Некоммерческая организация растягивает ограниченный IT-бюджет

У этой некоммерческой организации была небольшая команда: несколько сотрудников на неполный рабочий день и волонтеры, которые приходили и уходили. Как и во многих организациях сообщества, каждый доллар был уже заранее «расписан» под конкретные нужды. Технологии были важны, но часто о них вспоминали только тогда, когда что-то ломалось.

У них была смесь более старых ноутбуков, общие файлы, почтовые аккаунты и базовая настройка интернета в офисе. Местный ИТ-специалист помогал время от времени, но не было четкого плана на постоянной основе. Руководство хотело большей стабильности, однако переживало, что «managed IT» окажется слишком дорогим или слишком сложным.

Также им не хотелось долгих продаж, насыщенных техническими терминами. Им нужны были простые ответы. Что именно провайдер будет делать каждый месяц? За что придется доплачивать? И что действительно необходимо организации такого размера?

После простой беседы по уточнению потребностей выяснилось, что основные пробелы не были «громкими». Это были базовые вещи, которые часто пропускают, когда команда занята. Обновления программного обеспечения выполнялись непоследовательно. Резервные копии существовали, но никто не проверял их внимательно. Сотрудники использовали разные устройства по-разному, и не было записанного процесса для подключения новых пользователей и отключения бывших.

Им также не хватало понятного стандарта защиты аккаунтов. Один из провайдеров позже рекомендовал MFA (multi-factor authentication), многофакторную аутентификацию: вход выполняется с паролем и дополнительным шагом — например, кодом из приложения или подтверждением в уведомлении. Это не делает систему «неуязвимой» для взлома, и честный провайдер не должен обещать обратного, но может снизить распространенные риски для учетных записей.

Еще один пробел — защита конечных устройств. Конечное устройство (endpoint) — это рабочий девайс вроде ноутбука, настольного ПК или телефона. В одном из предложений была EDR (endpoint detection and response) — программное обеспечение, которое помогает обнаруживать подозрительную активность на этих устройствах и поддерживает расследование и реагирование. Организация уже встречала подобные термины, но никто не объяснил их простыми словами.

Больше всего волновали резервные копии. Команда считала, что у них есть бэкапы, но не была уверена, как часто они выполняются, сколько по времени хранятся и как именно будет выглядеть восстановление. Один провайдер объяснил подход 3-2-1 к резервному копированию простыми словами: три копии важных данных, на двух разных типах носителей, при этом одна копия хранится вне офиса. Это дало руководству более понятный способ сравнить варианты.

NodeBridge IT не управлял ничем для них и не запрашивал пароли, доступ к сети или системам. Мы просто помогли им описать их офисную инфраструктуру, численность, болевые точки и диапазон бюджета, а затем связали с независимыми провайдерами managed IT, которые работают с организациями сопоставимого размера. Если вы хотите посмотреть, как работает этот процесс, начните здесь: get matched.

Самое полезное было именно сравнение. Вместо того чтобы рассматривать одно предложение изолированно, некоммерческая организация изучила три. Все три провайдера предлагали managed IT-поддержку в той или иной форме. MSP (managed service provider) — это компания, которая обеспечивает постоянную ИТ-поддержку и мониторинг по договору. Но предложения не были одинаковыми, если смотреть дальше ежемесячной цены.

У одного провайдера была самая низкая ежемесячная стоимость, однако резервное хранилище, помощь после окончания рабочего дня и настройка новых пользователей выставлялись отдельно. Другой включал более широкую поддержку, исправление (patching) и помощь по аккаунтам. Третий вариант был самым полным, но там были инструменты и расписание встреч, которые, вероятно, не нужны этой некоммерческой организации.

Взгляд «бок о бок» изменил разговор. Руководство перестало спрашивать только: «Кто самый дешевый?», и начало задавать вопрос: «Что именно входит в состав, и какие проблемы это решает для нас?». Обычно именно с этого начинается более правильный выбор.

Некоммерческая организация сосредоточилась на коротком списке практичных вопросов. Поддерживает ли провайдер и офисных сотрудников, и удаленных? Входит ли мониторинг резервных копий? Включены ли инструменты безопасности или продаются отдельно? Как обрабатываются заявки в поддержку и что происходит после окончания рабочего дня?

Они также изучили сервисное соглашение. SLA (service level agreement) — соглашение об уровне сервиса. Простыми словами это та часть, где указано, как быстро провайдер стремится реагировать, что входит в покрытие и что находится вне области действия. SLA важно, но это не обещание отсутствия простоя, идеальной безопасности или мгновенного восстановления в любой ситуации.

Один из провайдеров также предлагал поддержку vCIO. vCIO (virtual chief information officer) — это виртуальный директор по информационным технологиям. Обычно это означает периодическую помощь с планированием, подсказки по бюджету и рекомендации по будущим ИТ-решениям. Для более крупной группы это может быть полезно. Для этой некоммерческой организации это было приятно иметь, но не первый приоритет.

Диапазоны по ежемесячным затратам, которые они увидели, были типичны для небольшой организации, но различались в зависимости от количества пользователей, устройств, инструментов безопасности и объема поддержки. На многих рынках США небольшому офису могут предлагать полностью управляемую поддержку с ценой примерно за пользователя, за устройство или как единый ежемесячный пакет. Простая поддержка может начинаться в «нижних сотнях» в месяц для очень маленьких команд, а более полная поддержка с контролем резервных копий, инструментами безопасности и более быстрым реагированием может доходить до «нижних тысяч». Это именно диапазоны, а не коммерческие предложения. Реальная сумма зависит от численности, устройств, требований к безопасности и региона.

Они не выбрали самый дешевый вариант. Они выбрали провайдера, чей объем работ соответствует тому, как они ведут свою деятельность. Этот провайдер включал регулярное исправление (patching), мониторинг резервных копий, поддержку help desk для сотрудников и более надежные стандарты защиты аккаунтов — без «нагрузки» предложения лишними опциями, которыми они, скорее всего, не воспользуются.

Не менее важно: провайдер четко объяснил ограничения. Он не обещал «невзламываемую» сеть. Он не говорил, что простои никогда не случатся. Вместо этого он разъяснил, что они будут мониторить, что будут поддерживать и как некоммерческой организации следует реалистично думать о рисках и восстановлении.

Для руководства такая честность была важной. Ежемесячная стоимость оставалась серьезной статьей бюджета, но согласовывать ее стало проще, потому что они видели, за что именно платят. Появилось меньше «серых зон» и меньше скрытых дополнительных платежей.

Если вы сравниваете варианты сейчас, вы можете посмотреть типовые services и ознакомиться с более анонимизированными stories от организаций, которые пытаются принять практичное решение.

Строгий бюджет не всегда означает, что нужно покупать самый дешевый ИТ-план. Часто это означает, что нужно внимательнее относиться к объему работ (scope). Низкая ежемесячная стоимость может стать дороже, если резервные копии, базовая безопасность, подключение новых пользователей или помощь после окончания рабочего дня выставляются отдельными счетами.

Обычно лучший следующий шаг — не просить сразу все возможные инструменты. Важно прояснить ваши реальные потребности. Сколько у вас сотрудников и устройств? Люди работают удаленно? Вы обрабатываете конфиденциальные данные клиентов, доноров, платежную или медицинскую информацию? Требования зависят от отрасли и штата, поэтому то, что подходит одной некоммерческой организации, может не подойти другой.

Вам также не нужно разбираться в жаргоне, чтобы задавать хорошие вопросы. Спросите, что входит в состав каждый месяц. Спросите, что стоит дополнительно. Спросите, как проверяются резервные копии. Спросите, как добавляются новые пользователи и удаляются бывшие. Спросите, как обрабатываются заявки в поддержку. Понятные ответы обычно дают больше, чем длинное техническое предложение.