FYI by CROZ - broj 17

Transcript

1. broj 17, listopad 2014. tem a broja IT sigurnost projektne

   priče Proces nabave u Renault Nissan Adriaticu Uspješan projekt u Albaniji tehnologije i trendovi Agilizacija u praksi SentiMenter Agilno testiranje intervju Darko Parić: Postajemo li e-Građani? predstavljamo partnere: ARS Computer und Consulting GmbH

2. IZDVAJAMO IZ AKTUALNIH TEČCAJEVA: TEČAJEVI PO MJERI LEARN@CROZ kontaktirajte nas

   na [email protected] IBM BUSINESS PROCESS MANAGER (BPM) UVOD U AGILNI PRISTUP RAZVOJU SOFTVERA RAzvoj mobilnih aplikacija (ios i android) spring framework RAzvoj rješenja nad alfresco ECm sustavima Mentoring i coaching management 3 . 0 (jurgen appelo) essentials of IBM rational performance tester certified SCRUM PRODUCT OWNER (agile42)

3. FYI by CROZ / broj 17 / listopad 2014. |

   3 nadnaslov | rubrika fyi by croz | uvodnik FYI by CROZ | Časopis za informatiku | Urednik: Goran Kelečić | Izdavač: CROZ d.o.o., Lastovska 23, 10000 Zagreb, Republika Hrvatska | Tel.: 00385 1 6184 831 | Faks: 00385 1 6184 833 E-mail: [email protected] | Internet: www.croz.net | Grafički dizajn časopisa i naslovnice: SBD Shift Brand Design, www.sbd.ba | Tisak: Tiskara Grafing d.o.o., Zagreb Piše: Krešimir Mudrovčić Urednik: Goran Kelečić Sljedeći utorak organiziramo ”Sigur- no prijepodne”, događaj posvećen različitim aspektima računalne si- gurnosti. Nismo radili nikakvu veliku reklamu, ali kada su danas počele masovno stizati prijave (u trenutku dok ovo pišem više ih je od 60), zaključio sam da je tema ovoga broja apsolutno pogođena. Nikada dovoljno sigurnosti – tek je zamuknula priča oko #Heartbleed buga, a stiže nam Shellshock bug. No kako ne volimo širiti histeriju, usmjerili smo se na konkretne, realne i pragmatične mjere, koje trebaju poduzeti svi koji drže do svojih informacijskih sustava, a pogotovo oni koji su zaduženi za sigurnost. Za potrebe ovoga uvodnika, zaustavit ću se na killer pitanju: Imate li implementiran pro- ces upravljanja sigurnošću i kad ste posljed- nji put napravili reviziju toga procesa? Možda mislite da ste dosad upoznali sva lica CROZ-a – obično nas prepoznaju kao programere po mjeri, integratore ili konzultante za alate ili metodologije. U ovom vam broju predstavljamo dva CROZ- ova softverska proizvoda: SentiMenter i cDocs. SentiMenter je alat namijenjen analizi društvenih mreža. Dakle ako vas zanima što se na Facebooku (Twitteru, forumima, portalima, YouTubeu, Indexu, Jutarnjem, Večernjem….) piše o vašem proizvodu, brendu ili političkoj opciji, korištenjem ovoga alata lako ćete to doznati. Najbolje je to što alat zna analizirati osjećaje iz teksta na hrvatskom i srodnim jezicima. Dakle idealno je oruđe za sve koji se ozbiljnije bave digitalnim marketingom. SentiMenter je u cijelosti proizvod mladih i nešto starijih CROZ-ovih genijalaca – bravo za Matiju, Hrvoja i Luku! U trenutku dok ovo čitate SentiMenter je već dostupan svim korisnicima u cloud verziji, uz vrlo pristupačnu cijenu, a kampanja za njegovu promociju bit će naravno na Facebooku. Dakle obavezno pratite našu stranicu na Fejsu! Drugi je proizvod puno tradicionalniji. cDocs podržava standardne poslovne procese i dokumente (nabava, ugovaranje, ulazni računi, izdatnice, otpremnice, ugovori, putni nalozi, ponude…). U ovom broju FYI-a pročitajte kako je ovoga proljeća cDocs implementiran u regionalnom Renault-Nissanu. Posao smo dobili u oštroj konkurenciji na natječaju na kojem su sudjelovalo više tvrtki iz Slovenije, Hrvatske i Srbije. Nadamo se još mnogim ovakvim skorim projektima. Naravno, i tu imamo cloud verziju! Pri kraju prvoga sastanka za pripremu ovoga broja netko je spomenuo i članak o našoj QED konferenciji. Svi smo potvrdno ”otklimali” i već trenutak kasnije zaključili kako je QED baš fina i vesela konferencija, a reportaže su nam dosad nekako bile dosadne, pa smo to odlučili promijeniti! I šećer za kraj. Nogometašice- informatičarke odigrale su još jedan turnir. Još veseliji i pozitivniji. Bravo cure! P.S. Agilizacija mi nije stala u ovaj uvodnik, ali imamo veliku vijest: CROZ je postao službeni partner tvrtke agile42. Time se našim coachevima otvara prostor za daljnje usavršavanje, a našim se korisnicima pruža mogućnost korištenja najbolje svjetske prakse. A kad vas Rolling Stonesi, kao mladog rokera, pozovu na zajedničku svirku, osjećaj je zaista cool!

4. 4 | FYI by CROZ / broj 17 / listopad

   2014. rubrika | nadnaslov sadržaj | fyi by croz tema broja: Stanje IT (ne)sigurnosti Podaci, podaci, podaci! Antivirus je mrtav! Živjeli virusi? Cross-Site Request Forgery tehnologije i trendovi: Mjerenje uspješnosti na društvenim mrežama, iliti nije sve u lajkovima Agilno testiranje Agilizacija u praksi Tehnološki radar projektne priče: Proces nabave brz kao PUMA CROZ na novom tržištu: uspješan projekt u Albaniji intervju: Darko Parić Postajemo li e-građani? predstavljamo partnere: ARS Computer und Consulting GmbH REPORTAŽE: QED – put prema učinkovitom IT-u CROZ u Kuvajtu Nogometni turnir žena u IT-u 6 9 11 18 23 28 38 26 33 35 16 37 40 21 13

5. FYI by CROZ / broj 17 / listopad 2014. |

   5 nadnaslov | rubrika fyi by croz | vijesti fyi by croz | vijesti Pomoć stradalima od poplava I naša se tvrtka pridružila velikoj akciji za pomoć stradalima od poplava doniravši na račun Crvenoga križa značajniji iznos za pomoć stanovnicima poplavljenih područja. Naši su zaposlenici također pridonijeli akciji prikupivši dva kombija trenutačno neophodnih stvari za poplavljene u Slavoniji i 23. svibnja odvezli ih direktno stanovnicima Gunje. Pomoć stradalima od poplava AgileLean Europe 2014 redovna je europska konferencija koja se u kolovozu održala u Krakovu. Davor Čengija iz CROZ-a sudjelovao je na konferenciji kao predavač te je predstavio način primjene lean i agilnih principa kod uvođenja Enterprise arhitekture. ”Prepoznaj vrijednost (value), omogući da ta vrijednost nesmetano teče kroz sustav (value flow), a zatim se posveti eliminiranju viškova i gubitaka (waste elimination). To su osnovni principi lean menadžmenta koji se mogu i moraju primijeniti i u projektima uvođenja CROZ na konferenciji AgileLean Europe 2014 u Krakovu Započela suradnja CROZ-a i agile42 U prošlom smo broju zagolicali vašu maštu intervjuom s Andreom Tomasinijem, a sad možemo i službeno potvrditi – CROZ je 15. listopada potpisao ugovor o suradnji s renomiranom svjetskom konzultantskom tvrtkom agile42. U okviru toga partnerstva CROZ-ov tim stručnjaka proći će kroz proces edukacije te tako usvojiti način rada koji koristi agile42. Time će bogato iskustvo tvrtke agile42 postati izravno dostupno i klijentima u našoj regiji, a CROZ će im moći ponuditi uslugu implementacije i kontrole principa agilea na svim razinama i u svim odjelima organizacije. CROZ je u tvrtki agile42 pronašao najboljega partnera u području agilea, koji u svojim podružnicama u SAD-u, Kanadi, Njemačkoj, Nizozemskoj, Danskoj, Italiji, Finskoj i Hrvatskoj zapošljava certificirane stručnjake te provodi projekte tranzicije različitih organizacija na agilni način funkcioniranja. Od svojega osnutka 2007. godine tvrtka agile42 uspješno je vodila proces tranzicije u različitim tvrtkama, kao što su Siemens, Sony, Mitsubishi, Ericsson Nikola Tesla, Ableton i Chip, ali i u start- up tvrtkama, kao što su Babbel, Juwelo i eBuddy. Dva nova Consulting@CROZ paketa Naša vrijedna ekipa iz Consulting@CROZ odjela uvela je u ponudu dva nova konzultantska paketa: Uvođenje lean principa upravljanja poslovnim potrebama, koji projektnim portfeljem i projektnom implementacijom omogućuje jednostavnije planiranje i veću predvidljivost u izvedbi, uz bolju koordinaciju i s manje neugodnih iznenađenja na osnovi lean metodologije, te Uvođenje Enterprise arhitekture, koji omogućuje stabilnu i predvidljivu informatičku infrastrukturu, koja istovremeno zadovoljava inženjerske kriterije kvalitete i omogućuje brze i kvalitetne odgovore na zahtjeve za širenjem i novim uslugama. Više o paketima možete pročitati na www.croz.net/consulting. Održano događanje Moderno testiranje u velikim organizacijama Tvrtka CROZ i edukacijski centar Learn@CROZ održali su 25. rujna događanje pod nazivom Moderno testiranje u velikim organizacijama, na kojem su svi koji se bave testiranjem imali priliku podijeliti iskustva iz područja testiranja u velikim sustavima te ukazati na primjenu najmodernijih metodologija u procesu testiranja. Enterprise arhitekture. Osim što se ovakvim pristupom znatno brže dolazi do kvalitetne, održive i skladne poslovno- tehničke arhitekture, istovremeno se i u samoj organizacijskoj strukturi postavljaju temelji za kontinuirano unapređenje sustava.”

6. 6 | FYI by CROZ / broj 17 / listopad

   2014. Spomenuti da je neki IT sustav siguran u okruženju informatičara koji se bave sigurnošću vrlo često zna izazvati šaljive, a ponekad i sarkastične komentare. Ta je percepcija nažalost ispravna: potpuna sigurnost u IT-u ne postoji, barem ne u pravom smislu te riječi. U doba kada za uspostavu bilo kakvoga kvalitetnoga IT sigurnosnoga programa moramo krenuti od pretpo- stavke da smo već kompromitirani, ne možemo ne zaključiti da situacija i nije baš ohrabrujuća. Globalni pogled S ovako relativno tmurnim uvodom možemo krenuti dalje na trenutačne tren- dove koji postaju sve više zabrinjavajući. Temeljni motiv kriminalnoga miljea i dalje je isti – profit. Taj dio se ne mijenja, niti ikada hoće. Sofisticiranost napada raste, a znanje potrebno za njihovo izvršavanje pada. Neki od mnogih globalnih sigurno- snih problema s kojima se IT industrija sve više susreće jesu gubitak kontrole nad podacima te nedorečena i neregulirana odgovornost proizvođača softvera. Prvi je Stanje IT (ne)sigurnosti U današnjem stanju kibernetičke sigurnosti u jedno možemo biti sigurni: opasnost je tu, jasna, neposredna i neizbirljiva. Ključno je pitanje hoćemo li znati reagirati kad postanemo žrtve ciljanoga ili usputnoga napada i trudimo li se učiniti sve da ne budemo žrtve. problem vezan uz ekstremno brz razvoj mobilnih tehnologija, tehnologija koje su smještene u oblaku te konstantno rastuća kompleksnost IT sustava i količine podataka. Iako je takav trend pozitivan jer omogućuje pojedincu kvalitetnije, brže i efikasnije obavljanje poslova, iz sigurno- sne perspektive to je noćna mora jer su podaci disperzirani i teško ih je adekvatno kontrolirati. Drugi je problem nepostojanje odgovornosti proizvođača softvera za izra- du defektnoga koda. Taj problem postoji od samih začetaka softverske industrije i nije ništa novo, ali je sad po prvi put jasno i glasno iznesen, na vrlo dobar način objašnjen te su čak i predložena rješenja. Na problem je javno ukazao Dan Geer, vodeći svjetski stručnjak na polju IT sigur- nosti na zadnjoj Black Hat konferenciji u Las Vegasu u kolovozu, zaključivši da ako postoji odgovornost za defekte u bilo ko- jem proizvodu koji potrošač kupuje, takva odgovornost mora postojati i u softverskoj industriji. Uvodu u ovu temu prethodila je sada već legendarna rečenica u kojoj Geer kaže da samo dva entiteta na svijetu nisu odgovorna za svoj proizvod, a to su religija i proizvođači softvera. Nažalost taj je problem rak-rana IT sigurnosti jer su sigurnosni propusti u proizvodima najlakši put za kompromitaciju sustava. Jedno od predloženih rješenja, koje izazvalo popri- ličnu buru u IT svijetu, jest da se izvorni kod da na uvid svakom kupcu softvera, te se na taj način odgovornost za sigurnu implementaciju istog prebaci na samoga kupca. Možete li zamisliti koje bi poslje- dice takvo preuzimanje odgovornosti proizvođača softvera imalo na cjelokupnu IT industriju? Napadači i metode Globalne i strateške probleme IT industrije iskorištava kriminalni milje koji je podije- ljen u par kategorija. U skupinu napadača niskoga znanja i niske razine fokusa spadaju tzv. script kiddies, koji napadaju što stignu i kad stignu, bez ikakvoga plana i želje za dobiti. Sljedeća su skupina napadači visoke razine znanja i niskoga fokusa, koji obično izvršavaju sofisticirane masovne napade na širok spektar meta, obično s ciljem krađe identiteta te otvara- nja pristupa u tvrtke koji se dalje prodaju Piše: Krešimir Filla tema broja | IT sigurnost

7. FYI by CROZ / broj 17 / listopad 2014. |

   7 na crnom tržištu. Napadači niskoga znanja i visoke razine fokusa obično se fokusi- raju na specifičnu metu i u tu kategoriju obično spadaju distribuirani napadači na dostupnost sustava. I na kraju postoji kategorija o kojoj svi pričaju zadnjih par godina, a i postala je buzzword: katego- rija advanced persistent threat. Radi se o napadačima visokoga znanja s visokim fokusom kojima su meta podaci, državne tajne, kreditne kartice... Takvi napadi nisu masovni i ciljani su na specifične tvrtke ili pojedince. Bez obzira na napadačku skupinu, najučestalije metode napada na tvrtke i pojedince jesu usmjereni napadi na korisnike, pojilišta te iskorištavanje propusta u web aplikacijama. Usmjereni napadi na korisnike ili tzv. spear phishing napadi obično koriste e-mail poruke, zaražene zloćudim kodom koji iskorištava neki od aktualnih propusta u najčešće PDF-u ili Javi i koje su specifično dizajnirane da se uklapaju u svakodnevni kontekst poruka koje ciljani korisnik dobiva. Nakon otvaranja dodataka u poruci korisnik obično biva zaražen i napadač preuzima kontrolu. Pojilišta ili tzv. watering holes jesu napadi fokusirani na web stranice koje ciljani korisnik posjećuje. Nakon kompromitacije web stranice s malicioznim kodom napadači čekaju da ciljani korisnik posjeti stranicu te da se korisničko računalo zarazi. Nakon toga napadači obično imaju pristup internim mrežama ciljanih tvrtki ili pojedinaca. Napadi na web aplikacije sve su učestaliji jer kompleksnost web stranica raste, a samim tim i broj pogrešaka u kodu i implementaciji istih. Uz to web aplikacije obično komuniciraju s bazama podataka koje sadrže velik broj korisničkih podataka koji su zanimljivi napadačima. U svijetu penetracijskoga testiranja postoji šala koja je vezana uz sigurnost web aplikacija i koja otprilike odražava stanje i kvalitetu sigurnosti web aplikacija, a ide ovako: ”Što će ti VPN pristup kad imaš web?”. Ta je šala nažalost ponekad vrlo točna jer loš dizajn sustava omogućava napadačima da kompromitacijom web stranica pristupe unutarnjoj mreži IT sustava. Pogled u bolje sutra? Da situacija ne bude baš tako crna trude se mnogi proizvođači sigurnosnih proizvoda i regulativna tijela. Iako su proizvođači sigurnosnoga softvera obično jedan korak iza napadača, pomaci u industriji su pozi- tivni, a pristup zaštiti IT sustava mijenja se u skladu s trenutačnim prijetnjama. S obzirom na visoku vjerojatnost da će nam sustavi kad-tad biti kompromitirani, rješe- nja koja se bave analizom i odgovorom na sigurnosne incidente sve su popularnija. Rješenja koja štite podatke od curenja i koja podatke kriptiraju sve su raširenija jer omogućavaju zaštitu podataka i nakon što se kompromitacija dogodila, a o njima pišemo u ovom broju FYI-a. Kontrola mo- bilnih uređaja jako je važna jer omogućava kontrolu podataka koji se na tim uređa- jima nalaze te samih uređaja koji, ako su kompromitirani, omogućavaju sporedan i nekontroliran ulaz u korporativne sustave. U posljednje se vrijeme puno pisalo o izjavi Symantecova (vodeći svjetski proizvođač sigurnosnoga softvera) potpredsjednika za sigurnost koji je izjavio da je antivirus kao takav mrtva tehnologija. Normalno, kao i kod mnogih drugih izjava, mediji su izvukli iz konteksta ono što je najbombastičnije pa time krenuli dalje. Potpredsjednik je naime govorio o činjenici da antivirus kao takav više nije dovoljan, te da bi zaštitile radne stanice i poslužitelje tvrtke moraju poduzeti potpuno nov pristup, koji se tiče višeslojne zaštite a u kojem je antivirusna komponenta samo jedan od kotačića. Zbog takva stanja sve više sigurnosnih produkata napušta neučinkovitu metodu detekcije virusa na temelju definicija i okreće se metodi bijelih lista koja ima sasvim drugačiji pristup, odnosno da se na računalima sve smatra prijetnjom, osim onoga što nije posebno navedeno da je prijetnja. O toj temi piše i kolega Biruški u ovom broju časopisa. Dodano se veliki napori ulažu u Sandbox tehnologije koje sumnjive datoteke otvaraju unutar virtualnih operativnih sustava te na taj način prate ponašanje istih i odlučuju je li datoteka maliciozna. Regulatorne agencije i skupine konstantno unaprjeđuju standarde i regulative kako bi se u slučaju kompromitacije sustava šteta smanjila na najmanju moguću mjeru te kako bi se podigla granica koja je potrebna za Posljedice napada sve su veće i češće te se ne događaju samo ”negdje drugdje” Ljudi najčešće imaju naviku misliti da se loše stvari događaju nekome drugome. Tako je i sa sigurnošću. IT sigurnost | tema broja

8. 8 | FYI by CROZ / broj 17 / listopad

   2014. osnovnu zaštitu podataka i sustava. Dobar je primjer nova inačica PCI DSS standarda koji se bavi sigurnošću u kartičarskoj industriji, a koji je nedavno uveo potrebu da se jednom godišnje provode penetracijski testovi na svim sustavima koji se bave kartičnim transakcijama. Isto tako jedna od nadolazećih regulativa, koja ima potencijal podosta promijeniti i unaprijediti pogled na zaštitu osobnih podataka, svakako je i EU Data Protection Reform, regulativa koja će, ukoliko se uspješno izglasa u Europskom parlamentu, među ostalim unaprijediti zaštitu osobnih podataka. Treba istaknuti da nisu samo tehnologije i regulative te koje će nam osigurati sigurniju budućnost: mnogo je toga i na nama samima. Primjerice napadi koji su dobili popriličnu pokrivenost u hrvatskim medijima (napad na jedno stambeno gospodarstvo te napadi na korisnike nekih većih banaka u Hrvatskoj) uspjeli su, usudio bih se reći, pomoći na području Web aplikacije kritičan su, ali i ključan faktor za uspješno poslovanje u mo- dernom okruženju, no istovremeno se ne posvećuje dovoljno pažnje njihovoj sigurnosti, zaštiti podataka i sprječava- nju neovlaštenoga pristupa. Iskusan tim naših stručnjaka pomoći će Vam ovim konzultantskim paketom usluga da pravovremeno uočite sigur- nosne propuste, smanjite rizike i na vrijeme riješite probleme koje nose ne- sigurne web aplikacije. Provjera sigurnosti u web aplikacija- ma uključuje detaljnu analizu ranjivosti i penetracijski test odabranih aplikacija te preporuke za podizanje razine sigur- nosti vaših web aplikacija – od razvoja, preko testiranja, do izvršnih okolina. Više informacija na www.croz.net/consulting Consulting@CROZ Provjera sigurnosti u web aplikacijama gdje ne pomažu ni regulacija ni trendovi, a ni tehnologija, potaknuvši znanje i svijest o problemu koji nas okružuje. Naime tih su par dana Hrvati bili svjesni prijetnje i načina na koji cyber kriminalni milje funkcionira te koje tehnike koristi. Ljudi i tvrtke odjednom su postali svjesni problematike koja nas okružuje. Na trenutak smo znali i kako se obraniti (spominjale su se jake lozinke, korištenje višestrukih metoda prijave, ažurnost zakrpa…). Članci su se komentirali, ljudi su pitali, objašnjenja su se nudila, tvrtke su se raspitivale o rješenjima i tražile savjete, HNB se uključio… Nažalost ne moram posebno naglašavati da su problem i svijest o njemu pali u zaborav otprilike u isto vrijeme kada i vezani novinski članci. Edukacija i svijest o problematici dugotrajan su i kontinuiran proces od kojeg će koristi, čini mi se, imati tek budući naraštaji. Zašto ne i mi, možda se pitate. Pa ako uzmemo u obzir da je bilo potrebno par naraštaja Broj ukradenih identiteta (obično su to ime, prezime, e-mail adresa, a vrlo često i brojevi kreditnih kartica) u prvom kvartalu 2014. godine. Postoji li neki identitet na svijetu koji još nije ukraden? (Izvor: www.breachlevelindex.com) u određenim sredinama da se stvori navika zaključavanja vrata na kućama, probajte zamisliti koliko će vremena biti potrebno da se ljudi osvijeste o temi koja je ipak trunku kompleksnija. Dodatno, ljudi će uvijek biti ljudi bez obzira radi li se o osiguranju auta, o odlasku k liječniku iz preventivnih razloga ili pak o ugradnji alarma u kuću. Ljudi najčešće imaju naviku misliti da se loše stvari događaju nekome drugome. Tako je i sa sigurnošću. Ili se svi gore navedeni problemi događaju nekome drugome ili prevladava stav da ako nam se do sada nije ništa dogodilo, vjerojatno niti neće. Tek kada sami postanemo žrtve ili to postanu ljudi bliski nama, postajemo svjesni problema, ali onda je obično kasno. Da, upravljanje sigurnošću dinamično je područje kojim je teško upravljati, ali postoje mnoge stvari koje možemo napraviti i treba ih napraviti čim se ukaže prilika, jer sve se svodi na – smanjenje rizika. I zapamtite: sigurnost više nije ”Nice to have”, sada je ”Must have”! tema broja | IT sigurnost

9. FYI by CROZ / broj 17 / listopad 2014. |

   9 Podaci koji su u tvrtkama pohra- njeni u elektroničkom obliku sadrže vrlo važan i za poslovanje kritičan sadržaj. S obzirom na da- našnju kompleksnost IT sustava u kojima se ti podaci nalaze, njihova kontrola i za- štita temeljni je izazov svih organizacija. Nijedna si organizacija ne može dopustiti da njezini podaci dođu u krive ruke, bilo vanjskim napadima, bilo namjerom ili nemarom zaposlenika. Cilj je svake tvrtke koja cijeni svoje podatke postizanje sigur- nosnoga trojstva: integritet, povjerljivost i dostupnost. Da bi olakšale kontrolu, povećale razinu sigurnosti i zadovoljile regulatorne zahtjeve, tvrtke se okreću raznim mehanizmima zaštite podataka. Klasifikacija podataka te implementacija sustava za zaštitu od curenja podataka tehnologije su i procesi koji mogu pomoću u ostvarenju tih težnji. Klasifikacija podataka Klasifikacija elektroničkih podataka proces je identifikacije vrijednosti i svrhe dokumenta na temelju kojega se određuje razina njihove važnosti. Dokumenti se obično klasificiraju, prema interno definiranim razinama klasifikacije, kao interni, javni i tajni. Svaka od razina klasifikacije donosi neka pravila koja se odnose na rukovanje takvim dokumentima. Interni dokumenti obično su namijenjeni internoj upotrebi i kao takvi ne bi smjeli napuštati tvrtku. Javni dokumenti mogu biti dostupni svima, dok tajni dokumenti sadrže povjerljive podatke, ograničene na uvid samo određenim osobama. Nakon što su podaci klasificirani, postaju lako upravljivi. To znači da ostale komponente IT sustava, koje brinu o sigurnosti, dostupnosti i integritetu, mogu učinkovito raditi svoj posao. Klasifikacija se obavlja ovisno o softverskom rješenju koje se bavi klasifikacijom podataka. Na tržištu postoji više proizvođača, od kojih svaki ima gotovo pa potpuno drugačiji pristup klasifikaciji podataka, a i tehnički se odvajaju na različitim mjestima. Da ne idemo previše u dubinu, spomenut ću dva pristupa Podaci, podaci, podaci! Kao što je 2006. godine Steve Ballmer, tadašnji potpredsjednik Microsofta, na jednoj konferenciji sumanuto skakao po pozornici i objašnjavao koliko su razvojni inženjeri važni, vičući ”Developers, developers, developers!”, danas bi svaki CSO, CTO ili CFO trebao vikati ”Podaci, podaci, podaci!”. Piše: Krešimir Filla Sigurnosno trojstvo podataka i usluga Komponente sustava zaštite od curenja podataka: Pronađi Pronalazak podataka je proces u kojem sustav automatski i u određenim intervalima pretražuje sve repozitorije unutar IT sustava. Tako se npr. pretražuju svi tipovi podatkovnih baza (MS SQL, Oracle, Exchange, Domino), dijeljene mrežne mape, sustavi za kolaboraciju... Nakon što je podatak određenoga tipa pronađen (npr. dokument koji sadrži brojeve kreditnih kartica), moguće ga je kriptirati, obrisati, premjestiti na neku prikladniju lokaciju ili napraviti neku drugu akciju koju softversko rješenje dopušta. Nadziri Nadzor podataka svodi se na nadzor radnji vezanih za pohranu i kontrolu protoka podataka. Nadzorna komponenta sustava za curenje podataka tako će primjerice poslati upozorenje administratoru ukoliko korisnik pošalje e-mail poruku povjerljiva sadržaja izvan tvrtke. Dodatno, nadzorna komponenta služi kao mehanizam za obuku i sigurnosno osvješćivanje korisnika IT sustava, što se postiže izbacivanjem ”pop-up” prozora, koji suptilno obavještavaju korisnika da radnja koju čini ili planira napraviti nije sukladna sigurnosnoj politici tvrtke ili pak nije preporučljiva. Istraživanja su pokazala da takav edukacijski pristup može drastično smanjiti slučajno curenje podataka koje se regularno događa zbog nepažnje i nemara zaposlenika. Zaštiti Zaštitni dio sustava fokusira se na forsiranje definiranih pravila. Zaštitna komponenta osigurat će blokiranje zaštićenih podataka ukoliko odlaze na nedozvoljenu lokaciju (kopiranje na USB, slanje e-mailom ili pak pokušaj uzimanja slike ekrana). Kvalitetni sustavi za zaštitu od curenja podataka su modularni i sposobni štititi sve ili samo odabrane kanale putem kojih podaci mogu curiti. Kanali koji se najčešće štite od curenja podataka su mail promet, web promet te kontrola korištenja vanjskih uređaja (USB, CD/RW). Svakako je dobro napomenuti da se sustavi za zaštitu od curenja podataka najčešće mogu integrirati i povezati sa sustavima za enkripciju te su na taj način u mogućnosti, na temelju nekih pravila, automatizirano vrišti enkripciju datoteka (npr. automatsko kriptiranje e-mail poruke koja sadrži određene ključne riječi ili pak tajno klasificiran dokument). Uz softverske agente, koji se obično stavljaju na poslužitelje i radne stanice, sustavi za zaštitu od curenja podataka imaju mogućnost nadziranja cjelokupnoga mrežnoga prometa koji se u tvrtki odvija. Iako u tom slučaju nisu u mogućnosti blokirati promet, uvid u cirkulaciju podataka može biti neizmjerno koristan, pogotovo u slučajevima kada se nestandardnim protokolima pokušavaju izvući podaci iz tvrtke. IT sigurnost | tema broja

10. 10 | FYI by CROZ / broj 17 / listopad

    2014. kompromitacije sustava, unutarnje prijetnje...), sustavi za zaštitu od curenja podataka postaju sve prisutniji i potrebniji. Iako klasifikacija podataka nije preduvjet za implementaciju sustava za zaštitu od curenja podataka, ona mu svakako olakšava posao. Sustavi za zaštitu od curenja podataka obično se sastoje od tri osnovne komponente: pronađi, nadziri i zaštiti. Jako je dobar primjer curenja podataka, u ovom kontekstu, slučaj sada već svima poznatoga Edwarda Snowdena, koji ne bi bio u mogućnosti ukrasti takvu količinu dokumenata iz postaje Hawaii da je NSA implementirala kupljen i nikada postavljen sustav za zaštitu od curenja podataka. U najgorem slučaju curenje bi bilo detektirano na vrijeme, ako već ne bi bilo i spriječeno. Klasifikacija podataka te zaštita od curenja dvije su odvojene grane i iako mogu funkcionirati svaka za sebe, njihovom se kombinacijom može postići zavidna kontrola i zaštita vlastitih podataka. Zato klasificirajte, pretražujte, nadzirite i štitite! koji se najčešće koriste. Prvi je način prepustiti klasifikaciju korisniku. Na taj način korisnik kroz dodatne alatne trake unutar svojega e-mail klijenta, operativnoga sustava ili pak Office paketa sam klasificira podatke prema unaprijed definiranim predlošcima. Drugi je pristup automatizirano i kontinuirano pretraživanje svih centralnih repozitorija dokumenata u sklopu kojega se dokumenti s određenim ključnim riječima ili na osnovi lokacije klasificiraju prema zadanim pravilima. Mnogi sustavi prepoznaju klasificirane podatke te imaju mogućnost rada s njima. Dobar su primjer sustavi za arhiviranje koji su sposobni na temelju klasifikacije dokumenta odrediti koliko će se određeni dokument čuvati u arhivi. Isto tako sustavi za pohranu podataka sposobni su dinamički odlučivati na koji će način, koliko često i na koju lokaciju pohranjivati podatke s obzirom na njihovu klasifikacijsku razinu. Proces koji je svakako najkomplementarniji klasifikaciji jest zaštita od curenja podataka, o kojoj ćemo detaljnije u nastavku teksta. Zaštita od curenja podataka Curenje podataka je, najjednostavnije rečeno, neovlašten prijenos podataka ili informacije iz organizacije prema vanjskoj destinaciji ili osobi. Vrijednost takvih podataka i informacija može biti od neprocjenjive važnosti za tvrtke i organizacije i zato je imperativ takve podatke štititi od vanjskih i unutarnjih prijetnji, bilo da su slučajno, bilo da su namjerno izazvane. S obzirom na goruću problematiku, trenutačno aktualnu u svijetu IT sigurnosti, o kojoj smo pisali u uvodnom članku (učestalost napada, sve češće Symantec Data Loss Prevention pristup, koji temeljno može zaštititi podatke, bez obzira jesu li u mirovanju, tranzitu ili se koriste. Symantec je jedini proizvođač DLP softvera koji je sedam godina za redom vođa prema Gartnerovu magičnom kvadratu. Symantec DLP ima veći udio u tržištu nego sljedeća tri konkurenta zajedno. (Izvor: IDC WorldWideForecast) Polja pokrivenosti zaštite od curenja podataka • pronalazak podataka bez obzira na lokaciju • izrada inventara osjetljivih podataka • upravljanje premještanjem i čišćenjem podataka • uvid u način korištenja osjetljivih podataka • razumijevanje sadržaja i konteksta • osiguranje vidljivosti • uvid u kršenje sigurnosnih politika i pravila • proaktivna zaštita podataka prevencija od curenja • podataka tema broja | IT sigurnost

11. FYI by CROZ / broj 17 / listopad 2014. |

    11 Želite li da policija hapsi ljude na temelju izgleda? Zašto ne? Kažete da bi trebalo na temelju ponašanja? Dobro. A zašto onda računalne prijetnje detektirate na temelju izgleda i to zastarjelom tehnologijom koja od devedesetih više ne funkcionira? Kažete da ionako nemate ništa važno na računalu? Okrenite onda stranicu i nasta- vite čitati neki drugi članak! A Osamdesete Razvoj osobnih računala uzrokovao je i pojavu prvih virusa, koji su se veselo širili putem disketa, koje su vlasnici računala umetali prvo u zaražena, a onda u (dotad) nezaražena računala. Neki su virusi bili destruktivni pa su namjerno uništavali podatke. Kao odgovor na novu prijetnju, počeli su se pojavljivati i prvi antivirusi. Kako su izlazili novi virusi tako su se pojavljivali i noviji antivirusi. Usprkos dobroj detekciji i sposobnosti uklanjanja, masovnom širenju virusa pogodovala je činjenica da većina računala jednostavno nije imala nikakav antivirus. Devedesete Utrka za kontrolom osobnih računala se nastavlja – autori virusa i antivirusa cijelo se desetljeće nadmeću i pokušavaju osigurati trajnu nadmoć. Klasični antivirusi postaju bespomoćni – polimorfni virusi cije- lo vrijeme sami mijenjaju vlastiti kod, tako da ih antivirusi jednostavno više ne prepo- znaju u njihovu ”novom” obliku i muče se prepoznati im nepromijenjene dijelove. Popularni OS-ovi nisu bili ”lakši” za korištenje samo korisnicima – bili su toliko prijateljski da su vrlo rado udomljivali i brojne viruse. A Pred kraj desetljeća prosječno je računalo bez antivirusa i updateova nakon 2-3 minute spoja s internetom već imalo virus. Bez ljudske interakcije! Virusi su se masovno širili putem e-maila, lokalnih mreža i disketa te se ubacivali u dokumente. Naučili su ”ući” u tvrtke putem e-maila, raširiti se putem lokalne mreže te zaraziti računalo koje nikad nije bilo spojeno na mrežu putem diskete. Antivirusi su budno nadzirali rad računala te automatski detektirali i uklanjali viruse. I virusa i antivirusa bilo je sve više – rat je i dalje djelovao neizvjesno. Rane dvijetisućite Počinje se nazirati posustajanje antiviru- sne industrije – virusi su se počeli sami ši- riti i masovnim slanjem e-mailova. Jedna od prvih akcija koju je većina uspješnijih virusa napravila neposredno nakon infek- cije bila je upravo gašenje antivirusa. Autori virusa postajali su sve bogatiji. Koristili su i prodavali tuđe šifre, brojeve kreditnih kartica, kontrolu nad milijunima bankovnih računa, golišave slike poznatih i mnogih manje poznatih osoba. A Zaražena računala nisu služila samo krađi podataka vlasnika. Bez znanja vlasnika autor zaraze mogao je računalo iznajmiti trećoj osobi. Želite poslati 1.000.000 e-mailova? $10. Punu kontrolu nad 2.000 računala? $200. Računala u određenoj zemlji? $300. Želite da vaše računalo ne bude na prodaju? Nastavite čitati. Cijena? Doista prava sitnica! A Godina 2014. Dobro došli u sadašnjost. Moje ime je Neven Biruški. Kažu da sam ”stariji savjetnik za sigurnost”. Ja kažem da i nisam baš toliko star, ali u gotovo dvadeset godina bav- ljenja raznim aspektima sigurnosti moram priznati da sam se imao prilike upoznati i s mnogim virusima, antivirusima i drugim sredstvima zaštite. Želim zahvaliti svim divnim ljudima koji su mi dopustili (i platili A) da im hakiram radne stanice, servere i mreže. Za potrebe penetracijskih testiranja uspješno sam izbjegnuo mnoge antiviruse. Taj dio posla i nije pretjerano težak jer se u današnje doba antivirusna industrija i dalje većinom oslanja na metode detekcije iz prošloga tisućljeća. Neću vam hakirati stroj ako me to ne zatražite. Na našu žalost današnji virusi i srodna gamad nisu toliko uviđavni. Nekad sam se brinuo da mi virus ne uništi podatke na disku ili disketi. Danas me strah da mi ”virus” ne osigura nedopušteni ”minus”. Brine me i moj e-mail. Brinu me web stranice koje mi mogu ”hakirati” browser, jer u tom slučaju imaju kontrolu nad svime što ću u budućnosti raditi na webu. Potpunu kontrolu. Isto kao što virus koji mi zarazi OS ima potpunu kontrolu nad računalom. Brinu me i moji prijatelji i članovi šire obitelji. Brinu me i korisnici mojih servera i servisa. Serveri su na sigurnom, ali Piše: Neven Biruški Antivirus je mrtav! Živjeli virusi? Upoznajte zaštitu računala za novi milenij! Osamdesete su odavno prošle! A Stara računala, stari virusi A IT sigurnost | tema broja

12. 12 | FYI by CROZ / broj 17 / listopad

    2014. to mi ne znači puno ako su mi klijenti kompromitirani, pod kontrolom tko zna koga. Gotovo svi imaju aktivne antiviruse jer današnji virusi rijetko gase antiviruse – nemaju razloga za to. Korisnik bi mogao nešto posumnjati. A Već jako dugo nisam vidio ni jedan antivirus koji je sposoban boriti se i pobijediti prijetnje svojega doba. Kako riješiti problem? Za početak, nemojte se riješiti antivirusa – pustite da vaš vjerni antivirus provjerava vaš disk i traži unaprijed poznate viruse. Ako kojega uoči, vjerojatno će ga i eliminirati. Za sve ostalo trebate dodatnu zaštitu. IBM Trusteer A sad nešto potpuno drugačije. A Sigurno vas zanima radi li doista ta dodatna zašti- ta. Zanima vas kako se zove? Hajdmo po redu! Da, doista radi. Garantiram. Čak su i mene uspjeli uvjeriti, iako moram priznati da sam na početku bio jako skeptičan u ideju ”još jednog antivirusa”. Kako se zove? Kao što vas većina pretpostavlja, piše se pod IBM, i odaziva se na ime Trusteer. Želite biti sigurni od prijetnji prilikom ”surfanja”? Znate li od čega vas antivirusi uopće ne pokušavaju štititi? Znate li koji DNS koristite? Prolazi li vaš promet prema SAD-u možda kroz neko kinesko selo, pa malo kroz Rusiju, pa kroz Ukrajinu natrag do SAD-a? Koje su vam ekstenzije instalirane u browser? Presreće li neka od njih vaš promet? Koje su uopće ovlaštene tako nešto raditi? Koji programi na vašem računalu prate svaki vaš pokret? A koji to ne rade, ali su sposobni i ovlašteni početi kad god požele? Instalirajte si pravu zaštitu za ”surfanje”, pa onda sretno i sigurno ”surfajte”, bankarite, kupujte i uživajte u ostatku weba. Želite zaštititi ne samo ”surfanje” nego i ostatak računala? Instalirajte si pravu zaštitu za cijelo računalo! Ne samo da ćete moći surfati na siguran način, već ćete biti sigurni da nitko ne kontrolira vaš OS, da nema pristup sadržaju diska niti mrežnoj komunikaciji. Želite zaštiti svoje korisnike? Kakva slučajnost da smo se upoznali. A Postoji rješenje i za to! Ako održavate servis poput internetskoga bankarstva ili web shopa, sve što morate napraviti jest svakome klijentu ”zapržiti” jedan CD, napisati kratke upute o korištenju, poslati ga poštom i par dana kasnije poslati svojega čovjeka da to instalira. Jasno, šalim se. Samo pokušavam dobiti vašu punu pozornost za nastavak. A Sad ozbiljno! Imate dvije mogućnosti. Prva je da ugradite Trusteer u svoju web stranicu, pa se on automatski instalira u browsere vaših posjetitelja i nastavlja ih štititi. Korisnik otvori web stranicu, klikne I agree, instalira se ekstenzija u njegov browser, i to je to. Browser mu je zaštićen. Trajno! Ako je već kompromitiran, vi to možete saznati. Možete ga obavijestiti i/ili mu onemogućiti pristup. Niste mu morali instalirati ili održavati nikakav antivirus. Sljedeći put kad posjeti vašu stranicu njegov će browser automatski pokupiti nove metode detekcije najnovijih prijetnji. Browser mu je siguran. Druga mogućnost je da na svoju web stranicu ugradite Trusteer zaštitu za cijelo računalo koja ne samo da sprječava naknadnu infekciju nego je i sposobna ukloniti i postojeće! Ali to nije sve! A Vaši su klijenti zaštićeni od budućih prijetnji, ali što ako je prekasno – ako su već prethodno bili zaraženi? Nova zaštita može vam dojaviti koji je od klijenata zaražen, pa ga možete nazvati i privremeno mu onemogućiti korištenje usluga. Zašto biste to radili ako mu možete štititi samo browser? Pa računalo je to koje pokreće browser. Browser se može probati štititi od vanjskih prijetnji, ali inficirano računalo puno je ozbiljniji protivnik nego udaljeni napadač na internetu. Browser komunicira s internetom kroz OS. Što ako OS presreće promet? Što ako sadržaj šalje trećoj strani? Što ako dolazne podatke promijeni tako da ne vidite dio podataka? Mislite da biste primijetili? Evo primjera: platite režije, odradite struju, vodu i smeće, a trojan u vašem OS-u doda još jedan nalog za plaćanje pa ostatak novca ode vlasniku trojana. Banka Vam pošalje stranicu s popisom uplata na odobrenje. Vaš OS, po nalogu trojana, jednostavno izbriše red sa spornom uplatom iz tablice koju će proslijediti browseru. Vi pregledate popis, ne vidite ništa problematično i autorizirate uplate. E takav slučaj Trusteer detektira i sprječava. Ne znam ni za jedan drugi alat koji taj posao odrađuje toliko dobro i pouzdano. Kako doći do svega toga? Kako saznati više detalja? Javite mi se. Možemo popričati kako su me nakon desetak godina razočaranja uspjeli uvjeriti da vjerujem u nešto što mi je na prvu neodoljivo ličilo na ”samo još jedan antivirus”. Ako ništa drugo, dat ćete mi ispriku da se malo podružimo i da na miru popijemo kavu. A IBM Trusteer je jedno od rijetkih rješenja koja daju jaku zaštitu računala. Ovo su rezultati simulacija financijskih prijevara (P = uspješno sprječavanje prijevare). (Izvor: MRG Effitas Online Banking and Endpoint Security Report October 2012) tema broja | IT sigurnost

13. FYI by CROZ / broj 17 / listopad 2014. |

    13 Zamislite da upotrebljavate e-trading aplikaciju za trgovinu dionicama. Aplikacija upotre- bljava sigurnosnu zaštitu prijave preko tokena ili čitača kartica. Komuni- kacijski kanal između vašega računala i brokerova poslužitelja također je vrlo dobro kriptografski zaštićen. I sâmo vaše računalo dobro je zaštićeno antivirusnim softverom, najnovijom verzijom pregled- nika i zakrpama operacijskoga sustava. Budući da nema razloga za strepnju, bezbrižno pregledavate kako vaš portfelj stoji na tržištu kapitala. Ali onda slijedi šok: primjećujete da nedostaje znatna svota novca s vašega računa! Uočavate da ste kupili dionice neke firme za koju nikad prije niste ni čuli, i to po cijeni koja se sad čini izrazito nepovoljnom. Unezvijereni, tražite brokera objašnjenje. Uvjeravaju vas da je sigurnosna zaštita njihova sustava radila besprijekorno. Poslužiteljski logovi pokazuju da je nalog za kupnju došao s vašega računala prije nekoliko dana. Sjećate se kako ste taj dan samo vi upotrebljavali to računalo, pratili ste situaciju na burzi i usput surfali internetom. Ali sigurni ste da niste zadali taj nalog! Pa tko ga je onda zadao? To ste ipak bili vi, a da toga niste bili ni svjesni. Žrtva ste malo poznate računalne prijevare zvane Cross-Site Request Forgery, znane i kao session riding, client-side Trojan i one-click attack. Njezina snaga i relativna nepoznatost čine ju vrlo opasnim sigurnosnim problemom. Osnovni propust nije u pregledniku ili sistemskom softveru, tako da neće nestati sama od sebe s novim verzijama sigurnosnih zakrpa. Problem nije ni u postupcima korisnika, nego u samoj web aplikaciji i načinu na koji je napravljena, a neki će reći da postoji problem i u samim standardima koji čine web. Prvi korak prevaranta: analiza mete Na početku napadač/prevarant proučava kako ciljana web aplikacija radi. Otkriva kako se za zadavanje novoga kupovnoga naloga potrebno prvo prijaviti na sustav, a zatim popuniti HTML obrazac, koji sa- stavlja HTTP zahtjev prema poslužitelju. U tom se zahtjevu nalaze detalji naloga koje je korisnik unio te tajni identifikator korisničke sesije koji je ostao zapisan u pregledniku prilikom prijave u e-trading aplikaciju. Kada ciljana aplikacija primi ta- kav zahtjev, provjerava identifikator sesije kako bi se uvjerila da je zahtjev stvarno došao od klijenta koji ima pravo zadati takav nalog. Nakon što je i ta provjera uspješno provedena, aplikacija provodi traženi nalog bez odgode. Napadač je sad spoznao kako izgleda originalan zahtjev i pokušat će ga krivotvoriti. Drugi korak: krivotvorenje zahtjeva Napadač zatim piše svoj vlastiti HTML obrazac, koji šalje krivotvoren zahtjev za zadavanje kupovnoga naloga. Obrazac je slične strukture kao i originalan, ali su sva polja skrivena i unaprijed popunjena po- dacima koji odgovaraju napadaču: nalog je za kupnju više komada nelikvidnih dionica X po izrazito visokoj cijeni. Napadač je povoljno došao do velike količine dionica X i takvi mu nalozi omogućuju da ih se riješi. Obrazac je dakle već u potpunosti popunjen i gotovo sasvim skriven od pogleda. Jedini vidljivi dio obrasca je gumb za podnošenje zahtjeva, ali on ne izgleda kao tipka, nego kao bezazlena sličica ili link. Nakon zadavanja zahtjeva odgovor koji stigne od poslužitelja također će Piše: Hrvoje Šimić Cross-Site Request Forgery Ono što su krivotvoritelji novčanica u stvarnom svijetu, to su CSRF hakeri u cyberspaceu. Pred njima su pokleknule neke od najpopularnijih web aplikacija – a možda ćete sutra i vi biti žrtva takva podmukloga napada. IT sigurnost | tema broja

14. 14 | FYI by CROZ / broj 17 / listopad

    2014. Kako je Gmail pao (dvaput!) Godina 2007. počela je vrlo loše za Gmail. Na samu Novu godinu otkriven je CSRF exploit, koji omogućuje napadačima da skinu kompletan adresar žrtve, čak s informacijama o tome koliko je pojedina osoba u adresaru često kontaktirana. Srećom, Googleovi su inženjeri propust ispravili vrlo brzo nakon otkrivanja, čak i na neradni dan. A onda je u rujnu iste godine otkriven još opasniji propust: dodavanje filtara putem CSRF-a (filtri su svojstvo Gmaila kojim korisnik može uvesti pravila prema kojima se e-pošta automatski označava, prosljeđuje, briše i sl.). Tipično, napadač bi postavio filtar na korisnikov Gmail račun koji bi preusmjeravao svu žrtvinu e-poštu koja bi sadržavala npr. riječ ”lozinka” na napadačevu e-poštu, ujedno je brišući iz žrtvina sandučića. Prijevara bi tako mogla trajati dugo, a da žrtva ne shvati što se događa, čak i nakon što je Google ”zakrpao” rupu, jer su zloćudni filtri ostali. U međuvremenu bi napadač iskoristio ukradenu lozinku da sebi pribavi dodatnu korist. Na blogosferi je popularan slučaj Davida Aireyja, kojem je napadač oteo internetsku domenu i onda ga ucjenjivao. Gmail je očito aplikacija visokoga rizika za CSRF: ima iznimno široku bazu korisnika koji ga upotrebljavaju često i u vrlo dugim sesijama. Štoviše, budući da Google koristi Single sign-on tehnologiju, dovoljno je da ste prijavljeni na bilo koju Googleovu uslugu da budete automatski prijavljeni i na Gmail. A o važnosti i osjetljivosti e-pošte vjerojatno ne treba trošiti riječi. Međutim, s druge strane, Google je ozbiljna tvrtka, a Gmail vrlo pažljivo izrađena aplikacija. Činjenica da je javno otkrivena rupa u aplikaciji, i pogotovo činjenica da su ponovno ”pali na istu foru” u istoj godini, dovoljno govori o opasnosti ove vrste napada. tema broja | IT sigurnost biti sakriven, tako da ga korisnik neće ni primijetiti. Cilj je te kopije da podnesen HTTP zahtjev brokerskoj aplikaciji izgleda kao da dolazi s originalnoga obrasca, a da korisnik ne primijeti što se događa. Ali kako napadač zna za tajni identifikator sesije koji je ključan za provjeru zahtjeva? U tome je trik – napadač ga ne zna. Korisnikov preglednik sâm dodaje tu informaciju u zahtjev dokle god ta sesija traje u istom pregledniku. To je onaj cross-site dio iz naslova: slanje zahtjeva prema siteu A, koji je definiran na siteu B. Općenito govoreći, cross-site je u samoj srži weba: slobodno povezivanje (linkanje) različitih dokumenata iz različitih izvora. Samo što u određenim situacijama prevelika sloboda dovodi do sigurnosnih problema. Treći korak: namamljivanje žrtava u zamku Nakon što je zamka pripremljena, napadač još treba privući korisnike naše e-trading aplikacije na krivotvoreni obrazac i navesti ih da kliknu na gumb za podnošenje naloga. Neke od strategija kojih bi se mogao sjetiti jesu: • poslati link na forume gdje se okupljaju korisnici ciljane aplikacije i skrenuti im pozornost na zanimljivu tehničku analizu • na forumu objaviti upute ili link na stranicu s naprednim savjetima za korištenje toga e-trading sustava • poslati e-poštu koja je navodno iz brokerske kuće, a u kojoj se korisnici upućuju da se prijave na e-trading sustav i slijede neke daljnje upute. Sve te strategije imaju jedan cilj: korisnika, koji je ulogiran na ciljni site, navesti da klikne na skriveni gumb. Naravno, napadač se ne mora ograničiti na jednu strategiju, može izraditi više zamki s istim rezultatom kako bi pokrio što širi ”teren”. Napadač će se potruditi da njegove zamke budu dostupne i primamljive i onda samo strpljivo čekati... Kako se zaštititi Dosad ste mogli primijetiti da postoje dva ključna preduvjeta za uspjeh prijevare: • korisnik treba kliknuti na site-zamku dok je još prijavljen na ciljanu aplikaciju • kritični zahtjevi mogu se krivotvoriti jer ne sadrže napadaču tajne informacije. Prvi je preduvjet u načelu stvar vjerojatnosti i velikih brojeva. Vjerojatnost da će se takva mogućnost napadaču otvoriti obično je mala, ali postoji nekoliko ”faktora rizika” koji je mogu znatno povećati: • duge korisničke sesije – što korisnik dulje ima otvorenu sesiju u aplikaciji, to je veća šansa da će napad uspjeti • česta upotreba – što korisnik češće rabi aplikaciju, više je prilika za prijevaru • utjecajne transakcije koje se provode jednim HTTP zahtjevom – samo X eTrade eTrade X eTrade eTrade Shematski prikaz kako izgleda regularan zahtjev prema e-trading aplikaciji, a kako krivotvoreni CSRF prevara Normalno korištenje 1. dok traje korisnička sesija na eTrade sustavu, korisnik vidi zavaravajući link na site X i prati ga 1. korisnik se prijavljuje i otvara sesiju 2. korisnik dobija obrazac naloga za kupnju 3. korisnik popunjava obrazac i šalje zahtjev za kupnjom dionica HT-a 2. Site X vraća stranicu koja sadrži skriveni obrazac, unaprijed popunjen da kupi dionice XYZ 3. klikom na zavaravajući link korisnik u stvari šalje krivotvoreni zahtjev prema eTrade siteu BUY HT-R-A 20x157,01 4. nakon provjere korisničke sesije provodi se zahtijev BUY XYZ-R-A 70x950,00 4. nakon provjere korisničke sesije provodi se zahtijev koji korisnik nije htio

15. FYI by CROZ / broj 17 / listopad 2014. |

    15 jednim klikom može se provesti novčana transakcija, dobiti vrijedna informacija ili možda naštetiti nečijem ugledu • široka baza korisnika – koliko korisnika postoji, toliko je potencijalnih žrtava prijevare • koncentrirana baza korisnika – grupe korisnika lako je pronaći na specifičnim forumima, mailing listama itd. • upotreba metode GET za transakcije – odabir metode GET umjesto POST za utjecajne transakcije loš je na više razina, a konkretno u slučaju CSRF-a olakšava posao napadaču. Međutim oko prvoga preduvjeta ne može se puno učiniti – na kraju krajeva, većina vlasnika web aplikacija svakako želi imati puno korisnika! Dugi timeout sesije potencijalni je sigurnosni problem i neovisno od CSRF-a, ali u nekim slučajevima taj se rizik mora prihvatiti: korisnici e-trading aplikacije žele primati svježe trgovinske podatke s burze, bez potrebe ponavljanja prijave svakih dvadesetak minuta. Pravo rješenje toga sigurnosnoga problema jest otklanjanje drugoga preduvjeta: zahtjev koji sadrži neku ”tajnu” nije lako krivotvoriti. Ta tajna može biti ponovna autentikacija, poput unošenja nove jednokratne lozinke (OTP, One Time Password) iz tokena ili unošenja stare lozinke na stranici za njezinu izmjenu. Međutim korisniku je jednostavnije da je tajna skrivena u samoj tehničkoj interakciji – komadić informacije, poput slučajnoga broja koji aplikacija generira i postavlja u skriveno polje na obrascu pa ga onda provjerava pri zaprimanju zahtjeva. Krivotvoreni zahtjevi neće sadržavati isti broj koji je poslužitelj postavio i time će se odati. Naravno, to rješenje podrazumijeva da aplikacija i preglednik ne pate od drugih sigurnosnih rupa, poput Cross-Site Scriptinga (XSS), koje bi napadaču omogućile pristup tajnom broju. Nažalost, sâm korisnik aplikacije ne može se potpuno zaštititi, iako neki dodaci preglednicima, poput NoScripta, pomažu. Još je gore što je otkrivanje CSRF rupe vrlo teško automatizirati pa standardni alati za provjeru sigurnosti web aplikacija nisu od pomoći. Međutim nije sve ni tako crno – gotovo svi suvremeni web frameworci u sebi već sadrže mehanizme zaštite, samo ih autori web aplikacije trebaju ispravno koristiti. Posljednji skandal uzrokovan CSRF-om IT sigurnost | tema broja Shema CSRF napada na TP-LINK-ove routere. (1) na internetu korisnik naleti na zlonamjeran kod, koji automatski mijenja DNS postavke na routeru, (2) router pita zlonamjeran DNS poslužitelj za adresu banke, (3) uređaji koji pokušavaju doći do web stranica svoje banke preusmjereni su na lažne stranice koje pokušavaju od njih saznati povjerljive podatke Zemljopisna karta mjesta gdje su provaljeni TP-LINK-ovi routeri (Izvor: http://www.team-cymru.org) TP-LINK, vodeći proizvođač bežičnih routera, ove je godine objavio kako je CSRF napad iskoristio sigurnosnu rupu u njihovim uređajima. Taj napad pokušava krivotvoriti zahtjev prema lokalnoj adresi routera (192.168.1.1) koja uopće nije dostupna za napadača, ali preko klika na ”zamke” postavljene po webu mogu slati krivotvorene zahtjeve prema lokalnom routeru. Softver za upravljanje routerom ima posebno opasnu manu: omogućava promjenu postavki korištenoga DNS poslužitelja bez zaštite na CSRF napade. Otkriveno je kako su te postavke promijenjene da koriste zlonamjerne poslužitelje na više od tristo tisuća routera po cijelom svijetu, a svaki od njih može izložiti napadu velik broj osobnih računala, smartphoneova, poslužitelja. Pitate se kakve su konkretne loše posljedice promjene podataka o DNS poslužitelju? Zlonamjeran DNS poslužitelj dovodi vas u iznimno ranjiv položaj. Na primjer: 1. Napadač vas može za traženi URL (npr. ”mojabanka.com”) poslati na prevarantski site, koji će vas navesti da otkrijete povjerljive informacije. 2. Može blokirati ažuriranja koja instaliraju sigurnosne zakrpe za vaše računalo. 3. Usmjeravat će vas na stranice s kojih se mogu iskoristiti sigurnosne rupe u vašem pregledniku. Ništa od ovoga ne želite da se vam se dogodi, a napad je uspio stvoriti preduvjete za takve napade na sva računala spojena na te routere. Srećom, puno njih je u međuvremenu ažuriralo firmware da blokira takav napad, ali procjenjuje se da još stotine tisuća računala koriste zlonamjerne DNS- ove radi ovoga napada.

16. 16 | FYI by CROZ / broj 17 / listopad

    2014. reportaže | QED konferencija Prvi dan konferencije započeo je izvanškolskim aktivnostima – utrkom i antistres radionicom, nastavio s iznimno zanimljivim predavanjem, na kojem je Hrvoje Veselko iz VIPneta ugostio Ivana Ivankovića, jednoga od pilota koji je prošle Drugi dan konferenciju je radionicom na temu učinkovitosti otvorio Niklas Modig, jedan od vodećih svjetskih govornika na području lean managementa, autor najprodavanije knjige na tu temu – ”This is lean”. Niklas nam je prenio svoja praktična iskustva u implementaciji lean principa te nas naveo na promišljanje, ali i na akciju, kako naš način rada, organizacije u kojima radimo i njihove procese učiniti što učinkovitijima. QED – put prema učinkovitom IT-u QED već osam godina zaredom istražuje kvalitetu u enterprise razvoju softvera, a ovogodišnjom konferencijom, održanom od 18. do 20. svibnja u Zadru, istražili smo odnos kvalitete i učinkovitosti. Piše: Goran Kelečić godine sigurno spustio avion s putnicima bez jednoga kotača u zürišku zračnu luku. Dan smo završili koktelima i jazz koncertom u Zadru. Tradicionalna CROZ-ova konferencija Quality in Enterprise Development (QED) prepoznata je kao mjesto na kojem se razgovara o novim tehnološkim trendovima i konceptima. Iako se u softverskoj industriji pojam učinkovitosti često može čuti, u malo je tvrtki zaživio kao nešto konkretno i mjerljivo. Naši su predavači, ali i sami polaznici konferencije, dali upotrebljiva rješenja na mnoge izazove učinkovitosti – kroz procese, metodologije, pristupe i alate. QED je od početka fokusiran na iskustva, metodologije i znanje, a manje na tehnologije koje ih prate, a ove smo godine, uz standardna predavanja i radionice, uveli i nove formate predavanja koji su omogućili kvalitetniji prijenos i razmjenu informacija, poput kratkih lightning talkova, gdje su se predavači odlično prilagodili izazovu da u samo osam minuta izlože svoja projektna iskustva i znanja, te kroz Open Space sesiju, gdje je svakom sudioniku konferencije pružena prilika da predloži temu za raspravu i razmjeni iskustva s ostalim sudionicima koji su pokazali interes za temu. Rezultati? Kao uredniku konferencije, kojem je ovo bila peta urednička gaža, teško mi je biti objektivan. A Najveći je izazov u organizaciji QED-a profesionalna raznovrsnost sudionika koja pokriva puno pozicija u IT-u, ali vjerujem da smo to uspjeli s godinama iskustva pretvoriti u prednost pažljivo birajući govornike i spajajući često odvojene svjetove u jednu smislenu i povezanu cjelinu. Uhodan organizacijski tim, nasmiješena lica sudionika i domaćina, opuštena, ali i dalje kvalitetna radna atmosfera, prekrasno okruženje – mogu zaključiti da se dobitna receptura za izvrsnu konferenciju i ove godine pokazala punim pogotkom s organizacijske, stručne i offline zabavne perspektive, a s obzirom na povratne informacije koje smo dobili i planove koje već sada stvaramo, sigurni smo da će sljedeći QED biti još bolje, kvalitetnije i ugodnije iskustvo. Vidimo se na QED-u u svibnju 2015. godine! A

17. FYI by CROZ / broj 17 / listopad 2014. |

    17 QED konferencija | reportaže Prvi dan nastavio je Hrvoje Veselko iz VIPneta koji nam je prenio vrlo zanimljiv mindset učinkovitosti i akcije koje poduzima u podizanju učinkovitosti unutar svoje tvrtke. Scott Bybee iz Avnet-a jedan je od svjetskih pionira na DevOps području, koje istražuje suradnju između odjela razvoja softvera i sistemskih inženjera. Scott nas je upoznao s DevOps svijetom, uključujući paradigme, organizacijske jednostavnije i učinkovitije upotrebom Kanbana, jednoga od temelja lean metodologije. Neki predavači (slučajno CROZ-ovi? A) odlučili su se umiliti publici dijeljenjem besplatnih lizalica. A promjene, najbolje prakse, najčešće greške te razne alate koji pomažu u ubrzanju organizacijskoga procesa upravljanja isporukama. Drugi dan konferencije započeo je radionicom CROZ-ova Mihaela Sedmaka, koji je na radionici pokazao kako upravljanje portfeljem projekata u svakodnevnom radu PMO-a (Project Management Officea) može postati Zabilješke s prve crte agilnoga bojišta prezentirao je Zvonimir Križ iz PBZ-a, dijeleći iskustva iz scrum retrospektiva sprinteva s jednoga od svojih projekata. Kako često na konferencijama nemamo priliku dulje, temeljitije i s većim brojem kolega porazgovarati o temi koja nas zanima, odlučili smo to promijeniti na QED-u. Zadnji dio konferencije rezervirali smo za raspravu u Open Space formatu koju je vodila Jasmina Nikolić iz Ministarstva prosvete, nauke i tehnološkoga razvoja Republike Srbije. Reakcije sudionika bile su odlične i sigurni smo da ćemo na sljedećem QED-u otvoriti još više prostora za interakciju. QED konferencija je bila savršena kombinacija posla i uživanja. Ušli smo duboko u vrlo zanimljive i aktualne teme, a pritom i uživali u nevjerojatnoj gostoljubivosti – hrana i piće bili su više nego izvrsni, SPA je bio svjetske klase, zabave i smijeha je bilo u ogromnim količinama. Dobio sam dojam da je konferencija obiteljsko okupljanje kreativnih mislioca. Zaista sam uživao i nadam se da ću još jednom biti gost konferencije. Niklas Modig Stockholm School of Economics autor knjige ”This is lean”

18. 18 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | SentiMenter Što mislite, je li tvrtka uspješnija od svoje konkurencije ako na svojem Facebook profilu ima veći broj likeova? Ili fanova? Klikova? Ili je uspješnija ako ima veći broj sljedbeni- ka (followera) na Twitteru? Danas dostupni alati za analizu društvenih mreža pružaju nam metrike pomoću kojih procjenjujemo broj novih klijenata ili korisnika. Kakve to ima veze s uspjehom tvrtke? Za primjer: broj pogleda Piše: Luka Stepinac Mjerenje uspješnosti na društvenim mrežama, iliti nije sve u lajkovima Upoznajte SentiMenter – CROZ-ovu modernu platformu za analizu društvenih mreža koja razumije hrvatski. na Facebooku može značiti povećanu vidljivost nekoga brenda, dok broj klikova ili broj fanova može reflektirati interes za neki proizvod. Ako svi ti elementi pokazuju rast, možemo zaključiti da smo vjerojatno na dobrom putu prema uspjehu na tržištu. Danas marketing i PR menadžeri koriste najčešće neku kombinaciju spomenutih mjera. Načelno nema ništa loše u njima. No činjenica jest da su te Izvori podataka SentiMenter je platforma koja sadrži integrirane servise za pristup podacima s društvenih mreža poput Facebooka, Twittera, YouTubea te najpopularnijih foruma i drugih izvora. Alat je source- i content- agnostic, što u prijevodu znači da se kao izvor može postaviti i bilo koji drugi sustav, bilo da se radi o relacijskoj bazi podataka, document management sustavu, repozitoriju e-mailova koji su upućeni npr. odjelu korisničke podrške, ili bilo čemu drugom.

19. FYI by CROZ / broj 17 / listopad 2014. |

    19 SentiMenter | tehnologije i trendovi Početna stranica korisničkoga sučelja SentiMentera. Sučelje je organizirano u tzv. panele, koje korisnik može uređivati prema vlastitom izboru. Moguće je mijenjati pozicije panela, vrste grafikona, odabirati mjere koje se žele pratiti, unositi kriterije pretraživanja ili filtriranja podataka. Sučelje je interaktivno i elementi mogu biti kontekstualno povezani, što znači da se odabirom bilo kojega elementa na nekom panelu (vremenskoga razdoblja, isječka pite) mogu automatski prilagoditi svi ostali paneli tako da prikazuju samo one sadržaje koji predstavljaju odabrani podskup podataka. Primjerice odabirom plavoga isječka (tweet) na srednjem donjem panelu stupčasti će se graf prilagoditi tako da prikazuje ukupnu komunikaciju kroz vrijeme koja se odvijala na Twitteru; jednako tako će se ažurirati i mjere s vrha stranice te svi ostali grafikoni kao što je distribucija sentimenta (raspoloženja) i ovoga puta bit će vezana isključivo za tweetove. mjere nedovoljne jer pokazuju samo donekle angažman i vezu tvrtke s online zajednicom/kupcima/klijentima. Ono što je doista bitno jest kvaliteta te veze, i to je nešto na što bismo se svi trebali usredotočiti. Pod kvalitetom smatramo jačinu veze, a ona obuhvaća sadržaj komunikacije te doseg i važnost svakoga pojedinog komentara na bilo kojoj PRILAGODLJIVI DASHBOARD Alat vam omogućuje izvrstan pregled nad informacijama relevantnima za vašu tvrtku, proizvod ili kampanju. Odaberite detaljne prikaze, uključujući razne vrste grafikona, tablične ili druge prikaze informacija. Odgovorite na pitanje ”Zašto?” jednostavnim klikom koji daje detaljniji prikaz (drilldown). REAL-TIME UPRAVLJANJE KAMPANJAMA Nemojte čekati kraj vaše online marketinške kampanje da biste vidjeli rezultate. Pratite kampanju od samoga početka kako biste mogli spoznati njezin utjecaj te prema potrebi dodatno upravljajte kampanjom u hodu s ciljem ostvarivanja boljega ishoda! KOMPETITIVNI BENCHMARKING Usporedite doseg i utjecaj vašeg brenda u odnosu na konkurenciju. Pratite te pokazatelje za vrijeme trajanja online kampanja. ANALIZA TEKSTA, TRENDOVI I TEME Prepoznajte oko kojih se tema ili događaja vode najvažnije rasprave te kako one utječu na vašu tvrtku, brend ili proizvod. Naš inteligentan Google- like pretraživač omogućuje vam da jednostavnim unosom ili kombiniranjem naprednih kriterija pretraživanja dobijete na dlanu sve relevantne informacije. Glavne funkcionalnosti SentiMentera društvenoj mreži ili internetskom forumu. Koji nam korisnici ostavljaju najčešće negativne komentare? Zbog čega? Možemo li na vrijeme prepoznati uzroke i smanjiti potencijalnu štetu? Koje teme povlače za sobom mnogo komentara, bilo negativnih bilo pozitivnih? Gdje se i kako piše o našem brendu? Što radi konkurencija – o čemu se piše na NAPREDNA ANALIZA SENTIMENTA Otkrijte ton važnih konverzacija – na hrvatskom i srodnim jezicima – i pratite utjecaj vaše social strategije kroz vrijeme. Što ljudi govore o vama? Je li to što govore negativno, pozitivno ili neutralno? Uđite dublje u područja povećane aktivnosti u odabranom vremenskom razdoblju i provjerite što ljudi misle o vašim kampanjama, proizvodima, uslugama... GEOGRAFSKI I DEMOGRAFSKI PODACI Doznajte detalje o korisnicima koji sudjeluju u važnim konverzacijama, uključujući lokaciju, dob, spol i profesiju. Pod kvalitetom smatramo jačinu veze, a ona obuhvaća sadržaj komunikacije te doseg i važnost svakoga pojedinog komentara na bilo kojoj društvenoj mreži ili internetskom forumu.

20. 20 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | SentiMenter Sigurno vas zanima kako možemo mjeriti raspoloženje pogledom na društvene mreže. Evo primjera. Počinjemo od teksta komentara koji smo dobili s društvene mreže: ”kolko puta vam moram reci, Mamić je najbolji menader u eu. ajmoooooooooo :)” S obzirom na to da je platforma regionalno orijentirana, za svaki tekst prvo moramo provjeriti je li napisan na latinici ili ćirilici; ako je napisan na ćirilici radimo transliteraciju. Zatim se određuje je li tekst pisan hrvatskim, ili nekim od srodnih jezika iz regije, jer se tekstovi na stranim jezicima ne procesiraju (poneke se strane riječi u rečenici toleriraju). Ovaj je tekst prepoznat kao hrvatski. Tekst prvo razdvajamo na rečenice, a zatim u zasebne riječi i oznake. Mijenjamo znakove ili tipografske izraze koji mogu označavati sentiment u posebne tokene, koji ne prolaze kroz obradu, npr. smajliće mijenjamo u <HAPPY>. kolko | puta | vam | moram | reci || <COMMA> | Mamić | je | najbolji | menader | u | eu | <END> || ajmoooooooooo || <HAPPY> Popravljamo riječi koje su krivo ili nestandardno napisane, ili im nedostaju dijakritički znakovi (kolko → koliko), (menader → menadžer). Skraćenice mijenjamo u pune riječi (eu → europska unija). koliko | puta | vam | moram | reći || <COMMA> | Mamić | je | najbolji | menadžer | u | europska | unija | <END> || ajmoooooooooo || <HAPPY> Normaliziramo riječi u rečenici u njihove osnovne oblike. koliko | puta | ti | morati | reći || <COMMA> | Mamić | biti | dobar | menadžer | u | europska | unija | <END> || ajmoooooooooo || <HAPPY> Izbacujemo riječi koje ne nose značenje. Dodajemo kopije riječi koje su jako naglašene i svodimo ih na normalan oblik. morati | reći || <COMMA> | Mamić | dobar | menadžer | europska | unija | <END> || ajmo | ajmo || <HAPPY> Prepoznajemo ključne fraze, pa te nizove riječi pretvaramo u gramatički čitljiviji oblik. ”Mamić”, ”menadžer”, ”europska”, ”unija” Sentiment utvrđujemo na temelju kompleksnoga sustava više prediktivnih modela koji pokušava utvrditi kako bi čovjek doživio ton teksta, odnosno naklonost autora onome o čemu piše: je li to pozitivan, negativan ili neutralan stav? U ovom slučaju algoritam zaključuje da se vjerojatno radi o pozitivnom sentimentu. Kako se obrađuje tekst u SentiMenteru? Primjer korisničkoga sučelja SentiMentera s prikazom najaktivnijih izvora (npr. Facebook stranica, Twitter accounta i sl.), najaktivnijih korisnika (moguće je razlikovati administratore od ”pravih” korisnika) te tekstova. Klikom na ikonu povećala može se dublje analizirati odabranu stavku; npr. odabirom nekoga korisnika u donjem se panelu prikažu samo tekstovi toga korisnika. Svaki panel je moguće dodatno prilagoditi na način da se prikažu dodatni atributi i sortiraju prema željenim kriterijima. njihovim online kanalima? Ima li pojačane aktivnosti na nekom od njih? Vidimo li priliku za reakciju u slučaju konkurentske kampanje s negativnim komentarima? Što radimo dobro? To su pitanja na koja moramo tražiti odgovore. Ako mislite da je mjerenje kvalitete komunikacije nemoguća misija, razmislite opet – napravili smo rješenje upravo za to. U CROZ-u smo razvili SentiMenter – real-time platformu za praćenje i analizu društvenih mreža koja prikuplja relevantnu online komunikaciju i omogućava brži dolazak do odgovora na gornja pitanja. Više detalja o SentiMenteru, brošuru i demo možete pronaći na našoj web stranici www.croz.net/sentimenter. Društvene mreže

21. FYI by CROZ / broj 17 / listopad 2014. |

    21 Darko Parić | intervju U rujnu 2012. Europska je komisija objavila prijedlog za poticanje računal- stva u oblaku (cloudu) i ujedno najavila da će javna uprava predvoditi uvođenje tehnologije oblaka u Europi. Kako, po Vašem mišljenju, napreduje realizacija te strategije u Europi, a kako u Hrvatskoj? Koliko mi je poznato Velika je Brita- nija po pitanju razvoja i korištenja oblaka daleko odmakla, ali isto tako i mnoge druge europske zemlje koje imaju razvijenu i informatiziranu javnu upravu okrenule su se u tom smjeru i počele raditi na provođe- nju i implementaciji te strategije. Naime Postajemo li e-građani? Kako informatika može riješiti problem prevelike i neučinkovite državne uprave, kako napreduje cloud u našoj državnoj upravi, i još puno lipih stvari, pitali smo Darka Parića, pomoćnika ministra Uprave za e-Hrvatsku. Razgovor vodio: Krešimir Mudrovčić uvođenje oblaka donosi mnoge prednosti, ali i mnoge izazove pa sve mora biti dobro promišljeno. Europska je komisija u rujnu 2012. donijela strategiju ”Oslobađanje poten- cijala računalstva u oblaku u Europi” koja određuje aktivnosti koje trebaju osigurati 2,5 milijuna novih europskih radnih mjesta, povećati BDP u Europi za 160 milijardi eura (oko 1%) do 2020. godine. Strategija je rezultat analize cjelokupne politike, regulatornih i tehnoloških okvira i detaljne konzultacije sa svim zainteresiranim stra- nama kako bi se utvrdili načini iskorištava- nja potencijala koje nudi oblak. Strategija identificira najvažnije i hitne dodatne akci- je te predstavlja političku obvezu Komisije. Pritom je hrvatski javni sektor počeo razmatrati prednosti računalstva u oblaku i prihvatio je strategiju kao takvu. Već smo napravili i konkretne mjere i zaključke na temu iste kroz reformske mjere Vlade Republike Hrvatske. Odluku o uspostavi državnoga oblaka javne uprave radi obje- dinjavanja IT infrastrukture javne uprave službeno je donijela hrvatska Vlada, a danas se naveliko radi na pripremama za njezino provođenje. Kako se u taj koncept uklapa inicijativa Vlade Republike Hrvatske za razvoj Shared Services centra i kako će provođenje toga koncepta utjecati na informatičko tržište u Hrvatskoj? Upravo je ideja razvoja Shared Services cen- tra ideja uvođenja oblaka, a time i ponude gotovih resursa, bilo na hardverskom bilo na softverskom području. Danas institu- cije javnoga sektora troše resurse na iste stvari, odnosno na nabavu aplikacija koje pokrivaju iste poslovne procese u različitim institucijama. Uvođenjem cloud rješenja, institucije, zadužene za poslovni proces, pripremit će aplikacije prema procesu kojega su one vlasnik i upravljati njime na način kako će to zahtijevati promjene poslovanja. Ostale će institucije koristiti njihova rješenja, znajući da je postupanje standardizirano i da će se sve promjene propisa reflektirati na točan način u novom aplikativnom rješenju. Time će se oslobo- diti resursi za informatizaciju vlastitih core business procesa. Naravno da će uvođenje takvih rješenja utjecati na informatičko tržište u Hrvatskoj i otvoriti ga svima. Cloud rješenje omogućit će svim poduzetnicima, koji imaju ideju, ra- zviti tu ideju, testirati je i implementirati u realnom okruženju za velik broj korisnika te na tome, na kraju krajeva, i zaraditi novac. Mislim da će to definitivno podići standard i ljestvicu IT-a u državnoj upravi, što je u konačnici dobro za sve. Bitno je i to da će, s obzirom na to da će svi biti nekim dijelom dio budućega državnoga clouda, i njihova IT rješenja, bila ona manja ili veća, morati biti standardizirana sa svima. Time će se vrlo elegantno izbjeći situacije kakve imamo danas, odnosno da je mnogo toga šareno i nepovezivo. Stoga sam uistinu uvjeren da

22. 22 | FYI by CROZ / broj 17 / listopad

    2014. intervju | Darko Parić će svi, ili barem većina, profitirati od ove inicijative na ovaj ili onaj način. Za javnu upravu oblak je najčešće sinonim za uštede? Jesu li one jedini razlog za korištenje računalstva u oblaku? Uštede su svakako uvijek jako bitne, pogotovo u situaciji u kojoj se nalazimo, ali mislim da u spomenutom području ušteda nije najvažnija stvar koju dobivamo. Puno je važnije to da javna uprava ovime postaje brza, učinkovita i dostupna na internetu, čime građanima štedi i novac i vrijeme. Mislim da su pozitivni učinci ovih rješenja neposredno i posredno puno veći od konkretne uštede koja se dobiva na IT-u implementacijom clouda, iako i to nije zanemarivo. Ponavljam: krajnji je cilj brza i učinkovita javna uprava, a upravo je cloud najbolji put ka tome cilju. Može li informatika riješiti problem pre- velike i neučinkovite javne uprave? Problem prevelike javne uprave infor- matika ne može riješiti jer to spada u neka druga područja, ali može pojednostaviti procese i time stvoriti viškove ljudi koji rade na nekim poslovima, no i to spada u područje upravljanja ljudskim resursima, a ne pod informatiku. Ali neučinkovitost javne uprave svakako se može riješiti informatizacijom, odnosno uvjeren sam da su danas informatika i informatizacija poslovnih procesa javne uprave jedini ključ za postizanje bolje učinkovitosti iste. Ušli ste u drugu polovicu svojega man- data, što vam je dosada osobno najveći uspjeh? Kada smo prije gotovo tri godine počeli raditi, sustav je stvarno bio u potpunom neredu: svatko je radio što je htio i što je mislio da je najbolje. Rezultat je bio potpuno neusklađen sustav, koji nije u mogućnosti podržati niti temeljne oblike interoperabilnosti kako bi umrežena javna uprava počela funkcionirati. Definitiv- no smo shvatili da je neophodno početi koordinirati i voditi razvoj cjelokupnoga sustava na visokoj i strateškoj razini. To smo si zadali kao prvi cilj, a drugi je bio na neki način omogućiti građanima uvid u ko- rištenje sustava, odnosno približiti im javnu upravu. Na tom smo putu krenuli u dva osnovna smjera: država bez papira i sustav e-Građani. Kako bismo konačno uspostavili javnu upravu bez papira, u kojoj građani ne nose papire od jednoga državnoga tijela do drugog, po prvi smo put smo donijeli zakon koji definira cijelo područje državne informacijske infrastrukture i temeljnih načela kako se ona koristi. Također smo paralelno izgradili osnovne dijelove iste i već je sada spremna za korištenje: država bez papira u javnoj upravi danas nije bajka, nego realnost koju javna uprava treba poče- ti provoditi jer po prvi put imamo i tehničke pretpostavke za istu, a i sve se temelji na posebnom zakonu. se tek tako završi. To je platforma koja ima svoje dijelove, koje danas gradimo jedan po jedan, a koja podržava neograničen broj usluga. I upravo je najbolje to što se sustav razvija i što u njega ubacujemo i planira- mo dodati nove funkcionalnosti, a broj se usluga, koje se nalaze u njemu, neovisno o rečenim funkcionalnostima, povećava. Što se tiče konkretnih brojčanih podataka i podataka o novim uslugama i funkcio- nalnostima, kao što znate, i sam sustav e-Građani dostupan je svim građanima od lipnja ove godine. U međuvremenu imamo gotovo 80 000 registriranih građana, čime smo iznimno zadovoljni. Također postoji velik interes i za e-usluge, kojima se pri- stupilo više od 620 000 puta te je poslano više tisuća e-poruka u osobne korisničke pretince građana. Imamo mnogo planova oko daljnjega razvoja sustava: • planiramo uključiti nove e-usluge poput: e-savjetovanja, e-recepta, zdravstveno- ga kartona, pristupa podacima iz susta- va socijalne skrbi, pristupa podacima iz sustava JOPPD-a, pribavljanje uvjerenja o prebivalištu, pribavljanje uvjerenja o redovitom školovanju ili studiranju, nove usluge iz mirovinskoga sustava, sustava zdravstva, pomorstva... • također planiramo u potpunosti integri- rati i sve e-usluge, koje su popisane na portalu e-Građani, a koje pružaju ostala tijela javne uprave i jedinice lokalne samouprave (približno 90 e-usluga), • planiramo omogućiti prijavu građana u sustav korištenjem vjerodajnica iz sustava bankarstva, • planiramo uspostaviti sustav plaćanja upravnih pristojbi elektroničkim putem, • planiramo se povezati s EU sustavom za prekogranično priznavanje elektroničkih identiteta i pružanje e-usluga. Sve je to samo dio planova za iduću godinu, a, kao što rekoh, sam će sustav daljnjim razvojem i ulaganjem moći i puno više od toga. To je na kraju krajeva i ono što su građani najbolje percipirali i ocijenili kao korisno i kao pravi iskorak javne uprave prema građanima. Moram napomenuti da je sustav e-Građani samo vrh ledenoga brijega s inženjerskoga aspekta jer je bilo potrebno napraviti jako puno pripremnih stvari kako bi jedan ovakav sustav ugledao svjetlo dana i radio kako treba. Javna uprava postaje brza, učinkovita i dostupna na internetu, čime građanima štedi i novac i vrijeme. Konačno smo uveli sustav e-Građani koji je po prvi put jedinstveno mjesto u virtualnom svijetu koje povezuje građane s javnom upravom. Svim je građanima pri- stup besplatan, a broj usluga stalno raste. Također je započeo proces stvaranja dr- žavnoga oblaka javne uprave koji će u skoro vrijeme dati sve one pozitivne rezultate koje takva rješenja proizvode. A sve je to rezultat strateškoga vođenja i uistinu velike suradnje s većinom tijela državne uprave. S druge strane konačno smo uspjeli objediniti na jednom mjestu i pod jedno strateško upravljanje više od 8000 km dr- žavne optičke infrastrukture, koja će služiti kao temelj za razvoj broadbanda i iskoriš- tavanja EU fondova za razvoj broadbanda u ruralnim područjima. I na kraju mislim da mogu reći da je naš najveći uspjeh, pritom mislim na e-Hrvat- sku, što smo konačno uspostavili prave i čvrste temelje daljnjega razvoja elektro- ničke javne uprave, koja je danas veliki koordinirani sustav, što građani već i vide kroz korištenje naših usluga. U kojoj je fazi projekt e-Građani? Hoće li Vlada uspjeti osigurati financijska sred- stva za nj? Kao što znate, projekt je već odavno u produkciji i polučio je uistinu izvrsne rezultate i mnoštvo pozitivnih komentara. Vlada je za njega osigurala novac i može se reći da je taj dio riješen. Sustav e-Građani nije jednostavan i jednokratan projekt, koji

23. FYI by CROZ / broj 17 / listopad 2014. |

    23 Agilno testiranje | tehnologije i trendovi Consulting@CROZ Testing team blueprint Više informacija na www.croz.net/consulting Vjerujemo da testiranje nije samo puko provjeravanje ima li neki sustav željene funkcionalnosti. Testni tim stručnjaka za funkcijsko, regresijsko, performansno, integracijsko i ostale oblike testiranja svakako će znatno povećati kvalitetu isporuke, no takav se pristup nerijetko pokaže preskupim i neučinkovitim u realnom okruženju. Consulting@CROZ stručnjaci mogu vam pomoći da kroz niz radionica dobijete uvid u najbolje prakse koje koriste učinkoviti testni timovi te da oblikujete vlastitu testnu strategiju, prilagođenu vrsti softvera koji razvijate u svojoj organizaciji, ali i alatima i metodologijama koje primjenjujete. Zajedničkim ćemo radom također izgraditi nekoliko načina da tu novu testnu strategiju održite svježom i primjenjivom na duge staze. Agilni razvoj više nije apstraktan termin za koji smo negdje čuli, možda u nekom broju FYI-a, već polako ali sigurno postaje stvarnost naše industrije. Smanjujemo količinu dokumentacije, izbacujemo suvišno, brzo razvijamo, brzo isporučuje- mo, želimo brz feedback korisnika… Kako u cijelu tu priču uklopiti ulogu testera koja se u odnosu na tradicionalni razvoj znatno promijenila? Što je agilno testiranje? Agilno testiranje je testiranje koje slijedi pravila agilnoga manifesta (vidi izdvojeni okvir na 25. stranici). Uključuje testiranje što je prije moguće u procesu razvoja i što je češće moguće, tj. sa svakom novom iteracijom. U agilnom razvoju iteracija obično traje 2–4 tjedna, gdje zahtjevi najvišega prioriteta, za koje je realno da budu razvijeni u tom periodu, ulaze u iteraciju. Jednom kad su ti zahtjevi isporučeni, na red dolaze zahtjevi sljedeći po prioritetu. U tradicionalnom razvoju faze slijede jedna za drugom, a testiranje na red dolazi posljednje, nakon čega se proizvod, ovisno o rezultatima testa, isporučuje korisniku. Kako se u agilnom razvoju sa svakom iteracijom dodaju novi zahtjevi, javlja se potreba za čestim regresijskim testiranjem. S obzirom na to da se cijeli proces odvija brzo, potrebno je ručno testiranje sustava zamijeniti automatiziranim testovima kako bi se prije svake nove iteracije uspjelo napraviti regresijsko testiranje. U agilnom su razvoju testeri i programeri dio istoga tima i od početka projekta neprestano komuniciraju i surađuju. Jedna od zabluda o agilnom testiranju jest da testeri imaju manje vremena za testiranje pa se stoga isporučuje manje kvalitetan proizvod. Najveća prednost agilnoga testiranja je smanjenje vremena koje je potrebno da se proizvod pojavi na tržištu. U tradicionalnom razvojnom modelu, u kojem testiranje ne počinje tako rano u procesu, lako se može dogoditi da nakon završene faze razvoja testni tim treba i do pola godine, ovisno o veličini sustava, kako bi proveo testiranje cijeloga sustava prije nego što se odluči na produkciju, za razliku od agilnoga modela, u kojem se kodiranje i testiranje odvijaju kao paralelne aktivnosti procesa pa se i to vrijeme znatno smanjuje. Piše: Ivana Skorupan Agilno testiranje Tko je agilni tester i kako sudjeluje u agilnom procesu, u odnosu na tradicionalni proces testiranja, te kako pomaže spriječiti pojavu defekta u sustavu? Testiranje kao aktivnost koja se ponavlja sa svakom iteracijom

24. 24 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | Agilno testiranje Izazovi Kod usvajanja nove metodologije testiranja, naravno, javljaju se razni izazovi. Prvi je promjena odgovornosti. Testni tim može imati golem otpor prema uvođenju agilne metodologije jer više nema moć odbiti sustav koji ne smatra ispravnim, s obzirom na to da se u agilnom testiranju tester ne smatra glavnim i odgovorim za kvalitetu, već cijeli tim svojim postupcima odgovara za kvalitetu sustava. Važno je isto tako da testiranje počne već u prvoj iteraciji kako bi se izbjegla situacija da testeri testiraju stare zahtjeve dok programeri već rade na novima, bez informacije o tome jesu li prethodno razvijeni zahtjevi ispravno implementirani i odgovaraju li potrebama korisnika. Još jedan od izazova s kojim se testeri mogu susresti je dokumentacija. Kako se u agilnom razvoju puno informacija iznese na npr. dnevnim sastancima, tester koji nije na njima sudjelovao i nema sve informacije može testirati na krivi način ili uopće ne imati ideju na koje se funkcionalnosti treba fokusirati pri testiranju. Često se događa da s implementacijom novih zahtjeva prethodno razvijene funkcionalnosti više ne rade onako kako je očekivano. Kako bi se navedeno spriječilo, testni tim treba testirati nove zahtjeve i raditi regresijski test na starim zahtjevima nakon svake iteracije. Kako je količina regresijskoga testa nakon svake iteracije sve veća, postoji tendencija da testni timovi smanje testiranje, što direktno smanjuje kvalitetu. U agilnom razvoju česte su promjene korisničkih zahtjeva. Ukoliko se te promjene ne iskomuniciraju s testnim timom, lako se dogodi da testni tim testira na krivi način. Jedini je lijek pravovremena komunikacija unutar tima. istraživačkih testova u kojima testeri mogu pokazati svu svoju kreativnost trebala bi biti najmanja te se takav tip testiranja provodi na kraju svake iteracije. Zašto se takva kombinacija testiranja smatra dobrom? Omogućava da se pokrije što veći broj rubnih slučajeva kroz testove koji se izvršavaju brzo i koji su jednostavniji za održavanje od koji se izvršavaju ručno. U agilnom testiranju postoji tendencija smanjivanja broja testova prihvaćanja jer su oni najskuplji za pisanje, izvršavanje i održavanje. Zato je potrebno minimizirati njihov broj i pokušati automatizirati što veći broj testova. Testovi prihvaćanja daju jako dobar odgovor na pitanje radi li sustav kako je zamišljeno, ali njihovo pisanje i održavanje, s obzirom na česte promjene s kojima se u agilnom razvoju susrećemo, oduzima jako puno vremena. Odlični su za testiranje scenarija i svakako trebaju pokriti happy day scenarije i još nekoliko realnih alternativnih scenarija. Prije testova prihvaćanja rade se istraživački testovi, u kojima testeri pokušavaju ručno isprobati što veći broj alternativnih scenarija. Kada se takvim testiranjem otkrije defekt, treba vidjeti kako se provukao kroz sve prethodne testove, a ideja je i da defekt uopće ne dođe do faze korisničkoga testa prihvaćanja. Ukoliko se uspostavi da defekt ne može biti Poželjan omjer testova u agilnoj metodologiji Najveća prednost agilnoga testiranja je smanjenje vremena koje je potrebno da se proizvod pojavi na tržištu. Koji tip testiranja odabrati u agilnom razvoju? Za razliku od tradicionalnoga modela, u kojem je zadatak testera da nađe defekte i najveći dio testova otpada na testove koji se provode ručno, u agilnom je testiranju glavna nit vodilja spriječiti uopće pojavu defekata. Na slici se vidi omjer poželjnih testova u odnosu na tradicionalni model testiranja, a ideja je da većina testova koji će se provoditi budu unit i integracijski testovi. Tek nakon dobre pokrivenosti tim testovima slijede testovi prihvaćanja, za koje je poželjno da budu automatizirani u što većem postotku. Nakon testova pri- hvaćanja, koje najvećim dijelom provode korisnici sustava, slijede automatizirani testovi korisničkoga sučelja, a količina

25. FYI by CROZ / broj 17 / listopad 2014. |

    25 pokriven jednostavnijim testom, kao što je unit test, treba povećati razinu testova prihvaćanja. Gdje je agilni tester u agilnom procesu? Važno je naglasiti da agilno testiranje nije mini waterfall proces i da zahtjeva promje- nu u načinu razmišljanja i gledanja na stvari kako bi se u potpunosti iskoristile prednosti takva načina testiranja. Za razliku od tradicionalnoga modela i načina razmišljanja, gdje tester služi kao verifikator kvalitete i gdje se smatra odgovorim za pronalazak defekata, u agilnoj metodologiji testiranja cijeli je tim odgovoran za kvalitetu sustava na kojem radi. Tester sa sobom donosi perspektivu korisnika i zbog toga je njegova uloga važna. Svi pripadnici razvojnoga tima trebaju međusobno komunicirati što je IBM Rational SaaS i agilno testiranje Prema agilnim metodologijama na projektima je poželjno provesti automatizaciju testiranja. Za takve vrste testiranja upotrebljavamo alate kao što su IBM Functional Tester, IBM Performance Tester, IBM AppScan. Kada se radi o projektu koji zahtijeva intenzivno testiranje, ali ne postoji potreba za kupnjom licenci za korištenje alata na godinu dana, CROZ može iznajmiti licence na određeni period. Zapravo se radi o SaaS-u, odnosno Software as a Service podršci za korisnike, gdje CROZ primjerice odradi uslugu performansnoga testiranja u periodu od mjesec dana, a korisnik ne mora voditi brigu o licencama i njihovu obnavljanju. CROZ je jedini partner u regiji koji korisnicima već godinama omogućava takvu uslugu, kojom im znatno smanjuje cijenu korištenja alata. Agilno testiranje | tehnologije i trendovi više moguće kako bi spriječili potencijalne defekte i što učinkovitije otkrili postojeće. Agilni tester Agilni tester je osoba koja kontinuirano poboljšava svoje vještine, uči nove stvari i osim toga stalno pronalazi nove načine za testiranje. Od njega (ili nje A) se očekuje da ima domensko znanje o sustavu koji testira, a ako sudjeluje u definiranju zahtjeva od samoga početka projekta, to neće biti problem. Agilni tester također razumije tehnologije koje se na projektu koriste te je dovoljno kompetentan da može komunicirati s razvojnim timom. Važna uloga agilnoga testera, kao i analitičara, je ta da služi kao most između korisnika i programera. Radi s korisni- kom kako bi shvatio zahtjeve i odredio im prioritete za testiranje. Na temelju zahtjeva smišlja realne primjere i pretvara ih u test. Tester osim toga potiče komu- nikaciju između programera i korisnika, a kada zahtjevi nisu dobro shvaćeni, programer, tester i korisnik rade zajedno kako bi riješili problem. Osim toga posao je agilnoga testera da zahtjeve i testove koje piše iskomunicira s korisnicima kako bi ih verificirao i bio siguran da se kasnije neće pojaviti neugodna iznenađenja. U agilnom razvoju timovi rade zajedno na implementaciji malih dijelova funkcio- nalnosti, što može dovesti do toga da programeri zaborave na koji se način svaki djelić funkcionalnosti uklapa u sustav. Po- sao je agilnoga testera da zna i razumije veliku i cjelovitu sliku projekta, da upozori razvojni tim na potencijalne probleme koji se mogu javiti kod implementacije novih zahtjeva ili izmjene postojećih te u skladu s tim mijenja i svoje testove. Osim velike slike projekta, agilni tester mora biti spo- soban automatizirati repetitivne zadatke pisanjem skripti koje se izvršavaju same i daju informaciju o tome radi li sustav kako je zamišljeno, a ne da ih na dnevnoj bazi obavlja ručno. S obzirom na brzinu kojom se zahtjevi implementiraju, tester neće biti u mogućnosti zadržati brzinu koja mu treba za regresijski test nakon svake itera- cije, ako će raditi ručno, što može dovesti do potpunoga kaosa. Agilni tester treba imati odlične komunikacijske vještine i treba moći surađivati kao timski igrač te uspješno balansirati između korisnika i razvojnoga tima. Na kraju, temeljitim agilnim testiranjem znatno se štedi vrijeme, s obzirom na to da se defekti otkrivaju rano u razvoju, kada je za njihovo ispravljanje potrebno znatno manje vremena nego u tradicionalnom razvoju, u kojem defekte otkrivamo tek na kraju razvoja. Tester više nije dio testnoga tima u kojem se testiranje provodi isključivo ručno: tester je u agilnoj metodologiji još i važnija karika u lancu. Od njega se očekuje da aktivno sudjeluje ne samo u pronalasku defekata nego i u njihovu sprječavanju, da svoje testove automatizira i prilagođava ih tijekom razvoja u skladu s promjenama u sustavu te da aktivno surađuje s razvojnim timom. Troškovi testiranja s vremenom rastu ako se testovi ne automatiziraju Agilni manifest • Ljudi i interakcija vrjedniji su od procesa i alata. • Ispravan kod vrjedniji je od opširne dokumentacije. • Suradnja s korisnikom vrjednija je od pregovaranja oko ugovora. • Reagiranje na promjenu vrjednije je od držanja plana.

26. Tvrtka Renault Nissan Adriatic osnovana je 2008. godine, kada su

    se ujedinile filijale Renault Nissana iz Slovenije, Hrvatske i Srbije te im se pridružili uvoznici tih dviju marki vozila iz Bosne i Hercegovine, Crne Gore, Makedonije, Kosova, Albanije, a od ove godine i Grčke. Osnovna djelatnost tvrtke jest uvoz i distribucija automobila i rezervnih dijelova marki Renault, Dacia i Nissan putem mreže ovlaštenih koncesionara na cijelom teritoriju. Sama tvrtka Renault Nissan Adriatic u ovom trenutku ima 260 zaposlenih, podijeljenih u odjele posebno zadužene za Renault, Daciju, Nissan (marketing, prodaja, post-prodaja), dok su službe poput Renault banke, računovodstva, financija, nabave, kadrovske i slično zajedničke za sve tri marke. Za potrebe tako složene organizacije trebalo je razviti sustav za proces nabave. Način rada prije razvoja novoga sustava bila je još jedna uredska priča s dokumenti- ma koji su fizički kolali uredima pa nije bilo tako lako odrediti koliko ih ima, u kojem su statusu i kod koga je koji dokument, što je direktno i indirektno utjecalo na posao i poslovne rezultate. Kada su se za jednu narudžbenicu prikupili svi potrebni potpisi, Proces nabave brz kao PUMA Kako je tekla implementacija CROZ-ova cDocs rješenja za potrebe procesa nabave u Renaultu. Piše: Ivana Skorupan osoba odgovorna za narudžbu slala je narudžbenicu u Excel formatu e-mailom dobavljaču. Bitni podaci za popunjavanje dokumenata čuvali su se na raznim lokaci- jama, što je dovodilo do veće mogućnosti pogreške u popunjavanju dokumenata, a nedostajala je i stroga kontrola. Bilo je krajnje vrijeme za pospremanje ureda i uvo- đenje bolje kontrole u cijeli proces nabave. Tijek razvoja sustava Za potrebe analize od Renaultova tima zaduženog za razvoj sustava dobili smo detaljnu funkcijsku specifikaciju sustava­ , a nakon što smo napravili analizu pokrenuli smo radionice s korisnicima. Dogovorene su četiri radionice, na kojima smo prolazili specifikaciju, stranicu po stranicu. Raspravljalo se o procesima i o tome kako ih poboljšati, izbacivale su se suvišne funkcionalnosti i dodavale potrebne. Nakon radionica te podosta razmijenjenih e-mailova nastala je funkcijska specifikacija s kojom se moglo krenuti u razvoj. Naša je misija bila u tri mjeseca razviti sustav koji će u potpunosti podržati proces nabave i slijediti određena pravila kod narudžbe robe za Hrvatsku, Sloveniju i Srbiju te omogućiti korisnicima bolji uvid u nadolazeće troškove. Aplikacija podržava četiri procesa, a prvi koji smo razvili bio je proces rezervacije sredstava za naručivanje robe. Radi se o procesu u kojem se na dokumentu definira dobavljač i roba koja će se od njega naručiti. Jedan dokument može imati više stavki za narudžbu, tj. više artikala, a služi kao rezervacija sredstava za narudžbenice na kojima je iznos veći od 5000 eura. Taj smo proces odabrali za prvu iteraciju jer je bio dovoljno velik da korisnici nakon isporuke dobiju dojam kako aplikacija funkcionira, a i poslovno je bilo logično razviti baš taj proces jer se proces narudžbe, ovisno o poslovnim pravilima, na njega nadovezuje. Kao idealan kandidat za rješenje svih izazova ovoga projekta pokazala se CROZ- ova cDocs platforma, koja za pohranjivanje dokumenta koristi Alfresco tehnologiju, dok je za upravljanje procesima u slučaju Renaultovih rješenja iskorištena Acitivity BPM open source platforma. Sâm razvoj sustava, koji je tek pred sâm kraj projekta dobio i svoje ime PUMA (Purchasing Management Application), trajao je priblližno tri mjeseca, a vodili smo se agilnom metodologijom. Prije svake iteracije sva smo pitanja raspravili s korisnicima putem e-maila, a po potrebi Lista zadataka – nakon prijave u aplikaciju korisniku se prikazuje lista zadataka koji čekaju njegovo odobrenje. Zadaci su grupirani po procesima i statusima. 26 | FYI by CROZ / broj 17 / listopad 2014. projektne priče | Proces nabave brz kao PUMA

27. FYI by CROZ / broj 17 / listopad 2014. |

    27 Proces nabave brz kao PUMA | projektne priče smo održavali i dodatne sastanke. Razvoj je bio podijeljen u četiri iteracije. Nakon prve iteracije razvoja i testiranja isporučen je jedan cijeli proces te održan demo za korisnike. S obzirom na pozitivne reakcije korisnika znali smo da smo na dobrom putu pa je, prema planu, nakon preostale tri iteracije isporučen i ostatak funkcional- nosti. Kako se demo za korisnike nakon prve iteracije pokazao korisnim, s tom smo praksom nastavili i nakon ostalih iteracija. Tijekom tih prezentacija korisnici su odmah u hodu testirali aplikaciju i upoznavali se sa svojim novim alatom za narudžbu sred- stava, što je znatno pridonijelo navikavanju korisnika na sustav prije same produkcije. PUMA u akciji Osim procesa koji se odvijaju kod narudžbe robe, cDocs platforma sa sobom donosi još mnoštvo funkcionalnosti koje Renaultovim korisnicima olakšavaju svakodnevni rad. Takvo je primjerice upravljanje korisničkim rolama, funkcionalnost kojom korisnik s administratorskim ovlastima ostalim korisnicima sustava dodjeljuje određenu rolu, koja im daje pravo sudjelovanja u određenom procesu, ali i pravo gledanja dokumenata u aplikaciji. Razvili smo modul za upravljanje šifrarnicima koji je iznimno važan za kontrolu podataka koji se pohranjuju u dokumentima. U slučaju PUMA-e šifrarnici su važni za sâm tijek dokumenata u procesu jer u PUMA-i odluke donosimo na temelju novčanih limita, a limiti se definiraju u šifrarnicima. Uz pomoć toga modula osjetljivi podaci, koji se pohranjuju u dokumentima, spremljeni su na jednom mjestu, a njihova je izmjena omogućena samo korisnicima s administratorskim ovlastima koji su za njih i odgovorni. Za svaki dokument u aplikaciji postoji poseban pregled, u kojem korisnici, ovisno o ovlaštenjima, mogu pretražiti dokumente po različitim parametrima kao što su trenutačni status, vrijeme kreiranja dokumenta, iznosi… Rezultate pretrage moguće je sortirati ili napraviti eksport istih u Excel, a uvijek je moguće i pregledati detalje samoga dokumenta i povijest podataka. U slučaju da korisnik primjerice treba kreirati novi dokument, za koji unaprijed zna da će biti sličan već nekom postojećem dokumentu, u sustavu postoji funkcionalnost kopiranja dokumenta koja će mu znatno uštedjeti vrijeme. Problem ručnoga prebacivanja dokumenata na drugoga korisnika za vrijeme godišnjih odmora ili bolovanja riješen je implementacijom delegacije. Tom funkcionalnošću korisnik prebacuje sve svoje trenutačne zadatke na korisnika koji ga zamjenjuje i u razdoblju koje sâm određuje. Ako ih odabrana zamjena nije riješila, zadaci se po isteku delegacije vraćaju korisniku. A kad smo kod zadataka koji čekaju odobrenje pojedinoga korisnika, PUMA svakom korisniku već na samom loginu prikazuje listu njegovih trenutačnih zada- taka. Zadaci su grupirani po procesima i po statusu, a uz svaki se status nalazi i broj dokumenata koje korisnik treba odobriti. Na taj način korisnik jednim klikom dobiva uvid u količinu posla koji kod njega stoji, kao što se vidi na priloženoj slici. PUMA je nakon zadovoljavajućega korisničkoga testa bez poteškoća došla do svojega cilja i elegantno se ušuljala u produkciju, gdje, na sreću dragih korisnika, već neko vrijeme stanuje i prede. Ekran za unos artikla na narudžbenicu – obavezna polja vizualno su istaknuta, a aplikacija unosom količine robe i cijene sama preračunava ostale podatke vezane za iznose. Koji su bili razlozi za uvođenje novoga sustava i ciljevi projekta? Poslovni razlozi za uvođenje novoga sustava bili su: • niska učinkovitost i međusobna odvojenost procesa planiranja troškova, osnovnoga nabavnoga procesa i procesa validacije računa u filijalama Renault Nissan Adriatice (RNA); • implementacija korporativnoga alata za nabavu u Renault Nissanu Srbija (RNSRB) nije bila moguća; • aplikacija za validaciju računa bila je već zastarjela i nije više zadovoljavala potrebe RNA; • ograničena sposobnost izrade detaljnih analiza nabave na razini zemlje ili teritorija. Ciljevi projekta bili su: • usklađivanje s nabavnom politikom i procedurama Renault Grupe; • uspostavljanje tijeka rada koji će menadžerima omogućiti validaciju zahtjeva koje šalju RNA korisnici iz bilo koje zemlje; • bolja vidljivost predmeta nabave za validatore (tip i visina troška, praćenje budžeta); • omogućavanje automatskih nadzora i revizije u stvarnom vremenu za sve procese vezane uz nabavu; • podrška organizaciji koja pokriva više zemalja, različite jezike, formate dokumenata, stope PDV-a, Marko Anžič Renault Nissan Adriatic (interni revizor/ interna kontrola) valute i ostale čimbenike koji ovise o lokalnom zakonodavstvu pojedine zemlje RNA; • učinkovit i transparentan proces validacije računa, sukladan s pravilima nabave u RNA. • omogućavanje znatne uštede. Jeste li zadovoljni s realizacijom i kako je tekla suradnja s CROZ-om? Realizaciju ciljeva možemo rezimirati jednostavnom rečenicom: svi su ciljevi zapravo već postignuti, osim ušteda, koje će se nedvojbeno pokazati s vremenom. Jedini veći negativni utjecaj na organizaciju jest u nekoj mjeri povećani rad za korisnike kod unošenja podataka. To je na kraju krajeva cijena kvalitetnih informacija koje u prošlosti nismo imali, ali je upravo smanjenje (koliko je god to moguće bez ugrožavanja kvalitete podataka) administrativnoga rada prioritet za sljedeću fazu razvoja. Aplikacija je živa stvar i već smo od uvođenja u produkciju uveli više od 50 promjena koje olakšavaju posao korisnicima. Unatoč tome smatramo da smo vrlo dobro savladali scope creep, jer nijedna od promjena nije bitno promijenila osnovne procese ili korisničke uloge. CROZ je kao partner pokazao iznimno profesionalan stav u svim fazama projekta – od tendera, prezentacije svoje platforme, sklapanja ugovora, projektnoga menadžmenta, radionica na kojima su se zaista trudili shvatiti naše probleme, potrebe i viziju rješenja. I nakon lansiranja aplikacije u produkciju bili su dovoljno brzi, slijedili su prioritete koje smo definirali i bili aktivni i kod definicije rješenja aktualnih bugova i drugih problema. CROZ-ov projektni tim sačinjavalo je nekoliko osoba posebno posvećenih projektu, koje su bile upućene u aplikaciju, procese i povijest projekta, pa su komunikacija i rješavanje problema išli vrlo glatko.

28. 28 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | Agilizacija u praksi Svi su ludi za agilizacijom! Dobro, ako nisu baš ludi, bar su čuli ponešto o ovoj metodologiji i pričaju o tome, kako je to najbolji način razvoja, i to ne samo softvera, kako su rezultati odlični, kako su ubrzanja ispo- ruka strahovita. I kod nas je ta tema vrlo popularna, uostalom dobar dio prošloga broja ovih tvorničkih novina bio je posve- ćen upravo agilnoj transformaciji, Scrumu i vezanim cjelinama. Za razliku od dobroga dijela našega okruženja koji o agilnim metodologijama samo priča (nažalost, moram naglasiti), u CROZ-u se aktivno bavimo širenjem tih znanja i praksi, kako kod korisnika tako i interno. Moguće je početi i iznutra Razvojni projekti, iz različitih razloga, mogu krenuti krivim putem. Najčešće su to gubici uslijed preoptimističnih procjena ili nedovoljno jasnih zahtjeva, i unatoč tim poznatim problemima neki projekti i dalje srljaju u propast. Takvo što se ponekad dogodi svima, pa i nama, no Agilizacija u praksi Tri kratke priče koje slijede govore o tome kako na prvi pogled različita okruženja primjenom sličnih principa rješavaju specifične, a opet svima poznate probleme. Piše: Davor Čengija ono po čemu se razlikujemo od većine ostalih softverskih kuća jest sposobnost prepoznavanja i, što je još važnije, reagiranja u takvim situacijama. Nedavno je jednom našem iskusnom voditelju projekata (podaci poznati redakciji, op.a.) upala u krilo nezahvalna dužnost spašavanja jednoga posrnuloga projekta kod dugogodišnjega korisnika. Sve što može krenuti krivo na projektu već je debelo zagazilo u tom smjeru: niz neriješenih zahtjeva, ono što se radi znatno kasni, probijeni rokovi za isporuke, previše potrošenih dana u odnosu na procjene, nezadovoljni ljudi na projektu. Kako riješiti problem i kako spasiti projekt, odobrovoljiti korisnika i vratiti dobru reputaciju? Naš kolega je već iskusan projektni vuk, koji zna kako se ponašati u takvim neprilikama: nastaviti s dosadašnjim pristupom, samo brže, više i jače neće promijeniti baš ništa, osim što će još više povećati minus na projektu i učiniti korisnika još nesretnijim. Promjena stava, dakle. I ne samo promjena stava, već i promjena organizacije unutar projektnoga tima, promjena načina komuniciranja s korisnikom, promjena u procjenjivanju, promjena u izvještavanju – u osnovi, agilizacija projekta i uvođenje Scruma. Na početku treba riješiti najvažniju stvar, a to je u našem slučaju poljuljano korisnikovo povjerenje u nas. Zašto? Jer konstantno kasnimo i ne držimo se rokova. Zašto? Jer novi zahtjevi ulijeću po putu ili nisu dovoljno jasni već na samom početku, pa su prema tome i procjene o datumima isporuka vrlo otprilike. To, u svakom slučaju, nije dobro ni za korisnika, jer ima internu obavezu prema marketingu i prodaji, niti za nas, jer ne možemo planirati niti ljude niti cashflow. Treba odmah razjasniti jednu činjenicu, koja je vrijedila za baš svaki projekt na kojem sam sudjelovao, a usuđujem se reći da vrijedi i univerzalno: korisnici su vrlo razumni ljudi, koji shvaćaju da se stvari po putu mijenjaju, pa se tako mijenjaju i poslovni zahtjevi, mijenjaju se i mehanizmi implementacije, mijenja se i Projektna nadzorna ploča na IBM Jazz platformi daje brz uvid u status projekta iz nekoliko perspektiva i može se mijenjati i prilagođavati tijekom trajanja projekta Sažetak internoga druženja na temu spašavanja posrnuloga projekta – stvarna ilustracija nastala u mojoj kuhinji A

29. FYI by CROZ / broj 17 / listopad 2014. |

    29 Agilizacija u praksi | tehnologije i trendovi Consulting@CROZ AGILE KICKSTART Kroz naše iskustvo u radu s brojnim klijentima iz različitih industrija (financije, telekomunikacije, elektronika, državna uprava), s ciljem transformiranja svojih odjela za razvoj u agilnije strukture, razvili smo Agile Kickstart – ponudu za sve tvrtke i organizacije koje žele, kroz intenzivan rad s Consulting@ CROZ stručnjacima, postaviti snažne temelje za cjelovitu transformaciju na agilniji način rada s ciljem većeg uspjeha na tržištu, lakšeg odgovaranja na zahtjeve te brže prilagodbe na sve dinamičniju IT okolinu koja nas sve okružuje. U 20 intenzivnih dana dobit ćete uvid u trenutačne prakse koje koristite, stanje trenutačne agilnosti vaše organizacije, bolje razumijevanje agilnih principa i vrijednosti te prijedlog primjene istih za jedan vaš razvojni tim. Više informacija na www.croz.net/consulting okruženje. Sve što treba je dovoljno rano prepoznati promjenu i pojasniti utjecaj na dinamiku projekta, a to nije ništa drugo nego poboljšati komunikaciju unutar cjelokupnoga tima, od vlasnika poslovnih zahtjeva, preko voditelja projekta s obje strane, pa do samoga razvojnoga tima. Kako poboljšati komunikaciju? Ništa lakše, reklo bi se: družite se češće, svaki dan ako treba, pa bilo to i samo 15 minuta da prođete što ste radili jučer, je li bilo kakvih nenadanih problema, i što planirate raditi danas – daily scrum meeting, dakle. I tu su se stvari počele otpetljavati. Alat IBM Rational Team Concert omogućio je bolju vidljivost zadataka – otvorenih, u najavi, u testiranju, zatvorenih; također je omogućio mjerenje brzine kojom tim isporučuje gotove komade softvera pa prema tome i bolje planiranje. Omogućio je i da se nadopuna poslovnih zahtjeva jasno vidi kao skok na grafu koji pokazuje količinu posla, a prema tome i prema dinamici razvojnoga tima uvijek se može vidjeti kad će posao biti gotov – nema više ljutnje zašto isporuka kasni dva tjedna, a dodan je samo jedan novi ekran. Cjelokupni tim, uključujući i vlasnike poslovnih zahtjeva, odlučit će što je važnije: isporuka prema unaprijed dogovorenom roku ili dodatna funkcionalnost, ali nešto kasnije. Ili možda dodatna funkcionalnost umjesto neke druge, ali u unaprijed dogovorenom terminu? Takvi se detalji rješavaju odmah na početku, čim je problem nastao, a ne na kraju, kod testa prihvaćanja. I tako se gradi povjerenje kod korisnika. Fokusirajte se na bitno! Financijska agencija (FINA), naš dugogodišnji korisnik, s kojim imamo vrlo uspješnu suradnju u nekoliko različitih domena, od sistemskoga održavanja, preko razvoja softvera, do konzaltinga, također ima i značajan interni razvojni tim, koji je u stanju isporučiti kompleksne projekte u različitim tehnologijama. Metodološki su također poprilično potkovani, no kako se cjelokupna IT industrija razvija, tako se i u tom području događaju pozitivni pomaci, što su prepoznali u FINA-i i zatražili pomoć od nas. Zaključili smo da je za FINA-u odgovarajući CROZ-ov konzultantski proizvod koji nazivamo Agile Kickstart – skup nekoliko tečajeva, savjetovanje, IBM Jazz platforma: Burndown chart automatski se generira i pokazuje odnos preostaloga posla i raspoloživoga vremena do kraja projekta Sve što treba je dovoljno rano prepoznati promjenu i pojasniti utjecaj na dinamiku projekta, a to nije ništa drugo nego poboljšati komunikaciju unutar cjelokupnoga tima, od vlasnika poslovnih zahtjeva, preko voditelja projekta s obje strane, pa do samoga razvojnoga tima.

30. 30 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | Agilizacija u praksi praćenje i nadgledanje konkretnoga tima na konkretnom projektu kako bi se vještine agilnoga upravljanja projektom ugradile u samu srž organizacije, kako bi se na kraju mogle i dalje širiti. Darko Špoljarić, jedan od članova našega konzultantskoga tima, lijepo je sažeo cijeli angažman: ”Učimo se fokusirati na bitno, kako bismo u ograničenom vremenu napravili baš ono što će imati najveću uporabnu vrijednost i kako bi se uloženo čim prije počelo vraćati.” Što znači da je tim fokusiran na bitno? Darko nastavlja: ”Prvo je bilo nužno ponovno definirati tim, odnosno uvući unutra sve osobe koje sudjeluju u razvoju produkta – ne samo softvera, ne samo specifikacija, već cjelokupnoga proizvoda koji se sastoji od tih cjelina. Tek kad smo prihvatili činjenicu da softver bez dobrih specifikacija ne vrijedi puno, niti da specifikacije ne postoje zbog samih sebe, mogli smo početi planirati redoslijed aktivnosti, tako da čim prije počnemo isporučivati vrijednost krajnjem korisniku.” U razgovoru s Dariom Belićem iz FINA-e saznajemo da su prvi dojmovi odlični, ali ne samo dojmovi, već i tvrdi brojevi: već nakon prvoga ciklusa uvođenja agilnih metodologija vidi se ubrzanje od 30% do 50% u isporukama funkcionalnosti u odnosu na tradicionalni pristup, no što je još važnije, isporučene su one funkcionalnosti koje su stvarno i trebale biti, jer je tijekom projekta zaključeno da su bitne, odnosno bitnije od nekih drugih, pa su i isplivale na vrh liste za razvoj. Brzina isporuka, na kraju krajeva, i nije tako važna ako uzmemo u obzir stvarni učinak ovakve promjene u pristupu. Svaki razuman sponzor projekta (a takvi su svi) Projektna nadzorna ploča za vlasnika produkta može se konfigurirati prema specifičnim potrebama, tako da su ključne informacije uvijek nadohvat ruke: aktivnosti u tijeku, gdje je potrebna intervencija, pregled po iteracijama… Učimo se fokusirati na bitno, kako bismo u ograničenom vremenu napravili baš ono što će imati najveću uporabnu vrijednost i kako bi se uloženo čim prije počelo vraćati. Osmoza kao mehanizam širenja agilizacije Svi smo čuli za osmozu u srednjoj školi: polupropusna membrana, otopine, jedna otopljena tvar prolazi kroz membranu, druga ne i tako dalje. Vrlo je zanimljivo kako se sličan fenomen, samo bez otopljenih supstanci A, može vidjeti u gotovo svakom okruženju koje počinje uvoditi agilne metodologije (razvoja softvera, marketinških akcija, dizajna, ISO audita...). Jedan tim unutar kuće prihvati, recimo, dnevna petnaestminutna druženja svako jutro. Ta druženja su naravno samo dio cjelokupne promjene, ali i najvidljivija aktivnost za promatrače izvan tima. Nakon što prođe prvi val nepovjerenja okoline (Pih, samo gube vrijeme) i nakon što na svjetlo dana počnu izlaziti kvalitetni i pouzdani rezultati, članovi drugih timova se nepozvani (!) počnu pojavljivati na dnevnim druženjima, čisto da vide o čemu se tu radi. Vrlo se brzo vijest o magičnim druženjima proširi i izvan Scrum tima i nedugo potom vidimo stand-up meetinge po cijeloj organizaciji. Takva događanja i širenje informacija fantastične su vijesti, međutim ono što je ostalo skriveno – nije dakle prošlo kroz membranu –strukturirana je priča iza dnevnih druženja: zašto se sastajemo svaki dan, što prethodi a što slijedi nakon, zašto se ponašamo baš tako. Može se reći da je pola posla u prihvaćanju agilnih metodologija razvoja napravljeno osmozom, no druga polovica treba biti jasna i strukturirana kako bi ljudi naučili zašto se nešto radi baš tako, a ne samo kako se to radi. pristat će na onih 20% funkcionalnosti, koje pokrivaju 80% korisničkih potreba, i s tim zaključiti projekt, a ne inzistirati na stopostotnom peglanju svih zahtjeva, znajući da se te opcije nikad neće koristiti. A što ako razvijamo embedded softver? U prošlom smo broju pisali o uspješnoj implementaciji Rational Requirements Composera i Rational Quality Managera u Iskratelu, slovenskoj kompaniji koja djeluje na međunarodnom tržištu i izrađuje poprilično kompleksne telekomunikacijske uređaje i softver. Treći dio toga projekta uključivao je i uvođenje agilnih metodologija i alata u razvojni ciklus, prvenstveno Scruma. Ta je cjelina zamišljena i provedena ”prema knjizi”, odnosno baš onako kako se i preporučuje: nakon tečaja o detaljima agilnoga razvoja, specifičnostima ovakvoga pristupa iz perspektive organizacije tima, načina komuniciranja tijekom razvoja i same prioritizacije posla,

31. FYI by CROZ / broj 17 / listopad 2014. |

    31 Agilizacija u praksi | tehnologije i trendovi odabran je pilot-projekt. Dobro odabran pilot-projekt ponekad je ključan za uspjeh cijeloga pothvata: osim što zadatak mora biti realan i ostvariv, mora biti i dovoljno reprezentativan, odnosno mora predstavljati uobičajeni projekt kakav se i inače implementira u tom okruženju. Ukratko, ne smije biti trivijalan. Posebnost Iskratela, u odnosu na recimo CROZ, jest u vrsti softvera koji se razvija. Iskratel naime razvija i embedded softver, odnosno softver koji je usko vezan uz pripadajući hardver na kojem će se izvršavati. U krugovima koji nisu dovoljno upoznati s agilnim metodologijama razvoja često se smatra kako je vrlo teško, gotovo nemoguće razvijati embedded softver tako da se na kraju svakoga sprinta isporučuje radeća verzija, a pogotovo da nije moguće tako razvijati sam hardver. Ni prva ni druga tvrdnja ne stoje, što pokazuje ovaj projekt. Kao i kod svake agilne inicijative, počeli smo s tečajevima upoznavanja s principima agilnoga razvoja svih uključenih u projekt, s tim da je društvo iz Iskratela već imalo dobru podlogu. Samo savjetovanje i praćenje razvojnoga tima imalo je jednu zanimljivu specifičnost. Naime razvoj se odvijao u Mariboru, kojih 120 km od Zagreba. Putovati svaki dan do Maribora i natrag nije dolazilo u obzir, a boraviti tamo 6 tjedana, koliko smo planirali za pilot-projekt, još i manje. Našli smo se na sredini: inicijalno planiranje (backlog grooming), planiranje sprinteva (iteracija) i retrospektive imat ćemo zajedno, u Mariboru, a dnevne ćemo stand-upe voditi putem Skypea. pravom smjeru, što je uostalom i cilj našega angažmana – naučiti korisnika kako samostalno voditi projekte na agilni način. Pomogli su i tečajevi prije početka pilota, kad smo se bolje upoznali. Skype je za dnevna druženja sasvim okej: iako fizički nismo bili zajedno, uspjeli smo tijekom druženja zadržati fokus na tekućim zadacima unutar sprinta.” Janez Krušič iz Iskratela, product owner tijekom pilot-projekta, i sam hvali takav pristup. ”Pokretanje projekta, odnosno prikupljanje svih potrebnih informacija za početak implementacije vidljivo je skraćeno. Nekad nam je trebalo i do dva tjedna da procijenimo veličinu projekta i redoslijed implementacije. Dok svi pročitaju e-mail, pa odgovore, pa dok se sve to skupi na jedno mjesto... Sada smo sve to odradili za jedan dan. Skupili smo se za backlog grooming i ostali sve dok nismo razjasnili što, kako i kad treba napraviti. Naravno, ovo je bilo samo početno druženje, nismo definirali baš sve detalje, ali smo već sljedeći dan mogli početi s implementacijom.” Uz vidljivo ubrzanje na početku, dnevna su druženja omogućila da se Sve bitne informacije, vizualizirane na jednom mjestu, olakšavaju praćenje statusa projekta: otvoreni zadaci, kritičan put, opterećenost razvojnoga tima i drugo Iskratel naime razvija i embedded softver, odnosno softver koji je usko vezan uz pripadajući hardver na kojem će se izvršavati. Ivan Krnić, naš glavni konzultant na projektu, smatra da je takav pristup sasvim prihvatljiv. ”Bitno je da smo zajedno, na lokaciji, tijekom backlog groominga i planiranja sprinteva. Tako smo mogli izravnije korigirati ponašanja sudionika na projektu i navigirati ih u

32. 32 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | Agilizacija u praksi Enterprise arhitektura česta je tema u FYI-u. Kako do sada već imamo više projekata na tu temu, prirodno je da je svaki sljedeći projekt malo bolji od prethodnoga, a upra- vo je agilni i lean pristup omogućio znatan napredak u razumijevanju korisnikovih potreba, pa tako u konačnici i kvalitetnijih rezultata. Osnovna je postavka ovakvoga pristupa, kako je prakticiramo u CROZ-u, potraga za idealnim budućim stanjem. Ne kažem da je snimka postojećega stanja nepotrebna, već da je ne treba raditi da bi bila sama sebi svrhom. U realizaciji idealnoga stanja prepoznavat ćemo kad i koliko trebamo pogledati unatrag i napraviti assessment točno toga dijela i to onoliko koliko treba. Kako doći do idealnoga stanja za dano okruženje? Tu u igru uskaču lean i agile principi, prema kojima je ključan detalj prepoznavanje vrijednosti koje sustav isporučuje. Naprimjer koju vrijednost isporučuje šalterski sustav za neku banku: mogućnost da šalterski službenici jako brzo unose različite podatke, mogućnost da građani promptno i jednostavno realiziraju zahtjev za kreditom ili mogućnost trenutačnoga uvida u različite podatke bitne za menadžment? Odgovori su, naravno, pod dva i tri. Nakon prepoznavanja vrijednosti, kojih može biti cijeli niz, trudimo se omogućiti nesmetan tijek te vrijednosti kroz sustav, odnosno tako dizajniramo poslovne procese da se prepoznata vrijednost najbrže i ostvari. Pritom se često susrećemo s različitim problemima, od interne organizacijske strukture – različiti interni odjeli odjednom sudjeluju u istom procesu, pa sve do čisto tehničkih poteškoća – višestruke kopije istoga podatka razbacane posvuda po sustavu i nije jasno koja je instanca ”istina”, a što su kopije, i tako dalje. Takve otegotne okolnosti smatramo gubicima ili otpadom (waste je izraz koji se i kod nas najčešće koristi) i nastojimo ih eliminirati koliko god je to moguće. Za razliku od tradicionalnoga pristupa, gdje se obično u početku provode opsežne snimke postojećih stanja poslovne, organizacijske i tehničke strukture, ovdje odmah na početku postavljamo sliku idealnoga, gotovo pa utopijskoga svijeta u kojem su poslovne potrebe i tehničke mogućnosti besprijekorno uklopljene, i još je sve začinjeno savršeno organiziranim Uredom za Enterprise arhitekturu. Agilni pristup i u Enterprise arhitekturi Sljedeći korak kod takvoga pristupa izgradnji Enterprise arhitekture fizički je dizajn odabranoga segmenta sustava, kad se spuštamo u stvarni svijet, gdje već uzimamo u obzir organizacijska, regulatorna, tehnička i vremenska ograničenja. Naprimjer u idealnom svijetu zamišljamo samo jednu, zajedničku bazu podataka za cijeli sustav, dok u stvarnosti imamo bitnu aplikaciju koja radi isključivo s baš tom verzijom DB2 i Idealno stanje je ono što u Enterprise arhitekturi zovemo TO-BE stanjem, s tim da smo svjesni kako ga, bez obzira koliko se trudili, nećemo moći dosegnuti, bar ne u prvom ciklusu izgradnje arhitekture. Takav pristup je međutim sasvim prihvatljiv: Enterprise arhitektura je put a ne odredište, kako se to pjesnički kaže, a lean i agile principi pomažu da tim putem prolazimo sa što manje poteškoća. ne možemo se migrirati bar dvije godine. Takva ograničenja smatramo teretima na idealnoj strukturi i kompenziramo ih kroz planiranje i dobru projektnu organizaciju. Prednost lean Enterprise arhitekture je u vrlo brzom povratu investiranoga truda u razvoj sustava, odnosno prepoznavanjem vrijednosti i omogućavanjem tijeka te vrijednosti preko postojećih granica dobivamo novi, bolji i upotrebljiviji sustav, koji radi baš ono što treba. zadrži fokus na poslovnoj vrijednosti koju će projekt isporučiti, odnosno ugradili smo mehanizam promjene prioriteta u implementaciji željenih funkcionalnosti. Razumljivo je, pa čak i poželjno, da se vlasnici poslovnih zahtjeva predomisle tijekom projekta oko nekih zahtjeva; bitno je da se te promjene uoče na vrijeme i odmah ugrade u projektni plan. Hoće li to utjecati na vrijeme implementacije ili će se izbaciti neki manje bitni detalji ostaje na vlasniku produkta da odluči. U svakom slučaju, neće biti neugodnih iznenađenja na kraju. Još mi se jedan detalj s ovoga projekta jako svidio: korištenje fizičke ploče, obješene u projektnoj sobi za planiranje i praćenje napretka na projektu. Da, raznorazni softveri za Kanban i slične vizualizacije odlična su stvar – jednom kad znaš što radiš. Ako počinješ s nečim novim, uzmi bijelu ploču od dva metra, gomilu post-ita i navali. Ovako ne samo da će svi članovi tima imati oko čega stajati tijekom dnevnih druženja, već će i drugi kolege vidjeti šareni zid i početi se zanimati što se događa. A osmoza je, kako i piše u okviru sa strane, moćna sila.

33. FYI by CROZ / broj 17 / listopad 2014. |

    33 Uspješan projekt u Albaniji | projektne priče Osnovni posao Albanske agencije za osiguranje depozita (ADIA) jest osiguranje depozita svih klijenata banaka, štedionica i drugih financijskih institucija u slučaju njihove propasti. Maksimalan iznos osigu- ranih depozita u Albaniji iznosi 2.500.000 leka ili otprilike 18.000 eura, a u Hrvatskoj u protuvrijednosti 100.000 eura. U posljednjih je nekoliko godina i hrvatska Državna agencija za osiguranje štednih uloga i sanaciju banaka (DAB) u nekoliko slučajeva provela isplatu depozita klijentima propalih banaka. Posao je obavljen u iznimno kratkom roku, bez velike uzbune štediša ili oka javnosti, što zapravo pridonosi održanju stabilnosti čitavoga financijskoga sustava zemlje i povjerenja štediša u institucije koje ih na takav način štite. Važnost postojanja dobroga informacijskoga sustava u takvim CROZ na novom tržištu: uspješan projekt u Albaniji Europska banka za obnovu i razvoj (EBRD) financirala je izgradnju informacijskoga sustava za podršku poslovanju Albanske agencije za osiguranje depozita (ADIA). CROZ je dobio posao na međunarodnom natječaju zajedno s dvije albanske tvrtke. je slučajevima jasna. Tijekom našega projekta u Albaniji kolegama iza ADIA-e osigurali smo i posjet hrvatskoj agenciji te omogućili razmjenu iskustava. U poslovnom smislu sustav koji smo razvili omogućava ADIA-i prikupljanje podataka o depozitima svojih klijenata od banaka i drugih financijskih institucija elektroničkim putem kroz sigurne kanale. Tako prikupljeni podaci koriste se za više zadataka koje ADIA obavlja i za koje je ovlaštena: • osiguranje depozita (pa se tim podacima koristi u svrhu izračuna premije osiguranja za pojedinu financijsku instituciju), • nadzor rada financijskih institucija (pa se takvi podaci koriste i u svrhu istraživanja i ustanovljavanja mogućih nezakonitih radnji ili nezakonitoga stjecanja novca), • isplata zagarantiranih sredstava u slučaju propasti neke od financijskih institucija pod njezinom nadležnošću. Informacijski sustav ADIA-e sastoji se od nekoliko modula koji omogućuju provedbu navedenih poslova i podršku poslovnim procesima: od prikupljanja podataka, obračuna premije osiguranja, pripreme i analize podataka za provedbu nadzora do kreiranja datoteka s isplatnim podacima. Projekt implementacije je trajao godinu dana. U tom je razdoblju, kroz nekoliko faznih isporuka, napravljena detaljna specifikacija zahtjeva i poslovna analiza, izgrađen je sustav sa svim sigurnosnim pravilima te je provedeno testiranje sa svim bankama u Albaniji. Puštanje sustava u produkcijski dnevni rad predviđeno je tijekom jeseni. Partneri na projektu CROZ je na projektu imao ulogu voditelja projekta u ime konzorcija i glavnoga odgovornoga za realizaciju projekta u ime EBRD-a. Nadalje na projektu smo nastupali kao konzultanti u metodološkom smislu, gdje su naša znanja i iskustvo u vođenju projekata ove veličine i značenja bili itekako važni. Bili smo zaduženi za osiguranje kvalitete u izvedbi projekta u cijelosti: od revizije kvalitete funkcionalnih specifikacija i code reviewa, do sudjelovanja u pripremi testiranja s bankama. Tijekom projekta imali smo priliku pokazati svoje iskustvo u razvoju financijskih sustava te pomoći i oko primjene sigurnosnih mjera na sustavu. Osim CROZ-a, na projektu je sudjelovala hrvatska tvrtka Dialog u dijelu poslovnog konzaltinga, a najveći dio razvojnih aktivnosti odradile dvije albanske tvrtke: Facilization shpk i • Albanci odmahuju glavom u znak odobravanja (zapravo naginju glavu na jedno pa na drugo rame bez rotacije u vratu A) • Više od 700 000 bunkera izgrađeno je tijekom pedesetgodišnje vladavine komunizma – jedan za svaka četiri stanovnika ili nevjerojatnih dvadeset i četiri bunkera na kvadratni kilometar. Neki se danas upotrebljavaju u turističke ili ugostiteljske svrhe. • U albanskom jeziku riječ shqiptar znači Albanac, Shqipëria je naziv za Albaniju, a obje riječi, prema nekim izvorima, vuku korijen iz riječi shqipe, što znači orao i predstavlja nacionalni simbol (koji je u međuvremenu iz nekih drugih razloga dobio dvije glave). Prema drugim izvorima obje riječi dolaze od riječi shqip, što znači ”međusobno razumijevanje”. • Albanski je jedan od najstarijih živih jezika na svijetu i unutar indoeuropske porodice ne pripada nijednoj skupini jezika – samostalan je i jedinstven. Širom svijeta govori ga oko 8 milijuna ljudi. Albanija za radoznale • Skenderbeg nije samo poznati konjak, on je nacionalni heroj i vrlo zanimljiva povijesna osoba. Albancima je važan po tome što je uspješno obranio trinaest osmanskih invazija. Nakon njegove smrti Osmanlije su osvojili Albaniju i vladali njome četiri stoljeća. Spomenik ovom albanskom heroju možete naći svuda po svijetu: u Rimu, Beču, Ženevi, Parizu, Bruxellesu, Prištini i Skoplju. • Albanci su najponosniji na Majku Terezu. Dan njezine beatifikacije, 19. listopada, Albanija slavi kao svoj nacionalni praznik. Jedan od bunkera Piše: Izabela Kolarić

34. 34 | FYI by CROZ / broj 17 / listopad

    2014. projektne priče | Uspješan projekt u Albaniji Communication Progress shpk. Za nas su druženje i rad s kolegama predstavljali vrlo ugodno iskustvo: njihova stručnost i sistematičnost te filozofija i pristup poslu na najvišoj su mogućoj razini, a vještine komunikacije i pregovaranja dobivaju najbolje ocjene. Facilization shpk (www.facilization.com) je tvrtka koja svoje usluge ponajviše pruža u bankarskom i financijskom sektoru, uglavnom temeljeno na Oracle softveru, ali i na vlastitim rješenjima. Vodeći su Oracle partner u Albaniji, zapošljavaju stručnjake obrazovane širom svijeta i imaju bogato međunarodno iskustvo. Njihov je zadatak na projektu bila provedba cjelokupne poslovne analize i sistematizacija zahtjeva, kao i testiranje sustava, kako tijekom iterativnoga razvoja tako i u završnoj fazi testiranja s bankama dionicima sustava. U tom su poslu njihova financijska znanja bila iznimno važna. Communication Progress shpk (www.commprog.com) je tvrtka koja se bavi ne samo razvojem softvera nego i IT infrastrukturom. U softverskom segmentu njihova se rješenja temelje na Microsoft tehnologijama i proizvodima te nije zanemarivo spomenuti i njihove kompetencije u OpenERP-u, s kojim su jedini regionalni partner. Njihov je zadatak na projektu bilo ono u čemu su najjači: uspostava hardverske infrastrukture projekta, podizanje softverske arhitekture i naročito razvoju samoga traženoga rješenja, koje je sva predviđena testiranja prošlo bez zamjerki. Tirana domaćin Albanija je danas zemlja proturječnosti: Tirana se može nazvati modernom zapadnom prijestolnicom, a u unutrašnjost promjene dolaze polako ali sigurno. Na nebu iznad Tirane obrisi staklenih nebodera i vrhovi modernih zgrada proturječe starim monumentalnim zgradama iz doba komunizma, blještavilo reklama i ulične rasvjete prkosi trošnim i neodržavanim pločnicima. Vrhunski obrazovani poslovni ljudi, moderno odjeveni, savršenoga znanja engleskoga ili talijanskoga jezika u kontrastu su s tradicionalnom odjećom koja se često sreće na ulicama. Bogati jelovnici izvrsne gastronomske ponude sve su nasiznenadili. Sve što vas tamo okružuje je ”negdje između”, ali to je samo prvi i izvanjski dojam jer se definitivno sve kreće k cilju stvaranja modernoga grada i moderne države. Nije to više zemlja bunkera (vidi izdvojeni okvir na 33. stranici), već zemlja u koju se vraćaju djeca emigranata sa željom i voljom da svojoj domovini daju sve najbolje od sebe. Tirana je grad u kojem su stare zgrade obojene u nevjerojatne boje kroz kampanju Give Me the Colours kako bi se prebojilo sivilo komunističkoga doba. Naši domaćini pričaju da je Tirana u zadnjih petnaestak godina narasla nekoliko puta. Kažu da trećina albanskoga stanovništva živi u Tirani. Promet je kaotičan, ali samo naizgled jer nismo vidjeli da vozači zbog toga gube živce. Leći na trubu s upozorenjem ”Pazi! Prolazim!” sasvim je normalna stvar i prvo što će vas probuditi ujutro u hotelskoj sobi je učestalo trubljenje pod prozorom. Naslijeđe zatvorenosti i državnoga vlasništva nad svom imovinom još će se dugo osjećati u svim razinama društva i života, ali vrijedni i ambiciozni ljudi nalaze način da se transformiraju. Čvrsto u to vjerujem nakon doista posebnoga iskustva na ovom projektu. Albanska agencija za osiguranje depozita zatražila je Europsku banku za obnovu i razvoj tehničku pomoć pri dizajnu, razvoju i implementaciji sustava koji bi osigurao prikupljanje podataka i izvještavanje. Kako bi agencija mogla osigurati depozite u slučaju propasti banaka, bio nam je potreban sustav razvijen prema najboljim internacionalnim standardima. U srpnju 2013. godine projekt je dodijeljen konzorciju triju uvaženih tvrtki koje su kontinuirano surađivale s AIDA-om kako bi do kolovoza 2014. isporučile završen i pouzdan sustav. Konzorcijski partneri na ovom projektu, Facilization, Communication Progress i CROZ bili su vrlo profesionalni, odlično su odradili posao, a mi smo vrlo sretni s rezultatima. Svi parametri ugovora bili su ispunjeni na vrijeme i prema najvišim standardima kvalitete. Ovaj je projekt za nas bio prava sinergija znanja, stručnosti, komunikacije i zajedničkoga rada. Banke su nedavno uspješno napravile pilot- testiranje i izvještaji nam pokazuju da su u skladu sa zahtjevima ADIA IT sustava. Sustav je spreman za produkciju te sada samo čekamo odluku poslovne strane. Erita Skendaj Albanska agencija za osiguranje depozita (voditeljica projekata) Zgrade Tirane obojene tijekom Give Me the Colours kampanje

35. FYI by CROZ / broj 17 / listopad 2014. |

    35 ARS | predstavljamo partnere ARS Computer und Consulting GmbH je njemačka tvrtka osnovana 1992. sa sjedištem u Münchenu i snažnim fokusom na IBM-ov softver. Prvi kontakti CROZ-a i ARS-a sežu sve do 2008. godine, kada su Piše: Mirela Držaić CROZ na njemačkom tržištu U rubrici ”Predstavljamo partnere” u ovom broju pišemo o njemačkom partneru ARS Computer und Consulting GmbH. Vedrana Miholić (CROZ), Vjekoslav Jadrešić (CROZ), Gerd Sauermann (ARS-ov Key Account Manager) i Joachim Gucker (ARS-ov COO) prilikom jednoga od druženja u CROZ-u se direktorica prodaje u CROZ-u, Vedrana Miholić, i ARS COO Joachim Gucker sreli na IBM-ovu Top Business Partner Advisory Councilu i shvatili da imaju jednaka gle- dišta na tržište. Partner Advisory Council okuplja najvažnije IBM-ove partnere kako bi kroz otvorenu raspravu dobili inpute o njihovim očekivanjima kako unaprijediti IBM-ovu podršku prema korisnicima i partnerima. Povijest suradnje Iako se kontakt održao kroz razne događaje tijekom godina, priliku da stvarno i počnemo raditi na zajedničkom projektu dobili smo tek početkom 2013. godine. Od tada vrlo blisko surađujemo. Kako se odnos prema korisnicima i način rada ARS-a i CROZ-a u velikoj mjeri nadopunjuju, broj projekata na kojima zajedno radimo stalno se povećava. ARS je tijekom godina prikupio impresivne reference iz iznimno razvijene njemačke industrije, prije svega automobilske, ali isto tako i iz javnoga sektora.

36. 36 | FYI by CROZ / broj 17 / listopad

    2014. predstavljamo partnere | ARS Dugo ste u prodaji i imate puno iskustva. Što biste rekli da se promijenilo na IT tržištu i u procesima prodaje ako pogledate 10 do 15 godina unatrag? Oduvijek sam radio u prodaji softvera, posebno u području razvojnih alata. Prije 15 do 20 godina postojalo je samo nekoliko industrija koje su trebale skalabilnu razvojnu tehnologiju, primjerice zrakoplovna industrija. U to vrijeme visoke cijene licenci nisu bile problem. Danas je softver važan za gotovo sve industrije, a open source rješenja zauzela su znatan dio tržišta. Danas se fokusiramo na korisnike koji rade kompleksne projekte i zaista ovise o učinkovitom razvoju. Jedna se stvar sigurno nije promijenila: bolje je podržati i uvjeriti korisnika vlastitim kompetencijama nego brzo zaključiti posao. Iako niste direktno radili s hrvatskim korisnicima, što mislite o razlici između hrvatskoga i njemačkoga IT tržišta? Mislim da glavnu razliku čine različiti dominantni industrijski sektori u našim zemljama. U Njemačkoj postoji puno inženjerskih tvrtki, a dominira autoindustrija. U Hrvatskoj su dominantne manje tvrtke. Od vas sam saznao da CROZ najviše Dr. Gerd Sauermann ARS Computer und Consulting GmbH (Key Account Manager) radi u financijskom i državnom sektoru, čiji korisnici, uvjeren sam, imaju slične probleme kao i naši korisnici u tim sektorima. Prema Vašem mišljenju, kako njemački korisnici vide strane stručnjake? Znamo da je jezik ponekad barijera, ali postoje li neki drugi faktori koji utječu na njihov rad? Točno je da ponekad korisnici žele njemačke trenere jer im zaposlenici ne govore savršen engleski. Korisnik kod kojega zajednički surađujemo internacionalna je kompanija s mnogo zaposlenika Azijata, mahom Indijaca. Stoga moramo s njima komunicirati na engleskom, a s obzirom na to da posluju po cijelome svijetu, drago im je da ARS također radi sa stranim stručnjacima. Kako vidite ARS za pet godina? Planirate li povećati broj zaposlenika zbog povećanja poslovanja ili biste radije ostali manja tvrtka koja prema potrebi surađuje s partnerima? Mislim da ćemo nastaviti oboje: i raditi s partnerima i rasti. Uvijek će postojati poslovne prilike u kojima preferiramo rad s partnerima poput CROZ-a umjesto da zapošljavamo dodatne ljude. Kako biste opisali Vašu suradnju s CROZ-ovim stručnjacima koji rade na Vašim projektima u Njemačkoj? Sviđa mi se njihov rad na mojim projektima. Stvari se nekada moraju mijenjati u vrlo kratkom roku – CROZ je uvijek bio fleksibilan. Dodatno, razmjenjujemo informacije o treninzima i mogućim problemima nakon svakoga dana treninga, što nam omogućuje da brzo reagiramo i, ako je potrebno, uključimo menadžment korisnika. Miroslav Zaninović (CROZ) i Martin Wassermann (ARS-ov konzultant) radili su zajedno na Rohde & Schwarz projektu više od godinu dana. Martin je ujedno došao prezentirati CROZ-ovim korisnicima iskustva s njemačkoga tržišta. ARS je tijekom godina prikupio impresivne reference iz iznimno razvijene njemačke industrije, prije svega automobilske, ali isto tako i iz javnoga sektora. Bez obzira na odlične preduvjete za rast, imaju vrlo jasnu politiku koja kaže da ne žele postati velika korporacija. Danas imaju tek 55 zaposlenika i dugu listu korisnika, čiji IT odjeli broje i po nekoliko tisuća IT stručnjaka. Da nema takve politike, vjerojatno bi i naša suradnja bila manja jer im je upravo zbog velikoga broja korisnika i nedostatka vlastitih resursa potreban partner kao CROZ. Zajednička suradnja kod ARS korisnika Sredinom rujna održali smo zajedničko događanje na temu životnoga ciklusa razvoja proizvoda na kojem je ARS pred- stavio primjere zajedničkih angažmana u inozemstvu, kao i iskustva njemačkih korisnika koji su se ohrabrili unaprijediti svoje razvojne procese. Jedan od primjera naše zajedničke suradnje jest Uvođenje CLM (Collaborative Lifecycle Management) platforme za korisnika Rohde & Schwarz, tvrtku poznatu već više od 80 godina po kvaliteti, preciznosti i inovacijama u svim područjima radiokomunikacija. ARS i CROZ zajedno su radili na uvođenju CLM platforme za in-house razvoj za više od dvije tisuće developera, zajednički pružajući usluge konzaltinga, treninga, optimizacije i tehničke usluge za IBM-ovu Jazz platformu (RRC & RTC). U 2013. godini sličan projekt započeli smo i s jednim velikim automobilskim dobavljačem. ARS i CROZ zajedno su radili na uvođenju CLM platforme za in-house razvoj za više od dvije tisuće developera, zajednički pružajući usluge konzaltinga, treninga, optimizacije i tehničke usluge za IBM-ovu Jazz platformu (RRC & RTC).

37. FYI by CROZ / broj 17 / listopad 2014. |

    37 Jedan od projekata na kojima sudjelujemo izvan granica Hrvatske odveo nas je u Kuvajt i to u grad ”maštovita” naziva Kuwait City. Radi jednostavnost u daljnjem tekstu koristit ćemo samo naziv Kuwait. Projekt je iziskivao od nas boravak u Kuwaitu u trajanju od dva tjedna, što je dovoljno za skupljanje osnovnih dojmova o ovoj arapskoj zemlji. Moja uloga i kolege Ive Štampalije bila je implementacija IBM Tivoli Omegamon produkata za nadzor rada z/OS operativnoga sustava te DB2 i CICS podsustava kod jednog velikog korisnika. Za početak nekoliko osnovnih informacija o zemlji i njezinu glavnom gradu. Kuvajt je zemlja koja udomljuje oko 4 milijuna ljudi, od čega 60% čine Arapi. Zanimljivo je da su Kuvajćani manjina u svojoj zemlji: samo ih je 33%. Prema političkom uređenju radi se o ustavnoj monarhiji, a sadašnji je emir iz Piše: Dejan Cepetić CROZ u Kuvajtu obitelji al-Sabah, dinastije koja vlada od 1938. godine. Najzastupljenija religija je, naravno, islam, ali dozvoljene su i druge religije pa smo tako u gradu Kuwaitu imali priliku vidjeti i katoličku crkvu. Zahvaljujući znatnim rezervama nafte Kuvajt je vrlo bogata zemlja. Ono što smo vidjeli na licu mjesta potvrđuje činjenicu da Kuvajćani i stranci sa zapada koji su tamo na privremenom radu uživaju visok standard. Istovremeno, kao i u ostalim bogatim zemljama toga dijela svijeta, velik je broj stranaca iz zemalja Trećeg svijeta koji obavljaju nisko plaćene poslove i čiji standard nije na visokoj razini. Brojne su impozantne građevine, shopping centri, vrhunski hoteli i ostali objekti na kojima se vidi da se ne štedi novac pri gradnji i opremanju. Silom prilika, zbog kraće viroze, našao sam se i u jednoj privatnoj klinici koja bi se kao takva lako mogla naći u bilo kojoj bogatoj zemlji na zapadnoj hemisferi. Obrazovne ustanove nude vrhunske uvjete, ali školovanje je isto tako znatna stavka u kućnom budžetu tamošnjih stanovnika. O dostupnosti vrhunskih vozila i cijeni benzina (oko 1,5 kn za litru) suvišno je govoriti. A Budući da sam prije šest godina imao priliku posjetiti glavni grad Saudijske Arabije, Riyadh (zabilježeno u putopisu objavljenom u davnom 4. broju FYI-a), usporedbe su neizbježne; barem što se tiče ljudskih sloboda i načina života. Kuvajt je znatno otvorenija i liberalnija zemlja i to se osjeti na mnogim mjestima. Domaćini su općenito ljubazniji prema strancima. Položaj žena znatno je bolji. Zaposlene su, voze automobile i imaju pravo glasa. Strankinje nisu obvezne nositi burke te su u potpunosti slobodne odabrati odjeću za svakodnevne aktivnosti, sve dok je to u granicama pristojnosti. Za razliku od Riyadha, u Kuwaitu ima dosta muzeja, kazališta i ostalih kulturnih ustanova. Kao i u Saudijskoj Arabiji, džamije i prostori za molitvu su mnogobrojni i vidi se da je vjera znatno zastupljena u svakodnevnom životu. Sve u svemu, dojmovi iz Kuwaita nakon dvotjednoga posjeta su pozitivni i nadamo se novim tamošnjim poslovnim izazovima. Već duže vrijeme CROZ je iskoračio izvan granica Hrvatske, a Bliski istok je dio svijeta gdje svakako vidimo priliku za dokazivanje. Jedna od zemalja gdje smo imali priliku raditi je Kuvajt te stoga u ovom broju donosimo kraći pogled na njezin glavni grad. Poslovni centar Liberation Towers – u spomen na oslobođenje od iračke okupacije Kuvajt | reportaže

38. 38 | FYI by CROZ / broj 17 / listopad

    2014. tehnologije i trendovi | tehnološki radar Iako možda nije uobičajeno, zaključak o trenutačnom radaru ide na početak teksta. Razlog tome je potreba da se odmah u startu istakne kako je ovo izdanje radara puno noviteta i puno pomicanja po radaru, uz poneki ispravak pozicije koje su neke tehnologije držale na radaru. Najprije ću istaknuti dva trenda, koji su vidljivi na ovom izdanju radara: automatizacija infrastrukture i multifunkcionalnost. Prvi trend, automatizacija infrastrukture (Infrastructure automation, Metodologije i tehnike) vidljiva je kroz nekoliko pojava u radaru, a ponajprije kroz Docker i Ansible (Platforme i alati). Docker je platforma za distribuciju aplikacija zajedno s njihovim izvršnim okruženjima. Vrlo je popularan i omogućava izrazito brzo kreiranje gotovih okolina s aplikacijama spremnim za izvršavanje, a sve pod kontrolom (ako tako želite) nekog continuous integration alata. Ansible pak na to sve dodaje automatizaciju gotovo svega što možete zamisliti unutar IT infrastrukture. Glavne su značajke obje platforme, a riječ je o enterprise platformama, spremnim za korištenje u najvećim IT sustavima, otvorenost i besplatnost. CROZ će svakako nastojati u svojim projektima uključivati ova dva rješenja. Drugi trend, multifunkcionalnost (tima, osobe), vidljiv je također kroz dvije pojave na radaru: No specialization i kroz inverznu pojavu I only do X. Ukratko, specijalizacija članova tima, često Piše: Mihael Sedmak Tehnološki radar Sada već tradicionalni treći put A donosimo pregled tehnologija koje CROZ-ovi timovi koriste, vole, proučavaju i gledaju jednim okom, ali i tehnologije za koje smatraju da bi ih se trebalo zaobići ili zamijeniti nekim prikladnijim (modernijim, lakšim za održavanje) rješenjima. predmet spoticanja u organizacijama, osnova je za formiranje organizacijskih silosa. Ako se fokusiramo na nešto drugo, na zadovoljenje potreba krajnjega korisnika i na to koliko mu uspješno isporučujemo vrijednost, tada nam silosi ne pridonose krajnjem cilju pa moramo težiti smanjenju specijalizacije i stvaranju multifunkcionalnih timova te odgajanju multifunkcionalnih inženjera. Programski okviri i jezici Programski okviri i jezici, koji imaju i točke na radaru koje su putovale prema ”van”, prema rubu radara, su Play, Akka i Scala. Ti pomaci ne znače da ovi okviri i jezici nisu kvalitetni ili nemaju primjenu – baš suprotno. To samo znači da nisu našli široku primjenu u CROZ-u ili da ne vidimo široku primjenu u kontekstu projekata koje radimo s korisnicima. I dalje se nalaze u pojasu procjene: ako se otvori šire područje primjene, svakako će biti u prvom planu i na radaru. Treba spomenuti i pojavljivanje OSGi koncepta na samom rubu radara. OSGi je konceptualno puno obećavao, i koristi se u implementaciji aplikativnoga poslužitelja WebSphere, ali njegova kompleksnost sprječava širu i lakšu primjenu. Platforme i alati Najzanimljivije stavke u ovoj kategoriji svakako su skokovi dviju tehnologija – Neo4J i Gradle – koje su skočile u područje primjene na projektima. Neo4J, najistaknutiji predstavnik graf baza, jedne vrste NoSQL spremišta za podatke, nije više samo trend, već tehnologija koja je spremna pružiti alternativu relacijskim bazama na puno područja primjene. Tehnologija koju ćemo pozorno pratiti jest uz Neo4J vezan i na njemu temeljen Structr, nova generacija CMS sustava koji nudi neslućenu skalabilnost i brzinu prikazivanja sadržaja, a na radar se kao novost smjestio vrlo blizu centru. Gradle je pak (relativno) novi build alat, koji se sve češće koristi na CROZ-ovim projektima. Prednosti pred do sada standardnim Mavenom, fleksibilnost i činjenica da se build datoteke temelje na programskom jeziku Groovy, a ne na XML-u, učinile su ga već sad alatom koji preporučujemo usvojiti. Metodologije i prakse Već spomenuti i opisani principi Infrastructure automation i No specialization najvažnija su novost u ovoj kategoriji. Od ostalih pojava potrebno je spomenuti Instant feedback. Kanban kao metoda, o kojoj CROZ-ovci dosađuju svima koje susretnu A, ima jednu bitnu značajku – omogućuje konstantan, neposredan feedback u razvojnom (zapravo bilo kojem vizualiziranom) procesu. Takav vid feedbacka iznimno je važan u intenzivnim okruženjima poput CROZ-ovih timova, koji sudjeluju u razvoju aplikacija. Uz ostale elemente Kanban metode (WIP limits, vizualizacija pogotovo), Instant feedback pridonosi podizanju kvalitete proizvoda koji izlaze iz CROZ-ove radionice.

39. FYI by CROZ / broj 17 / listopad 2014. |

    39 Apache Camel Značenje boja PRIMIJENITI PILOTIRATI PROCIJENITI PROMIJENITI Clojure Play Akka Scala Ember Dart FreeMarker JSF JPA ClearQuest CoffeeScript Spray JSP BPEL GWT Deployit OrientDB TorqueBox OpenStack OpenShift Ansible JavaScript MVC Hawt.io Application as a service (Meteor, deployd) WebLogic MySQL Ant CVS WS-* Sbt Ivy TDD Instant feedback Kanban Infrastructure automation Continuous integration BDD Asynchronous/ Responsive architecture Model driven development Structured logging Immutable arhitecture CQRS Fully stateless architectures I only do X (X e { Java, CSS, JavaScript, SQL, ...}) Manual testing No requirements No performance tracking Waterfall Lean/Agile values, principles and methods Groovy JavaScript gradle Twitter Bootstrap Java extjs HTML5 Vaadin Spring Framework Thymeleaf Ruby Xtend React Less Sass AngularJS Swift Wro4j Python Google GO Rails Nashorn Lift Quartz OSGi Flex Apache Axis EJB2 Hadoop Cassandra Grails Solr Git Lucene Alfresco Selenium Maven WebSphere Liberty Profile Structr Puppet Chef NodeJs MongoDB Mercurial Vagrant Redis uDeploy Event sourcing Heroism Documentation inproprietary/binary formats No testing at all Apache Camel Spock D3.js Spring Boot Handlebar templates Django IntelliJ IDEA ElasticSearch/ Kibana/Logstash Responsive design NoEstimates Continuous delivery Continuous deployment Security/penetration tests as deliverable No planning Nova stavka Prišao bliže centru Udaljio se od centra tehnološki radar | tehnologije i trendovi FYI by CROZ / broj 17 / listopad 2014. | 39 Neo4J No specialization Docker rabbitmq Reactive Systems Everybody commits to same source tree WebSphere App Server < 8.5 Mobile "later"

40. Održan je još jedan susret žena u IT industriji koje

    su se, suprotno uvriježenome muškom mišljenju da se ogledaju samo u ogledalu, ovoga puta ogledale u nogometu i ostavile im usta otvorenima prezentiranom preda- nošću, borbenošću i ozbiljnošću pristupu turniru, iako se na kraju pokazao pravi značaj turnira: zabava, druženje i humani- tarna akcija za Centar za odgoj i obrazo- vanje ”Goljak”, što je natjecanju dalo još Nogometni turnir žena u IT-u ljepšu dimenziju, pokazujući da smo svi zajedno kada je najpotrebnije. Sam turnir, koji teži epitetu tradicionalnoga, nadmašio je visoka očekivanja. Ove godine okupilo se više od 12 ekipa, točnije 13. Na kraju se trinaestica pokazala kao sretan broj za turnir, koji naočigled raste od lokalnoga entuzijazma prema vrlo ozbiljnom turniru, uz tradicionalnu crtu zabave, koju je prezentiralo dvjestotinjak djevojaka. Čestitamo ponajprije svim sudionicama turnira, posebice pobjednicama – ekipi IN2, te zahvaljujemo navijačima koji su se odazvali u velikom broju te pridonijeli sportskoj i zabavnoj atmosferi. Vidimo se i dogodine, najmanje u istom broju, uz nadu da ćemo idućih godina gledati sve više ekipa i više navijača, što će nam, čvrsto vjerujem, zadati slatke brige u organizaciji turnira još većih razmjera! Piše: Tomislav Majdančić