Dlaczego porażkę warto ponieść szybko?

Dlaczego ten odcinek może być wyjątkowy? Bo dzisiaj gościem FlyTalks jest ekspert, który przebył długą zawodową drogę, ale swoją przygodę z chmurą zaczynał jako partner Google, więc tak po partnersku zapraszam już na odcinek, którego zwieńczeniem będzie bezpieczeństwo pracy w chmurze. Środek będzie należeć do tego, jak naprawdę wygląda ten precyzyjny proces cyfrowej migracji, czyli sytuacja, w której chcemy przenieść dane od dotychczasowego dostawcy albo własnego serwera na chmurę. A na starcie naszej rozmowy przyjrzymy się dobrym praktykom i standardom, jakie towarzyszą Googlersom. Z nami właśnie jeden z nich - Kacper Ptasiński, Customer Engineer, Productivity and Collaboration w Google. Witaj, Kacprze. Dzień dobry.

Cześć, miło tu być.

Jesteś kolejną osobą z Google, która gości we FlyTalks. Słuchaj, to nie tak, że my Googlersów jakoś specjalnie kolekcjonujemy, ale dostać informację ze źródła od kogoś, kto tworzy narzędzie sprzedawane, zarządzane przez nas to chyba po prostu najcenniejsza perspektywa. Dlatego tym bardziej się cieszę, że z nami jesteś i na to wszystko liczę, ale na początku muszę uściślić, że jesteś szeroko rozumianym pasjonatem chmury, ale jednak specjalizujesz się w rozwiązaniach Google Workspace.

Tak, dokładnie. Nawet powiem trochę więcej, bo to nie tylko Google Workspace, ale też rozwiązania Upsheet, BeyondCorp Enterprise, więc mówimy tak naprawdę o rozwiązaniach z takiego szeroko pojętego Productivity and Collaboration i w sumie właśnie tym zajmuję się już odkąd pamiętam. Na początku to się jeszcze nazywało Google for Work czy Google for Business, było to w okolicach 2012 roku. Trochę historycznego zarysu - w tamtym to właśnie momencie z Piotrem Wieczorkiem rozpoczynaliśmy, można powiedzieć, przygodę Fly'a, który teraz jest znany jako FOTC i dobrze tutaj ze sobą móc porozmawiać po latach. Potem jeszcze pracowałem dla innych partnerów, a od około półtora roku jestem w Google i właśnie zajmuję się Customer Engineeringiem dla sekcji Productivity and Collaboration na rynku Europy Środkowo-Wschodniej.

Twoje spojrzenie na rolę partnera będzie bardzo cenne, ale czy dobrze rozumiem, że segment Enterprise, więksi gracze stanowią właśnie trzon twoich klientów? Bo chcielibyśmy bardzo ich poznać. Kim są, jakie mają potrzeby? Oczywiście w ramach tego, co możesz o nich jeszcze powiedzieć, bo to zawsze najciekawsze, z czym do ciebie klienci się zwracają.

Z mojej perspektywy zajmuje się głównie tym rynkiem, który my nazywamy corporate enterprise, czyli mówimy tutaj o firmach, które mają, zaokrąglając bardzo mocno, powyżej tysiąca pracowników. Najczęściej mówimy tutaj o firmach, które mają o wiele więcej tych pracowników w regionie. To są firmy, które z potrzeby kontroli ogromnych ilości ludzi o ogromnej ilości zabezpieczeń i też z drugiej strony zabezpieczenia się na okazję różnego typu zagrożeń, sytuacji, w których ktoś mógłby próbować wykraść dane, bardzo mocno skupiają swoją uwagę na stronie Security. To jest zawsze pierwsza potrzeba, którą ci klienci reprezentują. Ale z drugiej strony, jeżeli klienci z nami rozmawiają, to rozmawiają też dlatego, bo chcą coś zmienić. I chcą zmienić przede wszystkim kulturę pracy, kulturę współpracy, powiedziałbym, między pracownikami, żeby nie pracować tak, jak to było dotychczas, gdzie każdy był panem swojego własnego pliku i co wypracował to w tym momencie albo dmuchało mu w żagle i pozwalało mu osiągnąć maksymalną prędkość, albo po prostu pracownik sobie nie radził i ponosił porażkę. Natomiast tutaj przychodzą do nas firmy z chęcią wypracowania wspólnych metod, gdzie zespół będzie pracował wspólnie do osiągnięcia celu, żeby to wspólnie ten zespół był na tej łodzi i wspólnie zasuwał przy linach, a nie żeby był jeden kapitan, który jak coś wypracował, to jemu pójdzie dobrze, ale reszcie organizacji niekoniecznie. I właśnie nasze rozwiązania i kultura za nimi bardzo mocno na to pozwala.

A czy jednak możesz powiedzieć coś więcej? Bo to, że kultura organizacji to bardzo szerokie zagadnienie, to już wiemy, że każdy przypadek powinien być rozpatrywany indywidualnie wedle ulubionego. To zależy, ale mówiąc tak zupełnie serio, czy możesz w ogóle wyróżnić na przykład kilka filarów dobrej organizacji kultury pracy, którą już teraz można by wdrożyć w swoim środowisku, jak na przykład mniejsza odpowiedzialność za niepowodzenia albo w ogóle przestrzeń do popełnienia błędów, ale i wyciągania dobrych wniosków. Czy to może być przykład?

Tak, tutaj się zdecydowanie z tym zgodzę. My, jako Google, na przykład wyznajemy zasadę, że jeżeli mamy odnieść porażkę, to chcemy odnieść ją szybko i to jest taka główna zasada, którą powinna każda organizacja u siebie wprowadzić. Naturalnym jest to, że nie każdy pomysł, nie każdy projekt się uda, powiedzie, ale jeżeli będziemy teraz podchodzili do tego w sposób taki, że pracownikom nie będziemy zostawiali innej opcji niż "to się musi udać", to pracownicy pokrótce zaczną robić wszystko, żeby albo pozacierać różnego typu niepowodzenia, albo spróbować wykombinować je w sposób taki, że będzie to działało na te przysłowiowe zapałki. A w pewnym momencie wszystko się sypnie. Na przykład u nas i właśnie z tą kulturą, którą wyznajemy, mamy taką pełną otwartość i szczerość. Budujemy, można powiedzieć, współpracę na szczerości, dzięki czemu nawet jeżeli wiemy, że coś idzie nie po naszej myśli, coś moglibyśmy zrobić inaczej, coś widzimy, że może już odnieść porażkę, to jesteśmy w stanie to przedyskutować i zrobić odpowiednią korektę. Też to, co na przykład bardzo mocno jest cenione i myślę, że powinno być cenione w każdej organizacji, to jest kultura feedbacku. Jeżeli cokolwiek robisz, możesz czuć się w tym dobrze, możesz czuć się z tym źle, możesz czuć się nijak, ale nigdy nie będziesz wiedział, co zrobić lepiej lub inaczej, jeżeli nie usłyszysz od kogoś, w czym tak naprawdę mógłbyś potrenować, zmienić metodę podejścia, zrobić cokolwiek innego i dlatego na przykład u nas wewnętrznie, jeżeli mówimy o kulturze feedbacku, to feedback jest dozwolony jak najbardziej i feedback jest największym darem, jaki może dać ci druga osoba. Możesz w tym momencie otrzymać, przeanalizować, podziękować. Niekoniecznie musisz się zawsze zgodzić, bo jasne jest, że feedback może być różnego pokroju, ale otrzymywanie informacji zwrotnej i później branie korekty w związku z nią to jest właśnie takie bazowanie na danych w budowaniu przyszłych procesów, podejść albo naszych własnych umiejętności. Więc to jest bardzo ważna cecha, którą każda organizacja dzisiaj powinna wprowadzić. I też tak jak powiedziałeś, danie większej możliwości na popełnianie błędów i niekaranie. Trochę się śmieje, bo w międzyczasie prowadzę mentoring, a z drugiej strony właśnie z dziewczyną zastanawiamy się nad zakupem szczeniaka i też czytam książki jak wychowywać szczeniaki. I widzę, że to jest bardzo mocno powiązane z perspektywy takiej, że jeżeli chcesz dobrze wychować szczeniaka, nie powinieneś go karać. On nie będzie rozumiał za co, nie będzie wiedział, dlaczego i w jaki sposób. Powinieneś za to wyłapywać te dobre momenty, na których ci zależy i je amplifikować poprzez nagrodę. Szczerze, to samo dzieje się w dobrych firmach. Niepowodzenia przechodzą z poklepaniem po plecach, że "nie martw się, będzie lepiej", ale te dobre momenty są celebrowane, są gratyfikowane, czy to za pomocą jakichś publicznych podziękowań, czy różnego typu nagród czy nawet jakichś drobnostek w stylu "dziękuję". W tym momencie uczymy się, jak możemy pracować ze sobą sprawniej, lepiej i zdecydowanie przyjemniej w przyszłości.

Zazwyczaj pracownik wie, że coś poszło nie tak. Nie trzeba jeszcze dodatkowo tego podkręcać, mając odpowiedzialną osobę po drugiej stronie. Ale pod kątem biznesowym, bo wspomniałeś, że to często wasze wewnętrzne Googlerskie standardy, czy na takie samo dojrzałe podejście są też gotowi klienci, czy w ogóle biznes, z którym się stykasz? Co na tym polu?

To się zmienia, to się zdecydowanie zmienia i widzę jak to wyglądało na przestrzeni tych ostatnich 10 lat, kiedy pracuję razem z chmurą i tymi rozwiązaniami. Natomiast takim najfajniejszym dla mnie momentem było to, kiedy pracowałem po stronie partnera i odpowiadałem też w dużej mierze za wdrożenia i widziałem, co się działo z klientem przed, widziałem, co się działo z klientem zaraz po wdrożeniu i później jak przyjeżdżałem robić kolejne szkolenia, to bardzo często można było zobaczyć na korytarzach takie drobne zmiany, na które być może normalnie nie zwróciłbyś uwagi. Ale jak wchodzisz do firmy, która jest bardzo tradycyjna, która pracuje na rozwiązaniach sprzed 20 lat, widzisz, że na korytarzu ludzie podchodzą do siebie z naprawdę dużym dystansem. Kiedy przechodzi jakiś dyrektor, prawie kłaniają się w pas, słyszysz "Dzień dobry, Panie Dyrektorze". To jest kultura taka zaprzeszła, ale właśnie fajne jest to, że po wykonaniu jakichś wdrożeń, po wykonaniu tego change managmentu, zmiany i adaptacji do nowych rozwiązań, wróciłem do takiej firmy po 2 latach i zobaczyłem, że na korytarzu już jest uśmiech, "cześć", podanie ręki, "co u ciebie?". Już zmieniło się to, jak nawet te zwykłe przywitania pomiędzy ludźmi wyglądają na korytarzu. A za tym oczywiście poszła cała ta kultura dzielenia się wiedzą, poszła cała kultura pomagania sobie nawzajem, poświęcania czasu nie tylko po to, żebym ja zasuwam i zrobił coś dla siebie, ale żebym dał jakąś dawkę wiedzy drugiej osobie i dzięki temu ja wiem, że ona też w przyszłości mnie odciąży i doprowadzi firmę, czy nawet nasz dział w ramach firmy do o wiele lepszego wyniku. Więc tak, jest na to miejsce i to już jest zauważalne bardzo mocno.

Skoro nie wszyscy chcą się zmieniać, to jakie są obawy? Czy najczęstszy zarzut, jaki można usłyszeć w tej sytuacji to brak kontroli? Bo to trochę stawianie na głowie dawnego porządku organizacji.

Zdecydowanie. Brak kontroli jak najbardziej tutaj jest problematyczny i niestety jeszcze w ramach wielu organizacji menedżerowie podchodzą do zarządzania w sposób taki bardzo menedżerski, a nie liderski, co oznacza, że próbują mieć kontrolę nad każdym jednym aspektem pracy pracowników. Próbują mieć kontrolę nad każdym zadaniem wykonywanym przez nich, co finalnie prowadzi do micromanagementu. Jak wiemy, micromanagement jest bardzo zły z perspektywy pracownika, bo pracownik w tym momencie czuje się przytłoczony. Może to nawet wywołać u niego jakieś stany lękowe. Można powiedzieć, że w najlepszej sytuacji pracownik odejdzie. W najgorszej trafi do terapeuty po takim micromanagemencie i będzie to bardzo krytyczne dla niego. Natomiast w tym nowym podejściu i nowych organizacjach zauważamy, że menedżerowie zmieniają się w liderów. I taki lider jest w stanie poprowadzić pracowników w dobrym kierunku, wskazać im ścieżkę i jak najbardziej być dla nich w momencie, kiedy czegokolwiek potrzebują, ale nie kontroluje ich, daje im wolną rękę, daje im możliwość wykonywania ich pracy w jak najlepszy możliwy sposób. Jeżeli rekrutujemy osoby do pracy, te osoby przechodzą solidne procesy rekrutacyjne w każdej firmie. Jest weryfikacja zarówno tego, jak z daną osobą nam się rozmawia, gdzie wcześniej pracowała, co robiła, jakie ma umiejętności. Zatrudniamy przede wszystkim ekspertów. Ale teraz wyobraź sobie, zatrudniasz eksperta, po czym mówisz temu ekspertowi, co on ma robić, bazując na twojej wiedzy menedżerskiej, gdzie jesteś menedżerem już od x lat i być może zatraciłeś trochę tę nutę ekspercką? To jest naturalne, to będzie powodowało, że eksperci bardzo szybko będą się wypalali, nie będą widzieli możliwości rozwoju i będą chcieli uciekać, dlatego powinniśmy to zmienić. To już wiem, że jest trend nie taki świeży. On trwa już od dobrych 7-8 lat, jak nie lepiej, ale nadal są organizacje, które jeszcze mają to przed sobą, które jeszcze będą musiały odświeżyć te struktury, odświeżyć metody zarządzania. Przykładowo u mnie, ja teraz na przykład czuję, że w Google z moim menedżerem mam tak, że jestem niezależną jednostką. Ja wiem w czym się specjalizuję, wiem czym się zajmuję i jak najbardziej robię to na co dzień i uważam, że robię to w kreatywny sposób, bo mam do tego przestrzeń, ale też z drugiej strony wiem, że jeżeli ktokolwiek przykładowo będzie miał jakieś zarzuty, coś nie będzie mu się podobało i przyjdzie do mojego menedżera, to mój menedżer będzie stał w mojej obronie. On jest razem ze mną. Razem prowadzimy do tego, żeby jak najlepiej rozwinąć produkt, na który pracuje nasz dział. Dzięki temu relacja pracownikiem a menedżerem ma być relacją bez takich zająknięć, bez wzajemnego lęku, bez ukrywania, czy zatajania różnego typu faktów. Jeżeli mi się coś nie podoba, jestem w stanie powiedzieć to wprost menadżerowi. Weźmie to do siebie lub nie, to już jest inna sprawa, ale taka czystość i szczerość komunikacji bardzo łatwo skraca ten tzw. time to market, czyli wykonywanie jakichkolwiek zadań, które zostają tak naprawdę przydzielone.

Brzmi to jak dobry partnerski układ. Może wróćmy na chwilę do partnerów, o których wspomniałeś i partnera, od którego tak naprawdę twoja przygoda z chmurą się rozpoczęła. Partner Google - czy w ogóle możemy narysować jego pozycję w ekosystemie i czy partner to jest ktoś, komu powierza się niemal wszystkie zadania, niemal wszystkich klientów? Bo może czasem pojawiają się jakieś obawy ze strony klientów. Czy partnerom i jakim partnerom, z jakimi certyfikatami, jakimi specjalizacjami można ufać?

To może zacznę od nakreślenia tego modelu jaki tutaj mamy. Pewnie większość słuchaczy, skoro nas słucha, już miała styczność z partnerem i może wiedzieć jak to wygląda pokrótce, natomiast z naszej strony najważniejsze jest to, żebyśmy my, jako Googlersi, skupili się przede wszystkim na budowaniu rozwiązań, na innowacji, kreowaniu nowej funkcjonalności i przygotowywaniu całej tej chmury do tego, żeby spełniała swoje zadanie i dawała klientom możliwość produktywnej, sprawnej i bezkonfliktowej pracy. Natomiast to jest to, czym się zajmujemy w Google. Mamy do tego całą siatkę partnerów, którzy specjalizują się tak, jak wspomniałeś w różnego typu zakresach i chcemy, żeby to właśnie partnerzy byli zawsze twarzą do klienta. Teraz popatrz na to, że na świecie mamy grubo ponad 100-150 krajów. Teraz gdybyśmy mieli lokalnie przygotowywać wewnętrzne działy, które miałyby w tych wszystkich krajach po kolei dostarczać zarówno rozwiązania, jak i zmianę kulturową, szkolenia i to szkolenia w sposób zgodny z lokalnym podejściem do nauki, to naprawdę byłby to przeogromny wysiłek. Dlatego mamy siatkę partnerów, którzy chociażby tak jak Wy specjalizują się w jakimś regionie i w ramach tego regionu są specjalistami od komunikacji z ludźmi w tym regionie, co sprawia, że wiecie jakiego typu problemy dane organizacje mogą mieć, w jaki sposób wygląda tam komunikacja, jakiego typu szkolenia będą działały bardziej lub mniej, czego być może unikać. Wiecie też nawet w jaki sposób rozmawiać z klientem. Ja na przykład pracowałem z różnymi krajami. Zdarzało mi się i z Kanadą, i ze Skandynawią, i z Ukrainą, czy nawet miałem chyba kiedyś klienta z Uzbekistanu, to w zależności od regionu geograficznego faktycznie mamy swoje przyzwyczajenia. Ludzie są bardziej lub mniej zamknięci w sobie. I z racji tego, że przykładowo mamy jakieś tego typu naleciałości kulturowe, powiedzenie jakiegoś zdania osobie z Kanady będzie odebrane kompletnie luźno, ale powiedzenie tego samego przykładowo osobie z Polski czy z Uzbekistanu może skutkować tym, że osoba nam wyjdzie z calla i się obrazi. Więc mamy takie kompletne rozbieżności w tym, jak podchodzimy do tematów, jak rozmawiamy na poziomie ludzkim i tym bardziej na poziomie menedżerskim, bo też wiadomo, kadra zarządzająca będzie wyglądała inaczej w zależności od różnych sektorów, firm, lokalizacji geograficznych. Nasi partnerzy, tak jak wspomniałem, specjalizują się najczęściej w różnych sektorach, jeżeli mówimy o liczbie pracowników w firmach, bo wiadomo, że te firmy też mają inne procesy, inne podejście inną pracę, ale też specjalizują się w sektorze geograficznym czy w konkretnych branżach. Mamy też wielu partnerów, którzy na przykład dotykają tylko i wyłącznie FSI (Financial Services Industry), a mamy partnerów, którzy bardziej specjalizują się w manufacturing czy w podobnych. Często jest tak, że z naszymi partnerami też te specjalizacje wychodzą dość naturalnie, bo z racji tego, że partner wdrożył jednego klienta, tworzy mu się fajna referencja, na bazie której może później pójść do kolejnego klienta z podobnej sekcji. I teraz, jeżeli pójdzie do takiego kolejnego klienta, uda mu się tam też wdrożyć, to już ma dwie referencje i bardzo szybko partner staje się partnerem specjalizowanym. Z perspektywy klienta to jest bardzo istotne, bo wiemy, że jeżeli jako klient zaczynamy rozmowę z danym partnerem, to partner nie jest tutaj od dzisiaj, to nie jest pierwsze wdrożenie dla tego partnera. Ja się śmieję i zawsze to mówię moim klientom, kiedy jeszcze byłem po stronie partnerskiej, że zmiana technologiczna to jest najprostsza rzecz, jaka może być. Każdy z naszych dorosłych partnerów, których teraz mamy na rynku, robił wdrożenia technologiczne już tysiące razy, więc to jest odpalenie po raz kolejny check-listy czy planu projektowego i kolejny raz przejście po tych samych punktach, żeby nam się spięła integracja, żeby nam poczta zaczęła odpowiednio działać i żeby wszystko funkcjonowało. Ale największą wartością partnera, którą może on dostarczyć, jest właśnie change managment, czyli wykonywanie tej zmiany biznesowej, która zawiera w sobie szkolenia, komunikację marketingową, przygotowanie jakichś eventów wewnątrzfirmowych. Wyobraźcie sobie, wdrażacie nowe rozwiązanie i jesteście IT w ramach organizacji. Często zdarza się tak, że po wdrożeniu przychodzi do was biznes i jako IT mówi wam "znowu nam coś zmieniliście, znowu nie wiem, jak tego używać, znowu to nie działa". Spotkałem się z tym dosłownie w każdej firmie, jaka by ona nie była. A skąd to się brało? Brało się to stąd, że przy takim wdrożeniu brakowało odpowiedniego marketingu wewnętrznego. Pamiętajcie, że jeżeli przykładowo IT wybierze nowe rozwiązanie, czy dyrektor HR-u, co coraz częściej się zdarza w wypadku rozwiązania, o których dzisiaj też mówimy, czy ktoś u góry organizacji, to teraz ta jedna osoba czy jeden zespół, który rozpatrywał rozwiązanie wie o co chodzi, wie dlaczego podjął taką decyzję i wie dlaczego ta decyzja była dobra. Bo musieli coś w tym zauważyć, ale reszta organizacji nie miała okazji poznać rozwiązania. Więc teraz superistotnym jest to, żeby partner wykonał też u takiego klienta wewnętrzny marketing, który można nazwać wprost sprzedażą do szeregowych pracowników. Jeżeli powiesimy plakaty na korytarzu, jeżeli roześlemy komunikację marketingową, jeżeli zrobimy webinar, czy serię szkoleń, która nie tylko będzie opowiadała o tym, że "To jest nowe rozwiązanie, używajcie go, tak i tak", ale pokaże przykłady użycia, pokaże wartość, jaka dla firmy przyjdzie z wdrożenia implementacji takiego rozwiązania, to jeżeli ludzie kupią ideę i rozwiązanie, które za tą ideą się kryje, to w tym momencie wdrożenie przebiegnie zupełnie inaczej, a produktywność powdrożeniowa wzrośnie i to wzrośnie naprawdę kosmicznie. No i właśnie to jest ta rola partnera, żeby partner z każdym klientem spotkał się, mógł pogadać, sprawdzić, jakie są potrzeby biznesowe tego klienta, bo wiadomo, że każdy klient będzie miał inne potrzeby. Jedni będą bardziej, inni mniej technicznie zaawansowani. Jedni będą potrzebowali bardziej dedykowanych integracji i pełnego połączenia. Jeszcze inni być może będą potrzebowali szkoleń, a jeszcze inni są na tyle firmą z zakresu digital native, która już w pełni rozwiązania zna i która będzie potrzebowała tylko i wyłącznie dostać dostęp do platformy i fakturę i nic poza tym, a zresztą sobie poradzą. Więc to jest właśnie też rola partnera na etapie takiego discovery, żeby zauważyć i wypracować z klientem wspólny plan na to, jak przekonwertować organizację z miejsca, w którym organizacja znajduje się teraz do miejsca, w którym organizacja chce być w przyszłości jako ta kreatywna i innowacyjna firma, dająca ludziom możliwość pełnej współpracy niczym nielimitowanej.

Przypominam, że dzisiejszym rozmówcą FlyTalks jest Kacper Ptasiński - Customer Engineer, Productivity and Collaboration w Google, a to słychać. Część dzisiejszej rozmowy poświęcona była kulturze organizacji, współpracy i wielu innym czynnikom, które mogą przekładać się na zwiększenie produktywności w Waszej firmie, Waszego biznesu i pytanie, czy to wszystko, gdy mówimy o procesie adopcji chmury, możemy to zawrzeć w jakiś konkretny scenariusz, ramy, jakąś check-listę? Przed nami cyfrowa transformacja biznesu i tutaj też, co jest największym wyzwaniem, mówiąc o adopcji chmury z Twojej perspektywy?

Na to twoje pytanie muszę odpowiedzieć twoim ulubionym "to zależy". W zależności od wielkości firmy pojawią się różne problemy, jeżeli trafimy na firmę jednoosobową, to nie ukrywajmy, taka firma jednoosobowa, zazwyczaj kancelaria, prawnik, fryzjer czy fotograf, to będzie raczej organizacja, w której partner jednorazowo pewnie ustawił ustawienia bezpieczeństwa, być może zrobi jedno małe szkolenie, pokaże, jak to ma działać i pewnie na tym się skończy, bo tam wszystko działa, nie potrzebujemy supportu, nie potrzebujemy obsługi błędów. Raczej taka firemka poradzi sobie sama bez problemu. Ale jeżeli po drugiej stronie będziemy zwiększali ilość pracowników będą pojawiały się kolejne kroki, kolejne etapy i kolejne stopnie przy takim wdrożeniu implementacji. Jeżeli mówimy już o takim pełnym podejściu, które z doświadczenia widziałem, że najczęściej było wdrażane przy firmach powyżej kilkuset pracowników, ale wiadomo, że ta granica jest ruchoma, bo jednak każda firma ma inne wymagania, to taki model docelowy dla dużych firm wygląda tak, że na samym początku jest oczywiście faza wyboru rozwiązania rozmów, wzajemnego sprawdzania i weryfikacji, czy my jako Google i partner jesteśmy dobrymi partnerami dla tego klienta oraz z drugiej strony, czy klient jest dobrym klientem, żeby używać naszych rozwiązań. Bo też wiadomo, że mogą się zdarzyć sytuacje, w których jedne lub drugie rozwiązania będą bardziej tutaj pasowały. Jeżeli ta wzajemna ewaluacja przebiegnie pomyślnie, przechodzimy oczywiście do podpisania umowy, wygenerowania instancji i rozpoczynamy ten etap wdrożeniowy. Najczęściej jest tak, że etapy wdrożeniowe nawet w dużych organizacjach są projektowane na 3-4 miesięce. Wydaje się to krótkim okresem czasu, jeżeli weźmiemy pod uwagę na przykład firmę, która ma 5000 pracowników, a mi na przykład udawało się robić takie czteromiesięczne wdrożenie w firmie, która miała 50000 użytkowników.

Nie spałeś?

Przyznam, że był taki weekend, ale finalnie da się. Jeżeli dobrze zaplanujemy podejście, to skala nie gra roli, bo to jest zreplikowanie konkretnych kroków i być może uruchomienie ich na większą liczbę użytkowników. I właśnie w takim modelowym podejściu najpierw zazwyczaj mamy etap planowania. To jest etap, w którym powinien zostać utworzony zespół pomiędzy partnerem a klientem składający się z takiej lustrzanej organizacji, w której na samej górze mamy tych naszych stakeholderów, którzy są decydentami, do których raportujemy sukcesy, porażki. Oni podejmują decyzję, oni zamówili ten produkt i wdrożenie, dlatego oni też muszą mieć ogląd na to, co się dzieje i czy idzie to w dobrym kierunku. I tutaj w wypadku stakeholderów mówimy o organizacji lustrzanej, czyli najczęściej po stronie partnera jest to osoba opiekująca się od strony sprzedażowej, relacyjnej danym klientem. Od strony klienta często są to dyrektorzy czy C-level. Później mamy project managerów po dwóch stronach, którzy pomiędzy sobą będą odpowiadali za stworzenie planu i za to, żeby ten plan był wykonywany dokładnie tak, jak był spisany, żeby nie było żadnych opóźnień, żeby identyfikować ewentualne ryzyka, zagrożenia i je mitygować w dobrym momencie, żeby nie dopuścić do eskalacji jakiegoś problemu, tylko by zawczasu wiedzieć, czy może się pojawić i odpowiednio go zaadresować. Później powinniśmy mieć jeszcze dwie role. Rolę tak zwanego technical managera i znowu to są role lustrzane po dwóch stronach. To są osoby, które mają za zadanie wykonać integrację techniczną, konfigurację techniczną, zaprosić do stołu, jeżeli będą potrzebne dodatkowe osoby z Security, żeby ustalić, jakie polityki bezpieczeństwa mają być, dodatkowe osoby z service desku danego klienta, na przykład żeby nauczyć, jak obsługiwać zgłoszenia od klientów, wykonać integrację z Active Directory czy innymi systemami. Tu mówimy o tym wszystkim, co się ma zadziałać od strony technologicznej. Mamy jeszcze ostatnią rolę, która znowu pojawia się lustrzanie. To jest rola tak zwanego change managera. Po stronie partnera najczęściej te role są specjalizowane, więc tutaj mamy specjalistów, którzy na tym się znają i wiedzą jak tutaj działać. Po stronie klienta przykładowo w przypadku roli change managera spotkałem się już z tym, że zarówno to były osoby z HR-u albo to były osoby z marketingu, albo jakiś mix osób. Czasami się też zdarza, że w ramach tego change-managment'owego streamu po stronie klienta pojawiały się dwie osoby: HR i marketing. To jest fajne combo, bo jeżeli mówimy w ramach change managmentu o wykonaniu szkoleń, jeżeli mówimy o komunikacji marketingowej, która ma być personalizowana dla pracowników, jeżeli mówimy tutaj o utworzeniu na przykład witryny szkoleniowej, która ma dostarczać treści w trybie on demand, czy być może nawet jakiejś klasy w classroomie, gdzie ludzie będą mogli za pomocą e-learningu sami się nauczyć to, czego będą chcieli, to właśnie potrzebujemy taką mieszankę umiejętności HR-owych, które wiedzą, jakich ludzi mamy w organizacji klienta, jak ich zaadresować, jakie mogą mieć problemy i co warto mocniej lub mniej podkreślić. Osoby z marketingu, która będzie wiedziała, jak przygotować komunikację, ale też będzie w stanie narzucić brand klienta na przykład na taką komunikację i wykorzystać już gotowe, wewnątrzfirmowe kanały, jak intranet czy wewnętrzne maile, czy tego typu podobne, żeby po prostu tę wiadomość do pracowników odpowiednio przenieść. Jak utworzymy już sobie taką organizację właśnie lustrzaną po dwóch stronach na tym etapie planowania możemy później przejść do kolejnych trzech etapów, które faktycznie są wdrożeniem. Zaczynamy tutaj od tak zwanego Core IT, później mamy etap Early Adopters i na końcu etap Global Go Live. W ramach Core IT to jest taki pierwszy miesiąc, w którym przede wszystkim zespół projektowy dostaje dostęp do usług, zaczyna już na tych usługach działać, ale w drugim kroku dostęp do usług dostają osoby z IT, które później będą miały zarządzać rozwiązaniem, które będą odpowiedzialne być może za polityki bezpieczeństwa, za integrację czy po prostu osoby, które są już technologicznie bardzo zaawansowane i przejście nie sprawi im żadnego problemu. Jeżeli powiemy sobie o na przykład takiej modelowej organizacji, strzelam 1000 pracowników, to zazwyczaj w tym etapie Core IT będzie brało udział około 10 osób zespołu projektowego łącznie ze stakeholderami, około dodatkowych 20-30 osób z IT, więc mamy taką grupę 30-40 osób, które w tym momencie zaczynają już używać Workspace'a, zaczynają już na nim pracować. W tym momencie jest aktywowany dla nich ruch pocztowy, dostają pierwsze dedykowane szkolenia, gdzie mogą przyjść do salki, wysłuchać. Taka grupa testowa, bo to jest grupa, która z jednej strony zdobywa najwięcej doświadczenia, oni stają się też lokalnymi ambasadorami, ale z drugiej strony to jest też grupa, która pozwala partnerowi zweryfikować, czy podejście szkoleniowe do tej firmy jest poprawne, czy być może samo szkolenie powinno być przeprowadzone trochę inaczej? Bo może firma jest bardziej rozwinięta niż tego partner oczekiwał i niektóre kwestie wydają się być trywialne i mogą być pominięte. I to jest taki mały test, ale w ramach tego testu Core IT najbardziej zależy nam jednak nie na przetestowaniu ludzi, a na wykonaniu w tle tych integracji technologicznych. To jest zazwyczaj ten pierwszy miesiąc, w którym pojawiają się integracje z Active Directory, jeżeli jest potrzebne, tam się pojawiają dodatkowe ustawienia Security. Tutaj, jeżeli będzie wykonywana migracja danych, w stylu wiadomości e-mail, kalendarz, kontakty czy jakieś pliki, to już tutaj stawia się infrastrukturę migracyjną, uruchamia się ją dla tych 30-40 użytkowników i wtedy jest wykonywany też test tego, jak szybko ta migracja przebiega i możemy na bazie tej migracji oszacować, wyestymować czas, w którym będzie wykonana później migracja dla wszystkich pozostałych pracowników.

Ale tutaj chodzi o taki techniczny czas migracji czy taki okres, który wymagany jest przez pracowników, by z kolei oni w pełni przesiedli się na nowe rozwiązanie?

Tu mówię o stricte technicznej migracji, o przeniesieniu danych. Wyobraź sobie, że teraz masz w firmie jakiś lokalny serwer pocztowy. Masz tam wszystkie maile pracowników zgromadzone, a wybierając nowe rozwiązanie chciałbyś je wszystkie mieć na gmailu. Więc chodzi o to, że musimy te dane teraz w jakiś sposób przetransportować z tego serwera do chmury i robienie tego właśnie na etapie Core IT pokaże nam, jak szybko jesteśmy w stanie to osiągnąć bez psucia obecnej pracy pracownikom, bo zauważ, że jeżeli to jest serwer stojący lokalnie w organizacji, to w każdej firmie będzie to maszyna o innej prędkości, będzie stała w innej sieci o innej prędkości i będzie wiele czynników, nawet takich jak chociażby ilość małych czy ilość dużych maili, które pracownicy dostają, to też ma ogromny wpływ na to, jak szybko migrujemy i zrobienie takiej próbnej migracji na tym etapie pozwoli nam oszacować, że jeżeli te 40 osób przemigrowaliśmy w takim i takim czasie, to potem kolejne 1000 osób będziemy w stanie przemigrować mniej więcej w takim czasie i podjąć odpowiednie decyzje, czy na przykład do momentu, kiedy odpalamy Go Live dla wszystkich, chcemy mieć przemigrowane wszystko, czy być może chcemy mieć przemigrowaną historię z ostatniego pół roku, najświeższą, a całą resztę być może domigruje się później, jak już będziemy na spokojnie do tego podchodzić. To jest ten moment na badanie, wyciąganie wniosków i planowanie na bazie tych wniosków.

To jak odbywa się ten proces? Bo gdy mówimy o takiej modelowej firmie, wiesz, setki pracowników, nawet 1000, sporo danych, maile sprzed wielu lat, załączniki znacznych rozmiarów, bo firma prowadziła dokumentację fotograficzną swoich produktów i jak teraz ma wyglądać ten proces? No bo słowo migracja jest bardzo wygodne, ale migracja skrywa też wiele. Co się naprawdę pod tym kryje?

Słowo migracja jest bardzo wygodnym słowem, które zawiera w sobie wiele - to zależy. I oczywiście tutaj również mamy "to zależy", bo patrząc z perspektywy migracji, tak jak wspomniałem, musimy przenieść zazwyczaj trzy główne typy danych: wiadomości mailowe i otaczające je flagi w stylu odczytana/nieodczytana, etykiety, w której się znajdują i to, co się z nimi dzieje, wydarzenia z kalendarza, które pracownicy gdzieś mieli u siebie w lokalnych systemach pocztowych czy właśnie jakichś programach w stylu Outlook, Thunderbird i kontakty, które mieli zgromadzone, książki kontaktowe i tym podobne. Zupełnie osobną sekcją jest migracja plików, na przykład jakichś dysków sieciowych czy innego typu rzeczy, ale na razie skupmy się na tych trzech pierwszych, czyli email, kalendarz, kontakty. Teraz podchodząc do takiej migracji w zależności od tego, o jakiej firmie mówimy, czy to będzie mniejsza firma, czy to będzie większa firma i od tego jak bardzo mamy skomplikowaną infrastrukturę i jak bardzo też zależy nam na zautomatyzowaniu całego procesu, możemy wybrać pomiędzy kilkoma opcjami. Jest na przykład w ramach rozwiązania Workspace wbudowane narzędzie migracyjne, które z panelu administracyjnego pozwala się podpiąć do jakiegoś serwera i zaciągnąć sobie rzeczy. Rozwiązanie tam jest. Jest co prawda proste według mnie, bo nie pozwala na ogromne customizacje, ale w wypadku większości tych mniejszych klientów spokojnie sobie poradzi. Jeżeli mamy sytuację, kiedy pracownicy trzymali maile nie na serwerze, a bezpośrednio w Outlooku, to mamy też narzędzie od Google, darmowe, które możemy sobie doinstalować do Outlooka i z Outlooka te maile przemigrować, wtedy to robimy per użytkownik, per konto. Więc, jak widzisz, per użytkownik, per konto może mieć problem przy skali i później wchodzimy krok wyżej. Mamy rozwiązania, które są naszymi, wewnętrznymi, od Google, które wymagają na przykład postawienia farmy serwerów, gdzie masz serwer master i wiele różnych slave'ów i w tym momencie masterowi rzucasz proces do wykonania, mówisz skąd, dokąd, co ma przemigrować, rzucasz mu paczkę 10000 użytkowników, a ten master będzie to rozrzucał na kolejne slave'y i w tym momencie slave'y będą się zajmowały ciężką, twardą migracją, konwersją danych, odpowiednim przeniesieniem i zadbaniem o to, żeby to wszystko działało. Ale też w wypadku na przykład wielu migracji używa się rozwiązań niekoniecznie zrobionych przez Google. Jest też na przykład na rynku rozwiązanie Cloud Migrator, zrobione przez jednego z partnerów Google i to jest bardzo popularne rozwiązanie wśród partnerów, często używane i na przykład to rozwiązanie ma o tyle fajny plus, że zarówno pozwala na pełną automatyzację, ma fajną obsługę błędów, ale też będzie pozwalało na obsługę wyjątków w bardzo customowy sposób, dzięki czemu, przykładowo, migrując maile, możemy w takim rozwiązaniu wskazać, że załączniki, które spełnią konkretne przez nas oczekiwania mają nie być już dłużej zapisywane przy mailu, ale mają być zapisane na dysku Google na przykład, a w mailu ma się pojawić link do tego załącznika. To później spowoduje, że pracownicy będą mogli łatwiej pracować po takiej migracji. W zależności od tego, czy firmie będzie bardziej zależało na podejściu "Zróbmy to tanio i szybko", czy być może "zróbmy to szybko i dobrze", czy może "scustomizujmy to na maksa i zróbmy pod siebie", co wiadomo ma też później różne progi cenowe, chociażby w ilości pracy, którą trzeba włożyć, czy ilości serwerów, które musimy pod tym postawić, czy tutaj wypadku Cloud Migratora, licencji, które musimy dokupić, to teraz partner jest właśnie tym punktem, który pomoże klientowi zdecydować. Partner usłyszy od klienta "Ja bym chciał ABC" i partner na to mu odpowie "No to najlepsza opcja dla ciebie jest ta, a jeżeli nie ta, to tu masz drugą opcję, która może być ciut gorsza, ale może mieć inne zalety". Teraz kolejnym etapem, kiedy już tutaj mamy milestone'a klepniętego, technologicznie udało nam się wszystko ogarnąć, migracja dla tych 40 osób przeszła, estymacja zrobiona, wiemy jak to wygląda, to kolejnym etapem jest etap tak zwanych early adoptersów. Early adopters to jest grupa pracowników, którzy idealnie, żeby byli entuzjastami zarówno nowych technologii i być może naszego rozwiązania, ale też po drugiej stronie fajnie, żebyśmy mieli osoby, które są wielkimi oponentami. Ale takimi oponentami konkretnymi, które wiedzą, że być może pracowali danymi rozwiązaniami, znają ich plusy, minusy i wiedzą dokładnie, dlaczego oni walczą za tym, żeby stara 20-letnia technologia została w organizacji, uważają, że inaczej się żyć nie da. To jest bardzo ciekawe, bo zobacz, że jak zrobisz mix takich osób i to będzie mix na przestrzeni różnych departamentów organizacji, różnych poziomów od szeregowych pracowników przez menedżerów, dyrektorów i tak dalej i wyłonisz 15% całej organizacji, czyli na te 1000 osób będzie to 150 osób wyłonisz do tego etapu, to w tym momencie po pierwsze masz genialną grupę kontrolną do zweryfikowania podejścia szkoleniowego, ale też do wyłapania wszelkiego rodzaju problemów, które trzeba zawczasu zaadresować, bo jeszcze jesteśmy z tą grupą na 1-2 miesiące przed wdrożeniem dla całej reszty organizacji, mamy jeszcze czas na podjęcie korekt, na zweryfikowanie, dlaczego być może coś jest ważne dla takiego malkontenta i co ewentualnie powinniśmy poprawić, żeby tę osobę zadowolić, żeby pokazać jej, że tutaj praca będzie przebiegała zupełnie inaczej. I teraz jak mamy te 15% użytkowników, to dla tych użytkowników przede wszystkim zależy nam na wykonaniu jak najlepszych szkoleń. Najczęściej są to szkolenia personalizowane, w salce, w małych 10-15-osobowych grupach, żebyśmy mieli bezpośredni kontakt z tymi pracownikami, na żywo mogli usłyszeć feedback, a nawet jak nie usłyszymy to wprawny trener zobaczy reakcje po twarzy i będzie widział, czy to, co tłumaczy dociera do grupy, czy być może powinien zmienić tryb, tempo, czy w ogóle zapytać o co chodzi, czy jakoś inaczej to spróbować wytłumaczyć. Jak w pierwszym etapie, Core IT, zależało nam na weryfikacji technologicznej, tak w drugim etapie zależy nam na tej weryfikacji ludzkiej. To jest etap, na którym później zaplanujemy, jak mają wyglądać szkolenia dla całej reszty pracowników. To jest etap, na którym powstanie witryna szkoleniowa. To jest etap, na którym przygotujemy wszelkie materiały, mailingi, inne rzeczy i jak tę grupę już w pełni wdrożymy, przemigrujemy, nauczymy, oni zaczynają używać, używają przez miesiąc...

Ile ich ma być?

15% organizacji. To się oczywiście waha, ale 15% to taki złoty środek. I teraz jak ci pracownicy już wiedzą jak używać i pracują od miesiąca na rozwiązaniu, to zauważ, że jak odpalimy wdrożenie dla całej organizacji w ramach tego etapu Global Go Live, to każdy pracownik ma w zasięgu wzroku co najmniej jedną lub dwie osoby, które już od miesiąca używają rozwiązania. Więc jeżeli nawet teraz się okaże, że pracownik w księgowości na jakimś tam trzecim piętrze ma problem, z którym sobie nie może poradzić, to będzie wiedział, że podejdzie dwa biurka dalej i tam jest osoba która często u klientów dostaje być może jakąś czapeczkę z kolorami Google czy koszulkę, czy coś innego, żeby w pierwszych dniach pokazać, że to są osoby, które brały udział w tym etapie. Już mamy lokalne wsparcie. Już mamy weryfikację, że ta osoba, która od miesiąca używa, ona nie tylko tyle, że nauczyła się obsługi gmaila i kalendarza, ale ona nauczyła się pracy specyficznej dla tego działu w ramach nowych rozwiązań, więc jest w stanie bardzo fajnie tę wiedzę później też przy kawie na piętrze przy biurku przekazać reszcie współpracowników. To bardzo fajnie działa właśnie z perspektywy budowania. To jest dosłownie takie budowanie jak widziałeś, te 30 osób, 150 osób i 1000 osób. Budujemy sobie znajomość rozwiązania w organizacji. Budujemy jego adaptację. Jak już robimy ten switch, kiedy wyłączamy stare rozwiązanie i odpalamy nowe, to wiemy, że pracownicy już są na to gotowi i teraz jeszcze się dzieje w tle na tych trzech etapach jedna fajna rzecz bardzo często. Zaczynamy projekt i w momencie, kiedy zaczynamy projekt, uruchamiamy, załóżmy, jakiś pokój czatowy. Pokój czatowy, na którym ludzie mają zadawać pytania, jeżeli coś im nie idzie, ale też chwalić się, jeżeli coś im się fajnego udało. Na początku masz tam 10 osób z zespołu projektowego, oni pracują, wiem, może się wydawać to dość zaskakujące, że jeżeli jakiś stakeholder przykładowo ma pytanie techniczne to mówimy "Napisz na czacie, odpiszemy ci na czacie". Na początku często spotyka się opór, ale po chwili jak się wytłumaczy i ten stakeholders zobaczy, że okej, taka odpowiedź na czacie już nie zginie i będzie dostępna dla kolejnych ludzi, to już zaczyna łapać o co chodzi i zaczynamy wchodzić w takie rozsądne planowanie wdrożenia. Na etapie Core IT do tego samego czatu dodajemy te 30 osób z IT. Na etapie Early Adopters dodajemy kolejne 150 osób z Early Adopterów. Zauważ, że ludzie mają tendencję do zadawania tych samych pytań. Więc jeżeli oni już je raz zadadzą, to zostanie nam to w historii pokoju i nowi pracownicy, którzy będą chcieli tam wchodzić, będą mogli kliknąć przycisk "wyszukaj", znaleźć, zobaczyć, jaka była odpowiedź i już nie będą musieli zadawać tego pytania po raz kolejny. A z drugiej strony, jeżeli zespół projektowy zauważy, że jakieś pytania pojawiają się super często, to mogą zaadresować je za pomocą odrębnego szkolenia czy odrębnego materiału i mamy wspólne miejsce, w którym tworzymy właśnie już od samego początku, przemycając to pod zagadnieniem technicznego wsparcia, przemycamy współpracę. Przemycamy pokój, w ramach którego ludzie zaczynają dzielić się wiedzą, zaczynają sobie nawzajem pomagać i uwierz mi, że właśnie mówiąc na przykład o takich tradycyjnych organizacjach, bardzo, bardzo dużym zdziwieniem dla szeregowego pracownika było to, że kiedy napisał na czacie, że nie wie, jak danej funkcji użyć odpisał mu prezes. I to było w takiej organizacji ponad 3000 osób, więc wiesz, ta ścieżka od pracownika do prezesa zazwyczaj jest nie do przeskoczenia komunikacyjnie, a tutaj każdy jest na równym poziomie, każdy się uczy, każdy tę technologię w podobny sposób adaptuje i ludzie sobie nawzajem pomagają jak tylko mogą. I to później pokazuje, że w tych rozwiązaniach możemy pracować właśnie w taki sposób. Te kolejne kroki są już prostsze.

A czy w takim razie w ramach trzeciego etapu zawarty jest także onboarding nowych pracowników, cały już sformułowany proces? Gdy ktoś zaczyna pracę w naszej firmie, to przychodzi na gotowe?

Tak, jak najbardziej. Wiesz, ja tutaj mówiłem teraz o tym etapie bardziej takim wdrożeniowym, który się składał z tych czterech podetapów planowania: Core IT, Early Adopters, Global Go Live. Ale pamiętaj, że po tym, jak już wdrożysz rozwiązanie w organizacji, to dalej mamy etap tak zwanej stabilizacji i rozwoju. I to jest etap, w którym nie powinniśmy hamować wdrożenia. To jest etap, w którym nie powinniśmy powiedzieć od strony klienta przykładowo partnerowi "dziękujemy, na razie, miło było", tylko to jest ten moment, kiedy faktycznie, kiedy już kurz powdrożeniowy opadnie, zaczniemy zauważać, że po pierwsze przychodzą nowi pracownicy, którzy też potrzebują wiedzy, a po drugie zaczynamy zauważać, że inne procesy biznesowe, których jeszcze nie uwzględniliśmy w tej migracji możemy przetransformować, możemy coś zmienić, mieć jakieś inne podejście. Może się bardzo szybko okazać, że w organizacji pojawi się potrzeba pozbycia się jakiegoś rozwiązania BI i odpalenia Lookera zamiast tego, to zaraz partner będzie w stanie doradzić, a może się okazać, że klient będzie chciał coś zautomatyzować i w tym momencie albo będzie potrzebował dedykowanego zaawansowanego szkolenia z Apps Scriptu, żeby uczyć się makr do arkuszy albo jakieś szkolenia z rozwiązania Upsheet, które pozwoli w ramach no-code'owej platformy później tworzyć sobie procesy biznesowe. Więc to jest ścieżka, nie mówimy o tym, że wchodzimy w jednym punkcie, robimy szybkie wdrożenie i tyle, tylko wraz z tym, jak rozwiązanie się rozwija, a w chmurze to jest właśnie największa zaleta, że te rozwiązania rozwijają się nawet bez konieczności wykonywania przez nas dodatkowych update'ów czy spędzania jakiegokolwiek czasu na wdrażaniu tych dodatkowych funkcji, to zobaczcie, że jak to się rozwija, to fajnie by też było, żeby pracownicy firm też się razem z tym rozwijali. Cały czas trzeba podtrzymywać tę kulturę nauki, kulturę czerpania wiedzy i kulturę optymalizacji. Spotkałem się na przykład później z fajnym podejściem w takich organizacjach, które już wdrożyły Workspace'a, że powdrożeniowo dali czas ludziom odpocząć, ustabilizować się i zaraz po tym odpalili takie jednostki specjalne. Mały wewnętrzny SWAT składający się z PM, administratora od Workspace'a i dewelopera. I takie trzyosobowe jednostki wrzucają do różnych działów na jakiś skończony czas, może być do miesiąca na przykład, i te jednostki są odpowiedzialne za to, żeby z perspektywy takiego outsidera zobaczyć jak dany dział pracuję, jakie rzeczy robią powtarzalnie i być może niepotrzebnie, jak są w stanie pomóc im te procesy automatyzować. I po prostu automatyzują w ramach platformy. Później to pozwala na to, że jeżeli zautomatyzujemy odpowiednią ilość procesów, to ludzie, którzy dotychczasowo zajmowali się na przykład tylko tym w ramach IT, żeby rozwiązywać problemy i błędy, mogą zacząć się zajmować rozwojem innowacyjności i mieć realny wpływ na finalne wyniki firmy, na to, ile firma później zarobi, znajdować nowe ścieżki pozyskania klienta czy obsługi tego klienta. Zmieni nam się trochę profil, ale ten profil daje nam wtedy dużo wolności, którą jesteśmy w stanie bardzo kreatywnie jako specjaliści spożytkować na to, żeby cała firma rosła, a my razem z nią.

Bo to przecież o to finalnie chodzi w biznesie. Gratuluję wszystkim odbiorcom FlyTalks, już 50. minuta na horyzoncie naszej pasjonującej rozmowy. To oznacza, że czasu pozostało już niewiele, stąd może też czas na bonus. Bonus na koniec, czyli bezpieczeństwo chmury okiem Googlersa. Kacprze, jeszcze zanim nas uzbroisz pokrótce w dobre praktyki powiedz proszę, czy faktycznie naprawdę zdecydowana większość chmurowych incydentów bezpieczeństwa leży jednak po stronie nie infrastruktury, nie kodu, nie inżynierów, ale użytkownika i zwłaszcza tego użytkownika końcowego?

I tu się niestety muszę z tobą zgodzić, bo w dzisiejszych czasach technologia już w większości, jeżeli ją odpowiednio aktualizujemy jest tak załatana, że bardzo ciężko jest znaleźć jakąś lukę technologiczną, którą można wykorzystać do pozyskania danych. A w wypadku na przykład chmury, to praktycznie jest to niemożliwe. Tu aktualizacji tym bardziej nie musimy robić, nie musimy się tym przejmować, mamy pewność, że to jest rozwiązanie jak najbezpieczniejsze i oczywiście nawet dostawcy chmur, tak jak Google czy inna konkurencja robią nawet programy, w ramach których hakerzy, jeżeli próbują się włamać i uda im się włamać do naszego rozwiązania, to dla nich o wiele bardziej opłacalne będzie zgłosić się i dostać wynagrodzenie za znaleziony błąd niż opublikować czy wykorzystać to w jakikolwiek sposób. Ale to się rzadko kiedy zdarza, tylko właśnie wróćmy do tej strony ludzkiej. Faktycznie najłatwiej, żeby włamać się do jakiejś organizacji jest oszukać drugiego człowieka, oszukać go czy to na telefon z banku, telefon z IT, czy oszukać go w formie maila phishingowego, który wyświetli mu bardzo podobnie wyglądający komunikat do tego, którego używa na co dzień i skusi go do tego, żeby wejść na bardzo podobną stronę i na niej podać swoje hasło, które potem będzie przejęte i będzie wykorzystane do dostępu do jego systemów. Tutaj też na przykład może się zdarzyć próba oszustwa użytkownika na bazie wysłania mu jakiegoś załącznika zainfekowanego, czy wskazania mu strony, która taki załącznik mu spróbuje wcisnąć, który finalnie spowoduje szkodę na jego komputerze, jak na przykład ransomware, który będzie chciał zaszyfrować mu cały dysk, a w drugim kroku wymusić okup, żeby ten dysk można było odszyfrować. I to niestety są w dużej mierze błędy ludzkie. Ale teraz jeżeli popatrzymy na to, jak przed takimi błędami, możemy się zabezpieczyć, to powiedziałbym, są dwa mocne kierunki. Pierwszy kierunek to jest oczywiście edukacja, bardzo mocna edukacja. Z tej perspektywy jest na przykład bardzo fajna stronka phishingquiz, zrobiona przez Google'a, która jest kierowana do każdego tak naprawdę. Quiz, który możemy sobie otworzyć i w ramach którego możemy zweryfikować sami siebie, czy jesteśmy w stanie zauważyć próby oszukania nas.

Interaktywny quiz?

Tak, interaktywny. Zobaczymy próby przykładowo maili, które mogą być z podobnego, ale innego adresu.

Dobra, co ci wyszło?

Akurat w moim wypadku nie było żadnego problemu, natomiast to jest fajna rzecz, żeby w ramach firmy coś takiego rozdystrybuować i żeby pracownicy przeklikując się, nauczyli się zagrożeń, które na nich czekają. To jest jedna rzecz. Dwa, warto ich edukować co chwilę, można powiedzieć regularnie, dodatkowymi szkoleniami, informacjami, jak możemy do tego podejść. Ale jasnym jest, że nie każdego pracownika będziemy w stanie wyedukować odpowiednio, a z drugiej strony każdy człowiek, nawet najbardziej wyedukowany i najbardziej ostrożny na świecie ma swoje momenty słabości, więc zawsze się może zdarzyć sytuacja, kiedy taka osoba zagapiona w biegu, w natłoku informacji kliknie coś przez przypadek. No i już jest podatna na jakieś zagrożenie. Z tej perspektywy wchodzi właśnie ta druga sekcja, o której chciałem powiedzieć - sekcja zabezpieczeń administratorskich. Tu pamiętajmy, że musimy zbalansować pomiędzy bezpieczeństwem, tak żebyśmy zabezpieczyli jak najlepiej się da nasze rozwiązanie, ale też z drugiej strony pomiędzy użytecznością od strony użytkownika. Jasne jest, że moglibyśmy użytkownikowi komputer zamknąć w kasie pancernej, do zalogowania kazać mu wpisać 150-znakowe hasło, wymagać kluczy bezpieczeństwa i przejścia przez nie wiadomo jakie inne dziwne rzeczy, klatki Faradaya i tak dalej, można by było, ale czy takiemu pracownikowi będzie się chciało przychodzić wtedy codziennie do pracy i pracować? No będzie to wyzwanie, ogromne wyzwanie. Dlatego patrzymy z naszej perspektywy jako Google na to, żeby pracownikowi dać możliwość pracy bardzo komfortowej, ale z drugiej strony bardzo bezpiecznej i na przykład takim najważniejszym elementem według mnie są klucze bezpieczeństwa, które pomagają nam uruchomić weryfikację dwuetapową. Kojarzysz? Tak jak w banku. Logujesz się do banku, próbujesz zrobić przelew, dodatkowo dostajesz kod SMS, musisz go przepisać, poszło, fajnie, udało się. Tylko to rozwiązanie z kodami SMS ma niestety jedną wadę. Jeżeli ktoś ci wystawi fałszywą stronę banku, to może na żywo pod spodem przekazywać informacje do prawdziwej strony banku. I faktycznie bank ci wyślę tego smsa, ale ten kod podasz na fałszywej stronie, więc ktoś, kto go przechwyci i tak sobie przelew zrobi. Nie do końca bezpieczne, ale już i tak lepsze niż nieposiadanie niczego, już osoba, która próbuje od nas coś wyłudzić, musi się nagimnastykować. Tu się właśnie pojawiają rozwiązania, takie jak klucze bezpieczeństwa. To jest taki standard FIDO U2F w ramach którego przy autoryzacji do konta, na przykład Google'owego, podajemy login, hasło, po czym wpinamy klucz do portu USB i musimy nacisnąć przycisk z boku klucza. Pod spodem przeglądarka weryfikuje nam po pierwsze, że strona, na której jesteśmy, to jest strona, na której powinniśmy być, weryfikuje i porównuje klucze szyfrujące pomiędzy tym kluczem USB a kluczem, który już został wcześniej zsynchronizowany z naszym kontem Google i tylko w wypadku, kiedy faktycznie ta strona, na której jesteśmy odpowiada nam odpowiednim kluczem i kiedy faktycznie odpowiedni klucz włożyliśmy do portu USB, dopiero wtedy nastąpi okejka i autoryzacja. My wdrożyliśmy w Google'u klucze FIDO gdzieś w okolicach 2015 roku, to już jest 7 lat. Mamy w Google grubo ponad 100 000 pracowników. Wiesz ile od tamtego czasu mieliśmy przechwyceń kont takich, że ktoś hasło wyciągnął?

Obstawiam, że pewnie więcej osób pisze, że zgubiło klucz - innego rodzaju problem. Ale przejęć kont...

Dosłownie było zero. To jest najbezpieczniejsza teraz metoda zabezpieczenia jakiegokolwiek konta. To też nie jest tak, że kupujesz klucz i używasz go tylko i wyłącznie do konta Google, ale coraz więcej serwisów internetowych zaczyna wspierać takie klucze. Ja na przykład osobiście używam kluczy i do konta prywatnego, i do służbowego, i mam klucze powpinane do jakichś giełd, na których trade'uję, nawet do jakichś bitcoinów, wszędzie gdzie tylko mogę i widzę że jest taka możliwość mam wpięty klucz. Oczywiście, że w sytuacji, kiedy klucz by mi zaginął, mam też podpięte alternatywne metody. Tą alternatywną metodą może być ten token SMS na przykład. Bo wiem, że wtedy jeżeli faktycznie klucz bym zgubił, to SMS-em się zweryfikuję dwa razy, wtedy sprawdzę, czy jestem na dobrej stronie i tak dalej, ale na co dzień nie będę tego SMS-a używał, bo jednak klucz wiem, że jest bezpieczniejszy i ta świadomość użytkowania, podejścia, ale z drugiej strony też być może wymuszenie przez organizację zakupu takich kluczy, rozdania pracownikom i też wymuszenie używania kluczy przez pracowników spowoduje, że dostęp do organizacji już jest zabezpieczony. Jest jeszcze jeden fajny temat, może nie fajny, ale jest jeszcze temat ransomware. To jest niestety problem, który dotknął już wiele organizacji. Część z nich przyznała się publicznie, że mieli z tym problem. Wiele ukryło, że w ogóle coś takiego ich dotknęło, bo jednak nie chcieli pokazywać, że gdziekolwiek mieli jakieś błędne procesy, czy może jakieś luki bezpieczeństwa. Tylko teraz, wyobraź sobie, jesteś taką organizacją, zaatakowaną przez ransomware, który przejął twój serwer plików lokalnych i nagle okazuje się, że cała dokumentacja twojej organizacji, wszystkie pliki, które miałeś, wszystko jest zaszyfrowane. I albo zapłacisz okup, albo musisz próbować te klucze złamać, albo odzyskiwać z backupu, jeżeli taki miałeś w innym miejscu niezaszyfrowanym, to zdecydowanie powinien być backup i odtworzenie. No ale wiemy jak jest, jeszcze nie wszystkie firmy backupów używają, no i teraz z tej perspektywy, jeżeli mówimy o ransomware, to bardzo dobrze jest mieć jednak wszystkie pliki w chmurze, tym bardziej w takiej chmurze jak Google Workspace. Bo na przykład nas ransomware nie będzie dotykało. Jeżeli nawet by się okazało, że w którejś sytuacji, jest taka można powiedzieć jedna bardzo skrajna sytuacja, której nie będę przytaczał, żeby nie dopuszczać do niepotrzebnej edukacji, ale nawet gdyby się okazało, że ktoś mógłby po prostu w jakikolwiek sposób dotknąć pliki, to robisz prosty skrypt i mówisz przywróć pliki do wersji z wczoraj. Skrypt działa x minut. Minut, nie miesięcy, jak to bywa w wypadku normalnych serwerów i masz dostęp z powrotem do wszystkiego. Więc można śmiało powiedzieć, że ataki ransomware w chmurze, takiej jak tutaj dzisiaj omawiamy, Workspace, mogą nas wprowadzić co najwyżej w stan zdenerwowania, ale bardzo szybko sobie z tym poradzimy, więc nie stanowią zagrożenia. I to jest właśnie clou zabezpieczania się przed dzisiejszymi różnymi próbami przejęcia kontroli. Ze strony security oczywiście jest wiele jeszcze innych dodatkowych rozwiązań, jak chociażby możliwość zabezpieczenia telefonów, Androidów, IOS-ów, iPad'ów, czy nawet komputerów w stylu chromebooki czy nawet komputerów z Windowsem. Zabezpieczenia przez rozwiązania wbudowane w rozwiązanie Workspace. Tutaj macie w ramach platformy wbudowany cały pakiet mobile device management, który wystarczy skonfigurować i już wiemy, że jeżeli telefon będzie chciał się podpiąć do naszego konta, to najpierw musi się zautoryzować do systemu, użytkownik musi ustawić kod blokady ekranu albo czytnik linii papilarnych czy Face ID i dopiero później będzie mogła nastąpić autoryzacja, a jeżeli będziemy chcieli ustawić więcej bardziej zaawansowanych polityk, to mamy możliwość na ten moment poustawiania bodajże około 80 polityk dla każdej z tych platform, a nawet i więcej w wypadku niektórych, więc bardzo dokładnie możemy sobie zabezpieczyć te końcówki, ale też możemy sobie zabezpieczyć kontekst, w którym otrzymują dostęp. Możemy powiedzieć, że jeżeli dany użytkownik będzie korzystał z komputera służbowego w ramach sieci firmowej i komputer firmowy jest zaktualizowany, jest aktualna przeglądarka i system, to w tym momencie może mieć dostęp do wszystkich aplikacji. Ale jeżeli na przykład przeglądarka będzie nieaktualna lub wyjdzie poza firmę lub nie wiem, użyje innego sprzętu, to może wtedy będziemy chcieli mu jakąś aplikację wyłączyć i powiedzieć, że w skrajnym przypadku nie będzie miał dostępu do niczego, a może będzie miał dostęp tylko do gmaila albo tylko do kalendarza, żeby sobie sprawdzić grafik. Więc security w ramach danej organizacji ma możliwość w pełni skonfigurowania sobie listy można powiedzieć polityk bezpieczeństwa i w zależności od warunku wejściowego będą różnego typu dostępy przydzielone, to z perspektywy użytkownika. Ale też możemy zabezpieczyć dane, więc możemy na przykład powiedzieć, że jeżeli w danym dokumencie lub wiadomości email, który pracownik właśnie pisze, znajdziemy za pomocą wzorców, wyrażeń regularnych lub predefiniowanych wykrywaczy załóżmy numer karty kredytowej, PESEL, jakieś dane personalne osoby lub cokolwiek sobie wybierzemy i ustalimy, to za pomocą data loss prevention możemy zablokować wysłanie takiej wiadomości czy wyrzucić dodatkowy alert, czy być może zmienić ustawienia na pliku co do możliwości pobierania, drukowania i kopiowania danych z tego pliku. Tu mamy naprawdę ogrom możliwości. No i warto zaznaczyć jedną rzecz, magia tego rozwiązania jest o tyle fajna, że jest to rozwiązanie zarówno dedykowane dla małych firm, gdzie właśnie tak jak wcześniej wspominaliśmy, taka jednoosobowa działalność może uruchomić, zacząć działać, nie musi nawet się przejmować jakimiś ustawieniami i tyle, ale z drugiej strony możemy śmiało mieć takich klientów na naszym rozwiązaniu, jak chociażby PwC, które zarządza też setkami tysięcy pracowników na świecie i jest w stanie zapewnić im pełne bezpieczeństwo.

I to nie koniec wątku bezpieczeństwa w naszym podcaście. Mam nadzieję, że uda się jeszcze spotkać, by go rozwinąć i może spróbować swoich sił w niezbadanych przez wszystkich obszarach Google Workspace, bezpieczeństwo oraz zaawansowane funkcje. Mam nadzieję, że jeszcze będzie nam dane o nich porozmawiać. W kolejnym odcinku FlyTalks z udziałem Kacpra Ptasińskiego liczymy na powtórkę. Kacper Ptasiński jest Customer Engineer, Productivity and Collaboration w Google i życzę by na swojej drodze zawodowej spotkać właśnie takiego partnera w biznesie.

Również mam taką nadzieję. Dzięki wielkie.

Serdeczne dzięki. Jeśli nie subskrybujesz jeszcze naszego kanału, zrób to teraz, by być na bieżąco z kolejnymi odcinkami FlyTalks. Łączymy świat biznesu i technologii.