Οι εταιρείες επιταχύνουν τη διαδικασία ανάπτυξης —δηλαδή, μειώνουν τον χρόνο που απαιτείται για τη δημιουργία και τη διανομή λογισμικού— και κυκλοφορούν νέες εκδόσεις εφαρμογών ολοένα και πιο γρήγορα.
Αυτό που πολλοί άνθρωποι δεν συνειδητοποιούν είναι ότι αυτή η ταχύτητα δεν είναι πάντα ωφέλιμη, καθώς μπορεί να κάνει τα συστήματα πιο ευάλωτα σε διάφορους τύπους κυβερνοεπιθέσεων, καθώς δεν υπάρχει πάντα αρκετός χρόνος για τη διεξαγωγή αυστηρών δοκιμών ασφαλείας πριν από την κυκλοφορία.
Ωστόσο, ο χρόνος δεν είναι πάντα ο μόνος καθοριστικός παράγοντας για την άψογη και ασφαλή λειτουργία μιας εφαρμογής. Αυτό που επιδεινώνει περαιτέρω την κατάσταση είναι η έλλειψη εξειδικευμένων επαγγελματιών για την προστασία ολόκληρου αυτού του ψηφιακού οικοσυστήματος. Καθώς οι κίνδυνοι αυξάνονται, υπάρχει έλλειψη ατόμων που είναι προετοιμασμένα να διασφαλίσουν την ασφάλεια των εφαρμογών. Σύμφωνα με τη Μελέτη Εργατικού Δυναμικού Κυβερνοασφάλειας 2024 από την ISC² - τη Διεθνή Κοινοπραξία Πιστοποίησης Ασφάλειας Συστημάτων Πληροφοριών - έναν μη κερδοσκοπικό οργανισμό αφιερωμένο στην εκπαίδευση και την πιστοποίηση επαγγελματιών ασφάλειας πληροφοριών, η παγκόσμια έλλειψη επαγγελματιών στον κυβερνοχώρο υπερβαίνει ήδη τα 4,8 εκατομμύρια - με την AppSec να είναι μεταξύ των πιο κρίσιμων τομέων σε αυτό το κενό.
«Οι εταιρείες που παραμελούν την ασφάλεια των εφαρμογών αντιμετωπίζουν σημαντικούς οικονομικούς, νομικούς κινδύνους και κινδύνους για τη φήμη τους. Ωστόσο, πολλές από αυτές που επιδεικνύουν γνήσια δέσμευση για επενδύσεις σε αυτόν τον τομέα συχνά αντιμετωπίζουν έλλειψη εξειδικευμένων επαγγελματιών για να παρέχουν την απαραίτητη υποστήριξη στην πορεία», τονίζει ο Wagner Elias, Διευθύνων Σύμβουλος της Conviso, εταιρείας ανάπτυξης λύσεων ασφάλειας εφαρμογών (AppSec).
Στη Βραζιλία, η κατάσταση δεν είναι λιγότερο ανησυχητική. Η Fortinet εκτιμά ότι η χώρα χρειάζεται περίπου 750.000 ειδικούς στον κυβερνοχώρο, ενώ η ISC² προειδοποιεί για πιθανή έλλειψη 140.000 επαγγελματιών έως το 2025. Αυτός ο συνδυασμός δείχνει ότι, ενώ η χώρα προσπαθεί να καλύψει εκατοντάδες χιλιάδες κενές θέσεις, υπάρχει μια συγκεκριμένη και επείγουσα έλλειψη εξειδικευμένων επαγγελματιών στην ασφάλεια εφαρμογών, τις λειτουργίες και τη διακυβέρνηση.
«Η ζήτηση για εξειδικευμένους επαγγελματίες υπερβαίνει κατά πολύ την διαθέσιμη προσφορά. Ως εκ τούτου, πολλές εταιρείες, μη έχοντας τον χρόνο να περιμένουν για την παραδοσιακή εκπαίδευση, επιλέγουν να επενδύσουν στα δικά τους προγράμματα κατάρτισης», εξηγεί ο Ηλίας.
Ένα παράδειγμα είναι η Ακαδημία Conviso, μια πρωτοβουλία της Conviso, μιας εταιρείας με έδρα την Κουριτίμπα που ειδικεύεται στην ασφάλεια εφαρμογών, η οποία πρόσφατα απέκτησε την Site Blindado. Η Ακαδημία δημιουργήθηκε για να λύσει ένα πραγματικό πρόβλημα της αγοράς: την έλλειψη επαγγελματιών AppSec. Έτσι αποφασίσαμε να εκπαιδεύσουμε αυτά τα ταλέντα! εξηγεί ο Luiz Custódio, εκπαιδευτής στην Ακαδημία Conviso.
«Η Ακαδημία δεν είναι πλέον ένα bootcamp με ηχογραφημένα μαθήματα για εκατοντάδες άτομα. Τα μαθήματα είναι ολιγομελή, με σύγχρονα μαθήματα να πραγματοποιούνται εβδομαδιαίως. Από την πρώτη κιόλας ενότητα, οι συμμετέχοντες εργάζονται σε προβλήματα του πραγματικού κόσμου, αντιμετωπίζοντας προκλήσεις στη μοντελοποίηση απειλών, την ασφαλή αρχιτεκτονική και τον ασφαλή κωδικοποίηση, όπως ακριβώς κάνουν οι ομάδες AppSec κάθε μέρα», λέει ο Custódio.
Ο Διευθύνων Σύμβουλος τονίζει επίσης ότι «Πίσω από αυτό το μοντέλο, η Conviso επένδυσε στον μεθοδολογικό σχεδιασμό για να δομήσει μια εκπαιδευτική προσέγγιση ευθυγραμμισμένη με τις πραγματικές ανάγκες εκπαίδευσης των επαγγελματιών ασφαλείας. Και αυτή η μεθοδολογία καθοδηγείται από την ιδέα ότι η εκπαίδευση δεν αφορά μόνο τη θεωρία ή την πράξη, αλλά την εμπειρία».
Καθ' όλη τη διάρκεια των ενοτήτων, οι συμμετέχοντες μαθαίνουν, για παράδειγμα, πώς να χαρτογραφούν και να ιεραρχούν τις απειλές που θα μπορούσαν να επηρεάσουν τη συνέχεια της επιχείρησης, να αξιολογούν και να προτείνουν ασφαλείς αρχιτεκτονικές για εφαρμογές ιστού, κινητών και cloud, να εφαρμόζουν ασφαλείς πρακτικές ανάπτυξης ενσωματωμένες στο DevSecOps και να δημιουργούν έναν ασφαλή αγωγό, αυτοματοποιώντας τους ελέγχους χωρίς να επιβραδύνουν την ανάπτυξη. Όλα αυτά ενισχύουν την αρχή της μετατόπισης προς τα αριστερά , δηλαδή της μεταφοράς της ασφάλειας στα πρώτα στάδια του κύκλου ανάπτυξης, όπου είναι πιο αποτελεσματική και λιγότερο δαπανηρή.
«Το αποτέλεσμα δεν είναι απλώς τεχνικό. Πρόκειται για την κατανόηση του τρόπου με τον οποίο η ασφάλεια των εφαρμογών προστατεύει και δημιουργεί αξία για τις εταιρείες, την προετοιμασία για συνομιλία με τα ενδιαφερόμενα μέρη, την ερμηνεία των κινδύνων και την υποστήριξη των ομάδων στην ασφαλή παράδοση λογισμικού», τονίζει.
Στην πράξη, λειτουργεί ως εξής: οι συμμετέχοντες λερώνουν τα χέρια τους από την αρχή, αναπτύσσοντας όχι μόνο τεχνικές δεξιότητες ασφαλείας, αλλά και βασικές ήπιες δεξιότητες όπως η επικοινωνία, η ομαδική εργασία και η αυτονομία στη μάθηση.
«Παίρνουμε αυτά που ήδη γνωρίζουν οι άνθρωποι, τα συνδέουμε με αυτά που πρέπει να μάθουν και συνειδητοποιούν ότι το AppSec δεν είναι πυρηνική επιστήμη. Ο εκπαιδευτής δεν είναι ο πρωταγωνιστής, αλλά μάλλον ένας μεσολαβητής, που βοηθά στην ανάπτυξη και την ολοκλήρωση λύσεων που αναπτύσσουν οι ίδιοι οι συμμετέχοντες», λέει ο εκπαιδευτής της Ακαδημίας Conviso.
Το πρώτο μάθημα έλαβε πάνω από 400 αιτήσεις. Ωστόσο, επειδή το μάθημα είναι περιορισμένο για να διασφαλιστεί η ποιότητα, υπάρχουν διαθέσιμες μόνο 20 θέσεις ανά έκδοση, με το 30% έως 40% να προορίζεται για μειονοτικές ομάδες (γυναίκες, μαύρους και την κοινότητα LGBTQIAPN+).
«Η έμφαση δίνεται σε άτομα που θέλουν να εισέλθουν στον τομέα της AppSec, ακόμα κι αν δεν δραστηριοποιούνται ήδη στην αγορά. Δεν χρειάζεστε πτυχίο ή ελάχιστη ηλικία, αλλά χρειάζεστε μια γνήσια επιθυμία να μάθετε και να αμφισβητήσετε τον εαυτό σας», λέει ο Custódio.
Σύμφωνα με την οργάνωση του ιδρύματος, οι εγγραφές είναι πλέον ανοιχτές για τη δεύτερη τάξη της εκπαίδευσης, η οποία έχει προγραμματιστεί να ξεκινήσει το 2026. Οι ενδιαφερόμενοι μπορούν να επισκεφθούν τον ιστότοπο για περισσότερες πληροφορίες: https://www.convisoappsec.com/pt-br/conviso-academy
