Что такое vCIO (виртуальный CIO)?

vCIO (virtual Chief Information Officer), то есть виртуальный директор по информационным технологиям, — это человек или сервис, который помогает бизнесу принимать более удачные решения в области технологий. Обычно такая работа организована через MSP, то есть провайдера управляемых услуг, или управляемого ИТ-провайдера.

Слово «виртуальный» не означает программный инструмент. Это значит, что вы получаете часть (не полный объем) стратегического ИТ-руководства вместо найма руководителя на полный рабочий день. Для многих небольших и средних компаний это более практичный вариант.

Хороший vCIO должен фокусироваться на планировании, а не только на устранении проблем. Это может включать постановку приоритетов, оценку бизнес-рисков, планирование циклов обновления оборудования и ПО, помощь с ИТ-бюджетом и объяснение, что должно происходить дальше, понятными бизнес-формулировками.

Многие компании заказывают ИТ-поддержку только тогда, когда что-то выходит из строя. Это помогает «держать свет включенным», но часто приводит к поспешным покупкам, неожиданным расходам и системам, которые со временем становится все сложнее обслуживать.

Хороший vCIO помогает сделать шаг назад и посмотреть на общую картину. Какие системы критичны, что устарело, какие шаги по безопасности отсутствуют, за какие инструменты действительно стоит платить, а что можно отложить. Такое планирование помогает владельцам и офис-менеджерам принимать более спокойные решения.

Это особенно важно, если ваш бизнес растет, открывает новую локацию, добавляет удаленных сотрудников, работает с конфиденциальными данными клиентов или сталкивается с отраслевыми требованиями. Требования отличаются по отрасли и по штату, поэтому «правильный план» для медицинского офиса будет не таким, как для розничного магазина или юридической фирмы.

Точный объем услуг зависит от провайдера, но vCIO часто помогает составить технологическую дорожную карту. Это простой план того, что улучшать сейчас, потом и в следующем году. Также они могут оценивать поставщиков, контракты, надежность интернета, подход к резервному копированию, возраст устройств и потребности в персонале.

Иногда обсуждаются и базовые вопросы безопасности. Например, MFA означает многофакторную аутентификацию — это второй шаг сверх пароля. EDR означает обнаружение и реагирование на угрозы на конечных устройствах (endpoint detection and response) — программное обеспечение, которое следит за компьютерами и другими устройствами на предмет подозрительной активности. Конечное устройство (endpoint) — это любое устройство пользователя, например ноутбук, настольный ПК или телефон, которое подключается к вашим бизнес-системам.

Вы также можете встретить термины вроде patching — это применение обновлений программного обеспечения и обновлений безопасности, а также RMM — программное обеспечение для удаленного мониторинга и управления, которое используют некоторые провайдеры, чтобы следить за состоянием устройств и выполнять плановое обслуживание. vCIO нужен не только для того, чтобы перечислять инструменты. Он должен объяснить, какие инструменты действительно важны для вашего бизнеса и почему.

Некоторые провайдеры включают рекомендации по планированию резервного копирования и восстановления. Вам могут встретиться слова «3-2-1 backup», что означает хранение 3 копий данных на 2 разных типах хранилищ, при этом 1 копия хранится вне офиса (offsite). Ни один честный провайдер не должен обещать отсутствие простоев, сеть, «невозможную для взлома», или гарантированное восстановление в любой ситуации. Хорошее планирование снижает риски, но не убирает их полностью.

Хороший vCIO переводит технологии в решения для бизнеса. Вы должны уйти с пониманием приоритетов, затрат, компромиссов и сроков. Рекомендации должны быть организованными и практичными, а не расплывчатыми или перегруженными жаргоном.

Они должны встречаться с вами по регулярному графику — часто ежеквартально или по другому согласованному ритму — и просматривать короткий список приоритетов. Они должны уметь объяснить, что срочно, что можно сделать по желанию, и что может произойти, если вы отложите проект.

Хорошие рекомендации также связывают технологии с требованиями комплаенса, когда это актуально. HIPAA — это Закон США о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act), который влияет на определенную медицинскую информацию. PCI обычно означает PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности для компаний, которые обрабатывают данные платежных карт. SOC 2 — это отчетная модель, которой пользуются многие сервисные компании, чтобы показать, как они управляют контролями, связанными с безопасностью. Не каждому бизнесу нужна одинаковая степень документации или контролей.

Вам также могут встретиться SLA — это service level agreement, то есть договор об уровне сервиса. Это письменный документ, где описаны целевые показатели реагирования, часы покрытия и условия поддержки. Некоторые провайдеры также предлагают советника в стиле vCIO — с названием vCIO или похожим по смыслу. Важно не столько название, сколько то, дает ли провайдер стабильное и полезное планирование.

Вам может быть полезна поддержка vCIO, если у вас от 10 до 200 сотрудников, вы сильно зависите от компьютеров и облачных приложений, у вас несколько поставщиков, или вы сомневаетесь, соответствует ли текущая настройка возможностям бизнеса. Также это может помочь, если вы планируете переезд офиса, новые наймы, улучшения в кибербезопасности или замену устаревающего оборудования.

Вам может не понадобиться формальная схема vCIO, если компания совсем небольшая, системы простые и ближайшая потребность — базовая поддержка. В таком случае может быть достаточно найти управляемого ИТ-провайдера, который закроет текущие ежедневные задачи, а больше планирования можно будет подключить позже.

Если вы сравниваете варианты, спросите, входит ли стратегическое планирование, как часто проходят обзоры, кто их ведет и что именно вы получите после каждой встречи. Полезный ответ должен включать дорожную карту, рекомендации по бюджету и четкие следующие шаги, а не только общие советы.

Если вы ищете помощь, выбирайте провайдера, который может объяснять простыми словами и связывать рекомендации с вашими операционными процессами. Попросите примеры того, какие именно планировочные встречи они проводят, какие отчеты предоставляют и как помогают клиентам отличать срочные работы от будущих улучшений.

Спросите, кто будет выступать вашим советником, как часто вы будете встречаться, и будет ли этот человек оставаться вовлеченным со временем. Также можно уточнить, как они подходят к резервным копиям, графику замены устройств, координации с поставщиками и процессам онбординга/оффбординга сотрудников.

Некоторые компании также хотят получить рекомендации от советника в стиле vCIO по бюджетированию и политикам, а другим в первую очередь нужна надежная поддержка. Если вы не уверены, какой уровень помощи подходит, ознакомьтесь с дополнительными ответами простыми словами, узнайте о сервисах управляемых ИТ, или получите сопоставление с независимым управляемым ИТ-провайдером. NodeBridge IT — не ИТ-компания и не фирма по кибербезопасности. Мы предоставляем общее обучение и бесплатное сопоставление, а также собираем только базовые данные о бизнесе и контактную информацию.