Ile kosztuje obsługa informatyczna firmy we Wrocławiu? - omówienie zakresów umowy serwisowej i sposobów rozliczania

Ile kosztuje obsługa informatyczna firmy?

By odpowiedzieć na tytułowe pytanie, należy w pierwszej kolejności zastanowić się, za co może płacić klient w ramach takiej usługi oraz jaki może być sposób rozliczania.
Oba te zagadnienia są różnie rozumiane, zarówno wśród świadczących usługi jak i przez samych klientów.

Często otrzymuję zapytania o obsługę serwisową, infrastruktur znacznie się od siebie różniących, a mimo to pytający deklarują takie same potrzeby w roboczogodzinach miesięcznie, a do tego, pytają o miesięczny "abonament". Ku mojemu zdziwieniu - abonamentem, traktowany jest zazwyczaj pakiet godzin, po którym klient musi dopłacać za kolejne roboczogodziny. Oczywiście rozumiem stosowanie limitów, by wykonawca chronił się przed całkowitym oddelegowaniem pracownika IT za ułamek kwoty jego wynagrodzenia, ale dla mnie, abonament to ryczałt - konkretna, stała kwota.

Większym jednak problemem jest podawanie kosztów obsługi (nawet szacowanych), bez szczegółowej znajomości infrastruktury, bez ustalenia precyzyjnie zakresu usługi oraz bez odpowiedniego przygotowania infrastruktury.
Proszę wybaczyć szczerość, ale wynika to zazwyczaj z oczekiwania takiego podejścia przez klienta, zaś wykonawcy boją się powiedzieć prawdę i dostosowują później zakres pracy do oszacowanej ilości godzin lub kwoty a nie odwrotnie. Z tego samego powodu, często pomijane jest bardzo ważne wstępne przygotowanie infrastruktury, tj. np. dostępów zdalnych, automatyzacji backupu, eliminacji awaryjnych lub zagrażających bezpieczeństwu punktów, odbierane jako próba naciągania już na wstępie albo oczekiwanie, że będzie to zrobione w ramach opłaty miesięcznej.
Prawda jest taka, że jest dokładnie odwrotnie. Takie działanie to klucz do obniżenia kosztów miesięcznych oraz może co ważniejsze: zredukowania prawdopodobieństwa awarii i zminimalizowania jej skutków.
Czasami nie ma szansy na rozmowę z osobą decyzyjną której po prostu zależy i zorientowaną w potrzebach - co uważam, za stratę dla samego klienta, nawet, jeżeli znajomego wykonawcę ma z góry wybranego lub chce tylko zweryfikować, czy dotychczasowy zbytnio nie zaczął naciągać.
Osoba oddelegowana do zbierania i porównywania ofert, bywa, że nie jest w stanie udzielić odpowiedzi, czy program księgowy jest na serwerze lokalnym w firmie czy w chmurze u producenta, a mimo to chce koniecznie otrzymać ofertę na obsługę serwera - bo tak kazał szef. Rozmowa się nie klei i obie strony tracą czas. Charakterystycznym jest też, że taki rzekomo potencjalny klient, nie jest chętny do niezobowiązującego spotkania i wizji lokalnej, choćby z grubsza dającej pojęcie potencjalnemu wykonawcy czym miałby się opiekować.
Rozsądniejszym było by skorzystanie z odpłatnej konsultacji czy audytu, ale to kosztuje a zbieranie ofert - nie. Taka taktyka wynikać może z niezrozumienia własnych potrzeb lub ryzyka w zakresie IT. Czasem przekonać musi do tego jakaś kara, utrata danych lub wizerunku.
Powinno się zacząć zapytanie od przedstawienia ewidencji infrastruktury i opisu jej funkcjonowania, co budzi nie tyle zdziwienie co zniechęcenie, a to tylko pierwszy etap przed audytem technicznym, oprogramowania czy bezpieczeństwa. Brak takiej dokumentacji już przy kilkunastu urządzeniach zaczyna powodować tak naprawdę brak świadomości tego co jest w firmie i co się z tym dzieje. Bywa, że dostaję od klienta wypełnione tabelki, jakie podsyła do takich zapytań konkurencja. Problem w tym, że są w nich bardzo zgrubne pytania, typu: ile jest serwerów, komputerów i drukarek, albo czy serwer jest oparty o Active Directory. Ilość może dać informację o wielkości przedsiębiorcy, zaś o ile klient w ogóle potrafi odpowiedzieć na drugie pytanie, to da to pojęcie o tym, na czym informatyk powinien się znać.

Każda firma ma zazwyczaj inny sprzęt i oprogramowanie oraz konfigurację tych elementów, różny bywa też stan tej infrastruktury, wymagany może być też różny czas reakcji (tudzież naprawy). Ostatecznie koszt obsługi, może różnić się ponad dziesięciokrotnie przy takiej samej ilości i typie sprzętu.

Przykładowo: serwer - może być rozumiany jako komputer z systemem stanowiskowym, czyli np. MS Windows 7, na którym jest zainstalowana jedna baza danych np. systemu sprzedaży Subiekt GT. Może to jednak być maszyna, oparta o system serwerowy MS Windows Server i wspomniany Active Directory, a ten z kolei może być wdrożony w różnym stopniu skomplikowania i obsługiwać różną ilość użytkowników. Ilość zainstalowanych aplikacji może ograniczać się do wspomnianej bazy danych, ale i może to być kilkanaście wyspecjalizowanych aplikacji, gdzie każda wymaga regularnego administrowania i może narobić problemu sama lub w konflikcie z inną. Do takiego serwera mogą łączyć się użytkownicy, pracując na zdalnych pulpitach lokalnie albo dodatkowo serwer taki może pełnić rolę usługi VPN (Virtual Private Network), do obsługi dostępu zdalnego. Serwer jako fizyczny komputer, może zawierać serwery (maszyny) wirtualne, na których pracują wydzielone programy czy bazy danych. Może też pełnić rolę serwera poczty lub stron WWW. Może też istnieć potrzeba ciągłych zmian, choćby użytkowników czy udziałów sieciowych, wynikająca ze specyfiki działania firmy. Jak by tego było mało, może być oparty nie tylko o systemy MS Windows, ale o systemy Linux i nie mam tu na myśli uproszczonego, z relatywnie łatwym interfejsem graficznym, stosowanym w serwerach typu NAS (Network Attached Storage). Zatem, różnica w obsłudze, może wynosić nie 300 zł a na przykład 3000 zł miesięcznie.
Drugim przykładem niech będzie router, który uznawany jest zazwyczaj za "pudełko do Internetu", o którym po skonfigurowaniu się całkowicie zapomina. Tymczasem, to urządzenie ma niebagatelny wpływ na bezpieczeństwo lokalnej sieci w Państwa firmie (pisałem o tym w tym artykule), pod warunkiem, że będzie doglądane. Za sprawą dodatkowo rozbudowanego oprogramowania wewnętrznego (ang. firmware), routery jako urządzenia, mogą pełnić rolę: serwerów VPN, budżetowych serwerów plików (NAS) czy serwerów FTP (File Transfer Protocol). Takie funkcjonalności nierzadko wymagają znacznie częstszej aktualizacji a w niektórych przypadkach stałego monitorowania. Wiec jeśli wykonawca mówi, że router dorzuci do obsługi gratis, to zakłada, że to jakaś wiekowa tandeta za 50 zł z MediaMarkt, która dopóki nie ulegnie całkowitej awarii, nic z nim nie będzie się robić. Z kolei w routerach bardziej zaawansowanych koszt opieki zależy od tego z jakim jest oprogramowaniem, więc nie liczyłbym na gratis. Przykładów zróżnicowania nakładów na obsługę sprzętu czy oprogramowanie mógłbym wymienić więcej, kolejny to UPS - jeden ma tylko włącznik a drugi ma wbudowany cały system do zarządzania przez sieć.

Zahaczamy o kolejną kwestię, tj. stan infrastruktury. Tutaj paradoksalnie im większy złom lub niska klasa sprzętu, tym często tańsze administrowanie, kosztem jednak możliwości i stabilności, czyli ryzyka awarii, utraty danych czy ich wycieku. Przegląd infrastruktury z audytem technicznym i opcjonalnie bezpieczeństwa IT, może pomóc ustalić balans między kosztami a ryzykiem.

Dodam jeszcze, że określając "zakres" usługi klienci czasem mają na myśli na przykład opiekę nad systemem CMS typu Wordpress czy wsparcie sklepu internetowego np. Shoper. Na przekorne pytanie, czy pozycjonowaniem też mam się zająć, pada odpowiedź: było by super! ;) Informatycy często mają pojęcie w tym temacie, jednak programista czy pozycjoner raczej za informatyka robić nie będzie, to dlaczego ma to działać w odwrotną stronę? ;)

Zatem co taka obsługa powinna zapewniać?

Stabilność pracy Zasobów (serwera czy komputera wraz z systemami operacyjnymi i oprogramowaniem, routera, UPS, drukarki itd.) i Bezpieczeństwo Informatyczne infrastruktury.
Określony poziomu ciągłości pracy Zasobów - sprecyzowany Czasem Reakcji i/lub Czasem Naprawy (przestoju).
Ochronę Danych Użytkownika, przed zniszczeniem i uszkodzeniem.
Pomoc techniczną lub reprezentację, wobec producenta sprzętu bądź oprogramowania.

To są jednak frazesy marketingowe, które teraz należy przełożyć na sposób, w jaki to chcemy osiągnąć, a zatem:

poprzez profilaktykę, taką jak:

monitorowanie
administrowanie
serwisowanie
przekazywanie zaleceń dotyczących podnoszenia stabilności i bezpieczeństwa infrastruktury

zaś w razie awarii lub naruszenia bezpieczeństwa informatycznego, poprzez interwencję:

od strony programowej lub sprzętowej

w określonym:

Czasie Reakcji i/lub Czasie Naprawy, w ramach Dyspozycyjności.

Zadania powyżej wymienione powinny być realizowane według ustalonego planu / harmonogramu zawartego w umowie, nie zaś pozostać ogólnikiem.
Dopiero wtedy jest to podstawowa informacja za co ma płacić klient.
Postaram się, nakreślić skrótowo jakie działania powinny się kryć za wymienionymi wyżej hasłami.

Monitorowanie - ma wykrywać awarie lub jej symptomy oraz zagrożenia bezpieczeństwa informatycznego przez odczyty wskazań aplikacji monitorujących, logów oraz powiadomień mailowych - o ile takie są możliwe do ustawienia. Częstotliwość i sposób monitorowania powinien być dobrany do wagi istotności oraz indywidualnych potrzeb klienta. Chodzi o to by nie sprawdzać raportów oprogramowania antywirusowego raz na miesiąc, czy też poprawności działania backupu rzadziej niż ustalony maksymalny okres, z którego klient godzi się na ewentualną utratę danych.
Koszty monitorowania zależą więc od tego co monitorujemy, w jaki sposób i jak często. Czyli nie wyceniamy tego tak, że serwer monitorujemy za 100 zł od sztuki. Jeden klient zapłaci za monitorowanie 50 zł a inny 500 zł miesięcznie.

Administrowanie - to głównie eliminowanie luk i zagrożeń bezpieczeństwa przez wdrażanie aktualizacji oprogramowania, które wydaje producent + odpowiednia konfiguracja tego w razie potrzeby. O zasadności nie będę tutaj pisał, ale ktoś może powiedzieć, że przecież to się samo robi, więc po co za to płacić? Po pierwsze, nie wszystko samo się aktualizuje - jak choćby firmware routera czy BIOS serwera. Po drugie, automatyczne aktualizacje, instalują wszystko jak leci i czasem w chwili gdy akurat nam to pasuje. Po trzecie, aktualizacje nierzadko potrafią doprowadzić do awarii i to dość poważnej, której odkręcenie, może skończyć się koniecznością stawiania systemu od zera. Po czwarte, niektóre aktualizacje mogą wymagać ponownego skonfigurowania systemu czy aplikacji, a przykładam na to mogą być tzw. alternatywne firmware routerów.
Zatem czy klient ma płacić za to, że informatyk kliknie to ręcznie? Zdecydowanie nie! Rzetelny wykonawca, zaczyna od zapoznania się z dokumentacją tego co zawiera dana aktualizacja, następnie weryfikuje dostępne informacje w sieci na temat tej aktualizacji i ewentualnych problemów oraz ma wiedzę, czy wystąpiły u innego klienta (o ile nie są Państwo pierwsi, za każdym razem). Istnieje też możliwość przeprowadzania wdrożeń na systemach testowych, analogicznych do produkcyjnych. Mając zatem powiedzmy 95% pewności, aktualizacja powinna być wdrażana i to w dogodnym terminie, który będzie najmniej uciążliwy dla użytkowników, a ewentualna awaria w skutkach przestoju. Czyli nie automatycznie o 3:00, gdzie po restarcie system nie wstanie i rano informatyk zostanie obudzony telefonem od klienta, że nic nie działa. Szerzej o aktualizacjach napisałem: tutaj
Administrowanie może także obejmować prace cykliczne, związane z utrzymaniem infrastruktury, jak choćby usuwanie zbędnych plików z systemu operacyjnego.
Opłata za administrowanie będzie więc zależała głownie od tego co wejdzie w skład tej usługi oraz jaki harmonogram tych prac zostanie ustalony.

Serwisowanie - pod tym hasłem kryją się głównie przeglądy i konserwacje, jak choćby układów chłodzenia, czy też wymiany elementów eksploatacyjnych w drukarkach, bardziej skomplikowanych od tonerów czy tuszy. Koszty ryczałtowe zależą przede wszystkim od podejścia do tego zagadnienia, a to dlatego, że umowy zazwyczaj są roczne, zaś zasadność czynności takich jak konserwacje czy wymiany chociażby akumulatorów w UPS, rzadko kiedy zachodzą w tak krótkim czasie.

Przekazywanie zaleceń dotyczących podnoszenia stabilności i bezpieczeństwa infrastruktury - czyli jak niektórzy pomyślą: kreatywne określenie naciągania na kolejne wydatki.
Wyobraźcie sobie Państwo, że są decydenci firm, którym zależy i są w stanie zlecić chociażby kontrolowany atak hakerski na własną firmę i niekoniecznie są to korporacje lub instytucje rządowe, zastanawiające się, jak wydać te miliony z dotacji UE.
Tutaj mam jednak na myśli działania na znacznie niższym poziomie abstrakcji i za znacznie mniejsze pieniądze.
Pytanie, czy Państwa informatyk przegląda doniesienia portali IT o lukach bezpieczeństwa w różnych urządzeniach i systemach, tak by zanim (i o ile w ogóle) producent wypuści łatę, wiedzieć o potencjalnym zagrożeniu? To cenna wartość dodana takiej umowy.

Interwencje - to działania zmierzające do usunięcia awarii, którą może - a raczej powinno być, także zagrożenie czy wręcz utrata bezpieczeństwa informatycznego.
Po co podział na interwencje od strony programowej i sprzętowej?
Otóż, przykładowo nowy sprzęt ma gwarancję, a w niektórych przypadkach również z naprawą u klienta w określonym czasie. Jeżeli czas ten jest wystarczający, nie ma sensu, by klient za to płacił podwójnie, jeśli jednak taka ochrona gwarancyjna się kończy, warto by z kolei taka opcja była.

Czas Reakcji lub Czas Naprawy w ramach Dyspozycyjności, to koszty, które nie da się przeliczyć wg stawki godzinowej, a jeżeli oferuje się więcej jak jedną opcję, to rozróżnienie cenowe będzie czynnikiem wpływającym na cenę usługi dość znacznie. Jeżeli czas taki, wyliczany będzie dla danego Zasobu a nie całej infrastruktury, można rozdzielić poziomy ważności, np. serwer priorytetowo, zaś naprawa stanowiska może zaczekać. Warto też zwrócić uwagę na to, że niektórzy podają "czas reakcji" jako "natychmiastowy", bo mają na myśli odebranie telefonu i wstępne przyjęcie zgłoszenia, nie zaś rozpoczęcie interwencji zdalnej lub na miejscu u klienta.

Jakie są zalety ryczałtu?
Jeżeli wystąpi awaria, stawki godzinowe są wielokrotnie niższe a modułowa budowa planu choć na pierwszy rzut może wydawać się przerostem formy, w praktyce pozwala dopasować opłatę do potrzeb klienta.

Jest jeszcze jedno zagadnienie, którego nie da się omówić bez rozważania konkretnego przypadku. Mianowicie, te same usługi bywają wykonywane na różnym stopniu skomplikowania technicznego, często zależnie od wiedzy i/lub podejścia wykonawcy. Niektórzy powiedzą Państwu: "u mnie się to sprawdza", bo po prostu kolejny klient jest obsługiwany tak samo, a że nie wnika, to po co informatyk ma komplikować sobie życie? Jak się popsuje, to się będzie martwić a straty poniesie klient. Paradoksalnie nie zawsze ma to przełożenie na ceny.

A czy to w ogóle potrzebne albo czy nie lepiej zlecać doraźnie naprawy?
No cóż, to zależy od punktu widzenia. To trochę jak z nieobowiązkowym ubezpieczeniem. Można go nie mieć w ogóle, można mieć bez wnikania w warunki (zapewne poza kwotą) lub można wykazać nieco więcej zainteresowania i doczytać warunki.