Bedrijven versnellen het implementatieproces – dat wil zeggen, ze verkorten de tijd die nodig is om software te creëren en te distribueren – en brengen steeds sneller nieuwe versies van applicaties uit.
Wat veel mensen zich niet realiseren, is dat deze snelheid niet altijd gunstig is. Het kan systemen namelijk kwetsbaarder maken voor verschillende soorten cyberaanvallen. Er is immers niet altijd voldoende tijd om vóór de lancering grondige beveiligingstests uit te voeren.
Tijd is echter niet altijd de enige bepalende factor voor een feilloze en veilige werking van een applicatie. Wat deze situatie nog verder verergert, is het tekort aan gekwalificeerde professionals om dit hele digitale ecosysteem te beschermen. Naarmate de risico's toenemen, is er een tekort aan mensen die bereid zijn de applicatiebeveiliging te waarborgen. Volgens de Cybersecurity Workforce Study 2024 van ISC² – het International Information System Security Certification Consortium – een non-profitorganisatie die zich toelegt op het opleiden en certificeren van informatiebeveiligingsprofessionals, bedraagt het wereldwijde tekort aan cybersecurityprofessionals al meer dan 4,8 miljoen – met AppSec als een van de meest kritieke gebieden binnen dit tekort.
Bedrijven die applicatiebeveiliging verwaarlozen, lopen aanzienlijke financiële, reputatie- en juridische risico's. Veel bedrijven die oprecht investeren in dit gebied, kampen echter vaak met een tekort aan gekwalificeerde professionals die de nodige ondersteuning kunnen bieden", benadrukt Wagner Elias, CEO van Conviso, een ontwikkelaar van oplossingen voor applicatiebeveiliging (AppSec).
In Brazilië is de situatie niet minder alarmerend. Fortinet schat dat het land ongeveer 750.000 cybersecurityspecialisten nodig heeft, terwijl ISC² waarschuwt voor een potentieel tekort van 140.000 professionals in 2025. Deze combinatie laat zien dat, hoewel het land honderdduizenden vacatures probeert in te vullen, er een concreet en dringend tekort is aan gekwalificeerde professionals in applicatiebeveiliging, operations en governance.
"De vraag naar gekwalificeerde professionals overtreft het aanbod ruimschoots. Daarom kiezen veel bedrijven, die geen tijd hebben om te wachten op traditionele trainingen, ervoor om te investeren in hun eigen trainingsprogramma's", legt Elias uit.
Een voorbeeld is Conviso Academy, een initiatief van Conviso, een in Curitiba gevestigd bedrijf dat gespecialiseerd is in applicatiebeveiliging en onlangs Site Blindado heeft overgenomen. De Academy is opgericht om een reëel marktprobleem op te lossen: het tekort aan AppSec-professionals. Daarom hebben we besloten deze talenten op te leiden!", legt Luiz Custódio, docent bij Conviso Academy, uit.
"De Academy is niet langer een bootcamp met opgenomen lessen voor honderden mensen. De klassen zijn kleinschalig en er zijn wekelijks synchrone lessen. Vanaf de allereerste module werken deelnemers aan echte problemen en pakken ze uitdagingen aan op het gebied van threat modeling, veilige architectuur en veilige codering, net zoals AppSec-teams dat dagelijks doen", aldus Custódio.
De CEO benadrukt ook: "Conviso heeft achter dit model geïnvesteerd in methodologische planning om een educatieve aanpak te structureren die is afgestemd op de werkelijke trainingsbehoeften van beveiligingsprofessionals. Deze methodologie is gebaseerd op het idee dat onderwijs niet alleen draait om theorie of praktijk, maar om ervaring."
Tijdens de modules leren deelnemers bijvoorbeeld hoe ze bedreigingen die de bedrijfscontinuïteit kunnen beïnvloeden in kaart kunnen brengen en prioriteren; hoe ze veilige architecturen voor web-, mobiele en cloudapplicaties kunnen evalueren en voorstellen; hoe ze veilige ontwikkelpraktijken kunnen implementeren die geïntegreerd zijn met DevSecOps; en hoe ze een veilige pijplijn kunnen bouwen, waarbij controles worden geautomatiseerd zonder de implementatie te vertragen. Dit alles versterkt het principe van ' shifting left' , oftewel het brengen van beveiliging naar de vroegste fasen van de ontwikkelingscyclus, waar het het meest effectief en het minst kostbaar is.
"Het resultaat is niet alleen technisch; het gaat erom te begrijpen hoe applicatiebeveiliging bedrijven beschermt en waarde genereert, en hoe je bereid bent om met belanghebbenden te praten, risico's te vertalen en teams te helpen software veilig te leveren", benadrukt hij.
In de praktijk werkt het als volgt: deelnemers zijn vanaf het begin zelf aan de slag en ontwikkelen niet alleen technische beveiligingsvaardigheden, maar ook essentiële sociale vaardigheden zoals communicatie, teamwerk en zelfstandig leren.
"We combineren wat mensen al weten met wat ze nog moeten leren, en zo beseffen ze dat AppSec geen hogere wiskunde is. De docent is niet de protagonist, maar eerder een bemiddelaar die helpt bij het bedenken en uitwerken van oplossingen die de deelnemers zelf ontwikkelen", aldus de docent van Conviso Academy.
De eerste cursus ontving meer dan 400 aanmeldingen. Omdat de cursus echter beperkt is om de kwaliteit te waarborgen, zijn er per editie slechts 20 plaatsen beschikbaar, waarvan 30% tot 40% gereserveerd is voor minderheidsgroepen (vrouwen, zwarte mensen en de LGBTQIAPN+-gemeenschap).
"De focus ligt op mensen die de AppSec-sector in willen, ook al zijn ze nog niet op de arbeidsmarkt. Je hebt geen diploma of minimumleeftijd nodig, maar wel een oprechte wil om te leren en jezelf uit te dagen", aldus Custódio.
Volgens de organisatie van de instelling is de inschrijving nu geopend voor de tweede les van de training, die naar verwachting in 2026 van start gaat. Geïnteresseerden kunnen voor meer informatie terecht op de website: https://www.convisoappsec.com/pt-br/conviso-academy
