Своєчасне делівері і безпека: як показати клієнту, що з українським ІТ варто працювати

Привіт! Мене звати Максим Шаповал, моїм хобі і роботою є інформаційна безпека. Закінчивши профільне навчання у 2011 я працював за спеціальністю і з 2014 очолюю напрямок інформаційної безпеки в різних ІТ компаніях (outstaff компанії Ciklum, Lohika/Capgemini Engineering, а сьогодні — продуктова компанія Uklon).

Ринок ІТ напряму залежить від міжнародного замовника і тому постійно має адаптуватися до нових викликів через зовнішні фактори, спочатку Covid-19, а тепер повномасштабна війна. В цьому матеріалі я пропоную розібрати ключові фактори, які важливі замовникам та партнерам і розібрати як убезпечити свій продукт/проєкт та довести, що робота з Українським ІТ безпечна і надійна.


«Змінюйся, або помри» цей вираз як ніколи стає актуальним для ринку українського ІТ. Якщо на початку повномасштабного вторгнення український ринок ІТ показав стрімкий фінансовий зріст, то уже в наступному 2023 році швидкість зросту не просто зменшилася, а навпаки, дохід почав зменшуватися в порівнянні із 2022.

При тому кількість охочих працювати у сфері ІТ тільки збільшується. Причина зрозуміла — українське ІТ стало отримувати менше замовлень, адже більшість клієнтів була з-за кордону. Проте попри війну і блекаути якість роботи наших спеціалістів, швидкість роботи, готовність працювати за графіком зручним для клієнта ніколи не мали нарікань. Подумаймо що найголовніше для клієнта і які ризики вони вбачають при роботі з українськими спеціалістами. І проаналізуємо як можна дані ризики мінімізувати та продемонструвати клієнту, що ми дбаємо про безпеку і доступність продуктів які створюємо і дані, які в них зберігаються.

Що в першу чергу важливо для замовника?

  • Щоб його програмний продукт був доступний клієнтам, ним користувалися і цей продукт приносив гроші.
  • Щоб всі дані, які зберігаються оброблюються і передаються через продукт були в безпеці, збережені і доступні для роботи.
  • Щоб була доступна команда, яка продукт розробляє, вчасно випускає нові релізи та своєчасно виправляє всі помилки при запитах користувачів.

Які ризики можуть вбачати клієнти:

  • Несвоєчасна здача проєкту/нового релізу через недоступність команди
  • Недоступність самого продукту через недоступність, нестабільну роботу датацентру
  • Недоступність продукту через збільшення кібератак на українські ресурси. Навіть якщо ви/ваш клієнт не є ціллю, але продукт може постраждати «рикошетом» через атаку на датацентр.
  • Компрометація чи несанкціонована зміна коду/інтелектуальної власності або бази даних самого продукту через злам продукту.
  • Компрометація даних через користувачів/розробників продукту через кібератаки, або крадіжку техніки.

І нам, якщо ми хочемо і надалі стабільно працювати із клієнтами із-за кордону критично необхідно обробити ці ризики до допустимого клієнтом рівня.
Оскільки ризик = це ймовірність того, що існуюча вразливість системи чи процесу буде використана актуальною загрозою, то обробка ризиків зводиться до мінімізації вразливостей.

Розберемо ці властивості

Всеможливі проблеми з командою. Питання недоступності людей через потенційну чергову хвилю пандемії чи мобілізацію ми упустимо, і зосередимося виключно на технічній стороні. Оскільки люди перестали здебільшого відвідувати офіси і робота відбувається переважно віддалено, то необхідно забезпечити команди засобами безперебійного живлення, безпечного віддаленого доступу та стабільним інтернетом.

Питання інтернету та безперебійного живлення буде складно вирішити для кожного окремого члена команди, тому ми можемо лише радити їм користуватися послугами інтернет-провайдерів, які використовують оптоволоконні кабелі, адже ці кабелі не проводять електрику і стійкі до відключень світла. І тому простою мовою — інтернет працюватиме при відключеннях світла. Або ж користуватися послугами найновішої технології супутникового інтернету Starlink (не для всіх може підійти, а також досить дорого для встановлення і використання). А також використовувати зарядні станції чи павербанки, які можуть живити ноутбуки та домашні роутери (бажана потужність не менше 65Вт). DOU багато разів писав про це, ось один із найсвіжіших оглядів.

А от питання стабільного і безпечного доступу до корпоративних ресурсів варто розглянути більш детально. Наразі недостатньо звичайного VPN підключення, оскільки люди можуть працювати з будь-якої техніки. Тож наступним витком розвитку VPN стала технологія ZTNA. Zero-Trust Network Access — це модель при якій відсутні довірені пристрої чи особи і будь-яке підключення, а будь-яке підключення верифікується і весь трафік сканується.Актуальний перелік найкращих рішень можна знайти на сторінці аналітичного агенства Gartner.

Також важливо пам’ятати про питання доступності операційних даних, з якими працюють команди. Враховуючи питання блекаутів, людина має мати змогу легко переключатися з ноутбука на планшет, телефон, чи інший пристрій і знову продовжувати свою роботу. Тому варто впровадити сервісу бекапування інформації з техніки в хмарні сховища, щоб мати змогу працювати з цими даними 24/7.

Задля забезпечення комунікації між клієнтом і командою бажано використовувати хмарні SaaS рішення на кшталт Google Workspace, Microsoft 365, що гарантуватиме роботу ресурсів незалежно від вашого датацентру чи приватної системи комунікації, а також забезпечить мінімально необхідними заходами безпеки.

Питання доступності продукту. Як би не було нам зручно чи фінансово вигідно, проте враховуючи реалії, варто відмовлятися від локальних датацентрів на перевагу IaaS, PaaS сервісів. Такий перехід позбавить нас від проблем недостачі живлення у Датацентру чи Інтернет-провайдера, а також ризику втрати ІТ інфраструктури у випадку влучання ракети/дрона, а головне — забезпечить доступність інфраструктури і продукту 24/7, резервування/балансування навантаження головних сервісів і бекапування даних.

Окрім того, приємним бонусом буде швидкість відгуку продукту, адже передові хмарні провайдери можуть розмістити ресурси в декількох зонах ЄС, Азії, Америки.

В той же момент такий перехід виведе вас з під прицілу російських хакерів, які регулярно сканують всі українські ІР адреси на предмет шкоди/виводу будь-якого сервісу з ладу.

Ну і звісно ж, ви отримаєте передові сучасні можливості захисту ваших продуктів.

Компрометація даних. Це питання сьогодні стало ще більш нагальним, оскільки атаки на українські ресурси стали буденням, випадки крадіжки техніки також збільшилася в рази.

Перше, що варто зробити — налаштувати складну парольну політику і включити 2-факторну автентифікацію абсолютно на всі системи входу, в т.ч. підключення до ZTNA.

Також важливо обмежити можливість входу із локацій, а яких не працює ваша команда (з росії, Білорусі, Венесуели і т.п.), а також обмежити доступ до самого продукту лише з країн, де цей продукт використовується.

Ну і звісно ж варто мати систему детектування і протидії втручань (Intrusion Prevention System, IPS) та систему логувань втручань, спроб переборі паролів і т.п.

Ну і, репрезентативним, найкращим підтвердженням того, що ваші люди, процеси, технології, розробка і продукт в безпеці і працюють неперервно є наявність сертифікацій:
ISO\IEC 27001:2022 — Система Управління Інформаційною Безпекою
ISO 22301:2019 — Система Управління Неперервністю Бізнесу

Це всесвітньо визнані сертифікації та найкращий набір правил, що гарантують наявність процесів для забезпечення безпеки, неперервності і постійного вдосконалення цих систем управління.


Звісно ж, всі ці рекомендації не вичерпні і необхідно підходити до потреб кожного клієнта точково і уточнювати основні критерії роботи, проте наявність мінімального — гарантованих заходів безпеки даних і доступності продукту та команда розробки/підтримки однозначно зіграє на вашу користь при обговоренні співпраці.

👍ПодобаєтьсяСподобалось2
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

з того що я бачу — юа девам дуже не хватає ввічливості, особливо коли є непорозуміння

Цікаво. Мені замовники казали про українське IT наступне:
1. Просто дорого.
2. Дорогий реальний час, бо те, що продається як час у дійсності гарно якщо 30 хв.
3. Відсутність ініциативи. Типовий девелопер ледве встигає закривати тікети. Іноді це пов’язане з декільками замовленнями водночас. Іноді з продажем джунів як сеніорів (так, замовник може розуміти, що галера його най*бує).
4. Ризики, пов’язані з мобілізацією.
5. Ризики, пов’язані з обстрілами.
6. Ризики, пов’язані з інвесторами (інвестори теж сидять у лінкедін і теж бачать сотні постів про те, що той чи інший IT-спеціаліст загинув, або що був прильот).
7. Ризики, пов’язані з банками (ряд крупних банків не пропускає трансзакції до країн, де йдуть бойові дії, або вимагає додаткові документи на кожну трансзакцію).
8. Відсутніть культури. Ага. Типовий розробник у 2024 це не теж саме, що типовий розробник у 2016. Зараз в очах західного замовника український розробник дуже хамовитий і зі значно-завищеною самооцінкою, невідповідаючею сучасним реаліям і, що гірше, скілам і попереднім проектам.

Мені замовники казали про українське IT
Дорогий реальний час, бо те, що продається як час у дійсності гарно якщо 30 хв.

Байка, клієнти які можуть заестімейтити час інженера з точністю до хвилини?)

Байка, клієнти які можуть заестімейтити час інженера з точністю до хвилини?)

Мало тут на доу було заячих тем? Купа тут кадрів ще хвалилися як на 3 фултайми веслають

Почитай ще раз той його «список».
Це б міг ще написати лід команди, технічний власник малого стартапу, та й то сумнівно.

Навіть те що дорого, це в порівнянні з ким?) З джунами-індусами? Норм сіньор індус так коштує ± так само як і наш сіньор.
Культура це взагалі смішно, таке хіба наш галерний менеджер 10+ років досвіду напише.

Це лише комплекси і страх бути голосним і помітним, не більше. Без них ви б помітили, що всі професії думають що вони обрані богом і всі професії погано реагують на зауваження клієнта.

Цікаво про (8), в чому саме невідповідність і що таке «відповідність» попереднім проектам?

Не з усим згоден але в цілому десь так.

Відсутність ініциативи

Ну то наївність у замовників, що контракторам пече за продукт, ніхто з контракторів не лізе в цей мотлох, бо через рік/два буде новий проект, хочеш чи не хочеш, навіщо вивчати бізнес логіку та бігти по перед батька в пекло з іноваціями коли там менджмент дуже вумний а бзінес часто в позиції — я краще знаю як робити але не знаю як чаме це робити? Нема тз — результат хз. Один хрін ні бонусів ні чого іношо. В цілому ті хто вже давно працює з аутсорсом вже розуміють як їх тре готувати. Хочеш мотивованих? Плати ринкові ціни, будуй атмосферу к проекті, процеси а головне бонуси та акції, перспективи в карʼєрі, ну і взагалі там багато чого іще...ні в кого очі не горять просто так.

2 пункт, ну це взагалі клініка якщо доколупуватись до хвилин, сорян але ви хоч раз бачили як у замовників працюють інші в офісі? Там просто швах — «сорян я поїхав за дитиною в школу, не буде 2 години», сьогодні вже пізно давай завтра, завтра не встигну давай післязавтра, післязавтра в мене дантист котрого я чекав пів року...Щоб щось отримати віб аналітиків тре ледь не по яйцям пинати...
Ризики з війною та хамовитість то так і є, ту дуже все полайт має бути.

ні в кого очі не горять просто так.

Та не скажи, бувають люди, особливо в періоді перших кількох років сіньорства, які думають що от будуть впахувати і клієнт їх забере на пряму чи ще щось таке.
Сам таким був і з такими працював)

Головне — піймати людину на цьому моменті, а потім вчасно її позбутись на початку періоду вигорання xD

Відпустки у них як у «білих людей», а не 2 тижні, як на галері.

В ЮК не дуже балують відпустками в США так взагалі. Відпустки то Германі та Франція, та інші подібні.

Мене данці вразили — вони влітку розписали собі відпустки по місяцю-півтора.

пункти 2 та 3 це типовий галерний примус:
ти повинен виробити 8 ж\годин, навіть якщо це нереально, тому що мітинги, 2 трекера, в які треба розписати досягнення, різний двіж, про який тут писав Бобер ( dou.ua/...​rums/topic/49957/#2866677 )

тому, так:
«чесні» 8 годин результату це більше, ніж 8 годин роботи, а за іниціативу на галері б’ють, зазвичай.

ти повинен виробити 8 ж\годин, навіть якщо це нереально, тому що мітинги, 2 трекера, в які треба розписати досягнення, різний двіж, про який тут писав Бобер

Це ж входить у ті 8 годин)

it depends.
велика тема, вже не раз обговорювалось.
я для прикладу дав посилання коментом вище.

А якщо додати галерні «хитрощі» — то клієнт не дарма підозрює що його «розводять на бабки», як лоха. І що він робить? Правильно — вимагає звітів за кожні витрачені 30 хвилин!

При цьому дуже скоро виявляє, що сума усіх зроблених завдань не дорівнює робочому часу. Наприклад за тиждень девелопер зробив 6 тасок і зарепортив на них 36 годин. Але ж робочих годин у тижні 40. І тут клієнт починає волати що вивів усіх на чисту воду і з нього беруть зайві гроші!
У чому проблема? А ніхто зазвичай не враховує скільки часу іде на усякі мітинги (це ж не таски), скільки витрачається на налаштування енвайроментів, підготовку віртуальних машин чи контейнерів, деплоймент.

скільки витрачається на налаштування енвайроментів, підготовку віртуальних машин чи контейнерів, деплоймент.

На коженн таск налаштовується з ноля середовище, віртуальна машина і так далі, і все це робить кодер сам?

Вірю.
Я б ще додав: «На виконання кожного таску, кодер повинен вранці встати, поїхати до офісу (це і година часу)... Завантажити комп (можуть виникати різні проблеми)... »
Головне мати дар казати це з серйозним виглядом...

Михайло, радий чути, що для Вас це базові речі.
В той же момент в Україні порядка 300тис ІТ спеціалістів і 5тис компаній. І не для всіх ці речі є очевидними, власне тому вони зараз можуть втрачати ринок.

А це і не орієнтована на Дева стаття :)
за процеси в компанії не вони відповідають

Питання недоступності людей через ... мобілізацію ми упустимо, і зосередимося виключно на технічній стороні

Дальше не читал.
Основной риск работы с украинским айти для зарубежного клиента, это возможность потерять ключевого специалиста из-за внезапной мобилизации.
Дополнительный риск: недоступность и срыв сроков из-за отключения света.
Украинские реурсы? Украинские датацентры? О чем это вообще?

якби почитали далі, можливо, мали б більше уявлення про що йде мова.
Якщо у Вас є свої результати опитування клієнтів/замовників, можете їх окремо навести і розписати як клієнтів задовольнити.

Для того, щоб компанії заробити, їй треба спочатку клієнта заохотити до співпраці.
Фралінсерів це не стосується взагалі

Прочитав повністю і взагалі не зрозумів. Клієнти дійсно от так відкидають такі ризики? Не ставили питання чи не мобілізують когось з команди?
Бо я коли шукав роботу чув від кожного першого запитання про мобілізацію. Звісно тема досить чутлива і прямо відмовляти тобі через це ніхто не буде. Але це прям #1

Підписатись на коментарі