Je travaille dans le département des systèmes informatiques du CROC, nous supportons tout ce qui peut être jeté dans le mur. C'est-à-dire des serveurs, des systèmes de stockage de données et d'autres matériels coûteux dans les centres de données. Eh bien, le fait qu'il dispose de systèmes d'exploitation, d'une infrastructure de base. Le service de base le plus simple concerne les pièces de rechange, c'est-à-dire le remplacement des composants à temps. Les plus complexes consistent à remplacer les administrateurs système du client.
Le moment le plus effrayant du contrat est la rédaction des termes de référence. Je vais vous parler du râteau que nous avons ressenti avec nos clients et comment les éviter. Eh bien, je vais joindre un exemple du modèle de savoirs traditionnels que nous utilisons.
Augmenter les statistiques
Le tout premier montant de toutes les spécifications techniques est une ignorance banale de votre nombre mensuel moyen d'applications. Cela ressemble à ceci: vous voulez externaliser l'administration, alors vous devez comprendre combien cela va coûter. Si vous joignez simplement une description du parc d'équipement, nous, en tant que participant au concours, évaluerons la prise en fonction de la quantité de travail, des visites, si nécessaire, et livrerons avec une certaine marge. Mais si vous savez exactement combien il y avait et quels billets il y avait l'année dernière, alors le prix peut baisser considérablement - après tout, vous pouvez voir en fait quoi et comment et à quelle fréquence des modifications sont apportées à l'infrastructure. Quelqu'un, par exemple, ajoute des machines virtuelles tous les jours, et quelqu'un une fois par an - le prix sera le même en première approximation.
Souvent, la tâche du client ressemble à «maintenant tout administrer pour nous». Et qu'est-ce que c'est? Le fournisseur de services (c'est-à-dire pour nous) ne comprend pas le volume, tout est ré-hypothéqué pour les coûts de main-d'œuvre. Si nous échangeons, vous paierez en trop. Si soudainement le prix augmente au cours du contrat, il y aura des conflits. Si soudainement quelque chose se produit et que nous prenons un contrat moins cher qu'il ne coûte réellement, nous essaierons de refuser et, à la fin, nous devrons à nouveau chercher un entrepreneur.
Il arrive parfois que le client ne connaisse pas du tout son infrastructure (par exemple après une fusion-reprise ou le départ soudain de l'ancien administrateur). Et simplement si c'est une succursale, et qu'ils n'y ont pas cherché depuis longtemps. Dans ce cas, vous devez faire l'audit au tout début. La vérification, bien sûr, coûte de l'argent en soi, mais elle permet d'économiser beaucoup d'argent sur le contrat subséquent. Et les résultats de l'audit peuvent être affichés dans un concours si vous souhaitez comparer les fournisseurs à un prix par unité de service. Après tout, on réfléchit: il y a un prix de travail (réparation, départ), on comprend combien et quels appareils. Ensuite, nous regardons: il y aura tellement de pannes par mois pour telle ou telle unité, nous passerons tellement de temps dessus. Eh bien, ou prenez un système de sauvegarde. Ici, il suffit que quelqu'un configure une seule fois et ne vérifie que toutes les sauvegardes. Et quelqu'un change sans cesse les politiques, ajoute, supprime,ajoute encore. Nous administrons depuis les années 90 et avons recueilli des statistiques tout au long de la période, alors nous prédisons avec assez de précision. Et quand «il y a tant de serveurs au bourrage incompréhensible, des machines virtuelles, des OS incompréhensibles et autre chose là-bas, il faut administrer, le gars quitte» - les étiquettes de prix inhumaines sont garanties. De plus, ils nous viennent souvent avec du matériel ancien, pour lequel il n'y a pas eu de support constructeur depuis longtemps.
La prochaine étape consiste à diviser le contrat en emplois réguliers et en emplois rares. Le point est le suivant: s'il s'agit d'une sorte de travail permanent avec une durée fixe, nous le sélectionnons dans un bloc séparé et prescrivons la régularité. Pour les tâches rares, nous formons une liste de systèmes de solutions pour lesquels des compétences sont nécessaires (même si elles sont nécessaires une fois par an). L'entrepreneur préparera des spécialistes. Et il ne l'inclura pas dans la liste de prix principale. Il enregistrera simplement les tarifs de ces œuvres.
Mon exemple préféré est lorsqu'un client a décidé que l'administration comprend une migration complète des services sur lesquels le site s'exécutait vers un autre centre de données à une distance de 1000 km avec les serveurs. Comme, prenez les serveurs et tout ce qui est pris avec eux (réseau, stockage, données sur eux ...) et prenez-le, nous payons leur administration. Mais cela sort de l'ordinaire. Habituellement, nous identifions ces éléments dans des projets séparés et travaillons en détail sur la migration.
Temps de réaction
Je vois régulièrement des clients qui prescrivent des temps de réaction incorrectement ou ne prescrivent pas du tout. Il vaut mieux tout arranger ici pour que les attentes coïncident avec la réalité. Il est très important d'écrire un SLA strict sur les équipements critiques: nous avons généralement un temps de réponse de 15 minutes, de remplacement - quatre heures. Mais si vous faites cela pour tout le matériel du centre de données, le prix se révélera à nouveau inhumain. Il existe également des contrats plus complexes. Nous avons des installations de production où le prix moyen est plus élevé que d'habitude, mais en même temps nous souscrivons au fait que nous payons plusieurs millions de roubles par heure d'arrêt. Parce que le cycle de production est lié à ces nœuds. Notre officier de garde n'a pas remarqué que la mémoire était pleine sur le serveur ou qu'elle était retardée sur la route avec une pièce de rechange - il est possible, en fin d'année, de rester redevable au client.
Habituellement, la production, lorsqu'elle souhaite un travail ponctuel (comme des échecs), essaie de prescrire un SLA pendant 15 minutes, sans comprendre ce qui se cache derrière. Pour envoyer un ingénieur avec une telle autorisation, vous avez besoin qu'il soit de service toute l'année et qu'il ne boive pas au Nouvel An (ou ne boive strictement aux échecs avec des collègues). Et cela coûte de l'argent - et pas du tout en tant que service ponctuel.
Il y avait un contrat lorsqu'il fallait conserver 99% du temps de disponibilité, et ils l'ont payé avec des pénalités pour sortie de l'indicateur. Nous avons examiné l'infrastructure, décidé que, en principe, ce ne serait pas suffisant et tout devait être refait. Le contrat n'était pas inclus, mais nous connaissons ceux qui ont décidé de rouler. Ça n'a pas marché.
Rapports
Le troisième râteau préféré est que le client ne définit pas le format de rapport. Concevez le format de rapport que vous souhaitez voir. Et indiquez sa fréquence dans le contrat. Si toutes les tâches sont exécutées à vos tarifs, il est préférable que l'entrepreneur informe sur l'estimation préliminaire de la durée des travaux avant de commencer les travaux.
C'est à la question "Pourquoi avez-vous ici deux heures, et pas une heure et demie?" Est une dispute éternelle. Nous le résolvons de la manière suivante: avant la réparation, nous donnons au client un devis avec une erreur de plus ou moins 10% sur les côtés. Nous mettons de grandes tâches dans des projets avec un plan de travail et des délais d'exécution.
Il est clair que le contrôle est nécessaire des deux côtés, ce qui est une perte de temps: nous laissons le client entrer dans nos systèmes et coupons fanatiquement les rapports pour qu'il n'y ait pas de surprises. Parce que nous sommes intéressés par les renouvellements pour un an, deux, trois et cinq. Et nous savons que s'il n'y a pas de sentiment de contrôle et de prévisibilité complets, il n'y aura pas non plus de renouvellement de contrat.
Il est également utile de planifier des réunions régulières. Le premier mois chaque semaine pour construire le process, puis moins souvent pour que le fournisseur partage avec vous les recommandations de ce qu'il voit. Puis une fois par mois, au moins une fois par trimestre. Nous avons un client qui quitte son sous-traitant dans un mois, et il ne le sait même pas. Parce qu'il n'y a pas de dialogue. Ils n'écoutent pas le client et font tout comme il y a cinq ans. Autrement dit, sans tenir compte de ses nouvelles exigences commerciales. Le client essayait de le transmettre, mais il a craché, a commencé à chercher un nouvel entrepreneur.
Documentation
Le rake numéro quatre est la quasi-absence de documentation sur le site. Oui, je sais que personne n'aime apporter des modifications à la documentation de l'infrastructure. Si vous ne l'écrivez pas dans le contrat, vous avez fait quelque chose là-bas, refait quelque chose ici, mais vous avez oublié de dire - une situation courante. L'alternative est de prendre quelqu'un qui le tiendra à jour pour vous (quelque chose changé, réfléchi). Il sera facile de changer d'interprète ou de transférer l'accompagnement vers des spécialistes internes.
Nous sommes venus des centaines de fois d'où les documents - seulement DRP d'environ 2011. Et vous ne pouvez pas l'utiliser. Dans ma mémoire, il y a au moins deux cas où de tels clients se sont mis en production. Ils ont aidé à comprendre quel était le problème, il s'est avéré que DRP n'a pas fonctionné, car l'IP a changé.
N'oubliez pas de récupérer le déchargement en fin de période
Des sous-traitants avancés maintiennent CMDB: ont installé de nouveaux équipements, les ont ajoutés à la base. Tout est mis à jour. S'il n'y a pas de base CMDB propre, les organisations de services en ont toujours une. Eh bien, si ce n'est pas le vôtre, demandez-lui d'y accéder. Et n'oubliez pas d'ajouter une clause au contrat - afin que les données accumulées vous soient ensuite transférées au moment de la résiliation du contrat. Nous avons un client qui était content qu'il soit suivi où quelle garantie, où quelle licence. Mais à la fin du contrat, j'ai dû tout inventorier de toute urgence. C'était notre premier service avec un audit - la contrepartie précédente ne voulait pas partager les données.
N'ayez pas peur d'inclure des amendes élevées dans votre contrat
Un artiste normal les traite bien. La volonté de s'y abonner est un indicateur de la confiance du fournisseur dans le respect du SLA. Le seul point - si vous transférez directement le contrôle de la baisse de productivité et fixez le pourcentage de disponibilité, faites, par exemple, un mois pour une période de transition où les pénalités ne s'appliquent pas. Il faut un mois pour se plonger dans l'infrastructure informatique, mettre à jour la documentation, obtenir tous les accès et garantir la disponibilité. Si quelqu'un s'abonne sans cela, votre infrastructure est menacée pendant le premier mois.
Soit dit en passant, vous devez également mesurer ce que vous considérez comme le niveau de performance normal directement sur l'infrastructure vivante. Ensuite, il y aura quelque chose à comparer et montrer à l'artiste que la productivité a diminué. Sinon, vous ne le prouverez pas.
Impliquer immédiatement un spécialiste de la sécurité de l'information dans le processus de développement
Ceci est si important qu'il définit souvent le projet en général. Encore une fois: impliquez immédiatement un spécialiste de la sécurité de l'information dans le processus de développement. Si vous ne l'avez pas fait soudainement, attendez-vous à des problèmes. Le plus souvent, ils administrent à distance, de sorte que le fournisseur doit comprendre quelles seront les exigences. Par exemple, il existe des clients pour lesquels la vidéosurveillance d'un poste de travail dédié à partir duquel une connexion est établie est essentielle. Les banques sont encore plus sérieuses - elles ont des GOST directs et les exigences de la Banque centrale. La meilleure façon de rédiger un cahier des charges technique, qui augmentera considérablement le prix, est de se référer directement au règlement intérieur et de ne pas le fournir.
Nous avons eu un cas où ils ne pouvaient pas signer un contrat pendant trois mois, le CIO a raccroché. L'officier de sécurité voulait l'implémentation de GOST, nous voulions qu'il montre comment il est désormais implémenté (en se doutant que ce n'est pas possible), et lui a proposé d'envoyer une variante. Il n'a pas envoyé. En conséquence, ils ont écrit que «si dans les trois jours, vous ne recevez pas de commentaires sur le texte proposé de la tâche technique, nous considérons qu'il est convenu» et met le chef de la société dans la copie. IB a envoyé une phrase: "Les mises à jour et les correctifs qui éliminent les vulnérabilités critiques du SI doivent être installés au plus tard dans les 48 heures." Et c'est tout. On peut dire que c'est passé.
En général, le sujet de la sécurité de l'information est gras et glissant. Les personnes sûres vivent dans leur propre monde. Tout est cool et cool, les spécialistes de l'infrastructure sont d'accord entre eux, les entrepreneurs le mettent en œuvre. Et puis vous arrivez dans l'entreprise, et vous: allez dans le premier département pour négocier. Et là, ils s'assoient sur un tabouret et posent des questions, car personne ne les a informés que quelque chose se passait.
Oh oui, et n'oubliez pas de noter que les administrateurs doivent avoir accès à l'objet. Et il est difficile de changer des pièces du serveur à distance. Nous avons eu sur l'un des projets une attente de cinq à six heures car il fallait que l'équipe globale de l'entreprise (responsable informatique en Inde) approuve les demandes d'accès physique de l'ingénieur.
Le service desk est important
Si vous souhaitez voir les candidatures en ligne, ne soyez pas trop paresseux pour enregistrer la possibilité d'intégrer votre système Service Desk avec le contractant ou le besoin d'un portail Web. De cette façon, vous pouvez contrôler l'exécution de manière transparente. De nombreux clients qui travaillent par courrier ne reçoivent que le message «Votre ticket est très important pour nous, et nous le traiterons bientôt». Et c'est tout, au-delà de la boîte noire. Et si le cas est critique, tout le monde veut voir la priorité, ils veulent voir qui travaille, les microstats. Certains ont demandé à appeler toutes les dix minutes. Maintenant, nous avons une personne dévouée qui se tient à côté de l'ingénieur, ne l'empêche pas de résoudre le problème, mais informe en même temps le client de l'état des cas critiques, lorsque tout est en place, rien ne fonctionne et tout le monde est nerveux.
C'était également très cool dans une banque, où les règles de réponse aux incidents étaient décrites dans une norme interne. Heureusement, ils nous l'ont donné. Il y avait 300 pages, rédigées en 2005 et mises à jour en 2018 sur un jeu de béquilles. En général, entre autres, logique, il y avait une procédure pour répondre aux incidents avec la collecte de chat de personnes importantes exclusivement sur Skype. La nuit, vous devez appeler toutes les personnes intéressées et vous y désinscrire. Et Skype n'est pas très vivant. J'ai dû le réinstaller.
Les certificats ne doivent pas être dans l'entreprise, mais chez les spécialistes de votre projet
Un conseil simple: assurez-vous du professionnalisme de l'entrepreneur, ce sont des certificats et une expérience de travail dans l'entreprise.
Le conseil le plus difficile est de s'assurer que ces personnes seront sur votre projet. Il y a des entreprises qui écrivent directement aux savoirs traditionnels qui peuvent être impliquées dans le travail et qui ne le peuvent pas. Les stagiaires ne sont pas adaptés pour travailler avec des systèmes critiques. Vous pouvez l'écrire comme ceci: "Test des spécialistes par nos spécialistes." J'ai vu un homme venir au morceau de fer avec un paquet d'instructions. Dit: "Ils m'ont trouvé sur Yuda pour 5 mille roubles."
Il se trouve qu'ils ont donné une liste sympa, gagné, des gars viennent à la réunion de lancement - et il y a d'autres personnes qui n'ont pas participé, il n'y a pas quelques compétences nécessaires. Je sais qu'il y a eu des cas sur le marché où les équipes ont changé trois fois. En finance, la procédure est simple: il existe des listes de personnes pouvant toucher l'infrastructure. Ils n'admettent personne comme ça, seulement sur la liste blanche.
finalement
Notez toutes vos exigences, types de travail, types d'applications et créez un formulaire dans XLS avec l'incapacité de modifier les champs. Parce que très souvent les fournisseurs essaient d'écrire quelque chose de leur propre chef, et il est impossible de comparer davantage. Je sais que le conseil est simple, mais personne ne l'utilise rarement. Et puis une montagne de temps est gaspillée pour savoir qui a promis quoi et qui est le plus rentable en prix.
Exemple de projet
Nous accompagnons une entreprise de vente au détail avec des magasins dans toutes les régions de Russie (il augmente de 13% le nombre de magasins sur l'année). L'infrastructure se compose de 1400 postes de différents fabricants, et les fonctions essentielles pour l'entreprise fonctionnent sur sa base. L'informatique porte un grand nombre de tâches de développement. Là-bas, même le support de l'infrastructure est si important que le service informatique seul ne peut pas y faire face. Il y a beaucoup de matériel, il faut en quelque sorte gérer son cycle de vie. En général, ils externalisent des tâches de routine depuis cinq ans. Nous sommes avec eux depuis deux ans. Dans les tâches:
- Surveillance 24h / 24 et 7j / 7 de l'infrastructure informatique et de l'environnement de virtualisation.
- Informer les personnes responsables des problèmes sur la base des résultats du suivi, pour les cas critiques dans un délai de 15 minutes.
- Saisie des demandes de remplacement de pièces de rechange des fabricants, remplacement, information sur la restauration des travaux.
- , / .
- 1400 CMDB.
- , CMDB.
Nous avons une équipe: la première ligne est responsable du suivi et du dépôt des demandes des fournisseurs, la seconde du travail sur le terrain, la troisième des domaines connexes (lorsque le logiciel d'application ne fonctionne pas et que le problème n'est pas clair). Il y a un responsable technique dédié, il supervise et coordonne tous les spécialistes techniques; responsable séparément de la CMDB; un gestionnaire de service distinct est responsable de la coordination globale du projet.
À propos du contrat. Je dois dire tout de suite qu'il contient un SLA pour tous les travaux, ainsi que des pénalités pour non-respect. Il existe une possibilité de révision trimestrielle de la liste des équipements pris en charge avec un recalcul facile du coût, car il existe une liste de prix pour chaque unité. Nous organisons également des réunions régulières avec le client, où nous discutons des résultats des travaux et des plans pour l'avenir.
Le résultat est une économie de 5500 heures par an pour le client, que leurs propres employés consacrent à des projets de développement. 99,9% du respect du SLA (il y a eu deux violations au cours du premier mois en termes de conditions de notification, elles ont été corrigées grâce à des retours réguliers). Le nombre de notifications du système de surveillance a diminué de 30%, grâce au réglage optimal. Lorsqu'on lui a demandé comment nous travaillons, le DSI a répondu: «Nous n'entendons pas parler de vous». Il comprend à quel point c'est important.
Modèle TK ici . Il y a 16 pages de bureaucratie infernale, ce qui sauvera les nerfs de toutes les parties et plusieurs centaines d'heures de travail, si vous lisez et discutez une fois avant de signer.