Поддержка издалека: как взять провайдера под контроль
Удаленная техническая поддержка получила широкое распространение благодаря небольшим ИТ-компаниям. К такому способу доставки сервиса прибегают, например, «домовые» интернет-провайдеры, некрупные внедренцы бухгалтерского ПО или аутсорсеры сегмента SMB. Для подобного рода организаций выбор способа технической поддержки обусловлен единственной причиной – экономической возможностью и целесообразностью.
Но и для рынка Enterprise удаленная техподдержка – один из самых распространенных методов доставки высококвалифицированных ИТ-услуг. Ставку на этот вид сервиса делают в том числе и производители оборудования класса HI-End, системного и прикладного ПО. Данный вариант привлекателен с экономической точки зрения, так как не требует наличия персонала на площадке заказчика. При этом есть возможность чрезвычайно оперативно привлекать к решению текущих задач любое количество специалистов необходимой компетенции.
Преимущества удаленной технической поддержки перед традиционной, подразумевающей организацию команды специалистов на территории заказчика, очевидны. Однако заказчики высказывают некоторые опасения.
«Я не вижу ваших рук!»
«Мы не видим сотрудников провайдера, не контролируем их работу и поэтому не можем доверять результату», – такое мнение озвучивают сторонники создания полностью инсорсинговых ИТ-служб и формируют не слишком добросовестные поставщики услуг. Для того чтобы перестать опасаться некомпетентности сервис-провайдера, заказчику достаточно предпринять ряд простых мер.·
- Заключить с поставщиком услуг юридически обязывающий SLA с реальной финансовой ответственностью и метриками, которые однозначно трактуются обеими сторонами.
Например, по условиям контракта на эксплуатацию интернет-магазина одного из ритейлеров наша компания гарантирует, что любой критичный функциональный дефект будет устранен в течение четырех часов с момента его обнаружения. Для заказчика это очень удобно – он сформулировал метрику SLA по принципу «провайдер отвечает за то, чтобы интернет-магазин работал без сбоев». Для нас такое определение также удобно и вполне приемлемо, так как в данном примере мы полностью обеспечиваем функционирование интернет-магазина – от эксплуатации инфраструктуры до тестирования прикладного ПО.
Метриками SLA может «осмечиваться» не только доступность систем, но и их производительность. Так, в контракте на эксплуатацию CRM-системы для одного из наших заказчиков в явном виде указываются требуемые характеристики: количество документов, обрабатываемых в единицу времени; длительность особо важных процессов (в секундах) и т. д.
- Убедиться, что у поставщика услуг либо достаточно собственной экспертизы для оказания поддержки, либо существует возможность оперативно привлекать ее извне (например, есть партнерские отношения и подписаны контракты с соответствующими субподрядчиками и вендорами).
В качестве иллюстрации – один из свежих примеров из нашей практики. Система мониторинга диагностировала периодическую недоступность web-магазина заказчика в течение коротких промежутков времени; с точки зрения конечного пользователя магазин «то работал, то не работал». Мы столкнулись с самым неприятным вариантом – так называемой плавающей проблемой. Ситуация усложнялась тем, что на каждом из функциональных уровней (ИБ, прикладное ПО, СУБД, сетевая и серверная инфраструктура, СХД) каких-либо аномалий не наблюдалось. В течение получаса к решению вопроса были подключены эксперты узкого профиля по каждому из этих направлений, и только интенсивная работа «консилиума» помогла локализовать и устранить причину сбоя. Решение подобного рода проблем своими силами заняло бы у заказчика многократно больше времени и стоило бы несравненно дороже. ·
- Стоит удостовериться, что зрелость сервисных процессов провайдера удовлетворяет вашим требованиям.
Безопасно ли?
Второе распространенное опасение касается информационной безопасности: заказчик остерегается открывать доступ к своим информационным системам удаленному сервис-провайдеру. В качестве причин чаще всего озвучиваются возможные нарушения требований регулятора и потенциальные риски утечек важной корпоративной информации. Конечно, бывают ситуации, при которых организация удаленного доступа категорически запрещена с точки зрения ИБ, однако такие случаи все же относятся к разряду уникальных. Опасения же большинства заказчиков устраняются следующим образом.·
-
Необходимо выяснить, понимает ли провайдер требования регулятора и как именно собирается соблюдать их при организации удаленного доступа к поддерживаемым системам. Наличие у сервисного партнера успешного опыта организации и сертификации защищенных систем в соответствии с требованиями PCI-DSS и 152-ФЗ – существенный довод в его пользу.
-
Важно убедиться, что у провайдера есть все необходимые сертификаты и лицензии, в том числе ФСБ и ФСТЭК, как корпоративного, так и персонального уровня.
-
Обязательная часть - заключение с поставщиком услуг юридически обязывающего соглашения о неразглашении (NDA – Non-Disclosure Agreement), предусматривающего реальную финансовую ответственность. Причем необходимо определить срок его действия и указать конкретный размер ответственности за нарушение. Например, в наших контрактах сроки NDA часто превышают период действия договора об услугах. В отдельных случаях NDA действует в течение пяти лет после исполнения нами контрактных обязательств, а сумма ответственности за его нарушение равна сумме контракта.
-
Оцените реноме провайдера на рынке. Компания, активно предоставляющая услуги удаленной поддержки в течение пары десятков лет и имеющая солидный портфель крупных коммерческих и государственных заказчиков, не станет рисковать репутацией и предпринимать попытки извлечения коммерческой прибыли за счет похищения информации заказчика.
-
И в любом случае – не надо забывать об элементарных правилах информационной безопасности. Сервис-провайдер – это прежде всего администратор платформы, и он не должен иметь такой же уровень доступа к бизнес-данным, каким обладают бизнес-пользователи и владельцы систем. Плюс к тому все действия такого администратора должны журналироваться (разумеется, без возможности административного доступа провайдера к системе журналирования).
Удаленная поддержка – удобный и выгодный способ доставки ИТ-услуг независимо от масштабов деятельности заказчика. Главное – правильно выбрать сервис-провайдера.
Опубликовано 28.01.2016