Аутсорсеры р!кабу криворукие дятлы, под оперу сделайте нормально
Сделайте нормально.
Сделайте нормально.
Сегодня мы публикуем очередную историю от одного из айтишников. Далее текст от автора.
Моя первая работа познакомила меня не только с профессией программиста, но и с трудовыми конфликтами: уже там у меня случилось 2 конфликта за 2 года работы.
Я работал в компании, которые принято называть «галерами» или «бодишопами» — типичный аутсорс, внедряющий одну зарубежную CRM в другие конторы. Вендор (разработчик самой CRM) проводил добровольные (за деньги) аттестации специалистов и выдавал сертификаты о знании системы. И у них была партнёрская программа: чем больше у вас в компании работает сертифицированных сотрудников, тем выше ваш уровень в ней и тем более «вкусные» лиды вам отсыпает вендор.
Чтобы подняться в этой партнёрке, компания заставляла всех сотрудников, связанных с внедрением, сдавать вендорские экзамены. Но в рабочее время вы заняты работой, а подготовка к сертификату — это не работа. «Ведь вам же самим это надо, чтобы быть более востребованными на рынке труда!» — говорило руководство. И люди сдавали. Потом, правда, появились списки вопросов с ответами, и подготовка сводилась к зубрёжке.
Здесь нужно отвлечься и рассказать об условиях работы в целом. Огромный openspace с длинными столами, разделёнными на секции примерно в метр шириной. Если поставить монитор и ноут, они наезжали друг на друга экранами. Пропуска мониторились на предмет опозданий. Кухня в другом конце здания, и я около полугода вообще не знал о её существовании. Кроме того, руководство ещё любило забывать о своих обещаниях. На старте нам обещали регулярный пересмотр зарплат, но после одного раза всё застопорилось. Оказалось без волшебного коллективного пенделя в виде письма руководству, никто ничего пересматривать не собирается. Но после такого пенделя нам повысили зарплату — в обмен на сдачу тех самых экзаменов.
Нетрудно догадаться, что при таком отношении руководства текучка кадров была довольно высокой. Получается, компания оплачивала сдачу экзамена ($200 за попытку), человек сдавал, а потом уходил в другое место. Что делать? Может, улучшить условия труда? Да ну, бред какой-то. Лучше мы не будем привязывать сертификаты к аккаунтам сотрудников, а будем их хранить на фейковых аккаунтах! А у всех текущих сотрудников отберём доступ. Правда, надо как-то с них собрать пароли. Отправим письмо из HR с требованием предоставить пароли! Какие-то такие мысли, видимо, родились в голове у руководства. Так или иначе, итогом стало письмо с просьбой предоставить логин и пароль от системы сертификации. Надо ли говорить, что все, кто предоставил креды, тут же лишались доступа к своим сертификатам?
Я был одним из тех, кто заупрямился. У меня до сих пор сохранена на память переписка с CEO, где он требует с меня логин и пароль. Он там рассказывает, что все уже сдали, а я один упираюсь; как много компания вложила в меня, тратила время сотрудников, оплатила экзамен; как важен сертификат для компании, а мне ничего не стоит заново его сдать и тому подобное. А я в ответ объясняю, что компания потратила на моё обучения 2 недели 2 года назад, а потом я выплывал сам; что при учёте биллинга за стажёров как за полноценных сотрудников, я давно отбил 200 баксов за экзамен и всё остальное; что мне сертификат нужен, по их же словам, для того, чтобы «быть более востребованным на рынке труда». В конце концов, мне удалось отбить свой несчастный сертификат. Но через полгода я всё равно ушёл — работать с теми самыми бывшими коллегами, которые уволились после ситуации с сертификатами.
Если тебе тоже есть что сказать, то можешь прислать нам свою историю в бот обратной связи http://t.me/itunion_feedback_bot, или на почту ruitunion.org@proton.me, и мы её опубликуем.
Доброго всем. Длиннопост! Я сам занимаюсь IT аутсорсом. Обслуживаю малый бизнес по классике(классика: небольшой офис, принтеры, мфу, винда, ворды-эксели, 1с, бухгалтерия, ЭЦП, удаленка, бекапы и т.д.).
Нет, да, я сейчас весь в IT по сути, причем с цифрового «рождения» (когда в 1996(поправили меня) зарегистрировал свой номер ICQ), а тогда интернет был диковинкой, а компьютеры и подавно. И всегда был, это мое, это так!
У меня и почта на мейл.ру из 3 букв) Древний.
Ну а о чем разговор в названии темы? Вернусь чуть назад:
Учился, сначала техникум по теме, потом институт на заочке по профильному……
Начал зарабатывать я с компьютерного клуба в 98, потом продвижение сайта интернета-магазина с 2000-го, когда все это было в зародыше, делал то то, то это, и дизайн и администрирование. Пробовал свой бизнес в интернете (собралось нас несколько молодых амбициозных), 3 года (до 2006), не взлетело. В среднем работал на других, и пробовал на себя.
В 2009 все бросил (точнее не очень удачная компания была, ушел) и решил попробовать работать на себя еще раз тем же, чем занимался, но уже строго сам, независимо, т.е. тот самый IT аутсорс , фактически сисадмином.
Сначала была одна компания по знакомству, потом первая рассказала второй, и вот уже две компании, а потом и три, и четыре…. В общем работу я не искал, она сама меня находила (и это в плюс не сыграло). Максимум комфортно можно обслуживать 5 компаний, если везде все настроено и работает «уже на тебя», а не как попало. Денежка со всех вместе выходила нормальная, работа работалась.
Не расширялся - с одной стороны нанимать сотрудников и мой простой ИП становился сложным, да и компании «по знакомству» косяком не шли, не та воронка.
Джуны, мидлы, HR, собеседования….. и другие страшные слова, те, которые меня не касались с тех лет совсем (а до 2009 года их и не было чтоб вот на слуху конкретно). Я на ХХ зарегистрировался на той неделе первый раз за вообще! По молодости на джоб.ру был, помнится))
Первый звоночек прозвонил в 2017 году, когда одна из моих компаний покрупнее стухла, причем с моим баблом. Тогда я и задумался, что, по сути, рынок обо мне не знает, я вроде и тут и нигде. В каком-то вакууме блин. Компанию ту кое-как заменил, но осадочек остался.
В очередной раз задумался, что нужно что-то менять. Но семья, бытовая всякая тема, машину почини, то се, увлечения какие-то свои, в общем прокрастинация по теме. Но «лавешка мутится» и это главный ДЕмотиватор.
А потом случилась пандемия.
Из интересного – к тому времени я все свои компании научил работать на удаленке, чтоб не дергались они в офис когда можно сделать и удаленно (и я заодно).
И когда кругом активно что-то мучались с переходом, мои даже не заметили) Правда, похоже, и не оценили….
В общем пандемия мне не мешала, но начала подпиливать моих работодателей…..
А в прошлом году «специальная операция» их почти добила.
Параллельно понимаю что я отстал в плане каких-то развитий чтоль, стал как старый комп – дело в том, что подобный бизнес, он имеет потолок, он не особо развивает, охватывается достаточно узкий круг задач, круг тоже развивается, но это не то. Новая версия 1с не сильно напрягает тертого сисадмина, так сказать (можно сделать что-то новое, но это только для себя и то, если время есть).
Имею пачку компетенций, их много, но они все такие, или специфические, или глубины на сколько нужно, неглубоко. Я хорошо/быстро/качественно умею малый бизнес-малый офис, небольшие компании, их потребности я уже переварил, ну и вот.
И встал я перед интересным выбором.
• Перестать быть временно it, и стать маркетологом каким-то, сделать сайт, дать рекламу, искать компании (я пока не знаю насколько это сейчас востребовано), не сидеть ровно, стало некуда сидеть.
Или (читаю сейчас треды, где айтишник в 35 уже никому не нужен, если он ниже мидла+):
• «Зайти в айти», еще раз, в 42 (о чем пожалуй нужен еще один пост).
Рассматриваем основные преимущества от передачи функции обеспечения информационной безопасности профессионалам «со стороны». Рассказываем, что предусмотреть при заключении договора аутсорсинга для его максимальной эффективности
Иллюзия защищенности личных и корпоративных данных «по умолчанию», еще недавно царившая в умах большинства, понемногу начинает развеиваться. Все чаще в СМИ появляются новости об очередном взломе, «утечке», успешных компьютерных атаках:
«Число кибератак в 2022 г. выросло в три раза» — Group-IB;
«В целом за 2022 год количество кибератак на российские компании выросло в 2 раза» — Ростелеком-Солар;
«Общее количество инцидентов в 2022 году увеличилось на 20,8%» – Positive Technologies.
Руководители больших и маленьких компаний все чаще начинают задаваться вопросом: «А у нас все защищено?». И случается, что в ответ специалисты IT-службы пожимают плечами и стыдливо отводят глаза в сторону. Или нарочито громко заявляют: «По-другому и быть не может!», хотя в головах витает мысль: «Без понятия…».
Задача обеспечения информационной безопасности компании — не тривиальная. Есть несколько подходов к ее решению:
Метод «Неуловимого Джо».
«По сравнению с Microsoft и Google мы мелкие, а значит, нас никто не будет атаковать. Следовательно, и вкладываться в инфобез не нужно. Тем более он денег не приносит». Приблизительно такая логическая цепочка выстраивается в голове у многих владельцев бизнеса. Этот подход к ИБ львиной доли организаций понятен, и оспорить его сложно. Но можно. Проблема в том, что он не отвечает современным угрозам безопасности.
В сегодняшнем мире компания будет взломана не потому, что кому-то интересна, а просто по факту наличия критической уязвимости на внешнем периметре или простого пароля удалённого пользователя. Вопрос с монетизацией такого взлома тоже решен: информация на компьютерах, в базах данных 1С и сетевых каталогах дорога в первую очередь владельцу, поэтому хакер просто её зашифрует, оставив сообщение с требованием выкупа.
2. Добавление задач IT-службе.
«Вроде бы и там и там компьютеры – значит, справятся». Да, и IT, и ИБ — это все про компьютеры, но подход к ним у каждой службы разный.
Задача администратора – сделать так, чтобы система работала. И, например, обработка электронной почты с административными правами и пароль «qwerty» никак этой задаче не противоречат. Безопасник же знает, как работает хакер, и для него подобные действия – верный путь к катастрофе. Потому, что перед ним стоит совсем иная задача – не допустить проникновения злоумышленников в работающую стараниями админа систему.
Вот почему айтишники и безопасники никогда не заменят друг друга. И только синергия двух этих подходов позволяет бизнесу быть уверенным в надежности IT-систем.
3. Создание собственной ИБ-службы и поручение ей задачи обеспечения ИБ.
Классика жанра в разных ее вариациях, действительно работающий вариант. Проблема лишь в том, что далеко не у каждой организации найдется достаточно ресурсов и, самое главное, грамотных специалистов для полного закрытия всех проблем по части обеспечения информационной безопасности.
Но обсудить в этой статье мы хотим четвертый подход, который может отлично работать как самостоятельно, так и в связке с предыдущими двумя. Называется он аутсорсинг, часто незаслуженно обделен вниманием и оброс множеством необоснованных мифов, которые мы и попытаемся развенчать.
Аутсорсинг — это передача организацией определенных функций (в данном случае — функции обеспечения информационной безопасности) на исполнение другой компании. Может передаваться вообще все («Сделайте нам красиво!»), а могут конкретные процессы или задачи: настройка средств защиты информации, мониторинг событий информационной безопасности, поддержание в актуальном состоянии документации и прочие.
Если немного абстрагироваться от названия и посмотреть шире, то можно увидеть, что любая услуга, которую покупает компания, будь то техническое обслуживание автомобилей, заправка картриджей или уборка клининговой компанией — все на самом деле является аутсорсингом. То есть выполнением работ для организации квалифицированным персоналом из профильной компании-подрядчика.
В аутсорсинге информационной безопасности есть множество плюсов:
Проще. Остается в прошлом проблема с набором персонала и оценкой его квалификации. Теперь это проблема подрядчика. В условиях острого дефицита квалифицированных рабочих кадров в сфере ИБ этот плюс был и остается одним из самых значительных.
Дешевле. Выигрыш в цене происходит за счет распределения ресурсов аутсорсера между несколькими заказчиками, отсутствия капитальных затрат (покупка оборудования, ПО и пр.), гибкой настройки пакета услуг.
Быстрее. Все процессы у подрядчика уже отработаны – остается только внедрить.
Профессиональнее. Аутсорсинг дает возможность доступа к широкому спектру компетенций. У ИБ-аутсорсера их явно больше, чем у одного штатного сотрудника. Также не стоит забывать о глубине экспертизы и широте опыта, которые нарабатываются годами в профильных компаниях.
Эффективнее. Доступ к экспертам аутсорсера осуществляется «по необходимости». Например, нет нужды постоянно держать инженера в штате для расследования компьютерных инцидентов, можно обращаться за услугой только по факту инцидента.
Конечно, не обходится и без минусов. Пожалуй, будет правильнее назвать их «подводными камнями», которые можно успешно обойти при должной подготовке:
Зависимость от поставщика услуг. В случае разрыва договора компания может остаться без защиты. Нивелируется заблаговременной проработкой процесса смены компании-аутсорсера.
Необходимость настройки пакета услуг. Как правило, предлагаются типовые услуги, которые настраиваются под конкретного заказчика. Да, согласование всех нюансов потребует времени. Но с каждым днем предложений на рынке услуг ИБ становится все больше, и они смогут закрыть потребности любого клиента.
Невозможность контролировать все процессы. На долю заказчика приходится только верхнеуровневый контроль в рамках договора. Но если вы платите за результат – то и особо не важно, что делается внутри у подрядчика. И даже наоборот – при правильной настройке взаимодействия с аутсорсером возможность делегировать часть рутинных контрольных функций можно считать скорее плюсом, чем минусом.
Что же останавливает компании от передачи ИБ на аутсорсинг? Возражения и страхи, вызванные, как правило, отсутствием опыта работы с адекватным и профессиональным подрядчиком и неактуальные на практике:
«Это дорого!». Выше уже упоминалось, за счет чего аутсорсинг выигрывает у штатной команды в стоимости. Добавим немного конкретики: вы не организуете рабочих мест для персонала, не платите им премий, не посылаете их на учебу, не платите за них налоги. Да, все эти издержки заложены в стоимость услуг аутсорсера, но они распределяются между множеством заказчиков. В итоге получается дешевле. По мнению компании Инфосистемы Джет, аутсорсинг дешевле штата в среднем на 20-30 %, а в некоторых случаях и на 50 %.
«Невозможно полноценно оценивать все процессы, точно ли аутсорсеры справятся как надо». Вопрос доверия — краеугольный в сфере ИБ. Но точно также невозможно оценить врача, который вас лечит, или педагога, который вас учит. Для того, чтобы быть уверенным в подрядчике, следует основательно подойти к вопросу его выбора. Найти надежную компанию, которой доверяете как себе, бывает нелегко, но эта игра стоит свеч.
«Аутсорсер имеет доступ к нашей конфиденциальной информации». Эта «опасность» нивелируется подписанием NDA (соглашение о нераспространении конфиденциальной информации), условиями договора (к чему должны иметь доступ, а к чему нет) и тонкой настройкой правил доступа специалистов подрядчика. При грамотном подходе существенных отличий между персоналом аутсорсера и вашими наемными сотрудниками не будет. Более того, у всех на слуху истории, когда увольняющийся работник в обиде удаляет (уносит конкуренту) результаты своей работы, чем наносит определенный ущерб.
«Исполнитель не подчиняется напрямую, из-за этого теряется оперативность». Для выполнения задач под управлением штатных сотрудников есть свой вид аутсорсинга — аутстаффинг. Вы покупаете время специалиста, и он подчиняется вам напрямую – никаких потерь драгоценного времени.
«Сначала нормально обслуживают, а потом ни одного выхода на работу, а деньги платить надо». Для контроля аутсорсера существует SLA (соглашение об уровне сервиса), в котором четко прописаны все его обязанности и сроки их исполнения. Нарушение подрядчиком зафиксированных в SLA договоренностей означает нарушение договора аутсорсинга, а значит, снимает с заказчика обязательства по оплате.
«Аутсорсеры делают небезопасные удалёнки». Тут сама формулировка намекает: если подрядчик ИБ устанавливает небезопасные удаленные подключения, он этим расписывается в своей профнепригодности. Следует отказаться от его услуг и искать проверенную компанию.
«Постоянно отвлекают наших штатных IT-шников». Это убеждение опровергнуть сложнее всего, ибо процесс обеспечения ИБ действительно тесно связан с ИТ. И как бы противоречиво это не звучало – информационную безопасность обеспечивают в первую очередь сотрудники службы ИТ. Специалисты ИБ занимаются контролем и выработкой мер, которые внедряют ИТ. Можно сказать, что безопасники – голова, а администраторы – руки единого организма, обеспечивающего информационную безопасность систем компании. Так что, увы – без «отвлекания айтишников» ничего не получится. Но точно также будет работать и ваш собственный специалист ИБ. Получается, это возражение касается не столько аутсорсинга, сколько работы службы ИБ в принципе.
«В случае если подрядчик уходит, сложно разобраться самостоятельно в том, за что отвечали аутсорсеры». Если подрядчик внедряет и эксплуатирует для вас систему информационной безопасности, в договоре аутсорсинга можно и нужно прописать для него обязательство по документированию внедряемой системы и созданию комплекта рабочих регламентов для сотрудников. Стоит отметить, что ответственный подрядчик даже после окончания контракта проконсультирует своего клиента и не оставит его у «разбитого корыта».
Подводя итоги, можно сказать, что аутсорсинг информационной безопасности – дело ответственное и требующее внимания заказчика на начальном этапе. Однако, при правильном подходе, имеющее массу преимуществ и по многим параметрам более эффективное, чем содержание собственной службы ИБ. Особенно для небольших компаний. Надеемся, что мы смогли донести всю выгоду аутсорсинга в реализации системы информационной безопасности и развенчать самые распространенные страхи, связанные с ним. Главное в этом деле – найти «своего» аутсорсера: ответственного эксперта, с кем вам и вашей компании будет удобно и спокойно.
Текст: Аделина Любимова, Origin Security
Заболели зубы?
Значит, надо к врачу. Он вылечит.
Поймали вирус? Хакеры обрушили сайт?
Значит, надо к нам. Мы выручим.
Вот только зубной врач не будет каждый день чистить зубы за вас.
Но это — зубы.
А что с ИТ?
Можно ли себя как-то обезопасить?
Можно. Если соблюдать простые правила ИТ-гигиены.
Мы собрали самые главные из них.
Распечатайте и повесьте в офисе.
Разная почта для разных аккаунтов. Серьёзные аккаунты должны иметь отдельную почту.
Используйте блокировщики рекламы. В идеале, соответствующие скрипты, iframe, cookies и т. д.;
VPN. Лучше всего, свой собственный VPS (virtual private server) со своим VPN. Потому что невозможно быть уверенным в том, что сам провайдер VPN не перехватывает Ваши данные.
Использование разных паролей для всех без исключения сайтов (помогает в этом Lastpass, Keepass и другие менеджеры паролей);
Повсеместно должна быть включена двухфакторная аутентификация, причем, желательно, не с использованием SMS, а отдельный код с использованием приложений;
И, пожалуйста, не храните пароли в очевидных местах — никаких стикеров на мониторе, записей в блокноте на столе или файлов, отправленных в телеграмме.
Компании, которые имеют узкоспециализированный доступ для выполнения периодических задач (например обновление БД Консультант+) не должны работать на компьютерах, входящих в доменную сеть предприятия. Во всех системах критически важной информации должен стоять запрет на выгрузку данных.
Делайте резервные копии всей информации, которую будет жалко потерять. Постоянно, лучше копируйте в разные места.
Храните резервные копии в местах, откуда при необходимости вы можете их забрать, проверяйте, что вы действительно в состоянии это сделать. Убедитесь, что информацию из резервной копии удается восстановить. В резервных копиях часто хранится конфиденциальная информация, которую лучше всего защитить шифрованием.
Не распространяйте никакую личную информацию на публичных ресурсах (особенно в соцсетях) без веской необходимости. Даже фотография со смартфона может содержать метку геолокации, по которой злоумышленник узнает ваш адрес.
Не передавайте конфиденциальную информацию в открытом виде. Даже если просто заархивировать файл со стойким паролем, а пароль передать отдельно — через мессенджер / SMS / другую почту — это существенно снизит риск утечки.
Избавляйтесь от ненужных подписок в мессенджерах, почтовых рассылок, регистраций на сайтах.
При посещении любого сайта — проверяйте, тот ли это сайт, который вам нужен. Обратите внимание на адрес и наличие сертификата.
Используйте расширения браузеров для проверки репутации сайтов, например, Web of Trust.
При получении любого сообщения по любому каналу связи от любого отправителя — проверяйте, тот ли это, за кого себя выдает, особенно, если отправитель просит деньги или что-то от вас требует. Переспрашивайте, перезванивайте / пишите по известным контактам.
Письма и сообщения. Не переходите по ссылкам в письмах и сообщениях от незнакомых отправителей!!!
Фейковые письма. То есть, такие письма, которые выглядят как настоящие, но ссылки ведут на другие сайты. Ни в коем случае, нельзя проходить по этим ссылкам.
Например:
Мобильный телефон и регистрация в мессенджерах. Номер мобильного телефона очень много значит в нашей жизни. Ведь к нему привязаны пароли и коды для входа в банк, в личные кабинеты на важных сайтах. И многое другое. А многие свой номер раздают направо и налево, просто как телефон для связи, и как мессенджеры (WA, Telegram, …). Не стоит так делать.
Ваш телефонный номер — это ваша личная территория. И вы не обязаны им делиться со всеми желающими.
Периодическая смена пароля. На серверах/сайтах.
Бэкапы информации. Это должно войти в привычку — регулярные бэкапы всей информации. Кто-то делает их раз в день, кто-то раз в неделю, кто-то после выполнения работы. Главное — делать.
Wi-Fi. Не стоит использовать публичные Wi-Fi сети для доступа к важным сервисам. При должных навыках злоумышленник без особого труда может создать сеть-двойник и получает доступ к данным с подключённых компьютеров. Поэтому первый совет — отключите в настройках своего устройства автоматическое подключение к известным сетям.
В заключение можем сказать, что, если вы попадёте в беду, то мы, конечно же, поможем.
Но лучше ведь не попадать?
Поэтому просто соблюдайте простейшие правила ИТ-гигиены — давайте облегчать жизнь себе, а не злоумышленникам!
Начнем с интересной аналогии. Предположим, вы купили новую квартиру. Средств, чтобы сделать капитальный ремонт и приобрести новую мебель, у вас пока нет, но жить надо уже сейчас. Вы прикидываете — на чем можно сэкономить, а что с самого начала должно быть на высшем уровне. Спать можно на старом диване, обои еще послужат, но старая электропроводка требует замены. И тогда вы приглашаете профессионального электрика. Вы понимаете, что это инвестиция в безопасность, в будущее, в собственный комфорт. Дальше, со временем, можно поменять мебель, сделать любой ремонт, какой захотите, но проводка будет безотказно служить вам много лет.
К чему это предисловие? Любой бизнес — это как обустройство квартиры с нуля. На чем-то можно сэкономить, а на чем-то — нельзя. Например, не следует экономить на ИТ.
Бизнес будет расти и развиваться, но если ИТ-инфраструктура должным образом не организована, рано или поздно ИТ станет тем самым слабым звеном, которое будет тормозить весь бизнес.
Поэтому вся ИТ-инфраструктура должна быть правильно настроена с самого начала. Если этого не сделать, потом будет очень трудно отследить тот момент, когда пора предпринимать кардинальные шаги. Вы не успеете оглянуться, как в решение проблем ИТ незаметно для себя окажутся вовлечены не только рядовые сотрудники, инженеры, сисадмины, но и топ-менеджмент компании. Вместо того, чтобы заниматься развитием бизнеса, директоры будут вынуждены тратить деньги на покупку нового «железа», которое может не пригодиться, брать новых сотрудников в ИТ-отдел и так далее.
В компании, где работают менее 100 человек, роль ИТ-директора или сисадмина зачастую бывает сильно преувеличена, ведь реальное время его продуктивной работы составляет не более пары дней в неделю. Поневоле думаешь — почему с самого начала не перепоручили эту работу профессионалам? Для чего экономить на тех услугах, которые являются одной из основ эффективности всей компании? Почему бы не отдать эту часть деятельности специалистам, которые всегда будут работать успешнее, чем один, пусть даже очень талантливый сисадмин. А главное, сотрудники компании с самого начала привыкнут к мысли о том, что качественная ИТ-инфраструктура должна сопровождать бизнес всегда, на каждой стадии его развития.
К счастью, все больше и больше наших заказчиков понимают, что ИТ-аутсорсинг — это, перефразируем известную поговорку, «не роскошь, а средство развития». Так как только в рамках полноценного ИТ-аутсорсинга можно получить тот самый комплекс услуг с самого начала работы, и больше не думать об оптимизации, быстродействии, отражении вирусных атак и так далее.
Важно пояснить, что ИТ-аутсорсинг — это не «инородное тело», не отдельная структура внутри компании, а оптимальный способ решения проблем, связанных с ИТ, который предполагает равноправное сотрудничество между нами и нашим заказчиком. Мы создаем и настраиваем корректную ИТ-инфраструктуру, а ИТ-персонал заказчика получает новый опыт, когда начинает работать по нашей модели.
Вот так это работает.
А когда вы пришли к выводу, что вам необходим качественный ИТ-аутсорсинг?
Довелось мне много времени поработать в нескольких аутсорс конторах в РФ в качестве разработчика ПО, старшего разработчика ПО и даже владельца такой шараги.
Все они похожи и их как грибов в лесу, только названия разные. Различаются они только по степени жадности учредителей. Учредители становятся жаднее с ростом конторы. Когда она маленькая, то и отношение с зарплатами на уровне, потом все становится грустнее.
Дальше я напишу обобщенный опыт, путей на самом деле много, но друг от друга они мало отличаются. По статистике 8 из 10 IT аутсорс контор выживает и вырастает.
Данные в этом посте верны до конца февраля 2022 года. Сейчас не представляю что происходит с рынком.
Первый этап становления у всех примерно один. Какой-то разработчик выходит на иностранную биржу, получает заказы и набивает рейтинг. Дальше работы становится много или заказчик просит найти еще людей.
Бывает разработчик при плохом менеджмете уходит уводя с собой заказчика, так сказать конторы размножаются почкованием. Но сути это не меняет.
На втором этапе нанимаются пару человек с небольшим опытом на среднюю зарплату по региону, желательно с хорошим знанием английского языка. Это и будет главный костяк команды. Они уже работают в штате ИП нашего разработчика. Открывается контора на бирже. Иногда на бирже заводят кучу аккаунтов и набивают хороший рейтинг для каждого. Контроль аккаунтов остается за директором.
Путь к третьему этапу может занять очень мало времени, а может и пару лет.
Третий этап ( этап бурного роста) начинается, когда получается отхватить хорошие заказы. Начинается хантинг студентов курса с 3-го или 4-го с профильных вузов. Желательно с минимальным знанием английского языка. Они работают за минималку и «опыт». При этом каждый из них продается как старший разработчик с большим опытом.
На этом этапе так же снимается хороший офис, желательно в центре или ближе к профильному ВУЗу. Делается красивый сайт, нанимаются профессиональные продажники.
Четвертый этап состоит из большего расширения, рекламы и самое важное - налаживания отношений с профильным факультетом, чтобы увеличить приток молодой крови. Теперь способные студенты направляются преподавателями куда надо сразу без раздумий. Контора цветет и пахнет.
На пятом этапе контора уже становится узнаваемой и сильной. Открывается LLC в США с офисом в два продажника. Контора уходит от бирж и работает на прямую.
Что с финансовой стороной?
Цифры очень грубые, но примерно отражают реальность.
На бирже все программисты продаются как старшие разработчики и в среднем за час работы каждого выходит $25. За месяц ( ~160 часов работы) выходит $4000. Программистам набранным на втором этапе платят зависимо от региона, но в среднем не более $1500-$2000 в месяц.
Программистам набранным на третьем этапе платят примерно $500-$1000, с такой же стоимостью.
Программистам набранным на четвертом этапе, а это как правило студенты, платят смешные деньги. Около $500. Иногда даже не оплачивая стажировки, так как продают это как «опыт». В итоге даже их продают за ту же сумму как профессионалов с многолетним опытом.
Как только контора выходит на пятый этап сумма становится примерно $50-$70 за час работы программиста при тех же зарплатах.
Это просто золотая жила. При этом качество кода и продукта понятно какое, если над ним работают студенты.
В редких случаях продают команду из 10-ти человек, а работают двое вчерашних студентов, но такая шара бывает редко.
Что на счет повышения зарплат?
Зависит от жадности учредителя. Но чаще всего я видел интересную систему. 5 тысяч рублей к зп в месяц за каждый сертификат. Чтобы получить сертификат от того же Microsoft сейчас надо реально год плотненько учиться ( раньше можно было просто запомнить ответы из стыренных дампов).
Иногда правды ради адекватное руководство и зарплаты нормально индексируются, но такую контору еще надо найти.
Что на счет карьерного роста?
На втором и третьем этапе карьерный рост молниеносный. Можно встретить Тимлида с 1 годом опыта.
Что на счет текучки кадров?
На самом деле зависит от руководства, но в большинстве случаев студенты уходят через года два, когда понимают систему.
Правды ради многие сидят годами и даже много лет. Как это достигается? Корпоративной культурой и страхом людей к переменам.
Хорошо это или нет?
Я сам начинал в такой галере и она многому меня научила, но задерживаться там точно не стоит. Если конечно не взлетел по карьерной лестнице на первых этапах.
Зачем этот пост?
Чтобы молодые разработчики приходя в профессию и устраиваясь в галёру понимали как это работает и не делали удивленные глаза, когда ( при ошибке менеджмента) узнавали сколько им реально платят дяди из за океана за их работу.
Скорее всего будет шквал камней и критики в мою сторону, но когда я узнал всю систему и за сколько меня продавали, я жалел лишь о том, что мне раньше никто не рассказал.