Fyrirtæki eru að flýta fyrir dreifingarferlinu — það er að segja, stytta þann tíma sem það tekur að búa til og dreifa hugbúnaði — og gefa út nýjar útgáfur af forritum sífellt hraðar.
Það sem margir gera sér ekki grein fyrir er að þessi hraði er ekki alltaf til hagsbóta, þar sem hann getur gert kerfi viðkvæmari fyrir ýmis konar netárásum, þar sem ekki er alltaf nægur tími til að framkvæma strangar öryggisprófanir fyrir ræsingu.
Tíminn er þó ekki alltaf eini þátturinn sem ræður því hvort forrit virki gallalaust og örugglega. Það sem gerir þessa stöðu enn verri er skortur á hæfu fagfólki til að vernda allt þetta stafræna vistkerfi. Þegar áhættan eykst er skortur á fólki sem er tilbúið til að tryggja öryggi forrita. Samkvæmt Cybersecurity Workforce Study 2024, sem ISC² – International Information System Security Certification Consortium – sem er hagnaðarlaus stofnun sem helgar sig þjálfun og vottun upplýsingaöryggissérfræðinga, er alþjóðlegur skortur á netöryggissérfræðingum þegar kominn yfir 4,8 milljónir – þar sem AppSec er eitt af mikilvægustu sviðunum innan þessa bils.
„Fyrirtæki sem vanrækja öryggi forrita standa frammi fyrir verulegri fjárhagslegri, orðspors- og lagalegri áhættu. Hins vegar standa mörg þeirra sem sýna fram á raunverulega skuldbindingu til að fjárfesta á þessu sviði oft frammi fyrir skorti á hæfu fagfólki til að veita nauðsynlegan stuðning á leiðinni,“ bendir Wagner Elias, forstjóri Conviso, sem þróar lausnir fyrir forritaöryggi (AppSec).
Í Brasilíu er ástandið ekki síður ógnvekjandi. Fortinet áætlar að landið þurfi um það bil 750.000 sérfræðinga í netöryggi, en ISC² varar við hugsanlegum skorti upp á 140.000 fagfólki fyrir árið 2025. Þessi samsetning sýnir að þótt landið sé að reyna að fylla hundruð þúsunda lausra starfa, þá er raunverulegur og brýn skortur á hæfu fagfólki í öryggi, rekstri og stjórnun forrita.
„Eftirspurn eftir hæfu fagfólki er langtum meiri en framboðið. Þess vegna kjósa mörg fyrirtæki, sem hafa ekki tíma til að bíða eftir hefðbundinni þjálfun, að fjárfesta í eigin þjálfunaráætlunum,“ útskýrir Elías.
„Eitt dæmi er Conviso Academy, frumkvæði Conviso, fyrirtækis með aðsetur í Curitiba sem sérhæfir sig í forritaöryggi, sem nýlega keypti Site Blindado. Akademían var stofnuð til að leysa raunverulegt markaðsvandamál: skort á AppSec sérfræðingum. Þess vegna ákváðum við að þjálfa þetta hæfileikafólk!“ útskýrir Luiz Custódio, kennari hjá Conviso Academy.
„Akademían er ekki lengur æfingabúðir með upptökum fyrir hundruð manna. Námskeiðin eru lítil og haldin samtímis vikulega. Frá fyrsta kafla vinna þátttakendur að raunverulegum vandamálum og takast á við áskoranir í ógnarlíkönum, öruggri arkitektúr og öruggri forritun, rétt eins og AppSec-teymi gera á hverjum degi,“ segir Custódio.
Forstjórinn leggur einnig áherslu á að „Conviso fjárfesti í aðferðafræðilegri skipulagningu á bak við þessa fyrirmynd til að móta menntunaraðferð sem er í samræmi við raunverulegar þjálfunarþarfir öryggisstarfsfólks. Og þessi aðferðafræði er stýrt af þeirri hugmynd að menntun snúist ekki bara um kenningar eða framkvæmd, heldur um reynslu.“
Í gegnum námskeiðin læra þátttakendur til dæmis hvernig á að kortleggja og forgangsraða ógnum sem gætu haft áhrif á rekstrarstöðugleika; meta og leggja til örugga arkitektúr fyrir vef-, farsíma- og skýjaforrit; innleiða öruggar þróunaraðferðir sem eru samþættar DevSecOps; og byggja upp örugga leiðslu, sem sjálfvirknivæðir athuganir án þess að hægja á dreifingu. Allt þetta styrkir meginregluna um að færa sig til vinstri , það er að segja að færa öryggið á fyrstu stig þróunarferlisins, þar sem það er áhrifaríkast og ódýrast.
„Niðurstaðan er ekki bara tæknileg; hún snýst um að skilja hvernig forritaöryggi verndar og skapar verðmæti fyrir fyrirtæki, vera tilbúinn að tala við hagsmunaaðila, túlka áhættu og hjálpa teymum að afhenda hugbúnað á öruggan hátt,“ leggur hann áherslu á.
Í reynd virkar þetta svona: þátttakendur óhreinka hendurnar frá upphafi og þróa ekki aðeins tæknilega öryggisfærni heldur einnig nauðsynlega mjúka færni eins og tjáskipti, samvinnu og sjálfstæði til að læra.
„Við tökum það sem fólk kann nú þegar, tengjum það við það sem það þarf að læra og þau átta sig á því að AppSec er ekki eldflaugavísindi. Leiðbeinandinn er ekki aðalpersónan, heldur frekar sáttasemjari sem hjálpar til við að byggja upp og þróa lausnir sem þátttakendur þróa sjálfir,“ segir leiðbeinandinn hjá Conviso Academy.
Yfir 400 umsóknir bárust í fyrsta námskeiðið. Hins vegar, þar sem námskeiðið er takmarkað til að tryggja gæði, eru aðeins 20 sæti í boði í hverri útgáfu, þar af 30% til 40% frátekin fyrir minnihlutahópa (konur, svart fólk og LGBTQIAPN+ samfélagið).
„Áherslan er á fólk sem vill hefja störf á sviði AppSec, jafnvel þótt það sé ekki þegar komið á markaðinn. Það þarf ekki gráðu eða lágmarksaldur, en það þarf ósvikinn löngun til að læra og skora á sjálfan sig,“ segir Custódio.
Samkvæmt skipulagi stofnunarinnar er skráning nú hafin fyrir annan áfanga þjálfunarinnar, sem áætlað er að hefjist árið 2026. Áhugasamir geta nálgast frekari upplýsingar á vefsíðunni: https://www.convisoappsec.com/pt-br/conviso-academy
