Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Skoro działa, to po co ruszać”, czyli o niebezpiecznych decyzjach klientów i codzienności software house
Tym razem mamy dla Was coś nietypowego – wywiad z Jakubem Nadolnym, CEO Fast White Cat – software house’u Magento.
Dla uważnych czytelników mamy kilka sekurakowych nagród. A jednocześnie zachęcamy do zerknięcia na ciekawe oferty pracy w Fast White Cat (możliwość pracy z całej Polski)
1) Sekurak: opowiedz trochę o Waszej firmie. Gdzie jesteście dzisiaj?
Jakub Nadolny: dziś cała branża eCommerce i wspierająca eCommerce jest historycznie w bardzo ciekawym miejscu z powodu pandemii. Nagle wiele firm zrozumiało, jak ważne jest zbudowanie kanałów sprzedaży niezależnych od sprzedaży stacjonarnej, która jeszcze do niedawna była “pewniakiem”, a obecnie jest postrzegana jako obarczona ryzykiem lockdownu. I choć mamy nadzieję, że pandemię uda się szybko przegonić, to sądzimy też, że utrwalone w jej trakcie nawyki konsumentów zostaną – podobnie jak praca zdalna, która nagle okazała się możliwa w miejscach, gdzie jeszcze niedawno była postrzegana jako ryzykowna, z uwagi na brak zaufania do pracowników i współpracowników.
Wiele organizacji i osób zarządzających musiało zmienić swoją mentalność i dostosować się do nowych realiów.
W naszym przypadku skutkiem ubocznym pandemii jest duży skok zapotrzebowania na nasze usługi. Wiele firm poszukuje sprawdzonych, renomowanych firm wdrażających platformy sprzedażowe online na Magento, a z tego powodu bardzo wzrosła konkurencja na rynku software house’ów. Firmy takie, jak nasza nie mają czasu na próby i błędy, muszą wprowadzić klientów do eCommerce od razu i działać szybko, żeby być o krok przed konkurencją. A taki sposób pracy wymaga dwóch niezbędnych czynników: mocnego, kompetentnego zespołu oraz wysokiej kultury organizacyjnej i technicznej. Właśnie taką staramy się mocno budować.
2) Jak myślisz, jakie cechy musi mieć dobry CEO? Czy deweloperzy cenią sobie pracę z Tobą?
Gdybym miał “zwizualizować” idealnego/ą CEO, powiedziałbym, że musi to być osoba bardzo zaangażowana, mocno osadzona w realiach biznesowych, a jednocześnie z dobrym wyczuciem ludzi. Pomocny jest tutaj też “kompas”, który pozwala dobrze wybrać tematy, które powinny być ogarnięte w pierwszej kolejności. Praca CEO to często wybieranie tego, co w danym czasie jest najważniejsze do zrobienia. Wszystkiego zrobić się niestety nie da, doba ma tylko 24 godziny, a czasami też warto jednak odpocząć. Wniosek? Fotel CEO to nie miejsce dla perfekcjonisty. Otoczenie się dobrymi i mocnymi współzarządzającymi jest równie ważne, o ile nie ważniejsze. Przy pewnej skali organizacji nie da się być człowiekiem-orkiestrą, bo zamiast muzyki wyjdzie kakofonia. Bardzo łatwo z głównej osoby zarządzającej stać się wówczas głównym hamulcowym, u którego tematy będą się w nieskończoność kolejkowały. Jeśli mamy jednak mocny i zaufany team, wówczas potrafi to działać naprawdę genialnie. Praca CEO to również nieustanne podejmowanie dużych i małych decyzji. Znam prezesów, którzy potrafią kluczowe decyzje podejmować w ułamku sekundy, na podstawie śladowych informacji. Drugą skrajnością jest “doktoryzowanie się” ze wszystkich możliwych aspektów i próba przewidzenia możliwych skutków jak na szachownicy. Osobiście staram się celować w coś pośrodku. Rzadko zdarza się, że decyzje podejmowane w pośpiechu są trafione. Ale też często nie ma czasu na dokładną analizę wszystkiego. Więc znowu – trzeba wybrać kompromis. Powiedziałbym też, że ważna jest umiejętność słuchania. Jednak problem jest taki, że kiedy jest się na tak wysokim stanowisku, mało jest ludzi, którzy powiedzą ci wprost, że uważają, że robisz coś źle. Więc pozostaje słuchanie… siebie. No i patrzenie na siebie “z zewnątrz”, oczywiście na tyle, na ile to możliwe. Taka wewnętrzna retrospektywa. Dużym wyzwaniem jest też wyjście z multitaskingu. Większość badań jasno pokazuje, że próby realizowania wielu zadań w tym samym czasie są nie tylko kontr-produktywne, ale wręcz szkodliwe na dłuższą metę. Czuję to wyraźnie po sobie i naprawdę nie jest łatwo utrzymać koncentrację, kiedy na kilka skrzynek mailowych co rusz spływają kolejne wiadomości (z których oczywiście trzeba szybko wyłowić te istotne), na czacie równolegle odzywa się kilka osób, w międzyczasie dzwoni telefon… a to wszystko dzieje się w trakcie calla na którym omawiane są istotne dla firmy tematy. Jedyny czas, kiedy jest szansa zrobić coś w skupieniu, to zwykle wczesny ranek lub późne popołudnie. Tyle, że wtedy zwykle organizm woła o choć chwilę odpoczynku. To kolejny zaniedbywany element. Kultywujemy kulturę (za przeproszeniem) “zapierdolu”. Im człowiek bardziej zagoniony, tym bardziej czuje się potrzebny, a tu również nauka o zarządzaniu pokazuje bardzo jednoznacznie – na dłuższą metę jest to kompletnie nieefektywne. Umysł, który jest trzeźwy i wypoczęty, potrafi błyskawicznie znaleźć rozwiązanie problemu, z którym długo męczylibyśmy się, wyciskając z siebie resztki kreatywności pod koniec trudnego dnia. Oczywiście wszystko to łatwo powiedzieć, trudniej zrobić. Sam nadal szukam sposobów jak wdrażać w życie tę wiedzę. Mam tendencję do maksymalnego “upychania” jak największej ilości tematów, co potem niestety czasami nie kończy się dobrze, zwłaszcza, jeśli pojawi się cokolwiek niezaplanowanego. Jest efekt domina i misterny plan dnia idzie się paść.
Powiedziałbym też, że ważna jest pewnego rodzaju zwinność, w rozumieniu nie tylko tego, o czym mówi choćby “Manifest Agile”, ale też umiejętności szybkiej adaptacji do zmieniającego się otoczenia biznesowego.
Co do developerów, to nie pracuję z nimi bezpośrednio. Moje podejście do zarządzania to również decentralizacja. Każdy projekt u nas to w pewnym sensie “firma w firmie”. PM prowadzący projekty dla tak dużych Partnerów, jak choćby 4F, Kontigo, Coccodrillo, Tołpa i wielu innych, jest w pewnym sensie CEO tej mikrofirmy. Przejmuje temat na bardzo wczesnym etapie i prowadzi go od początku do końca. Programiści pracują więc z swoich zespołach, z PMem i TechLeadem, co jest w moim odczuciu zdrowym i skutecznym rozwiązaniem. Zaznaczę jednak, że mam duży sentyment do programowania, ponieważ wiele lat temu sam to robiłem i gdybym miał czas, chętnie wróciłbym do tego zajęcia, hobbystycznie. Póki co musi wystarczyć mi sporadyczne administrowanie serwerami Debian GNU Linux, co nadal bardzo lubię.
3) Czy widzisz różnice w podejściu do biznesu oraz współpracy jeśli chodzi o polskie i zachodnie firmy? [FYI – chodzi mi o współpracę z polskimi / zachodnimi firmami które chcą wdrożyć rozwiązanie e-commerce]
Wbrew pozorom, przynajmniej wśród naszych obecnych Partnerów, te różnice nie są aż tak znaczące. Uogólniając można by powiedzieć, że zachodnie firmy mają zwykle większe budżety, choć też nie jest to “żelazna zasada”. Niemniej to dużo ułatwia, kiedy nie trzeba tłumaczyć się z każdego osobo-dnia, czy nawet osobo-godziny. Niestety nadal zdarzają się sytuacje, kiedy nasz Klient oczekuje, żeby było szybko, dobrze i tanio. Rynek jednak tak nie działa i zawsze jest coś za coś. Powiedziałbym, że więcej zależy od samej organizacji, a zwłaszcza ludzi, którzy ją tworzą, niż od tego gdzie mieści się dana firma. Partnerskie podejście do realizacji projektu, nastawienie na szukanie rozwiązań, a nie winnych problemów, potrafi czynić cuda. Oczywiście pod warunkiem, że jest to faktyczne partnerstwo, a nie tylko deklarowane. Zachowanie kultury i poziomu komunikacji nawet wtedy, kiedy się ze sobą nie zgadzamy, bardzo pozytywnie wpływa na zespoły po obu stronach. Niestety nie zawsze jest to możliwe i bywa, że musimy udowadniać, że nie jesteśmy “wielbłądem”, tracąc czas, który mógłby zostać poświęcony na merytorykę projektu.
4) Jak podchodzicie do kwestii bezpieczeństwa IT w Waszych projektach?
To ważny i bardzo niedoceniany temat. Stara prawda mówi, że bezpieczeństwo IT zaczyna być zauważane dopiero wtedy, gdy coś się wydarzy – czyli za późno. Problem wynika też z tego, że bezpieczeństwo kosztuje – czas, i pieniądze – a nie wnosi bezpośredniej wartości biznesowej. Więc nie jest łatwo przekonać nie tylko innych, ale nawet siebie, że to wydatki, które po prostu trzeba ponieść. My współdziałamy w tym aspekcie w ramach naszej Grupy Kapitałowej Digitree, mamy dedykowaną ekipę, która zajmuje się tymi tematami. Staramy się też krzewić wiedzę. Swego czasu nawet sam robiłem szkolenia z podstaw dla osób nietechnicznych w naszej grupie. W tym roku też wykupiliśmy pentesty w zewnętrznej firmie, która wykona je dla kluczowych produktów Grupy. Zbiegiem okoliczności równolegle Wy, jako Securitum zrobiliście akurat testy u jednego z naszych kluczowych Klientów. Szczęśliwie nie było żadnych criticali! Oczywiście bezpieczeństwo IT to ciągły proces, a nie jednorazowa akcja, więc tak czy owak, na pewno nadal dużo pracy przed nami.
[uwaga niespodzianka – pierwsze 10 osób, które napiszą do nas na adres ca@securitum.pl otrzyma po jednym darmowym egzemplarzu e-booka książki sekuraka: Bezpieczeństwo aplikacji webowych; kolejne trzy – po jednym czarnym t-shircie sekuraka]
5) Jak myślisz, co jest największym wyzwaniem jeśli chodzi o bezpieczeństwo IT w świecie e-commerce?
eCommerce jest mocno narażony na wszelkiego rodzaju ataki z dwóch powodów – są tam pieniądze i dane osobowe. Wejście w życie RODO uświadomiło wielu organizacjom, jak bardzo ważne są również te ostatnie. Ataki kierowane są np. na mechanizmy płatności. Widzieliśmy np. próby wstrzyknięcia złośliwego kodu do wtyczek obsługujących płatności kartami – tak, aby można było przejąć i gromadzić kompletne dane kart płatniczych. Łakomym kąskiem może też być baza danych klientów sklepów internetowych. Najpopularniejsze są obecnie chyba jednak nadal ataki typu ransomware. Wystarczy mała furtka i nieproszony gość zaora nam bazę, a po zapłaceniu kawałków bitcoina, może nam ją odkoduje, a może w sumie jednak nie.
Wyzwaniem są też nieaktualizowane sklepy. Nadal zdarzają się firmy, które korzystają ze starych, nie wspieranych już wersji Magento, włącznie z zabytkowym Magento 1. To jest proszenie się o problemy. Niestety aktualizacja Magento nigdy nie jest ani łatwa, ani tania, z uwagi na dużą ilość customowych rozwiązań tworzonych dla każdego Klienta. Stąd opór, żeby wydać te pieniądze, bo “skoro działa, to po co ruszać”.
6) Szukacie nowych osób do pracy. Co wyróżnia Fast White Cat na tle konkurencji? Pytam tutaj oczywiście w kontekście przyjaznego miejsca pracy :-)
Stawiamy na technologię i wysoką jakość prowadzenia projektów. Efekt jest taki, że deweloperzy pracują w rozwojowych, interesujących przedsięwzięciach, a przy tym dbamy o to, by czuli po prostu komfort wykonywania codziennych zadań i mieli uporządkowane procesy. Wyróżniającą nas cechą jest zwinność, która w FWC nie jest teorią, a praktyką w realiach codziennej pracy. Zwinność naszej organizacji zaczyna się na poziomie płaskiej struktury, co zapewnia szybką ścieżkę decyzyjną. Dzięki temu możemy natychmiast reagować na zmieniającą się rzeczywistość. Dodatkowo, co jest ważne w utrzymywaniu komfortu pracy, podtrzymujemy dobry, zaawansowany stack technologiczny, solidne podejście do pisania kodu, pilnujemy, aby był na wysokim poziomie jakościowym, co potwierdzają choćby liczne certyfikaty Adobe, które nasi eksperci zdobywają. W Fast White Cat ważne jest to, że każdy deweloper może liczyć na wsparcie ze strony zespołu, kolegów z większym doświadczeniem. To, co jeszcze chciałbym podkreślić, to fakt, że jesteśmy partnerem Adobe – to dodatkowy benefit dla naszych deweloperów, bo mogą pracować na najnowszych technologiach. Mamy też bardzo ludzkie, otwarte podejście do naszych ludzi, wspieramy ich, kiedy tylko tego potrzebują, zarząd jest zawsze gotowy do rozmów, rozwiązywania problemów. Nie mogę też nie wspomnieć o tym, że chętnie premiujemy, no i dobrze płacimy ;)
7) Jak wygląda proces rekrutacji? Jeśli ktoś chciałby się do niej solidnie przygotować – jakie dałbyś mu/jej wskazówki?
Co do wskazówek dla kandydatów – być otwartym i uczciwym. Bardzo cenimy takie podejście i takich ludzi staramy się zapraszać do współpracy z nami – atmosfera w “Kocie” stanowi jeden z wyróżników firmy, zależy nam, żeby deweloperzy byli chętni do dzielenia się wiedzą z kolegami i po prostu mieli dobrą energię. Zapraszamy na rozmowę rekrutacyjną, a przekonacie się, że u nas przebiegają one w bardzo swobodnej, partnerskiej atmosferze – nie polegają na zarzucaniu kandydata mnóstwem pytań, raczej na dialogu i wymianie doświadczeń. Co do kwestii merytorycznych, które sprawdzamy na rozmowie, to na takim spotkaniu, poza osobą z HR, jest także Specjalista Magento, na co dzień pracujący oczywiście w projektach FWC, a to dla kandydata możliwość dokładnego poznania sposobu pracy w Fast White Cat, zadania pytań i poznania naszego sposoby pracy i sposobu bycia w ogóle. W zależności od rodzaju stanowiska, którego dotyczy spotkanie, prosimy kandydata o rozwiązanie zadań, problemów programistycznych, niekiedy robimy live coding. Finalnie, bardzo często jeszcze w dniu rozmowy, przesyłamy feedback merytoryczny, niezależnie od naszej decyzji rekrutacyjnej. Wiemy, że wiele firm deklaruje, że wysyła feedback po rozmowach, ale koniec końców jednak tego nie robi, dlatego tym bardziej zawsze pilnujemy, by u nas było inaczej. Nasi kandydaci często są pozytywnie zaskoczeni, że tak szczegółowo odnosimy się do przeprowadzonej rozmowy i dziękują nam za precyzyjne uwagi. One pozwolą poprawić umiejętności i ponownie kandydować do FWC.
8) Jakie w tym momencie rekrutacje prowadzicie i jaki rozwój planujecie na przyszłość? Pytam tu zarówno o kwestie HR, jak i projektowe.
Przede wszystkim poszukujemy obecnie programistów Magento, zarówno mid jak i seniorów czy TechLeadów – na rozmowy rekrutacyjne zapraszamy osoby, które mają minimum pół roku doświadczenia w pracy z Magento. Zależy nam na kompetentnych ludziach, abyśmy mogli zaangażować je w nowe projekty, które czekają u nas w kolejce. Rekrutujemy także Project Managerów i Specjalistów Quality Assurance. Zapraszamy – jesteśmy otwarci na ludzi i chętnie porozmawiamy o wspólnych możliwościach. A co do nowych tematów projektowych, to, jak mówiłem – zawsze jesteśmy tam, gdzie są innowacje, dlatego właśnie przed momentem, dla naszego Partnera z branży beauty, wdrożyliśmy projekt z PWA Studio, który z powodzeniem już działa. Niebawem opublikujemy case study z tej realizacji, mogę tylko powiedzieć, że zespół dał z siebie wszystko i skutecznie wykorzystał technologię tak, aby nasz Partner osiągnął efekt, na którym mu zależało (kluczowe wskaźniki eCommerce’owe jak np. konwersja poszły bardzo mocno w górę!). Ale oprócz projektów komercyjnych, których jest dużo, realizujemy własne, spore przedsięwzięcie – otrzymaliśmy grant i będziemy pracować nad projektem w ramach Narodowego Centrum Badań i Rozwoju, wykorzystującym sztuczną inteligencję oraz uczenie maszynowe do dostosowania sklepu online do profilu klienta. Krótko mówiąc, będziemy skracać okres od wejścia do sklepu do momentu finalizacji zakupu. Algorytmy działające w oparciu o maszynowe uczenie się będą kategoryzować klientów i sprawdzać na bazie testów A/B/C/D, które rzeczy w konkretnej grupie klientów sprawdzają się lepiej, a które gorzej. Podkreślam, że to nie zwykłe rekomendacje, które są już dostępne, ale o wiele więcej. Z badań rynkowych wynika, że żadna firma takiego rozwiązania nie ma.
9) Czy odwiedzasz czasem Sekuraka? :-)
Oczywiście! Obserwuję Was choćby w mediach społecznościowych. Mam nawet Waszą książkę o bezpieczeństwie aplikacji webowych i nawet zacząłem ją czytać, choć patrząc na wieczny brak czasu w którym funkcjonuję, pewnie nie uda mi się jej skończyć. Brałem też udział w Waszym webinarze o bezpieczeństwie IT. Robicie dobrą robotę, za co Wam bardzo dziękuję!
Czy będzie informacja, czy akcja już się skończyła?
jeśli chodzi o nagrody – to rozeszły się tego samego dnia co publikacja postu