«Правильный» провайдер услуг аутсорсинга: как не ошибиться с выбором

Андрей Никишин

«Правильный» провайдер услуг аутсорсинга ИT-безопасности

Тестирование сервисов

 

Аутсорсинг — тема модная. Авторы статей в СМИ убеждают нас в том, что за аутсорсингом будущее и надо передавать на аутсорсинг все функции и бизнес-процессы компании. Отдавать их или нет — необходимо решать в каждом конкретном случае и всякий раз тщательно взвешивать все «за» и «против» перед тем, как решиться на этот важный шаг. Допустим, вы все-таки сочли возможным прибегнуть к аутсорсингу; выбрали, что вы будете отдавать на откуп аутсорсерам; подсчитали, насколько это будет выгодно с разных точек зрения. Теперь самое время приступить к выбору провайдера. Отношения с провайдером услуг (хотя логичнее называть такого провайдера партнером) должны длиться не один год, чтобы аутсорсинг стал максимально выгодным. Если проводить аналогию с жизнью, то выбор поставщика услуг очень похож на брак — стадии отношений и подход к выбору одинаковые. Чтобы прожить (то есть сотрудничать) с партнером долго и счастливо, необходимо, во-первых, выбрать подходящего партнера, а во-вторых, правильно построить с ним отношения. Про отношения с партнером (провайдером) мы поговорим в другой раз, а в настоящей статье рассмотрим лишь процесс выбора «правильного» провайдера услуг.

«Правильный» провайдер услуг аутсорсинга ИT-безопасности

Продолжая аналогию с браком — для начала следует устроить «смотрины» потенциальному партнеру, при этом нужно обратить внимание на несколько принципиально важных моментов.

Однако, прежде чем перейти к деталям, необходимо сделать следующее замечание. Мой опыт в основном касается аутсорсинга ИT-безопасности, и, говоря об аутсорсинге, я в первую очередь подразумеваю именно этот его вид. Но, исходя из общения с коллегами, я пришел к выводу, что основные принципы аутсорсинга, в том числе принципы выбора провайдера, общие, а следовательно, статья будет полезна не только тем, кто выбирает поставщика услуг ИT-безопасности.

На что же в первую очередь надо обратить внимание? Бизнес провайдера услуг аутсорсинга ИT-безопасности (и не только) можно представить в виде пирамиды, состоящей из четырех уровней. Верхушка пирамиды — это стандартные ресурсы, в данном случае стандартное (или слегка модифицированное) программное обеспечение, которое используется у провайдера, — антивирусы, антиспам, системы предотвращения вторжений, VPN и т.д. Такие программы можно приобрести и установить самостоятельно.

 

1

Второй уровень — это инфраструктура, на которой работает сервис-оборудование, — серверы, роутеры, межсетевые экраны, дата-центры. Этот уровень воспроизвести у клиента уже сложнее. Посудите сами: есть ли необходимость в развертывании нескольких территориально распределенных дата-центров для почтовой инфраструктуры предприятия? Для очень крупной компании такой шаг может быть оправдан, но для остальных — нет. А для провайдера услуг это необходимое условие надежной работы.

Третий уровень — специальное программное обеспечение, ноу-хау компании, позволяющее добиваться более высоких результатов по сравнению со стандартными программами. Обычно такие системы содержат патентованные технологии и тщательно охраняются от утечки. Подобные технологии уже недоступны обычным пользователям.

Последний и самый важный уровень — это основание пирамиды, то есть люди, которые обслуживают сервисы. У «правильного» провайдера работают «правильные» сотрудники, для которых ИT-безопасность является основной профессиональной деятельностью, которые постоянно отслеживают угрозы и могут быстро модифицировать сервисы, чтобы клиенты были постоянно под защитой. Одним словом, это эксперты по ИT-безопасности.

Выбирая провайдера аутсорсинга ИT-безопасности, обратите внимание на его специализацию. Какова его основная деятельность, является ли его ключевой компетенцией та функция, которую вы собираетесь ему передать? Предположим, речь идет об обеспечении безопасности почтового сервера, услуги по которому вам предлагает хостинговая компания, утверждая при этом, что у нее в штате работают лучшие системные администраторы и они лучше всех знают, как настроить антиспам и антивирус, относящиеся к категории Open Source. Ни в коей мере не хочу обидеть системных администраторов — многие из них действительно профессионалы и прекрасно разбираются в вопросах настройки и оптимизации аппаратного и программного обеспечения. Но готовы ли они модифицировать эти программы в случае изменения ситуации или будут ждать новой версии от поставщика ПО? Могут ли они написать свои уникальные модули безопасности? Далеко не всегда. Этот пример — еще не самое страшное. Хуже, когда люди, далекие от ИT-безопасности, пытаются оказывать услуги в этой области.

Итак, внимательно посмотрите, какие люди работают в компании, являются ли они экспертами в бизнес-функции, которую вы собираетесь передать на аутосорсинг. Если говорить об ИT-безопасности — то имеет ли персонал провайдера опыт по оказанию услуг в области ИT-безопасности или это просто ИT-специалисты, которые могут грамотно настроить стандартные программы. Узнать это несложно — достаточно изучить web-сайт провайдера и выяснить, как давно он предоставляет услуги, на чем специализируется компания, есть ли информация об экспертах, которые стоят за провайдером, и т.д. Достаточно несколько минут поискать нужные сведения в Интернете, и все станет более или менее понятно.

Обратите внимание на инфраструктуру провайдера: где расположены центры обработки данных, как осуществляется мониторинг, каковы процедуры работы при форс-мажорных обстоятельствах, какова доступность его дата-центров — другими словами, обеспечит ли инфраструктура провайдера повышенную отказоустойчивость и надежность по сравнению с вашей собственной инфраструктурой. Эта информация также не является закрытой и предоставляется провайдером по запросу заказчика. Кроме того, можно просмотреть список клиентов провайдера.

Также стоит внимательно отнестись к программному обеспечению, которое используется у провайдера. Есть ли специализированное ПО или в наличии имеется лишь стандартный набор программ? Если у провайдера есть какие-то преимущества, то он обязательно будет говорить об этом. В противном случае он ограничится общими фразами о лучших представителях, лидерах рынка и т.д.

В любом случае, являясь потенциальным клиентом, вы имеете право знать все эти детали до того, как заключите договор.

Тестирование сервисов

Предположим, этап предварительного отбора пройден и вы выбрали двух или трех потенциальных провайдеров. Что дальше?

Следующий шаг — тестирование сервисов. Этот этап пройти просто необходимо. Провайдер обязан предоставить вам тестовый период. За это время вы и провайдер приглядитесь друг к другу, и вы сможете на деле выяснить, соответствуют ли заявленные провайдером характеристики его услуг реальным. Если же провайдер уговаривает вас сначала заключить договор и заплатить, а потом уже начинать обслуживание, то лучше с ним дела не иметь. Во время тестирования надо обязательно пообщаться со службой поддержки провайдера. Если реальной проблемы не возникло, придумайте вопрос и напишите или позвоните. Быстро ли вам ответили, сразу ли вы дозвонились, получили ли вы ответ на свой вопрос, доброжелательно ли с вами говорили? Если во время тестирования, то есть в период «окучивания» вас как потенциального клиента, с вами говорили невежливо, отвечали не сразу, проблему долго не могли решить, то представьте, что будет потом, когда вы уже заплатите за обслуживание.

По итогам тестирования выносится решение, с кем из поставщиков вы будете работать, и заключается договор. Договор можно заключить и до этапа тестирования, но в этом случае в нем необходимо указать, что на протяжении первых 30 дней услуги оказываются бесплатно и клиент в праве расторгнуть договор без каких-либо санкций и обязательств. Если же в период тестирования договор не был расторгнут, то это означает, что клиент принимает условия договора и наступает период платного обслуживания. Такая форма договора желательна и часто используется, если в договоре затронуты вопросы конфиденциальности.

Параллельно с тестированием или даже на этапе предварительного выбора необходимо изучить договор об обслуживании (Service Level Agreement, SLA). Обратите внимание на обязательства провайдера, что именно он вам гарантирует. Например, если говорить о защите почтового или web-трафика, то оцените такой параметр, как доступность. Если сервис провайдера часто будет недоступен, то на все это время вы будете оставаться без почты или без доступа в Интернет. Также следует оценить санкции (штрафы), которые провайдер понесет в случае нарушения SLA. Есть ли вообще раздел «Ответственность» в договоре?

Надеюсь, все вышеописанные этапы выбора вы успешно преодолели и остановились на том единственном поставщике услуг, с которым сможете сотрудничать долго. Вы подписали договор, заплатили за обслуживание. Казалось бы, все закончилось хорошо. Но нет — начался этап сотрудничества, которое также необходимо вести правильно. Однако это уже тема следующей статьи.

 

В начало В начало

КомпьютерПресс 9'2007


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует