Kompanije ubrzavaju proces implementacije – odnosno smanjuju vrijeme potrebno za kreiranje i distribuciju softvera – i sve brže objavljuju nove verzije aplikacija.
Ono što mnogi ljudi ne shvataju jeste da ova brzina nije uvijek korisna, jer može učiniti sisteme ranjivijim na razne vrste sajber napada, budući da nema uvijek dovoljno vremena za provođenje rigoroznih sigurnosnih testiranja prije lansiranja.
Međutim, vrijeme nije uvijek jedini odlučujući faktor za besprijekorno i sigurno funkcioniranje aplikacije. Ono što dodatno pogoršava ovu situaciju je nedostatak kvalificiranih stručnjaka za zaštitu cijelog ovog digitalnog ekosistema. Kako rizici rastu, postoji manjak ljudi spremnih osigurati sigurnost aplikacija. Prema Studiji radne snage u kibernetičkoj sigurnosti iz 2024. godine koju je proveo ISC² – Međunarodni konzorcij za certifikaciju sigurnosti informacijskih sistema – neprofitna organizacija posvećena obuci i certificiranju stručnjaka za informacijsku sigurnost, globalni nedostatak stručnjaka za kibernetičku sigurnost već prelazi 4,8 miliona – a AppSec je među najkritičnijim područjima unutar ovog jaza.
„Kompanije koje zanemaruju sigurnost aplikacija suočavaju se sa značajnim finansijskim, reputacijskim i pravnim rizicima. Međutim, mnoge koje pokazuju istinsku posvećenost ulaganju u ovo područje često se suočavaju s nedostatkom kvalifikovanih stručnjaka koji bi pružili potrebnu podršku tokom procesa“, ističe Wagner Elias, izvršni direktor kompanije Conviso, koja se bavi razvojem rješenja za sigurnost aplikacija (AppSec).
U Brazilu situacija nije ništa manje alarmantna. Fortinet procjenjuje da zemlji treba otprilike 750.000 stručnjaka za sajber sigurnost, dok ISC² upozorava na potencijalni nedostatak 140.000 profesionalaca do 2025. godine. Ova kombinacija pokazuje da, dok zemlja pokušava popuniti stotine hiljada slobodnih radnih mjesta, postoji konkretan i hitan nedostatak kvalifikovanih stručnjaka za sigurnost aplikacija, operacije i upravljanje.
"Potražnja za kvalifikovanim stručnjacima daleko premašuje dostupnu ponudu. Stoga, mnoge kompanije, koje nemaju vremena da čekaju na tradicionalnu obuku, odlučuju se investirati u vlastite programe obuke", objašnjava Elias.
Jedan primjer je Conviso Academy, inicijativa Convisoa, kompanije sa sjedištem u Curitibi specijalizirane za sigurnost aplikacija, koja je nedavno preuzela Site Blindado. Akademija je stvorena kako bi riješila stvarni tržišni problem: nedostatak AppSec stručnjaka. Zato smo odlučili obučiti ove talente!" objašnjava Luiz Custódio, instruktor u Conviso Academy.
„Akademija više nije bootcamp sa snimljenim časovima za stotine ljudi. Časovi su mali, sa sinhronim časovima koji se održavaju sedmično. Od prvog modula, učesnici rade na problemima iz stvarnog svijeta, rješavajući izazove u modeliranju prijetnji, sigurnoj arhitekturi i sigurnom kodiranju, baš kao što AppSec timovi rade svaki dan“, kaže Custódio.
Izvršni direktor također naglašava da je „Iza ovog modela, Conviso investirao u metodološko planiranje kako bi strukturirao obrazovni pristup usklađen sa stvarnim potrebama za obukom sigurnosnih stručnjaka. A ova metodologija je vođena idejom da obrazovanje nije samo teorija ili praksa, već iskustvo.“
Kroz ove module, učesnici uče, na primjer, kako mapirati i prioritizirati prijetnje koje bi mogle utjecati na kontinuitet poslovanja; procijeniti i predložiti sigurne arhitekture za web, mobilne i cloud aplikacije; implementirati sigurne prakse razvoja integrirane s DevSecOps; i izgraditi siguran cjevovod, automatizirajući provjere bez usporavanja implementacije. Sve ovo jača princip pomicanja ulijevo , odnosno dovođenja sigurnosti u najranije faze razvojnog ciklusa, gdje je najefikasnija i najjeftinija.
„Rezultat nije samo tehnički; radi se o razumijevanju kako sigurnost aplikacija štiti i generira vrijednost za kompanije, spremnosti za razgovor sa zainteresiranim stranama, prevođenje rizika i pomoć timovima u sigurnoj isporuci softvera“, naglašava on.
U praksi, to funkcioniše ovako: učesnici se od samog početka upoznaju sa situacijom, razvijajući ne samo tehničke sigurnosne vještine, već i esencijalne meke vještine poput komunikacije, timskog rada i autonomije u učenju.
„Uzimamo ono što ljudi već znaju, povezujemo to s onim što trebaju naučiti i oni shvaćaju da AppSec nije raketna nauka. Instruktor nije protagonist, već posrednik, koji pomaže u izgradnji i razradi rješenja koja učesnici sami razvijaju“, kaže instruktor Conviso akademije.
Prva klasa je primila preko 400 prijava. Međutim, budući da je broj mjesta ograničen kako bi se osigurala kvaliteta, dostupno je samo 20 mjesta po izdanju, pri čemu je 30% do 40% rezervirano za manjinske grupe (žene, crnce i LGBTQIAPN+ zajednicu).
„Fokus je na ljudima koji žele ući u područje AppSec-a, čak i ako već nisu na tržištu. Ne trebate diplomu ili minimalnu starosnu granicu, ali vam je potrebna istinska želja za učenjem i izazovima“, kaže Custódio.
Prema organizaciji institucije, registracija je sada otvorena za drugu klasu obuke, čiji je početak planiran za 2026. godinu. Zainteresovani mogu pristupiti web stranici za više informacija: https://www.convisoappsec.com/pt-br/conviso-academy
