Кампаніі паскараюць працэс разгортвання, гэта значыць скарачаюць час, неабходны для стварэння і распаўсюджвання праграмнага забеспячэння, і ўсё хутчэй выпускаюць новыя версіі праграм.
Многія людзі не разумеюць, што такая хуткасць не заўсёды карысная, бо яна можа зрабіць сістэмы больш уразлівымі да розных тыпаў кібератак, бо не заўсёды хапае часу на правядзенне дбайнага тэсціравання бяспекі перад запускам.
Аднак час не заўсёды з'яўляецца адзіным вызначальным фактарам для бездакорнай і бяспечнай працы прыкладання. Сітуацыю яшчэ больш пагаршае недахоп кваліфікаваных спецыялістаў для абароны ўсёй лічбавай экасістэмы. Па меры росту рызык назіраецца недахоп людзей, падрыхтаваных забяспечваць бяспеку прыкладанняў. Згодна з даследаваннем Cybersecurity Workforce Study 2024, праведзеным ISC² — Міжнародным кансорцыумам па сертыфікацыі бяспекі інфармацыйных сістэм — некамерцыйнай арганізацыяй, якая займаецца навучаннем і сертыфікацыяй спецыялістаў па інфармацыйнай бяспецы, глабальны дэфіцыт спецыялістаў па кібербяспецы ўжо перавышае 4,8 мільёна чалавек, прычым AppSec з'яўляецца адной з найбольш крытычных абласцей у гэтым прабеле.
«Кампаніі, якія грэбуюць бяспекай праграм, сутыкаюцца са значнымі фінансавымі, рэпутацыйнымі і юрыдычнымі рызыкамі. Аднак многія з тых, хто дэманструе сапраўдную прыхільнасць інвеставаць у гэтую сферу, часта сутыкаюцца з недахопам кваліфікаваных спецыялістаў, якія маглі б аказаць неабходную падтрымку на гэтым шляху», — падкрэслівае Вагнер Эліяс, генеральны дырэктар Conviso, распрацоўшчыка рашэнняў для бяспекі праграм (AppSec).
У Бразіліі сітуацыя не менш трывожная. Fortinet падлічвае, што краіне патрэбна прыблізна 750 000 спецыялістаў па кібербяспецы, у той час як ISC² папярэджвае аб патэнцыйным дэфіцыце 140 000 спецыялістаў да 2025 года. Гэта спалучэнне паказвае, што, хоць краіна спрабуе запоўніць сотні тысяч вакансій, існуе канкрэтны і востры дэфіцыт кваліфікаваных спецыялістаў у галіне бяспекі прыкладанняў, аперацый і кіравання.
«Попыт на кваліфікаваных спецыялістаў значна перавышае наяўную прапанову. Таму многія кампаніі, не маючы часу чакаць традыцыйнага навучання, вырашаюць інвеставаць ва ўласныя праграмы навучання», — тлумачыць Эліяс.
Адным з прыкладаў з'яўляецца Акадэмія Conviso, ініцыятыва кампаніі Conviso з Курытыбы, якая спецыялізуецца на бяспецы прыкладанняў і нядаўна набыла Site Blindado. Акадэмія была створана для вырашэння рэальнай праблемы рынку: недахопу спецыялістаў па бяспецы прыкладанняў. Таму мы вырашылі навучыць гэтыя таленты! — тлумачыць Луіс Кустодыё, выкладчык Акадэміі Conviso.
«Акадэмія больш не з'яўляецца буткэмпам з запісанымі заняткамі для сотняў людзей. Заняткі невялікія, з сінхроннымі заняткамі, якія праводзяцца штотыдзень. З самага першага модуля ўдзельнікі працуюць над рэальнымі праблемамі, вырашаючы задачы ў мадэляванні пагроз, бяспечнай архітэктуры і бяспечным кадаванні, як гэта робяць каманды AppSec кожны дзень», — кажа Кустодыё.
Генеральны дырэктар таксама падкрэслівае, што «ў распрацоўцы гэтай мадэлі кампанія Conviso ўклала сродкі ў метадалагічнае планаванне, каб структураваць адукацыйны падыход, які адпавядае рэальным патрэбам у навучанні спецыялістаў па бяспецы. І гэтая методыка кіруецца ідэяй, што адукацыя — гэта не толькі тэорыя ці практыка, але і вопыт».
На працягу модуляў удзельнікі даведаюцца, напрыклад, як картаграфаваць і прыярытэтызаваць пагрозы, якія могуць паўплываць на бесперапыннасць бізнесу; ацэньваць і прапаноўваць бяспечныя архітэктуры для вэб-, мабільных і воблачных прыкладанняў; укараняць бяспечныя практыкі распрацоўкі, інтэграваныя з DevSecOps; і ствараць бяспечны канвеер, аўтаматызуючы праверкі без запаволення разгортвання. Усё гэта ўмацоўвае прынцып зруху налева , гэта значыць перанясення бяспекі на самыя раннія этапы цыклу распрацоўкі, дзе яна найбольш эфектыўная і найменш затратная.
«Вынік не толькі тэхнічны; гаворка ідзе пра разуменне таго, як бяспека праграм абараняе і стварае каштоўнасць для кампаній, гатоўнасць размаўляць з зацікаўленымі бакамі, перакладаць рызыкі і дапамагаць камандам бяспечна пастаўляць праграмнае забеспячэнне», — падкрэслівае ён.
На практыцы гэта працуе наступным чынам: удзельнікі з самага пачатку пачынаюць працаваць, развіваючы не толькі навыкі тэхнічнай бяспекі, але і неабходныя мяккія навыкі, такія як камунікацыя, камандная праца і самастойнасць у навучанні.
«Мы бярэм тое, што людзі ўжо ведаюць, звязваем гэта з тым, што ім трэба вывучыць, і яны разумеюць, што AppSec — гэта не высакаякасная навука. Выкладчык не з'яўляецца галоўным героем, а хутчэй пасярэднікам, які дапамагае будаваць і ўдасканальваць рашэнні, якія распрацоўваюць самі ўдзельнікі», — кажа выкладчык Акадэміі Conviso.
На першы курс паступіла больш за 400 заявак. Аднак, паколькі колькасць месцаў у курсе абмежаваная для забеспячэння якасці, у кожным выпуску даступна толькі 20 месцаў, прычым ад 30% да 40% месцаў зарэзерваваны для меншасцей (жанчын, чарнаскурых і ЛГБТКІЯПН+ супольнасці).
«Увага надаецца людзям, якія жадаюць працаваць у сферы AppSec, нават калі яны яшчэ не працуюць на рынку. Вам не патрэбны дыплом або мінімальны ўзрост, але вам патрэбна сапраўднае жаданне вучыцца і кідаць сабе выклік», — кажа Кустодыё.
Паводле інфармацыі ад арганізацыі ўстановы, рэгістрацыя на другі курс навучання, які павінен пачацца ў 2026 годзе, ужо адкрыта. Зацікаўленыя бакі могуць атрымаць дадатковую інфармацыю на вэб-сайце: https://www.convisoappsec.com/pt-br/conviso-academy
