A vállalatok felgyorsítják a telepítési folyamatot – azaz csökkentik a szoftverek létrehozásához és terjesztéséhez szükséges időt –, és egyre gyorsabban adják ki az alkalmazások új verzióit.
Amit sokan nem vesznek észre, az az, hogy ez a sebesség nem mindig előnyös, mivel a rendszereket sebezhetőbbé teheti a különféle kibertámadásokkal szemben, mivel nincs mindig elég idő szigorú biztonsági tesztelésre a bevezetés előtt.
Az idő azonban nem mindig az egyetlen meghatározó tényező egy alkalmazás hibátlan és biztonságos működése szempontjából. A helyzetet tovább súlyosbítja a digitális ökoszisztéma teljes védelmét biztosító képzett szakemberek hiánya. Ahogy a kockázatok növekednek, hiány van azokból az emberekből, akik felkészültek az alkalmazások biztonságának garantálására. Az 2024-es kiberbiztonsági munkaerő-tanulmánya szerint a kiberbiztonsági szakemberek globális hiánya már meghaladja a 4,8 milliót – az alkalmazásbiztonság pedig ezen belül az egyik legkritikusabb terület.
„Az alkalmazásbiztonságot elhanyagoló vállalatok jelentős pénzügyi, hírnévvel kapcsolatos és jogi kockázatokkal néznek szembe. Sokan azonban, amelyek valódi elkötelezettséget mutatnak a területbe való befektetés iránt, gyakran azzal szembesülnek, hogy hiány van a képzett szakemberekből, akik biztosítanák a szükséges támogatást” – hangsúlyozza Wagner Elias, a Conviso vezérigazgatója, amely alkalmazásbiztonsági (AppSec) megoldásokat fejlesztő cég.
Brazíliában a helyzet nem kevésbé aggasztó. A Fortinet becslése szerint az országnak körülbelül 750 000 kiberbiztonsági szakemberre van szüksége, míg az ISC² 2025-re akár 140 000 szakember hiányára is figyelmeztet. Ez a kombináció azt mutatja, hogy miközben az ország több százezer betöltetlen álláshelyet próbál betölteni, kézzelfogható és sürgős hiány van a képzett szakemberekből az alkalmazásbiztonság, az üzemeltetés és az irányítás területén.
„A képzett szakemberek iránti kereslet messze meghaladja a rendelkezésre álló kínálatot. Ezért sok vállalat, mivel nincs idejük kivárni a hagyományos képzéseket, úgy dönt, hogy saját képzési programokba fektet be” – magyarázza Elias.
„Egy példa erre a Conviso Academy, a Curitiba-ban működő, alkalmazásbiztonságra szakosodott Conviso kezdeményezése, amely nemrégiben felvásárolta a Site Blindaót. Az Akadémiát egy valós piaci probléma megoldására hozták létre: az alkalmazásbiztonsági szakemberek hiányára. Ezért úgy döntöttünk, hogy kiképezzük ezeket a tehetségeket!” – magyarázza Luiz Custódio, a Conviso Akadémia oktatója.
„Az Akadémia már nem egy kiképzőtábor, ahol több száz ember számára rögzített órákat tartanak. Az órák kis létszámúak, hetente szinkron módon. Az első modultól kezdve a résztvevők valós problémákon dolgoznak, a fenyegetésmodellezés, a biztonságos architektúra és a biztonságos kódolás kihívásaival foglalkoznak, akárcsak az AppSec csapatok nap mint nap” – mondja Custódio.
A vezérigazgató azt is hangsúlyozza, hogy „e modell mögött a Conviso módszertani tervezésbe fektetett be, hogy olyan oktatási megközelítést alakítson ki, amely összhangban van a biztonsági szakemberek valós képzési igényeivel. Ezt a módszertant pedig az a gondolat vezérli, hogy az oktatás nem csak az elméletről vagy a gyakorlatról szól, hanem a tapasztalatról is.”
A modulok során a résztvevők megtanulják például, hogyan térképezzék fel és rangsorolják az üzletmenet-folytonosságot befolyásoló fenyegetéseket; hogyan értékeljék és javasoljanak biztonságos architektúrákat webes, mobil és felhőalkalmazásokhoz; hogyan valósítsanak meg a DevSecOps-szal integrált biztonságos fejlesztési gyakorlatokat; és hogyan építsenek fel egy biztonságos folyamatot, automatizálva az ellenőrzéseket a telepítés lassítása nélkül. Mindez megerősíti a balra tolódás , azaz a biztonságot a fejlesztési ciklus legkorábbi szakaszaiba kell vinni, ahol a leghatékonyabb és a legkevésbé költséges.
„Az eredmény nem pusztán technikai jellegű; arról szól, hogy megértsük, hogyan védi és teremt értéket az alkalmazásbiztonság a vállalatok számára, felkészüljünk az érdekelt felekkel való beszélgetésre, értelmezzük a kockázatokat, és segítsük a csapatokat a szoftverek biztonságos szállításában” – hangsúlyozza.
A gyakorlatban így működik: a résztvevők már a legelején belevágnak a munkába, nemcsak a technikai biztonsági készségeket fejlesztve, hanem olyan alapvető soft skilleket is, mint a kommunikáció, a csapatmunka és a tanulási autonómia.
„Fogjuk azt, amit az emberek már tudnak, összekapcsoljuk azzal, amit meg kell tanulniuk, és rájönnek, hogy az alkalmazásbiztonság nem rakétatudomány. Az oktató nem a főszereplő, hanem inkább egy közvetítő, aki segít felépíteni és kidolgozni a résztvevők által maguk kidolgozott megoldásokat” – mondja a Conviso Akadémia oktatója.
Az első kurzusra több mint 400 jelentkezés érkezett. Mivel azonban a minőség biztosítása érdekében a kurzus létszáma korlátozott, ezért kurzusonként csak 20 hely van, amelynek 30-40%-a a kisebbségi csoportok (nők, fekete bőrűek és az LMBTQIAPN+ közösség) számára van fenntartva.
„A hangsúly azokon az embereken van, akik be szeretnének lépni az AppSec területére, még akkor is, ha még nem dolgoznak a piacon. Nincs szükség diplomára vagy minimális életkorra, de valódi tanulási vágyra és önmagad kihívásaira van szükség” – mondja Custódio.
Az intézmény szervezete szerint megnyílt a regisztráció a képzés második, 2026-ban induló évfolyamára. Az érdeklődők további információkért látogassák meg a következő weboldalt: https://www.convisoappsec.com/pt-br/conviso-academy
