Tvrtke ubrzavaju proces implementacije - odnosno smanjuju vrijeme potrebno za izradu i distribuciju softvera - i sve brže objavljuju nove verzije aplikacija.
Ono što mnogi ljudi ne shvaćaju jest da ta brzina nije uvijek korisna, jer može učiniti sustave ranjivijima na razne vrste kibernetičkih napada, budući da nema uvijek dovoljno vremena za provođenje rigoroznih sigurnosnih testiranja prije lansiranja.
Međutim, vrijeme nije uvijek jedini odlučujući faktor za besprijekorno i sigurno funkcioniranje aplikacije. Ono što dodatno pogoršava ovu situaciju jest nedostatak kvalificiranih stručnjaka za zaštitu cijelog ovog digitalnog ekosustava. Kako rizici rastu, postoji manjak ljudi spremnih osigurati sigurnost aplikacija. Prema studiji radne snage u kibernetičkoj sigurnosti iz 2024. koju je proveo ISC² – Međunarodni konzorcij za certifikaciju sigurnosti informacijskih sustava – neprofitna organizacija posvećena obuci i certificiranju stručnjaka za informacijsku sigurnost, globalni nedostatak stručnjaka za kibernetičku sigurnost već prelazi 4,8 milijuna – a AppSec je među najkritičnijim područjima unutar ovog jaza.
„Tvrtke koje zanemaruju sigurnost aplikacija suočavaju se sa značajnim financijskim, reputacijskim i pravnim rizicima. Međutim, mnoge koje pokazuju istinsku predanost ulaganju u ovo područje često se suočavaju s nedostatkom kvalificiranih stručnjaka koji bi pružili potrebnu podršku na tom putu“, ističe Wagner Elias, izvršni direktor tvrtke Conviso, razvojnog inženjera rješenja za sigurnost aplikacija (AppSec).
U Brazilu situacija nije ništa manje alarmantna. Fortinet procjenjuje da zemlji treba otprilike 750 000 stručnjaka za kibernetičku sigurnost, dok ISC² upozorava na potencijalni nedostatak 140 000 stručnjaka do 2025. godine. Ova kombinacija pokazuje da, iako zemlja pokušava popuniti stotine tisuća slobodnih radnih mjesta, postoji konkretan i hitan nedostatak kvalificiranih stručnjaka za sigurnost aplikacija, operacije i upravljanje.
„Potražnja za kvalificiranim stručnjacima daleko premašuje dostupnu ponudu. Stoga se mnoge tvrtke, koje nemaju vremena čekati na tradicionalnu obuku, odlučuju ulagati u vlastite programe obuke“, objašnjava Elias.
Jedan primjer je Conviso Academy, inicijativa tvrtke Conviso, sa sjedištem u Curitibi specijalizirane za sigurnost aplikacija, koja je nedavno preuzela Site Blindado. Akademija je stvorena kako bi riješila stvarni tržišni problem: nedostatak AppSec stručnjaka. Stoga smo odlučili obučiti te talente!" objašnjava Luiz Custódio, instruktor u Conviso Academy.
„Akademija više nije bootcamp sa snimljenim predavanjima za stotine ljudi. Predavanja su mala, a sinkrona predavanja održavaju se tjedno. Od prvog modula, polaznici rade na problemima iz stvarnog svijeta, rješavajući izazove u modeliranju prijetnji, sigurnoj arhitekturi i sigurnom kodiranju, baš kao što AppSec timovi rade svaki dan“, kaže Custódio.
Izvršni direktor također naglašava da je „Conviso, iza ovog modela, uložio u metodološko planiranje kako bi strukturirao obrazovni pristup usklađen sa stvarnim potrebama za obukom sigurnosnih stručnjaka. A ova metodologija vođena je idejom da obrazovanje nije samo teorija ili praksa, već iskustvo.“
Kroz module, polaznici uče, na primjer, kako mapirati i prioritizirati prijetnje koje bi mogle utjecati na kontinuitet poslovanja; procijeniti i predložiti sigurne arhitekture za web, mobilne i cloud aplikacije; implementirati sigurne razvojne prakse integrirane s DevSecOps; i izgraditi siguran cjevovod, automatizirajući provjere bez usporavanja implementacije. Sve to pojačava načelo pomicanja ulijevo , odnosno dovođenja sigurnosti u najranije faze razvojnog ciklusa, gdje je najučinkovitija i najjeftinija.
„Rezultat nije samo tehnički; radi se o razumijevanju kako sigurnost aplikacija štiti i generira vrijednost za tvrtke, spremnosti za razgovor sa zainteresiranim stranama, prevođenje rizika i pomoć timovima u sigurnoj isporuci softvera“, naglašava.
U praksi to funkcionira ovako: polaznici se od samog početka upoznaju s temom, razvijajući ne samo tehničke sigurnosne vještine, već i bitne meke vještine poput komunikacije, timskog rada i autonomije učenja.
„Uzimamo ono što ljudi već znaju, povezujemo to s onim što trebaju naučiti i oni shvaćaju da AppSec nije raketna znanost. Instruktor nije protagonist, već posrednik koji pomaže u izgradnji i razradi rješenja koja polaznici sami razvijaju“, kaže instruktor Conviso akademije.
Prvi razred primio je preko 400 prijava. Međutim, budući da je broj mjesta ograničen kako bi se osigurala kvaliteta, dostupno je samo 20 mjesta po izdanju, s 30% do 40% rezerviranih za manjinske skupine (žene, crnce i LGBTQIAPN+ zajednicu).
„Fokus je na ljudima koji žele ući u područje AppSec-a, čak i ako već nisu na tržištu. Ne trebate diplomu ili minimalnu dobnu granicu, ali trebate istinsku želju za učenjem i izazovima“, kaže Custódio.
Prema organizaciji institucije, prijave su sada otvorene za drugu generaciju obuke, čiji je početak planiran za 2026. godinu. Zainteresirani mogu pristupiti web stranici za više informacija: https://www.convisoappsec.com/pt-br/conviso-academy
