Cообщество

Вернее до упора старается заниматься самообманом. Наймет торговая фирма сисадмина, и тут же им недовольна. Абсолютно любая. У нее в цикле добывания денег компьютеры существуют виртуально. В отличие от отключений электричества, каковые очень даже реальны и учитываются. Сисадмин плохой. После найма пятого за 2 года возникает мысль, что либо они все такие, либо условия не те. Обращаются к ИТ-аутсорсеру "подешевле" и тут же понимают что качество отстой. Так как у этого аутсорсера их же сисадмины и работают, причем не лучшие. Предлагаешь научно обоснованную систему с ответственностью сторон. Начинает беспокоить цена. То есть виртуально нужно отличное качество по цене "копеечного" ИТ-аутсорсера. А так не бывает.

В последний месяц «достала» одна компания по продаже программного комплекса по защите от инсайдеров. Итак и эдак, и вот уже коммпред на генерального, а он мне «рассмотрите»… Я диву даюсь от руководства и от таких «упертых» контор. Первый итак знает, что народу зарплату начиная за май не выплачивали и цеха в простое, конторе сказал ясно и однозначно «денег нет и не будет». Но ведь продолжают долбить… На что надеются не могу понять.

Несколько примеров классифицированных документов

1. Публичная (неклассифицируемая) - как меня зовут.
2. Для служебного пользования - служебная инструкция по пользованию нашим туалетом.
3. Секретно - Реальный отчет за прошлый год.
4. Совершенно секретно - данные о любовнице председателя совета директоров.

Скажете, пошутил. Все признаки из стандарта налицо, плюс нет коллизий с законодательством. 1. Мои ФИО по 152-ФЗ "обезличенные данные", 2. Инструкция для внутреннего пользования, может нанести ущерб репутации компании. 3 Я молчу, 4. Я громко молчу.

И вот еще. Представьте последствия нарушения целостности п.4 в разделе "День Рождения - Дата"?

Поздравляю всех с международным днем системного администратора!

Как известно, новая редакция банковского стандарта ИБ, ноги у которой растут из 2700х с добавлением модели угроз/нарушителей содержит разделы, посвященные обработке ПДн. Данные разделы согласованы с регуляторами. Из чего следует, что если банк соблюдает требования стандарта в новой редакции, он уже есть оператор ПДн со справкой от регуляторов и ЦБ. Не останавливаясь на том, что "банк может проводить аттестацию своими силами" (!), хочу спросить общественность: "А что нам делать? Простым смертным?" Все не так сложно, но почему тогда не доработать ГОСТ 27001 такими же требованиями для адаптации к нашим, почти европейским, условиям?

С утра звонили горе-итаутсорсеры. Не было меня, были отфутболены... Но ведь обзвон ведут валом. По профилю компании (и названию!) можно догадаться, что в них нуждаются в последнюю очередь. Это не совсем правда, нужны грамотные по общению с пользователем одичалым, что в удаленном филиале. Просто хотел узнать, как они к компенсациям за деградацию сервиса готовы. Как точку контакта организуют. И такое прочее, просто самому обзванивать не очень - с подозрением относятся. А тут, думаю бы раскудахтались.

"Когда-то давно я работал в одной организации, в ИТ-департаменте. В определённый момент времени понял, что наш, извините, уровень зрелости настолько выше того, что у основного бизнеса, что нет никакого смысла пропагандировать культуру, идеи, процессы, их же автоматизацию и всё такое. До определённого уровня смысл есть, а дальше - уже нет.

Поймите правильно, тот бизнес был намного умнее нас в области зарабатывания денег, и чувствовал себя всё лучше и лучше год от года. Просто мы ему были уже не нужны с нашим новым и высоким пониманием реальности.

Поэтому (точнее - в том числе и поэтому) я работу тогда сменил. Нет смысла, и нет перспективы. А тратить собственное время - слишком дорого."

отсюда

Сама статья с osp.ru

Посмотрим, кто что думает. Повырываю фраз из контекста.

Вступление

Чтобы сотрудничество с аутсорсером было выгодным, подрядчиком необходимо управлять...

Брр. А погодой управлять не пробовали? Все-таки управлять надо отношениями с аутсорсерами.

Итак, слово заказчикам.

Для выделения достаточного количества квалифицированного персонала сумма договора аутсорсинга должна быть адекватной и экономически обоснованной.

В идеале, да, но где он идеал-то.

Кроме того, заказчик должен принимать участие в кадровой политике выделяемого персонала.

И куда смотрит редакция :) «Кадровая политика выделяемого персонала» мне нравится почти как «Проактивный мониторинг»

В компании можно создать специальную службу из небольшого числа квалифицированных специалистов, которая будет заниматься управлением взаимоотношениями с аутсорсером. Необходимо ввести в действие комплекс регламентирующих документов, ключевым из которых является качественный SLA.

Мысль очень здравая, но непонятно как реализовать это на практике, не потратив преизрядно денег на своих профессионалов? Но держать со своей стороны специалистов заказчик должен. Дело в том, что у ИТ вообще, и у аутсорсера в частности, есть масса уловок при расчете показателей потянуть одеяло на себя. Бизнес достаточно наивно полагает, что показатели контролируют ИТ. Все не так однозначно. Дело в том, что метрики с наибольшими весами обычно по сути своей технические со всеми вытекающими.

Максимально формализованные взаимоотношения с аутсорсером снижают трудозатраты по их управлению. Также важны хорошие дружественные, неформальные отношения.

"Формализованные неформальные отношения". Но тут я придираюсь. Так и должно быть. Должен быть механизм решения споров без поиска слов в SLA.

Нельзя говорить об эффективном аутсорсинге или вообще об эффективности ИТ-службы при отсутствии работающей информационной системы управления ИТ-инфраструктурой

Безусловно, ИС управления ИТ-инфраструктурой. Опять какая-то шероховатая формулировка. Все проще, чтобы отдать процессы на аутсорсинг надо для начала их иметь!

В договоре аутсорсинга, в SLA, в соглашении о конфиденциальности и т. п. должны быть четко определены санкции в отношении аутсорсера за нарушение параметров оказания услуг

Здесь и ниже подробно не рассматривается ситуация, когда аутсорсер превысил ожидания клиента. Логично, что клиент должен его поблагодарить. Это, кстати, в его же интересах, так как подрядчик будет стараться сам улучшить качество. Не всегда, конечно.

Наша практика показала, что аутсорсеры в большинстве случаев не соглашаются на договоры с большими штрафами за невыполнение SLA и либо поднимают цену до неприемлемых высот, либо ограничивают размер штрафа до мизерных сумм в месяц.

Пардон, но в разводе, как показывает практика, виноваты обе стороны. Не любите кошек — просто не умеете их готовить.

А вот сами аутсорсеры (одна штука)

Например, в SLA одного из наших заказчиков есть такой пункт: восстановление работоспособности системы в течение Х часов. В договоре четко определено, что такое — восстановление работоспособности системы, и это определение не допускает двойного толкования. При любом инциденте включается «счетчик», который отсчитывает время до момента устранения инцидента. Он считается устраненным, когда заказчик подтвердил полную работоспособность системы. Стоит отметить, что работа заказчика и аутсорсера должна быть очень слаженной.

«Заказчик подтвердил»? Если определение есть, то что он подтверждает-то? Согласие с определением? Но тезис о совместной работе абсолютно верный.

И эдакое «резюме»

Моя практика показала, что при выполнении более половины контрактов по аутсорсингу между поставщиком и клиентом возникают серьезные разногласия, около 70% пользователей ИТ-аутсорсинга сталкиваются с такими проблемами. Половина споров регулируется путем замены поставщика услуг, 20% споров заканчиваются тем, что мы возвращаемся к выполнению услуг своими силами

Это было выше. Про кошек.

Иногда приглашения на получение тендера, контракты и SLA составлены раздельно и разными людьми: если этот процесс полностью скоординирован, то можно ручаться за то, что вся документация взаимосвязана, последовательна, понятна и недвусмысленна. Часто SLA составляется после подписания контракта — когда уже слишком поздно. Если он составляет целую часть контракта (возможно, в качестве приложения), тогда ожидания от обеих частей несомненно согласованы.

Тут я падаю. Свет медленно гаснет. Контракт и Service Layer Agreement разные документы???

Что же тогда SLA?

Общее впечатление: множественные редакторские ляпы, интервьюируемые плохо представляют себе технологические аспекты. Пока впечатление такое, что стороны не дошли до нужного организационного уровня. А так много красивых слов, воды и повторов.

Перефразируя вступление, скажу, что важно, чтобы сотрудничество вообще было !

upd 24.06.10

В общем-то статья в "CIO", которая комментируется несколько однонаправленная. На тему "как крупному бизнесу нагнуть аутсорсера"

Начал читать описание описание реализации ITSM в Open source Ticket Request System (OTRS). Это конечно после технарских рассказов о внедрении в не-знаю-где, в основном, процедура установки - но честно сказать ставится оно с 10-и строчек, лисапед изобретали. В известных-местах все-таки что-нить попроще, но купят. Но это отдельная песня, а пока есть заказ. Из незнаю-где. Документация сия писана с традиционной немецкой педантичностью: вот живой пример. Далее в том же духе. В общем я несколько припух. Заказчик хочет дармовую систему. А я - ну это понятно. Конечно, выбор есть. Но еще вчера я смеялся над новой редакцией инструкции к очередному "Косоподелию", а теперь понимаю, KeepItSimpleStupid - это сильно.

Так, к примеру:

"Ваша выгода от нашего предложения

вместо одного "мастера на все руки" Вы получаете команду, каждый член которой - специалист в своей области;
Вы экономите деньги на налогах с з/п штатного сотрудника;
у Вас не будет болеть голова о больничном или неожиданном увольнении штатного системного администратора;"

Прям масса удовольствия....

И объявления с hh.ru этих самых фирм:

"Системный администратор

Техническая поддержка пользователей удаленно и с выездом к клиенту в пределах города. РАБОТА ПО СОВМЕСТИТЕЛЬСТВУ."

Последняя фраза совсем удаляет "команду профессионалов". Еще одна объява, кстати цитированной фирмы:

"Системный администратор

Обязанности:

Обслуживание клиентов по городу

Требования:

Знание WIndows 2000/XP/Vista/7, Windows Server 2000/2003/2008, Active Directory, локальных сетей

Знание Linux является преимуществом

Наличие автомобиля является обязательным

гибкий график"

Итак, уважаемые клиенты, вместо, "мастера на все руки" получаем просто шабашника с паролем суперпользователя наперевес. Впрочем все равно, у вас, клиентов все одно никаких ИТ-политик нет, так что гори все синим пламенем. Все равно потерь не заметите - так как видеть их тоже надо уметь. Кстати оные аут-чего-то-там з/п предлагают в 50% от средней по городу у рядового админа. То есть ни о каких "специалистах" речи не идет.

Тема конечно не совсем для Service Desk, но уже скоро примет актуальность для большинства организации. Кто уже провел комплекс работ и стал «правильным» хранителем и обработчиком ПД?

В любом обзоре по информационной безопасности можно встретить утверждение, что источники угроз на 30% снаружи и на 70% внутри. А "внутри" 70% угроз - это неумышленные действия пользователя. Далее следует мягкий или не очень переход к продукту который от "внутри" и "снаружи" защитит.

А есть и альтернативный взгляд. Не мой, но очень понравился. 100% угроз внутренние. Источником 99% угроз является руководство. Поэтому для компании в целом важен принцип "хранения острых предметов в безопасном месте".

:)

Шутки шутками, а ведь так оно и есть. Чем выше уровень ответственности, тем выше цена ошибки. Действительно, неужели банк разорился из-за нерадивой операционистки???

Ни одного. Проблема эскалируется на вторую линию ( из "Реалитсм")

Кто еще предложит варианты?

Русский перевод себе вот приобрел и прочитал. Хотя много чего и на сайте www.realitsm.com есть. Общее впечатление - жестоко смеется, но справедливо.

Сама книга написано по образцу "Введения...". Описано что такое реалитсм, его направления, организация, сертификация организаций и специалистов, основные направления, процессы, практики, метрики. Высмеяна несуразность оргструктуры iTSMF, EXIN, мутная схема сертификации специалистов и организаций. Этапы "умирающего" цикла хорошо (но не отлично!) вывернутые наизнанку этапы жизненного цикла. Сам рисунок ну очень напоминает...Ну очень. Масса схем пародирующих схемы из ITIL, в духе "ну вот это простая схема управления конфигурациями" и приводится трехэтажный рисунок. Книжка короткая, дух можно понять, почитав статьи на вышеуказанном сайте (на английском). Мне понравилась.

Избранные перлы из того что нет в официальных рекламках, но понравились мне:

"Например, консультант может сертифицировать только костюм и/или ботинки, а не все свои услуги в целом"

процесс: "Непрерывная оценка сервиса"

уровень сертификации "толкователь"

и т д.

Кое-что, конечно, для красоты за уши притянуто, но подкупает часто понимание истинного смысла того или иного явления.

Глянул тута очередную контору на предмет внешнего ИТ-обслуживания. И, как обычно, уперся в кривое устройство и низкий уровень пользоватей в области кнопкотыкства и мышевозения. Парадокс ситуации заключается в следующем: после аудитов все кривулины видны и предлагается два плана 1. Обслуживать как есть, то есть плохо и дорого (из-за косвенных потерь) 2. Конвертировать систему в более приемлимую, внедрить базовые процессики, пользователей немного подучить - все не сверх дорого, но зато потом будет качественно и дешево. Повально выбирается первый вариант, хотя все согласны со вторым :) Причем заметил не плата за внедрение останавливает, а сопротивление изменениям и страх перед новым (что почти одно и то же).

Зреет в умах и сердцах конечных пользователей недовольство 1С-никами, которые нас обслуживают по договору. Начинаются разговоры по смене поставщика услуг или найму штатного программиста. Вопрос о плюсах и минусах ясен, но вот кто реально менял 1С-аутсорсера были «проблемы адаптации» у новых поставщиков услуги?

В 1С УПП ещё не успели конфигурацию сильно «покривить», так отчетов и обработок наделали, а вот в 1С8 Бухгалтерия много изменений и «самописных» модулей под особенности предприятия. Минусом идет ещё и пункт в договоре об авторских правах на эти дописки, дословно «…Стороны соглашаются о том, что от даты подписания настоящего Договора все права на воспроизведение, распространение, а также модификацию настроек ПП, в том числе перевод настройки ПП на другой язык (языки), принадлежат ООО «РОГА и КОПЫТА» без ограничения сроков и территории.» Пугает именно право на модификацию настроек программного продукта, хотя получается странно. Мы им деньги платим, они для нас эти настройки сделали (изобрели), ради Бога, будь автором, но вот запрет на модификацию это слишком, на мой взгляд.

Предположим есть два конкурента, готовые выложить за информацию друг о друге некоторую кругленькую сумму. Как уговорить обоих, что этого ну никак не может произойти?

Люблю, однако, теоретиков ITSM почитать. Все у них гладко. Примените правильно мол и будет вам щастя. Тут у меня вопрос где "примените"? В "СуперНефтеГазе" или в ООО "Иванов и К" из Твери (Рязани, Иванова и т д)? Если "СуперНефтеГаз"у нужны сертификаты и понты (которые не влияют на мировой сырьевой рынок ни в малейшей степени), то гендиректор Иванов хочет осязаемого результата - снижения расходов, в первую очередь. Вот тут и выясняется, что мухи в одну сторону, котлеты в другую. Рассказы из вумных книжек помогают в супернефтегазе (да потому, что до вумности глубоко пофиг), а г-н Иванов хочет увидеть хрустелки, а не слушать свистелки. Ближе к делу - в Супер-Пупер конторе (как она про себя думает) никто не задавал дурацких вопросов (не хотели показать своей "дурости"), в скромном ООО попросили разъяснить разницу между инцидентами и проблемами и за месяц научились их четко различать, а так же в общем понимать работу ИТ-службы и самое главное, оценили достоинства. В Супер-Пупере за два года решили нанять консультанта "из Москвы", но так и не могут внятно объяснить что такое SQI. Пожелаю удачи нанятому теоретику, на несколько сотен тысяч хрустяшек наговорит. Думаю, разницу между KPI и SLA объяснять будет.

PS Но вообще я теоретиков уважаю. Практика нуждается в опоре.

Невеселая картина граждане.... Количество постов, посвященных ITSM неуклонно сокращается. Исключения составляют консалтерские, но толку от них, как известно, мало. Советы консалтеры пытаются продавать но их никто не покупает. Данные косвенные, но если даже фанаты приуныли, что уже про "бизнесъ" говорить. То есть, обобщенно, практики управления в ИТ существовали чаще всего для "галочки". Не может отдельно взятое подразделение быть впереди всего предприятия. Да и еще мои слова подтвержает тот факт, что в кризис никакого масштабного внедрения передового опыта не происходило и не происходит. За очень редким исключением, когда руководство верит в эти механизмы больше, чем в сокращение штата.

Никто не встречал описания этих услуг в каталогах? У меня на SD есть примеры и согласованный вариант, а вот с мониторингом просто заело. Не совсем конечно, но четко сформулировать не могу.

Искать указанный перевод тут: http://itsmforum.ru/reference/ISO20000

Все время гложет меня вопрос. Стоит ли включать необеспеченные компетенциями услуги в каталог для внутреннего использования? Дискуссия на эту тему пока пришла к следующим выводам:

Последнее время стал замечать, что от поставщиков товаров и услуг приходиться "выбивать" счета на приобретение товаров (благо их не поставили) и оплату уже полученных услуг. Ощущение такое, что кризиса в стране не было и нет, а деньги никому не нужны. На поставку сервера в 300 т.р. счет пытался получить 2 дня. В итоге плюнул и заказал сервер у другой фирмы, счет предоставили быстро и дешевле вышло.

А как у Вас обстоят дела в подобных ситуациях?

Вычитал в прайсе на обслуживание.

"В обслуживание периферийной техники и оргтехники не входят операции для пользователей и описанные в инструкции для пользователя."

Гениально. А то спихивание в лес замены картриджей в сельских офисах несколько утомляет, как и замена аккумов в беспроводных устройствах. Правда, главное не переборщить, а то "пользователь" он и у материнской платы есть. Но вообще в каталог услуг надо включить "увеличение уровня пользователей". Вроде того - до "грамотный" 500 у.е., до "опытный" еще 500 и т д. Возможен также даунгрейд для очень продвинутых. С "продвинутого" на "грамотный" - 1000 у.е.

Practical Service Level Management: Delivering High-Quality Web-Based Services