Малый и средний бизнес тяжело решается на внедрение корпоративного программного обеспечения, но именно он быстрее всех ощущает эффект: в таких компаниях проще сделать удачное внедрение, обучить сотрудников и быстро выйти на рост продуктивности (или не выйти и отказаться). Однако всегда что-то может пойти не так — в любой внешней и внутренней ситуации, по не зависящим от самой компании причинам. И пока большие корпорации переживательно, но уверенно ищут многомиллионные альтернативы многомиллионным решениям, маленькие компании борются с трудностями, которые ежедневно уносят деньги. Это может случиться в любой день, и лучше знать, какие потенциальные проблемы ждут небольшие компании. Начнём с главного – с безопасности. В далёких 2007-2010 годах, даже в крупных компаниях, одной из основных проблем безопасности было чрезмерное любопытство сотрудников, на втором месте — их шаловливые ручки, на третьем — попытки скомпрометировать данные или продать коммерческую информацию конкурентам.

После 2010 года информационная безопасность компаний стала охватывать всё больший диапазон задач: и вот сегодня, весной 2022 года, компании должны оценивать внутренние, внешние, страновые и геополитические риски. Раньше это казалось сюром, если вы не «Газнефтьлеспром», а компания малого или небольшого среднего бизнеса. Сегодня одним из критичных моментов стал вопрос сохранения важнейших данных и накопленных баз. Итак, рассмотрим вопрос безопасности более детально.

На первом месте рисков безопасности — поставщики услуг и программного обеспечения. Мы все знаем, что крупный бизнес столкнулся с проблемами, связанными с сервисами больших международных IT-компаний. Но мы в своём рынке малого и среднего бизнеса видим то, что незаметно в шуме новостей: отказ от обслуживания, кратный рост цен на важные IT-продукты и даже матерные рассылки с прямым указанием того, что клиенты больше обслуживаться не будут, сервера и инфраструктура будут выключены, а «данные будут использоваться». Бэкапы тоже не выдаются. По сути, многие компании столкнулись с ахиллесовой пятой облачных сервисов: их можно отключить быстро и без предупреждения, при этом данные клиента остаются на «погашенных» серверах, там же могут быть и бэкапы (если компания слишком доверилась вендору).

Это ужасно, потому что встаёт оперативная работа простых компаний, в которой работают сотни и тысячи человек. Кстати, если вы попали в число таких «брошенных» клиентов, мы готовы вас обеспечить отличным ПО на классных условиях (подробности в конце статьи) — уверены, что в кризис каждая компания должна сделать для других всё, что для неё возможно и посильно. И да, наша CRM-система — серверная, on-premise, то есть все ваши данные хранятся на ваших же серверах (или на выбранных вами надёжных VPS) и полностью принадлежат вам. Это преимущество оценили многие клиенты и оно действительно отлично встраивается в контур информационной безопасности.

Но я совру, если скажу, что такое поведение поставщиков ПО что-то из ряда вон выходящее в особых условиях. Нет, буквально за несколько лет мы видели и принудительные отключения от бесплатного тарифа, и погасшие на пару дней сервера, и утечки данных, и смену тарифа в одностороннем порядке, и радикальное обновление систем без уведомления (вплоть до смены функциональности), и бекапы и дамп базы из облака за деньги. Такое бывает в компаниях, которые любят «переменять концепции» развития и роста на лету. Страдают, конечно, клиенты и, что особенно важно, конечные пользователи — ведь они испытывают проблемы непосредственно с рабочим инструментом.

Но и это не всё. Поставщик может внезапно исчезнуть или прекратить своё существование (особенно если это дилер вендора с «диверсифицированным» бизнесом). Вы будете звонить по номеру, который пару месяцев назад бомбил вас феерически красивыми презентациями и обещаниями, а в трубке будет абонент не абонент. Поэтому выбирайте либо непосредственно разработчиков систем (их на российском рынке немало, более того, есть даже не известные, но старательные и качественные), либо надёжных партнёров, проверяя опыт в отрасли, обсуждая реальные сценарии использования и обговаривая каждый пункт будущих работ (партнёры вендора могут любой ценой добиваться вашей оплаты, но при этом не иметь должных компетенций). Вы никого не обидите, если будете внимательно относиться к выбору поставщика.

Сотрудники всегда были риском номер один, но теперь они на втором месте. Это могут быть злонамеренные действия, неосторожность, халатность или простая лень — корневая причина не имеет никакого значения, если данные ваших клиентов утекают в сеть и продаются пачкой или оказываются у конкурентов, которые в большинстве случаев не побрезгуют даже самой скромной базой на пару сотен записей.

• По-прежнему уязвимы пароли, которые слабо защищены, не контролируются и хранятся как попало.
• Сотрудники компании — простые и доступные жертвы фишинга и других примитивных атак (вплоть до звонков), которые способствуют взлому баз данных компании, если у неё нет более или менее путной политики безопасности.
• Слишком много сотрудников имеют доступ ко всем критическим данным компании — это наблюдаем и мы, и, например, наши сотрудники, которые до этого работали в облачных сервисах. В малом бизнесе вообще распространена философия доверия, когда каждый сотрудник получает все доступы, «потому что мы семья». Не хочу сгущать краски, но бывает так, что в семье не без урода.
• Часто нет одного сотрудника, отвечающего за информационную безопасность и выстраивающего весь контур. «Авось» приносит свои плоды — рано или поздно. Ну, к слову, наличие такого сотрудника тоже своего рода значительный риск, однако без него количество рисков даёт мультипликативный эффект.
• Разрешена установка любого ПО на рабочие компьютеры. Это фатальная ошибка, которая (пока что, да скорее всего, и потом) приводит к неприятным визитам правоохранительных органов (если с вами это ещё не случилось, не значит, что вы никому не интересны), сокращает долю эффективного рабочего времени и приносит потенциальные дыры в безопасности.

И уже только на третьем месте идут конкурентная разведка, атаки, взломы, преднамеренные и случайные действия злоумышленников и проч. Проблема в том, что перед ними все равны, а сами атакующие зачастую на 1-2 шага опережают развитие объектов атаки. И это проблема, которую нам, современным айтишникам, решать, причём на любом уровне — безопасникам и сисадминам скучать не придётся.

Кривое управление ИТ-активами — путь в никуда

Когда ты ИТ-компания, проблема кажется надуманной: любой профильный сотрудник может работать с инфраструктурой, настраивать оборудование, решать внутренние проблемы и обслуживать заявки сотрудников. Однако пользователями ПО для бизнеса часто являются неайтишные компании, в которых даже не всегда есть штатный системный администратор. Без должного внимания и управления проблемы ИТ-зоопарка компании накапливаются.

• Работают устаревшие решения, которые давно позабыты разработчиками, не обновлялись или просто не соответствуют потребностям компании. По сути, они отъедают ресурсы и деньги, но на самом деле практически не работают, потому что уж не актуальны и не удобны. От таких токсичных ИТ-активов нужно избавляться и заменять их на нужные, оптимальные решения.
• Не соблюдается лицензионная чистота и, как следствие, компания подвергается правовому риску и в любой момент может налететь на серьёзные штрафы. Кстати, иногда именно сотрудники «тащат» нелицензионное программное обеспечение на свои рабочие ПК (из необычного, что приходилось видеть — полные пакеты средств для обработки фото и видео и целые коллекции игр).
• Нет дорожной карты работы с парком программного обеспечения: не контролируются обновления, не ведутся доработки, не проходит оптимизация всего ПО. Фактически в компании работает куча разрозненных программ. Это неправильно: практика планирования и бюджетирования ИТ-инфраструктуры в малом и среднем бизнесе не такая сложная, но зато экономит и деньги, и труд, и силы.
• Не проводится аудит установленных систем.

ИТ-услуги должны управляться — и в кризисное время особенно тщательно.  Компания может обратиться к аутсорсинговой компании, нанять штатного сотрудника для управления ИТ-активами или воспользоваться помощью разработчиков систем (как переходный вариант), они вам тоже не откажут. Но нужно понимать, что все три варианта платные, и эта плата зачастую стоит всей оперативной работы и сохранности данных.

Лебедь, рак да щука — когда бардак им всем на руку

Если в компании есть даже не отдел, а хотя бы один маркетолог и один продажник, вы можете с высокой вероятностью увидеть подковёрную (а иногда и вполне себе открытую) борьбу этих двух сотрудников. В основе конфликта лежит непонимание методов и подходов в работе друг друга, но и ПО нередко становится яблоком раздора: начинается закрытие доступов, борьба за данные, ругань из-за формата и полноты представления данных в корпоративных системах. Каждый тянет одеяло на себя и пытается доказать, что только он здесь аналитик, а остальные ламеры.

Когда знания одних и тех же отделов разрознены, ситуация может показаться непрозрачной, а работа будет несогласованной, сумбурной. Естественно, с каждый рабочим конфликтом ситуация будет только ухудшаться. В то же время корпоративный софт, например, CRM или BI-система, должны быть центром бизнеса, аккумулирующим всю информацию. Важно следить, чтобы ни один сотрудник не игнорировал работу с ИТ-системой и не «уходил» работать в цепочки писем электронной почты и в дебри электронных таблиц. Если каждый будет хранить рабочую информацию там, где ему удобно, внедрение корпоративных информационных систем не сработает.

Бизнес меняется, а софт — нет

Особенно это касается CRM и ERP-систем, с которыми работает большая часть сотрудников компании. Реальность такова, что система должна быть способной меняться вместе с вашим бизнесом: масштабироваться, развиваться, обновляться и наращивать возможности. На современном российском рынке есть три основных группы решений.

1. Кастомизируемые и масштабируемые внутри самой системы — то есть такие приложения, которые могут дорабатываться силами вендора или штатного программиста под узкие задачи пользователей, имеют настраиваемые отчёты, формы, печатные формы, различные конструкторы, например, конструктор калькулятора, KPI или бизнес-процессов. Это удобные для развертывания, настройки и изменения системы, которые можно адаптировать к потребностям бизнеса даже в том случае, если сегодня компания продаёт бетон, завтра становится типографией полного цикла, а послезавтра начинает делать салаты навынос и печь пирожки.
2. Системы, масштабируемые и кастомизируемые за счёт аддонов, сторонних приложений и интеграций. В каком-то смысле это тоже удобный вариант: компания может подключать или отключать любой «обвес» исходя из потребностей. Но это довольно дорогая история: вы платите не только за саму систему, но и за каждый аддон и каждое внешнее приложение (абонентская плата по модели SaaS). Конечная сумма получается далеко не та, которую мы видим в тарифах на сайтах. Ну и вновь, увы, стоит вспомнить о больном месте облачных сервисов: любой аддон или приложение могут перестать работать не только по объективным причинам, но и просто по прихоти его разработчика.
3. «Жёсткие» системы, которые поставляются с набором возможностей, который практически никак нельзя кастомизировать и даже модифицировать. Причём такие системы есть как среди старых, почти уже заброшенных решений, так и среди вроде как актуальных облачных. Такая ситуация — следствие экономии на разработке. Кстати, забавно, что нередко именно у таких систем довольно агрессивный и провокационный маркетинг. А вот цена — на уровне первых двух групп, а порой и выше.

Поэтому, выбирая CRM или ERP, планируйте своё дальнейшее развитие, думайте о следующих шагах вашего бизнеса, о перспективах набора или сокращения персонала. В процесс выбора обозначьте планы вендору, чтобы он мог предусмотреть масштабирование системы и дал бы вам точную информацию о её потенциальных возможностях на перспективу.

Автор: Алексей Суриков
Источник: https://habr.com/

Понравилась статья? Тогда поддержите нас, поделитесь с друзьями и заглядывайте по рекламным ссылкам!