Компаниите ускоряват процеса на внедряване – тоест намаляват времето, необходимо за създаване и разпространение на софтуер – и пускат нови версии на приложенията все по-бързо.
Това, което много хора не осъзнават, е, че тази скорост не винаги е полезна, тъй като може да направи системите по-уязвими към различни видове кибератаки, тъй като не винаги има достатъчно време за провеждане на строги тестове за сигурност преди пускането им в експлоатация.
Времето обаче не винаги е единственият определящ фактор за безупречното и сигурно функциониране на едно приложение. Това, което допълнително утежнява тази ситуация, е недостигът на квалифицирани специалисти, които да защитават цялата тази дигитална екосистема. С нарастването на рисковете има недостиг на хора, подготвени да гарантират сигурността на приложенията. Според Проучването на работната сила в киберсигурността за 2024 г. от ISC² – Международния консорциум за сертифициране на сигурността на информационните системи – организация с нестопанска цел, посветена на обучението и сертифицирането на специалисти по информационна сигурност, глобалният недостиг на специалисти по киберсигурност вече надхвърля 4,8 милиона – като AppSec е сред най-критичните области в рамките на тази празнина.
„Компаниите, които пренебрегват сигурността на приложенията, са изправени пред значителни финансови, репутационни и правни рискове. Много от компаниите, които демонстрират истински ангажимент да инвестират в тази област, обаче често се сблъскват с недостиг на квалифицирани специалисти, които да предоставят необходимата подкрепа по пътя“, подчертава Вагнер Елиас, главен изпълнителен директор на Conviso, разработчик на решения за сигурност на приложенията (AppSec).
В Бразилия ситуацията е не по-малко тревожна. Fortinet изчислява, че страната се нуждае от приблизително 750 000 специалисти по киберсигурност, докато ISC² предупреждава за потенциален недостиг от 140 000 професионалисти до 2025 г. Тази комбинация показва, че докато страната се опитва да запълни стотици хиляди свободни работни места, има конкретен и спешен недостиг на квалифицирани специалисти в областта на сигурността на приложенията, операциите и управлението.
„Търсенето на квалифицирани специалисти далеч надвишава наличното предлагане. Поради това много компании, които нямат време да чакат за традиционно обучение, избират да инвестират в собствени програми за обучение“, обяснява Елиас.
„Един пример е Conviso Academy, инициатива на Conviso, компания, базирана в Куритиба, специализирана в сигурността на приложенията, която наскоро придоби Site Blindado. Академията е създадена, за да реши реален пазарен проблем: недостигът на специалисти по AppSec. Затова решихме да обучим тези таланти!“, обяснява Луис Кустодио, инструктор в Conviso Academy.
„Академията вече не е обучителен лагер със записани занятия за стотици хора. Занятията са малки, като синхронните се провеждат всяка седмица. Още от първия модул участниците работят върху реални проблеми, справяйки се с предизвикателства в моделирането на заплахите, сигурната архитектура и сигурното кодиране, точно както екипите на AppSec правят всеки ден“, казва Кустодио.
Главният изпълнителен директор също така подчертава, че „Зад този модел, Conviso инвестира в методологическо планиране, за да структурира образователен подход, съобразен с реалните нужди от обучение на специалистите по сигурност. И тази методология се ръководи от идеята, че образованието не е само теория или практика, а опит.“
В рамките на модулите участниците научават например как да картографират и приоритизират заплахите, които биха могли да повлияят на непрекъснатостта на бизнеса; как да оценяват и предлагат сигурни архитектури за уеб, мобилни и облачни приложения; как да внедряват сигурни практики за разработка, интегрирани с DevSecOps; и как да изграждат сигурен процес на разработка, автоматизирайки проверките, без да забавят внедряването. Всичко това подсилва принципа на изместване наляво , т.е. извеждане на сигурността в най-ранните етапи от цикъла на разработка, където е най-ефективна и най-евтина.
„Резултатът не е само технически; става въпрос за разбиране как сигурността на приложенията защитава и генерира стойност за компаниите, за готовност за разговори със заинтересованите страни, за превеждане на рисковете и за подпомагане на екипите да доставят софтуер сигурно“, подчертава той.
На практика това работи по следния начин: участниците се запознават с процеса от самото начало, развивайки не само умения за техническа сигурност, но и основни меки умения като комуникация, работа в екип и самостоятелност при учене.
„Взимаме това, което хората вече знаят, свързваме го с това, което трябва да научат, и те осъзнават, че AppSec не е ракетна наука. Инструкторът не е главният герой, а по-скоро медиатор, който помага за изграждането и доразвиването на решения, които участниците разработват сами“, казва инструкторът от Conviso Academy.
Първият клас получи над 400 заявления. Тъй като обаче класът е ограничен, за да се гарантира качество, са налични само 20 места на издание, като 30% до 40% са запазени за малцинствени групи (жени, чернокожи и LGBTQIAPN+ общността).
„Фокусът е върху хора, които искат да навлязат в областта на AppSec, дори и все още да не са на пазара. Не е необходима диплома или минимална възраст, но е необходимо истинско желание да се учите и да се предизвиквате“, казва Кустодио.
Според организацията на институцията, регистрацията за втория клас от обучението, планирано да започне през 2026 г. Заинтересованите страни могат да посетят уебсайта за повече информация: https://www.convisoappsec.com/pt-br/conviso-academy
