Trabalho no departamento de sistemas informáticos da CROC, apoiamos tudo o que possa ser atirado à parede. Ou seja, servidores, sistemas de armazenamento de dados e outros hardwares caros em data centers. Bem, o fato de possuir sistemas operacionais, infraestrutura básica. O serviço básico mais simples são as peças de reposição, ou seja, a reposição de componentes no prazo. Os mais complexos substituirão os administradores de sistema do cliente.
O momento mais assustador do contrato é a elaboração dos termos de referência. Vou te contar sobre o rake que sentimos junto com os clientes e como evitá-los. Bem, vou anexar um exemplo do modelo TK que usamos.
Aumentar estatísticas
O primeiro batente de todas as atribuições técnicas é uma ignorância banal de seu número médio mensal de aplicativos. Fica assim: você quer terceirizar a administração, então você precisa entender quanto vai custar. Se você apenas anexar uma descrição do parque de equipamentos, nós, como participantes da competição, faremos uma estimativa da tomada para a quantidade de trabalho, visitas, se necessário, e entregaremos com alguma margem. Mas se você souber exatamente quantos e quais ingressos houve no ano passado, o preço pode cair drasticamente - afinal, você pode ver de fato o que e como quebra e com que frequência as mudanças são feitas na infraestrutura. Alguém, por exemplo, adiciona máquinas virtuais todos os dias, e alguém uma vez por ano - o preço será o mesmo na primeira aproximação.
Freqüentemente, a tarefa do cliente se parece com “Agora administre tudo para nós agora”. E o que é isso? O prestador de serviço (isto é, para nós) não entende o volume, tudo é ressarcido para despesas trabalhistas. Se resgatarmos, você pagará a mais. Se de repente o preço subir no decorrer do contrato, haverá conflitos. Se de repente algo acontecer e aceitarmos um contrato mais barato do que realmente custa, tentaremos recusar e, no final, teremos que procurar novamente um empreiteiro.
Às vezes, acontece que o cliente não conhece sua infraestrutura (por exemplo, após uma fusão-aquisição ou a saída repentina do administrador anterior). E simplesmente se for um galho, e eles não olham lá há muito tempo. Nesse caso, você precisa fazer a auditoria logo no início. A auditoria, é claro, custa dinheiro em si, mas economiza muito no contrato subsequente. E os resultados da auditoria podem ser apresentados em uma competição se você quiser comparar fornecedores a um preço por unidade de serviço. Afinal, pensamos como: há um preço de trabalho (conserto, saída), há um entendimento de quantos e quais dispositivos. Aí olhamos: vai ter tantas falhas por mês para tal e tal unidade, vamos gastar tanto tempo nisso. Bem, ou pegue um sistema de backup. Aqui basta alguém configurar uma vez e só verificar se todos os backups passam. E alguém muda indefinidamente as políticas, adiciona, remove,adiciona novamente. Administramos desde os anos 90 e coletamos estatísticas ao longo do tempo, portanto, fazemos previsões com bastante precisão. E quando "há tantos servidores de recheio incompreensível, algumas máquinas virtuais, SO incompreensível e algo mais lá, você precisa administrar, o cara sai" - etiquetas de preços desumanos estão garantidas. Além disso, muitas vezes eles vêm até nós com equipamentos antigos, para os quais não há suporte do fabricante há muito tempo.
A próxima etapa é dividir o contrato em empregos regulares e raros. A questão é a seguinte: se for algum tipo de trabalho permanente com duração fixa, selecionamos em um bloco separado e prescrevemos a regularidade. Para tarefas raras, formamos uma lista de sistemas de solução para os quais são necessárias competências (mesmo que sejam necessárias uma vez por ano). O contratante preparará especialistas. E não o incluirá na lista de preços principal. Ele simplesmente registrará as taxas para tais obras.
Meu exemplo favorito é quando um cliente decidiu que a administração inclui uma migração completa dos serviços nos quais o site estava funcionando para outro data center a uma distância de 1000 km junto com os servidores. Tipo, pegue os servidores e tudo o que leva junto com eles (rede, armazenamento, dados deles ...) e pegue, a gente paga pela administração deles. Mas isso é bastante fora do comum. Normalmente, destacamos essas coisas em projetos separados e realizamos a migração em detalhes.
Tempo de reação
Vejo regularmente clientes que prescrevem tempos de reação incorretamente ou nem mesmo prescrevem. É melhor consertar tudo aqui para que as expectativas coincidam com a realidade. É superimportante escrever SLA estrito em equipamentos críticos: normalmente temos um tempo de resposta de 15 minutos, substituição - quatro horas. Mas se você fizer isso para todo o hardware do data center, o preço voltará a ser desumano. Existem também contratos mais complexos. Temos instalações de produção onde o preço médio é mais alto do que o normal, mas ao mesmo tempo concordamos com o fato de que pagamos vários milhões de rublos por hora de inatividade. Porque o ciclo de produção está vinculado a esses nós. Nosso plantonista não percebeu que a memória do servidor estava cheia ou atrasada na estrada com uma peça de reposição - é possível, no final do ano, ficar em débito com o cliente.
Normalmente a produção, quando deseja um trabalho único (como falhas), tenta prescrever um SLA por 15 minutos, sem entender o que está por trás disso. Para enviar um engenheiro com tal autorização, é necessário que ele fique de plantão o ano todo e não beba no Ano Novo (ou beba apenas xadrez com os colegas). E custa dinheiro - e nem um pouco como um serviço único.
Existia um contrato em que era preciso manter 99% do uptime e pagavam com penalidades por sair do indicador. Olhamos a infraestrutura, decidimos que, a princípio, não daria conta e tudo precisava ser refeito. O contrato não estava incluído, mas sabemos quem decidiu que iria pedalar. Não funcionou.
Comunicando
O terceiro rake favorito é que o cliente não define o formato do relatório. Projete o formato de relatório que você deseja ver. E indique sua frequência no contrato. Se todas as tarefas forem realizadas de acordo com suas taxas, é melhor que o empreiteiro informe sobre a estimativa preliminar da duração do trabalho antes de iniciar o trabalho.
Esta é a pergunta "Por que você tem aqui duas horas, e não uma e meia?" É uma disputa eterna. Resolvemos da seguinte forma: antes de reparar, damos ao cliente uma estimativa com um erro de mais ou menos 10% nas laterais. Colocamos grandes tarefas em projetos com um plano de trabalho e prazos por etapas.
É claro que o controle é necessário dos dois lados, o que é uma perda de tempo: deixamos o cliente entrar em nossos sistemas e cortamos fanaticamente os relatórios para que não haja surpresas. Porque estamos interessados em renovações por um, dois, três e cinco anos. E sabemos que, se não houver sentimento de total controle e previsibilidade, também não haverá renovação de contrato.
Também é útil agendar reuniões regulares. O primeiro mês toda semana para construir o processo, depois com menos frequência para que o fornecedor compartilhe com você as recomendações do que vê. Depois, uma vez por mês, pelo menos uma vez por trimestre. Temos um cliente que sai do contratante em um mês e ele nem sabe. Porque não há diálogo. Eles não ouvem o cliente e fazem tudo como há cinco anos. Ou seja, sem levar em conta seus novos requisitos de negócios. O cliente estava tentando transmitir, mas então cuspiu e começou a procurar um novo empreiteiro.
Documentação
Rake número quatro é a ausência virtual de documentação no local. Sim, eu sei que ninguém gosta de fazer alterações na documentação da infraestrutura. Se você não anota no contrato, então eu fiz algo lá, fiz algo aqui, mas esqueci de dizer - uma situação comum. Uma alternativa é levar alguém que irá mantê-lo atualizado para você (algo mudou, refletiu). Será fácil mudar de executante ou transferir o acompanhamento de volta para especialistas internos.
Viemos centenas de vezes dos documentos - apenas o DRP de cerca de 2011. E você não pode usá-lo. Na minha memória, há pelo menos dois casos em que esses clientes entraram na produção. Eles ajudaram a descobrir qual era o problema, descobriu-se que o DRP não funcionava, porque o IP havia mudado.
Não se esqueça de pegar a descarga no final do período
Os terceirizadores avançados mantêm o CMDB: instalaram novos equipamentos e os adicionaram à base. Tudo é mantido atualizado. Se não houver uma base de CMDB própria, as organizações de serviço sempre terão uma. Bem, se não é sobre o seu, peça acesso a ele. E certifique-se de adicionar uma cláusula ao contrato - de forma que os dados acumulados sejam transferidos para você no momento da rescisão do contrato. Temos um cliente que ficou feliz por estar sendo seguido onde qual garantia, onde qual licença. Mas quando o contrato terminou, tive que fazer um inventário urgente de tudo sozinho. Este foi nosso primeiro serviço junto com uma auditoria - a contraparte anterior não queria compartilhar os dados.
Não tenha medo de incluir multas altas em seu contrato
Um artista normal os trata bem. A vontade de assiná-los é um indicador de que o fornecedor está confiante em cumprir o SLA. O único ponto - se você transferir diretamente o controle sobre a diminuição da produtividade e fixar o percentual de disponibilidade, faça, por exemplo, um mês para um período de transição quando as penalidades não se aplicam. Demora um mês para mergulhar na infraestrutura de TI, atualizar a documentação, obter todos os acessos e depois garantir a disponibilidade. Se alguém assinar sem ele, sua infraestrutura estará sob ameaça no primeiro mês.
A propósito, você também precisa medir o que considera o nível de desempenho normal diretamente na infraestrutura residencial. Então, haverá algo para comparar e mostrar ao executor que a produtividade diminuiu. Caso contrário, você não o provará.
Envolver imediatamente um especialista em segurança da informação no processo de desenvolvimento
Isso é tão importante que geralmente define o projeto em geral. Vamos mais uma vez: envolver imediatamente um especialista em segurança da informação no processo de desenvolvimento. Se de repente você não fez isso, espere problemas. Na maioria das vezes, eles administram remotamente, então o fornecedor precisa entender quais serão os requisitos. Por exemplo, existem clientes para os quais a vigilância por vídeo de uma estação de trabalho dedicada a partir da qual é feita uma conexão é crítica. Os bancos são ainda mais sérios - eles têm GOSTs diretos e as exigências do Banco Central. A melhor forma de elaborar uma especificação técnica, que aumentará drasticamente o preço, é consultar diretamente o regulamento interno nela contido e não fornecê-lo.
Tivemos um caso em que eles não conseguiram assinar um contrato por três meses, o CIO desligou. O oficial de segurança queria a implementação do GOST, queríamos que ele mostrasse como agora está implementado (suspeitando que não era possível) e se ofereceu para enviar uma variante. Ele não enviou. Como resultado, eles escreveram que “se dentro de três dias você não receber comentários sobre o texto proposto para os termos de referência, então consideramos que está de acordo” e colocamos o responsável da empresa na cópia. O IB enviou uma frase: "A instalação de atualizações e patches que eliminam as vulnerabilidades críticas de IS deve ser feita no máximo em 48 horas." E isso é tudo. Pode-se dizer que já passou.
Em geral, o tópico de segurança da informação é gorduroso e escorregadio. Pessoas seguras vivem em seu próprio mundo. Tudo é legal e legal, os especialistas em infraestrutura concordaram entre si, as empreiteiras estão implementando. E aí você chega na empresa, e você: vai para o primeiro departamento para negociar. E lá eles se sentam em um banquinho e fazem perguntas, porque ninguém os informou que algo está acontecendo.
Ah sim, e não se esqueça de observar que os administradores devem ter acesso ao objeto. E é difícil trocar peças no servidor remotamente. Tínhamos em um dos projetos a espera de cinco a seis horas devido ao fato de que era necessário que a equipe global da empresa (chefe de TI na Índia) aprovasse os pedidos de acesso físico do engenheiro.
Service desk é importante
Se você deseja ver os aplicativos online, não tenha preguiça de registrar a possibilidade de integração do seu sistema de Service Desk com o contratante ou a necessidade de um portal web. Desta forma, você pode controlar a execução de forma transparente. Muitos clientes que trabalham via correio só recebem a mensagem “Seu tíquete é muito importante para nós, e trataremos disso em breve”. E é isso, além da caixa preta. E se o caso for crítico, todos querem ver a prioridade, querem ver quem está trabalhando, microestatísticas. Alguns pediram para ligar a cada dez minutos. Agora temos uma pessoa dedicada que fica ao lado do engenheiro, não o impede de solucionar o problema, mas ao mesmo tempo informa o cliente sobre o andamento dos casos críticos, quando está tudo funcionando nada funciona e todos ficam nervosos.
Também foi muito legal em um banco, onde as regras para responder a incidentes foram descritas em um padrão interno. Felizmente, eles nos deram. Eram 300 páginas, escritas em 2005 e atualizadas em 2018 em cima de um conjunto de muletas. Em geral, entre outras coisas, lógico, havia um procedimento para responder a incidentes com a coleta de chat de pessoas importantes exclusivamente no Skype. À noite, você precisa ligar para todos os interessados e cancelar a assinatura de lá. E o Skype não é muito animado. Tive que reinstalá-lo.
Os certificados não devem estar na empresa, mas sim nos especialistas do seu projeto
Conselho simples: certifique-se do profissionalismo do contratante, são certificados e experiência profissional na empresa.
A dica mais difícil é ter certeza de que essas pessoas estarão em seu projeto. Existem empresas que escrevem diretamente para o TK que podem se envolver no trabalho e outras não. Os estagiários não são adequados para trabalhar com sistemas críticos. Você pode escrever assim: "Teste de especialistas por nossos especialistas." Eu vi um homem chegar ao pedaço de ferro com um pacote de instruções. Diz: "Eles me encontraram no Yuda por 5 mil rublos."
Acontece que deram uma lista bacana, ganharam, a galera vem no kick-off meeting - e tem outras pessoas que não participaram, não tem algumas competências necessárias. Sei que houve casos no mercado em que as equipes foram trocadas três vezes. Em finanças, o procedimento é simples: existem listas de quem pode mexer na infraestrutura. Eles não admitem ninguém assim, apenas na lista branca.
Finalmente
Anote todos os seus requisitos, tipos de trabalho, tipos de aplicações e faça um formulário em XLS com impossibilidade de editar campos. Porque muitas vezes os fornecedores tentam escrever algo por si próprios e é impossível comparar mais. Sei que o conselho é simples, mas raramente alguém o usa. E então uma montanha de tempo é perdida para descobrir quem prometeu o quê e quem é mais lucrativo em preço.
Exemplo de projeto
Apoiamos uma empresa de varejo com lojas em todas as regiões da Rússia (aumenta em 13% o número de lojas ao longo do ano). A infraestrutura consiste em 1400 posições de diferentes fabricantes e funções que são críticas para os negócios operam nessa base. A TI suporta um grande número de tarefas de desenvolvimento. Lá, até mesmo o suporte de infraestrutura é tão grande que o departamento de TI sozinho não consegue lidar. Há muitos equipamentos, é preciso gerenciar de alguma forma o seu ciclo de vida. Em geral, terceirizam tarefas rotineiras há cinco anos. Estamos com eles há dois anos. Em tarefas:
- Monitoramento 24 x 7 da infraestrutura de computação e ambiente de virtualização.
- Informar os responsáveis sobre os problemas com base nos resultados do monitoramento, para casos críticos em até 15 minutos.
- Entrada de pedidos de reposição de peças de reposição dos fabricantes, reposição, informando sobre a restauração da obra.
- , / .
- 1400 CMDB.
- , CMDB.
Temos uma equipe: a primeira linha é responsável pelo acompanhamento e arquivamento das solicitações dos fornecedores, a segunda pelo trabalho de campo, a terceira pelas áreas afins (quando o software aplicativo não funciona e não fica claro onde está o problema). Há um gerente técnico dedicado, ele supervisiona e coordena todos os especialistas técnicos; responsável separadamente pelo CMDB; um gerente de serviço separado é responsável pela coordenação geral do projeto.
Sobre o contrato. Devo dizer desde já que contém um SLA para todos os trabalhos, bem como penalidades por não cumprimento. Existe a possibilidade de revisão trimestral da lista de equipamentos suportados com um fácil recálculo do custo, uma vez que existe uma lista de preços para cada unidade. Também mantemos reuniões regulares com o cliente, onde discutimos os resultados dos trabalhos e planos para o futuro.
O resultado é uma economia de 5.500 horas por ano para o cliente, que seus próprios funcionários gastam em projetos de desenvolvimento. 99,9% de cumprimento de SLA (ocorreram duas violações no primeiro mês em termos de termos de notificação, foram corrigidas devido a feedback regular). O número de notificações do sistema de monitoramento diminuiu 30%, graças à configuração ideal. Quando questionado sobre como trabalhamos, o CIO respondeu: "Não ouvimos sobre você." Ele entende o quão importante isso é.
Modelo TK aqui . São 16 páginas de burocracia infernal, que pouparão os nervos de todas as partes e muitas centenas de horas de trabalho, se você ler e discutir uma vez antes de assinar.