Masz pytania?
+48 22 487 8636
Masz pytania?
+48 22 487 8636
Jak mądrze wybrać partnera do programu Cyberbezpieczny Samorząd?
Pozytywna decyzja o przyznaniu grantu z programu „Cyberbezpieczny Samorząd” to moment triumfu, ale jednocześnie początek nowego, niezwykle odpowiedzialnego zadania. Teraz Ty, jako decydent w Jednostce Samorządu Terytorialnego, musisz wziąć publiczne pieniądze i zamienić je na realną, działającą w praktyce odporność cyfrową. Kluczem do sukcesu w tej misji jest wybór odpowiedniego partnera wdrożeniowego.
Wkrótce Twoje biurko zaleje fala ofert od firm, które będą zapewniać, że są najlepszym wyborem do realizacji projektu. W reżimie zamówień publicznych, kryterium najniższej ceny jest niezwykle kuszące i często postrzegane jako najbezpieczniejsze. Jednak w tak złożonej i krytycznej dziedzinie, jaką jest cyberbezpieczeństwo, ślepe podążanie za ceną jest jedną z najniebezpieczniejszych pułapek, w jakie można wpaść.
Wybór niedoświadczonego partnera, skuszonego niską ceną, może w najlepszym wypadku skończyć się źle wdrożonymi, niedopasowanymi systemami i zmarnowanym grantem. W najgorszym – może stworzyć nowe, ukryte luki w zabezpieczeniach i dać fałszywe poczucie bezpieczeństwa, które w przyszłości doprowadzi do katastrofy. Celem tego artykułu jest wyposażenie Cię w zestaw narzędzi i pytań, które pozwolą Ci podjąć świadomą i mądrą decyzję, wybierając prawdziwego eksperta, a nie tylko najtańszego sprzedawcę.
Dlaczego teraz zaczyna się najważniejsza i najbardziej ryzykowna faza projektu?
Faza realizacji projektu jest najważniejsza, ponieważ to w niej teoria zamienia się w praktykę. To teraz podejmowane będą decyzje architektoniczne i konfiguracyjne, które będą miały wpływ na bezpieczeństwo Twojego urzędu przez najbliższe lata. Błędy popełnione na tym etapie są niezwykle trudne i kosztowne do naprawienia w przyszłości.
Jest to również faza najbardziej ryzykowna, ponieważ oddajesz część kontroli w ręce zewnętrznej firmy. Musisz zaufać jej kompetencjom, metodologii i etyce pracy. Jeśli to zaufanie zostanie nadużyte, konsekwencje mogą być opłakane. Źle skonfigurowany firewall, niepoprawnie wdrożony system backupu czy pozostawione domyślne hasła – to tylko niektóre z błędów, które niedoświadczony wykonawca może pozostawić w Twojej sieci.
Dlatego właśnie proces wyboru partnera jest de facto najważniejszą decyzją, jaką podejmiesz w całym projekcie grantowym. To od wiedzy, doświadczenia i rzetelności tej firmy zależy, czy publiczne pieniądze zostaną zamienione w realną, trwałą wartość, czy tylko w kolekcję drogich, bezużytecznych narzędzi.
Czym jest „pułapka najniższej ceny” w przetargach na cyberbezpieczeństwo?
W wielu kategoriach zamówień publicznych, cena jest doskonałym i obiektywnym kryterium. Zakup 100 identycznych laptopów od najtańszego dostawcy jest logiczny. Jednak cyberbezpieczeństwo to nie jest towar, to usługa i proces. Porównywanie ofert wyłącznie na podstawie ceny jest jak wybieranie chirurga na podstawie tego, który z nich oferuje najtańszą operację. To podejście, które ignoruje najważniejsze czynniki: doświadczenie, specjalizację i jakość.
„Pułapka najniższej ceny” polega na tym, że w przetargach na cyberbezpieczeństwo często wygrywają firmy, które nie posiadają niezbędnych kompetencji, ale zaniżają cenę, aby zdobyć kontrakt. Oszczędzają one na kosztach, zatrudniając niedoświadczonych inżynierów, stosując metodę „kopiuj-wklej” w konfiguracji, czy pomijając kluczowe etapy testowania.
W efekcie, na papierze wszystko się zgadza – urządzenie zostało dostarczone, oprogramowanie zainstalowane. W praktyce, system jest pełen dziur, źle skonfigurowany i nie zapewnia realnej ochrony. Samorząd płaci (choć mało) za iluzję bezpieczeństwa, a w przypadku realnego ataku okazuje się, że cała inwestycja była bezwartościowa.
Kryterium 1 – Doświadczenie: Czy Twój przyszły partner naprawdę rozumie specyfikę samorządu?
Pierwszym i absolutnie kluczowym kryterium oceny jest doświadczenie, a w szczególności doświadczenie w pracy z sektorem publicznym i samorządowym. Środowisko JST jest unikalne. Rządzi się ono specyficznymi przepisami (KRI, KPA, ustawa o dostępie do informacji publicznej), ma inną kulturę organizacyjną i inne wyzwania niż korporacja biznesowa.
Partner, który na co dzień pracuje z bankami czy firmami e-commerce, może nie rozumieć tych niuansów. Może próbować wdrażać rozwiązania, które są nieadekwatne do skali, budżetu czy potrzeb urzędu. Może nie rozumieć ograniczeń wynikających z prawa zamówień publicznych czy specyfiki zarządzania finansami publicznymi.
Dlatego tak ważne jest, aby wybrać firmę, która może pochwalić się udokumentowanym doświadczeniem we współpracy z gminami, powiatami czy innymi jednostkami administracji publicznej. Taki partner będzie mówił Twoim językiem i rozumiał Twój świat, co drastycznie zmniejsza ryzyko nieporozumień i błędnych decyzji.
Jakie pytania o portfolio i referencje z sektora publicznego warto zadać?
Nie bój się zadawać konkretnych pytań, które zweryfikują deklarowane doświadczenie. Zamiast pytać ogólnie „Czy pracowaliście z sektorem publicznym?”, zapytaj:
- „Proszę przedstawić listę co najmniej 3 projektów wdrożeniowych w Jednostkach Samorządu Terytorialnego, zrealizowanych w ciągu ostatnich 2 lat.”
- „Czy możemy otrzymać kontakt do osoby referencyjnej w jednym z tych urzędów, aby potwierdzić jakość Państwa pracy?”
- „Proszę opisać największe wyzwanie, z jakim spotkali się Państwo podczas wdrożenia w samorządzie i jak je Państwo rozwiązaliście.”
Odpowiedzi na te pytania (lub ich brak) bardzo szybko pokażą, czy masz do czynienia z realnym praktykiem, czy tylko z teoretykiem, który próbuje wejść na nowy dla siebie rynek.
Kryterium 2 – Kompetencje: Jak zweryfikować, czy za marketingowymi hasłami stoją realne umiejętności?
Każda firma w branży IT twierdzi, że „jest liderem” i ma „zespół ekspertów”. Twoim zadaniem jest zweryfikowanie, czy te marketingowe hasła mają pokrycie w rzeczywistości. W cyberbezpieczeństwie, najlepszym obiektywnym dowodem kompetencji są uznane, międzynarodowe certyfikaty zawodowe.
Certyfikaty te są potwierdzeniem, że dana osoba zdała rygorystyczny egzamin i posiada zweryfikowaną wiedzę w określonej dziedzinie. To znacznie więcej niż deklaracja w ofercie. Wymaganie, aby zespół wdrożeniowy dedykowany do Twojego projektu posiadał określone certyfikaty, jest jednym z najskuteczniejszych sposobów na odsianie firm niekompetentnych.
Nie chodzi o kolekcjonowanie logotypów, ale o zapewnienie, że ludzie, którzy będą konfigurować Twoje kluczowe systemy bezpieczeństwa, naprawdę wiedzą, co robią.
O jakie certyfikaty techniczne i audytorskie powinieneś zapytać zespół wdrożeniowy?
W specyfikacji zamówienia warto zawrzeć wymóg posiadania przez zespół oferenta kluczowych certyfikatów. W zależności od zakresu projektu, mogą to być:
- Certyfikaty audytorskie: takie jak Audytor Wiodący ISO 27001, które świadczą o kompetencjach w zakresie budowy systemów zarządzania bezpieczeństwem.
- Certyfikaty ogólne z zakresu bezpieczeństwa: takie jak CISSP (Certified Information Systems Security Professional) czy CISM (Certified Information Security Manager), które są uznawane za „złoty standard” w branży.
- Certyfikaty techniczne, specyficzne dla oferowanych rozwiązań: Jeśli oferta obejmuje wdrożenie firewalli konkretnego producenta, warto wymagać, aby inżynierowie posiadali odpowiednie, autoryzowane certyfikaty tego producenta.
Kryterium 3 – Metodologia: Czy dostawca ma przemyślany plan, czy będzie improwizował na Twojej sieci?
Dostarczenie i „odklikanie” instalacji to nie to samo co profesjonalne wdrożenie. Doświadczony partner powinien być w stanie przedstawić Ci jasną i przemyślaną metodologię zarządzania projektem. Powinieneś wiedzieć, jak będzie wyglądał cały proces, od pierwszego spotkania po ostateczny odbiór.
Zapytaj potencjalnego dostawcę, jak wygląda jego standardowy proces wdrożeniowy. Czy przewiduje on etap analizy przedwdrożeniowej? Jak będzie wyglądała komunikacja w trakcie projektu? Kto będzie kierownikiem projektu po jego stronie? Jakie są kluczowe kamienie milowe i jak będzie raportowany postęp prac?
Firma, która na te pytania odpowiada wymijająco lub twierdzi, że „wszystko wyjdzie w praniu”, powinna wzbudzić Twoją najwyższą czujność. Profesjonalista przychodzi z planem. Improwizator stwarza ryzyko chaosu i opóźnień.
Kluczowe pytania do potencjalnego partnera wdrożeniowego
| Kategoria | Pytanie, które musisz zadać | Czego się dowiesz? |
| Doświadczenie | „Proszę o 3 referencje z projektów wdrożeniowych w innych JST.” | Czy firma ma realne, praktyczne doświadczenie w moim sektorze. |
| Kompetencje | „Proszę o listę certyfikatów posiadanych przez zespół, który będzie realizował projekt.” | Czy za ofertą stoją obiektywnie zweryfikowane umiejętności techniczne. |
| Metodologia | „Jak wygląda Państwa standardowy proces zarządzania projektem wdrożeniowym?” | Czy partner ma przemyślany plan, czy będzie działał chaotycznie. |
| Wsparcie | „Jakie są gwarantowane czasy reakcji (SLA) na zgłoszenie incydentu po zakończeniu wdrożenia?” | Czy mogę liczyć na realne wsparcie, gdy coś pójdzie nie tak. |
| Zrozumienie Grantu | „W jaki sposób pomogą nam Państwo w przygotowaniu dokumentacji do rozliczenia projektu?” | Czy partner rozumie wymogi formalne grantu i pomoże mi przez nie przejść. |
Dlaczego warto prosić o przedstawienie ramowego harmonogramu i planu zarządzania projektem?
Prośba o przedstawienie, już na etapie oferty, ramowego harmonogramu i planu zarządzania projektem jest doskonałym testem dojrzałości potencjalnego partnera. Firma, która posiada ustandaryzowaną i powtarzalną metodykę, będzie w stanie przygotować taki dokument bez większego problemu.
Harmonogram pokaże Ci, czy dostawca myśli realistycznie o czasie potrzebnym na realizację poszczególnych etapów. Plan zarządzania projektem pokaże, w jaki sposób firma zamierza zarządzać ryzykiem, jakością i komunikacją. Jest to dowód na profesjonalne i metodyczne podejście.
Warto również zdefiniować w umowie, że szczegółowy harmonogram i plan komunikacji muszą zostać przedstawione i zatwierdzone przez Ciebie przed rozpoczęciem jakichkolwiek prac technicznych.
Kryterium 4 – Wsparcie i partnerstwo: Co się stanie, gdy po wdrożeniu coś pójdzie nie tak?
Projekt wdrożeniowy kiedyś się kończy. Ale cyberbezpieczeństwo to proces, który trwa nieustannie. Jednym z najważniejszych kryteriów wyboru partnera jest jakość i dostępność wsparcia technicznego po zakończeniu wdrożenia.
Zapytaj, jak wygląda standardowa umowa serwisowa (SLA – Service Level Agreement). Jaki jest gwarantowany czas reakcji na zgłoszenie krytycznego incydentu? W jakich godzinach dostępna jest pomoc techniczna? Czy wsparcie jest realizowane przez polskojęzyczny zespół inżynierów, czy przez zagraniczne centrum obsługi?
Wybór partnera to często decyzja na lata. Warto wybrać firmę, która postrzega siebie nie jako jednorazowego sprzedawcę, ale jako długoterminowego partnera, który będzie wspierał Cię w utrzymaniu i rozwoju wdrożonych systemów.
Jakie zapisy dotyczące gwarancji i umowy SLA powinny znaleźć się w Twojej umowie?
Umowa z wykonawcą jest Twoim najważniejszym narzędziem do zabezpieczenia interesów. Musi ona zawierać precyzyjne zapisy dotyczące wsparcia. Kluczowe elementy to:
- Okres gwarancji na wykonane usługi wdrożeniowe.
- Szczegółowe parametry umowy SLA, w tym gwarantowane czasy reakcji na zgłoszenia o różnym priorytecie (np. 1 godzina dla incydentu krytycznego, 8 godzin dla zwykłego problemu).
- Procedura eskalacji problemów, jeśli standardowy czas reakcji nie zostanie dotrzymany.
- Jasno zdefiniowane kary umowne za niedotrzymanie parametrów SLA.
Kryterium 5 – Zrozumienie grantu: Czy Twój partner pomoże Ci w sprawozdawczości i rozliczeniu projektu?
Realizacja projektu finansowanego ze środków publicznych wiąże się z koniecznością prowadzenia szczegółowej sprawozdawczości i przygotowania końcowego raportu z rozliczeniem grantu. Jest to kolejny, skomplikowany etap biurokratyczny.
Doświadczony partner, który pracował już przy projektach grantowych, doskonale rozumie te wymogi. Warto zapytać, czy w ramach swojej oferty firma przewiduje wsparcie w tym obszarze. Czy pomoże w przygotowaniu niezbędnej dokumentacji powykonawczej? Czy jej system fakturowania i raportowania pracy jest dostosowany do wymogów projektów unijnych?
Wybór partnera, który potrafi Cię wesprzeć również w tej „papierkowej” części projektu, może zaoszczędzić Ci ogromnej ilości czasu i stresu na etapie zamykania i rozliczania całej inwestycji.
Jak przygotować Specyfikację Warunków Zamówienia (SWZ), która przyciągnie najlepszych, a nie tylko najtańszych?
W reżimie Prawa Zamówień Publicznych, kluczem do wyboru dobrego wykonawcy jest mądrze przygotowana Specyfikacja Warunków Zamówienia (SWZ). Zamiast stosować wyłącznie kryterium ceny (100%), warto zastosować kryteria pozacenowe, które pozwolą Ci ocenić i nagrodzić jakość i doświadczenie.
Możesz na przykład przypisać 40% wagi do kryteriów jakościowych, takich jak: doświadczenie oferenta (punktowane na podstawie liczby zrealizowanych projektów w JST), certyfikaty zespołu wdrożeniowego (dodatkowe punkty za każdego certyfikowanego inżyniera) czy parametry oferowanego wsparcia SLA (punkty za krótszy czas reakcji).
Tak skonstruowana specyfikacja sprawia, że firmy niekompetentne, które konkurują tylko ceną, mają znacznie mniejsze szanse na wygraną. Promuje ona firmy, które zainwestowały w budowę realnych kompetencji i doświadczenia.
Dlaczego partnerskie podejście i transparentność nFlo czynią nas wiarygodnym wyborem dla Twojego samorządu?
W nFlo fundamentem naszej działalności jest filozofia partnerstwa i transparentności. Nie postrzegamy siebie jako sprzedawcy technologii, ale jako długoterminowego doradcę i sojusznika naszych klientów w budowaniu realnej odporności cyfrowej. Doskonale rozumiemy unikalne wyzwania, przed którymi stoją Jednostki Samorządu Terytorialnego – od ograniczeń budżetowych, przez wymogi prawne, aż po specyfikę kultury organizacyjnej. Nasze wieloletnie doświadczenie w sektorze publicznym, potwierdzone licznymi, udanymi wdrożeniami, pozwala nam mówić Państwa językiem i proponować rozwiązania, które są nie tylko zaawansowane technicznie, ale przede wszystkim realistyczne i dopasowane do Państwa potrzeb. Nasz zespół to certyfikowani inżynierowie i audytorzy, którzy posiadają najwyższe, międzynarodowe kwalifikacje, co stanowi gwarancję najwyższej jakości świadczonych usług. W każdym projekcie stawiamy na otwartą komunikację i metodyczne działanie, przedstawiając Państwu jasny plan i regularnie raportując postępy. Wierzymy, że w tak krytycznej dziedzinie, jaką jest cyberbezpieczeństwo, zaufanie jest najważniejszą walutą.
Zainteresowała Cię nasza oferta? Zapytaj o szczegóły
Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.
156480
O autorze:
Marcin Godula
Marcin to doświadczony specjalista z ponad 20-letnim stażem w branży IT. Koncentruje się na analizie trendów rynkowych, planowaniu strategicznym i budowaniu innowacyjnych rozwiązań technologicznych. Jego ekspertyzę potwierdzają liczne certyfikaty techniczne i sprzedażowe czołowych producentów IT, co przekłada się na głębokie zrozumienie zarówno aspektów technologicznych, jak i biznesowych.
W swojej pracy Marcin kieruje się wartościami takimi jak partnerstwo, uczciwość i zwinność. Jego podejście do rozwoju technologii opiera się na praktycznym doświadczeniu i ciągłym doskonaleniu procesów. Jest znany z entuzjastycznego stosowania filozofii kaizen, co przekłada się na nieustanne usprawnienia i dostarczanie coraz większej wartości w projektach IT.
Marcin szczególnie interesuje się obszarem automatyzacji i wdrażania GenAI w biznesie. Ponadto, zgłębia tematykę cyberbezpieczeństwa, skupiając się na innowacyjnych metodach ochrony infrastruktury IT przed zagrożeniami. W obszarze infrastruktury, bada możliwości optymalizacji centrów danych, zwiększania efektywności energetycznej oraz wdrażania zaawansowanych rozwiązań sieciowych.
Aktywnie angażuje się w analizę nowych technologii, dzieląc się swoją wiedzą poprzez publikacje i wystąpienia branżowe. Wierzy, że kluczem do sukcesu w IT jest łączenie innowacji technologicznych z praktycznymi potrzebami biznesowymi, przy jednoczesnym zachowaniu najwyższych standardów bezpieczeństwa i wydajności infrastruktury.