato de entrega de información para que los proveedores contesten ahí los requerimientos del RFP. Si no lo hacemos de esta manera tendremos que revisar con detalle la documentación entregada por los proveedores, la cual puede variar significativamente en forma y orden, lo que nos pone en riesgo de omitir algún detalle importante a la hora de hacer la comparación de las propuestas.
Dentro del formato de entrega se suelen incluir requerimientos como:
* Moneda para cotizar (Dólares, Euros, Pesos, etc.)
* Inclusión o no de viáticos e impuestos
* Desglose de cotización por fases de servicios o grupos de productos
* Anexos que debe de traer (en el caso de productos es común que se pida la ficha técnica como un anexo)
Información de contacto
Esta sección contiene la información necesaria para que los proveedores envíen sus propuestas y resuelvan dudas que pudieran tener al respecto. Incluye:
* Nombre del responsable por parte de la empresa
* Puesto del responsable
* Teléfono/ correo electrónico/ fax
* Dirección física de la empresa
Con un buen RFP podemos mejorar nuestro proceso de adquisición de soluciones de seguridad y evitar que algún proveedor se pase de listo al vendernos algo demasiado caro o que no satisfaga nuestras necesidades.
Fuente: http://candadodigital.blogspot.com/2007/10/rfp-de-seguridad-informtica.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!