Le aziende stanno accelerando il processo di distribuzione, ovvero riducendo il tempo necessario per creare e distribuire software, e rilasciando nuove versioni delle applicazioni sempre più rapidamente.
Ciò che molti non sanno è che questa velocità non è sempre vantaggiosa, poiché può rendere i sistemi più vulnerabili a vari tipi di attacchi informatici, poiché non sempre c'è abbastanza tempo per condurre rigorosi test di sicurezza prima del lancio.
Tuttavia, il tempo non è sempre l'unico fattore determinante per il funzionamento impeccabile e sicuro di un'applicazione. Ciò che aggrava ulteriormente la situazione è la carenza di professionisti qualificati per proteggere l'intero ecosistema digitale. Con l'aumento dei rischi, si assiste a una carenza di personale preparato a garantire la sicurezza delle applicazioni. Secondo il Cybersecurity Workforce Study 2024 di ISC² (International Information System Security Certification Consortium), un'organizzazione no-profit dedicata alla formazione e alla certificazione dei professionisti della sicurezza informatica, la carenza globale di professionisti della sicurezza informatica supera già i 4,8 milioni, con l'AppSec tra le aree più critiche in questo divario.
"Le aziende che trascurano la sicurezza delle applicazioni affrontano significativi rischi finanziari, reputazionali e legali. Tuttavia, molte di quelle che dimostrano un genuino impegno a investire in questo settore spesso si trovano ad affrontare una carenza di professionisti qualificati in grado di fornire il supporto necessario", sottolinea Wagner Elias, CEO di Conviso, azienda sviluppatrice di soluzioni per la sicurezza delle applicazioni (AppSec).
In Brasile, la situazione non è meno allarmante. Fortinet stima che il Paese necessiti di circa 750.000 specialisti in sicurezza informatica, mentre ISC² prevede una potenziale carenza di 140.000 professionisti entro il 2025. Questa combinazione dimostra che, mentre il Paese cerca di coprire centinaia di migliaia di posti vacanti, si registra una carenza concreta e urgente di professionisti qualificati in sicurezza delle applicazioni, operations e governance.
"La domanda di professionisti qualificati supera di gran lunga l'offerta disponibile. Per questo motivo, molte aziende, non avendo il tempo di attendere la formazione tradizionale, scelgono di investire in programmi di formazione propri", spiega Elias.
Un esempio è la Conviso Academy, un'iniziativa di Conviso, un'azienda con sede a Curitiba specializzata in sicurezza delle applicazioni, che ha recentemente acquisito Site Blindado. L'Academy è stata creata per risolvere un problema reale del mercato: la carenza di professionisti della sicurezza delle applicazioni. "Abbiamo quindi deciso di formare questi talenti", spiega Luiz Custódio, docente della Conviso Academy.
"L'Academy non è più un bootcamp con lezioni registrate per centinaia di persone. Le lezioni sono a numero chiuso, con lezioni sincrone che si tengono settimanalmente. Fin dal primo modulo, i partecipanti lavorano su problemi reali, affrontando sfide nella modellazione delle minacce, nell'architettura sicura e nella codifica sicura, proprio come fanno ogni giorno i team AppSec", afferma Custódio.
L'amministratore delegato sottolinea inoltre che "Dietro questo modello, Conviso ha investito nella pianificazione metodologica per strutturare un approccio formativo allineato alle reali esigenze formative dei professionisti della sicurezza. E questa metodologia è guidata dall'idea che la formazione non riguarda solo la teoria o la pratica, ma l'esperienza".
Attraverso i moduli, i partecipanti imparano, ad esempio, come mappare e dare priorità alle minacce che potrebbero avere un impatto sulla continuità aziendale; valutare e proporre architetture sicure per applicazioni web, mobile e cloud; implementare pratiche di sviluppo sicure integrate con DevSecOps; e costruire una pipeline sicura, automatizzando i controlli senza rallentare il deployment. Tutto ciò rafforza il principio dello shifting left , ovvero portare la sicurezza nelle prime fasi del ciclo di sviluppo, dove è più efficace e meno costosa.
"Il risultato non è solo tecnico; si tratta di comprendere come la sicurezza delle applicazioni protegga e generi valore per le aziende, di essere preparati a parlare con le parti interessate, tradurre i rischi e aiutare i team a distribuire il software in modo sicuro", sottolinea.
In pratica, funziona così: i partecipanti si sporcano le mani fin dall'inizio, sviluppando non solo competenze tecniche di sicurezza, ma anche competenze trasversali essenziali come la comunicazione, il lavoro di squadra e l'autonomia di apprendimento.
"Prendiamo ciò che le persone già sanno, lo colleghiamo a ciò che devono imparare e loro capiscono che l'AppSec non è una scienza missilistica. L'istruttore non è il protagonista, ma piuttosto un mediatore, che aiuta a costruire e sviluppare soluzioni che i partecipanti sviluppano autonomamente", afferma l'istruttore della Conviso Academy.
Il primo corso ha ricevuto oltre 400 candidature. Tuttavia, poiché il corso è a numero chiuso per garantire la qualità, sono disponibili solo 20 posti per edizione, con il 30-40% riservato a gruppi minoritari (donne, persone di colore e comunità LGBTQIAPN+).
"L'attenzione è rivolta a chi vuole entrare nel settore AppSec, anche se non è ancora sul mercato. Non è richiesta una laurea o un'età minima, ma è necessario un genuino desiderio di imparare e mettersi alla prova", afferma Custódio.
Secondo l'organizzazione dell'istituto, sono aperte le iscrizioni per la seconda classe del corso di formazione, il cui inizio è previsto per il 2026. Gli interessati possono accedere al sito web per maggiori informazioni: https://www.convisoappsec.com/pt-br/conviso-academy
