[Owasp-poland] Czy są tu jeszcze pasjonaci?

Mateusz Kocielski - LogicalTrust m.kocielski at logicaltrust.net
Fri Mar 4 10:37:27 UTC 2016


Cześć.

 Jako osoba, która zarządza ludźmi oraz pracuje zarówno zdalnie jak i
"na miejscu", zostałem poproszony przez Borysa o odpowiedź na Wasze maile.

TLDR: Jeżeli położymy na jednej szali średniaka na miejscu, a z drugiej strony
geniusza z Puszczy Białowieskiej, to rachunek jest prosty.


> On Thu, Mar 03, 2016 at 04:51:20PM +0000, Rafał Janicki wrote:
> >czw., 3.03.2016 o 15:48 użytkownik Michał Sajdak <michal.sajdak at securitum.pl>
> > napisał:
> >
> > Hej
> >
> > Tak się realnie zastanawiam w temacie czasu 'na rozwój'
> > - bo jeśli praca jest zdalna to za bardzo nie wiem jak ten rozwój miałby
> > wyglądać ;)

Wygląda na to, że znalazłeś drobny błąd w naszym ogłoszeniu, gdybym mógł
przyznać bug bounty za to spostrzeżenie, to bym to zrobił (piwo przy
najbliższej okazji? :)). Z ogłoszenia implicite wynika, że praca może być
jedynie zdalna. Natomiast prawda jest taka, że praca MOŻE być
zdalna, ale nie musi. Mamy dwie tajne lokalizacje, gdzie gromadzimy talenty,
które chcą pracować lokalnie - jedną w sercu Górnego Śląska, drugą w sercu
Dolnego Śląska (obie odpowiednio daleko od Warszawy i Krakowa). :)

> > Tzn. wiem - można zapodać linki do: http://sekurak.pl/sekurak-offline/
> > http://rozwal.to/ itd, itp.
> > ale jednak chyba nic nie zastąpi pracy ramię w ramię z doświadczonymi
> > pentesterami przez dłuższy okres czasu.

Trafne uwagi! Pewnie gdyby był rok 1987, to byłbym nawet skłonny przyznać Ci
rację. Opierając się na intuicjach zrobiłbym to też w 2016, gdybym nie miał
doświadczenia w pracy zdalnej. Mamy wychowanków zarówno "zdalnych" jak i
"lokalnych" i mogę śmiało stwierdzić, że nie ma znaczących różnic. Wspominałem
o 1987 roku, bo w sierpniu 1988 pewien Fin założył pierwszy serwer IRC i
znacząco wpłynął na okres mojego dorastania. Jako, że większość z nas
wychowała się wisząc gdzieś na ircowych kanałach, to ten sposób komunikacji
jest dla nas, w pewnym sensie, naturalny. Jasne, kontakt face to face jest
często bardziej efektywny, jednak świat też się trochę zmienił od 1988 i można
dziś przesyłać dźwięk, a nawet obraz (również w zaszyfrowanej postaci),
dlatego jeżeli mamy wypracowane jasne zasady i kładziemy nacisk na
komunikację, to nie trzeba siedzieć ramię w ramię.

Powoli też wkracza na rynek pracy pokolenie, które nigdy nie używało Windowsa
95, jest młodsze od Linuxa i nie pamięta jak to było bez stałego łącza.
Musimy pamiętać, że komunikacja drogą elektroniczną jest dla nich bardziej
naturalna niż dla geeków, którzy ściągali na raty kod X11 na 3 uniwersytetach
przez dwa tygodnie, żeby potem przez kolejne 4 go próbować skompilować...

Odnośnie do linków, to praca zdalna ma również pewne pozytywne konsekwencje,
ponieważ komunikacja jest tam wszystkim, to niektóre rzeczy ewoluują w sposób
naturalny - np. baza wiedzy. 

A linków można zapodać znacznie więcej - http://gynvael.coldwind.pl/?id=366
(polecam http://overthewire.org/wargames/ - zwłaszcza Natas). Czuję też
wsparcie w ramach innych inicjatyw niż pentesty webappek, mogę sobie czasem
np. posiedzieć nad kodem NetBSD i coś naprawić lub rozgrzebać projekt
statycznej analizy języka PHP (17eyes.com).

> > A dokładniej zastanawiam się w kontekście praktykantów, którzy do nas
> > uderzają -
> > i z jednej strony chcieliby rozwoju (w końcu po to są praktyki / staż) a z
> > drugiej często oczekują praktyk 'zdalnych' (!).

Nie skreślamy takich osób, jeżeli możemy mieć talent, który żyje na drzewie w
Puszczy Białowieskiej i nie chce z jakiegoś powodu żyć w Krakowie, Katowicach
czy Trakiszkach, to przy zachowaniu pewnych zasad i wypracowanego modelu
współpracy da się to zrobić. Oczywiście nie jest to proste, bo taki kandydat
musi mieć też umiejętność pracy zdalnej, co automatycznie implikuje
samodyscyplinę, komunikację, dużo samozaparcia etc. Nasze doświadczenia
pokazują, że średnio jedna na trzy osoby jest w stanie podołać temu wyzwaniu.
Jednak jeżeli położymy na jednej szali średniaka na miejscu, z drugiej strony
geniusza z Puszczy Białowieskiej, to rachunek jest prosty.

> Witam wszystkich,
> 
> Jak z perspektywy tych dwoch koncepcji (praca zdalna kontra stacjonarna)
> wygladaja zalety i wady obu rozwiazan, z punktu widzenia wlascicieli firm
> zajmujacych sie testami penetracyjnymi?

Ja myślę, że to niewiele się różni od dowolnego innego biznesu prowadzonego w
modelu zdalnym/lokalnym. Bardzo dobre źródło wiedzy nt. pracy zdalnej można
znaleźć tutaj: https://zapier.com/learn/the-ultimate-guide-to-remote-working/
Dlatego dalej odpowiadając na Twoje pytania, postaram się odnieść tylko do
rzeczy specyficznych dla naszej pracy (lub będę powtarzał oczywiste rzeczy,
które można wyczytać wszędzie indziej). :)

> Jak oceniacie, w skali powiedzmy od 1 do 10, wage takich kwestii, jak
> obecnosc pracownikow w biurze i mozliwosc dzielenia sie z nimi wiedza i
> doswiadczeniem na miejscu czy np. umozliwienie ludziom prace w dowolnie
> wybranych dniach/porze dnia?

Tak jak wyżej pisałem, wiedzą i doświadczeniem można się dzielić już nie tylko
"na miejscu". Nie jest to jednak funkcja jednej zmiennej, czynnikiem istotnym
są też umiejętności miękkie osoby, z którą się dzielisz. Część osób preferuje
kontakt bezpośredni, a część w ogóle mogłaby nie mieć aparatu głosowego, bo
nawet jak siedzi 3 metry od Ciebie, to napisze Ci coś przez sieć. Nie każdy
lubi banany. Dlatego 1 - jeżeli ofiara ma pewne cechy, 10 - jeżeli ich nie ma.

Pory dnia natomiast są istotne, staramy się synchronizować tak, aby większość
pracy wykonywać razem, więc nie wygląda to tak, że dziś pracuje od 4 do 12, a
jutro o od 20 do 4, bo dzień wcześniej byłem na imprezie. Nie jest to też rygor
wojskowy, jeżeli lepiej Ci się myśli po wieczornym kinie, to na pewno część
roboty można wtedy wykonać. Z drugiej strony komunikacja elektroniczna ma to do
siebie, że (o ile to nie jest snapchat), to szybko nie znika, dlatego jeżeli
Zosia napisze o 8 - kurcze ten plik B4CkUp.PhP wygląda dziwnie, to Marysi o 3 w
nocy może coś przyjść do głowy. Na pewno wspólna robota spaja, dlatego dałbym
mocną piątkę. ;)

Należy pamiętać, że praca zdalna nie działa w modelu "róbta co chceta", dlatego
potrzebna jest odpowiednia organizacja pracy oraz jasne zasady. Temu
przypisałbym wagę 12/10.

> Czy w gre wchodza jedynie osobiste preferencje i doswiadczenia?

Są istotnym czynnikiem. To co jest najistotniejsze to umiejętność komunikacji.

> I czy probowaliscie kiedykolwiek w praktyce obu rozwiazan i czy bylo cos co
> zadecydowalo, ze wybraliscie akurat to konkretne rozwiazanie - praca
> stacjonarna (jak Michal i Securitum) lub zdalna (Borys i LogicalTrust)?

Tak jak pisałem, wdrażamy oba rozwiązania, każde ma swoje wady i zalety, w
dłuższej perspektywie wydaje mi się, że praca zdalna będzie coraz
popularniejsza. (W końcu, jeżeli mógłbym mieszkać w Trakiszkach, nie mieć
kredytu i robić co lubię, a po robocie wyjść obrobić pole - bo też lubię, to
czemu miałbym tego nie robić?).

> Czy Panowie z pozostalych firm rowniez mogliby napisac pare slow o tym, czy
> i dlaczego preferuja jedna z tych metod (a moze obie) i czmu akurat te?
>
> Przyznam, ze w miare sledzenia pojawiajacych sie w tym tygodniu ofert pracy
> w Waszych firmach (dzisiaj to jest juz chyba kumulacja jak w Totka :D ) -
> jestem coraz bardziej ciekaw tej kwestii :)
> 
> Mysle, ze dla wielu pasjonatow IT Security w Polsce, ktorzy mysla o
> rozpoczeciu kariery w tej branzy takie informacje rowniez moga byc
> interesujace.

Ja myślę, że to czy praca jest zdalna czy lokalna, to trochę sprawa
drugorzędna, gdybym miał podpowiedzieć coś, co może pomóc w rozpoczęciu
kariery to: rób robotę, chłoń wiedzę i nie zastanawiaj się czy chcesz pracować
zdalnie czy lokalnie, czy chcesz mieć multisport, piłkarzyki, jeździć do
Kataru itd. Naucz się porządnie programować, wyjdź poza webappki, zrozum jak
działają różne technologie i rozwiń w sobie ciekawość, które nie pozwoli Ci
zasnąć jak nie zrozumiesz dlaczego jakiś webservice odpowiada z kodem 500 jak
wrzucisz tam ciąg "apudapud". Dodam, że najlepsi pentesterzy jakich znam, to
ludzie, którzy wcześniej byli administratorami, programistami, ..., i pewnego
dnia się zorientowali, że w sumie to o bezpieczeństwie wiedzą więcej niż o
konfiguracji sendmaila.

> "Hard work beats talent, when talent does not work hard"

Amen!

 Pozdrowienia,
 Mateusz Kocielski

-- 
Mateusz Kocielski <m.kocielski at logicaltrust.net>
LogicalTrust - Audyty Bezpieczeństwa i Testy Penetracyjne
http://www.logicaltrust.net/  Tel: +48 603 22 24 35

Edukacja Twoich pracowników to najważniejszy element systemu
bezpieczeństwa. Sprawdź: www.securityinside.pl/?sb


More information about the Owasp-poland mailing list