Bedrifter akselererer distribusjonsprosessen – det vil si at de reduserer tiden det tar å lage og distribuere programvare – og lanserer nye versjoner av applikasjoner stadig raskere.
Det mange ikke er klar over er at denne hastigheten ikke alltid er gunstig, da den kan gjøre systemer mer sårbare for ulike typer cyberangrep, ettersom det ikke alltid er nok tid til å gjennomføre grundige sikkerhetstester før lansering.
Tid er imidlertid ikke alltid den eneste avgjørende faktoren for at en applikasjon skal fungere feilfritt og sikkert. Det som ytterligere forverrer denne situasjonen er mangelen på kvalifiserte fagfolk til å beskytte hele dette digitale økosystemet. Etter hvert som risikoen øker, er det mangel på folk som er forberedt på å sikre applikasjonssikkerhet. Ifølge Cybersecurity Workforce Study 2024 fra ISC² – International Information System Security Certification Consortium – en ideell organisasjon dedikert til å lære opp og sertifisere fagfolk innen informasjonssikkerhet, overstiger den globale mangelen på fagfolk innen cybersikkerhet allerede 4,8 millioner – med AppSec blant de mest kritiske områdene innenfor dette gapet.
«Bedrifter som forsømmer applikasjonssikkerhet står overfor betydelige økonomiske, omdømmemessige og juridiske risikoer. Mange som viser en genuin forpliktelse til å investere i dette området, står imidlertid ofte overfor mangel på kvalifiserte fagfolk som kan gi nødvendig støtte underveis», fremhever Wagner Elias, administrerende direktør i Conviso, en utvikler av applikasjonssikkerhetsløsninger (AppSec).
I Brasil er situasjonen ikke mindre alarmerende. Fortinet anslår at landet trenger omtrent 750 000 spesialister på cybersikkerhet, mens ISC² advarer om en potensiell mangel på 140 000 fagfolk innen 2025. Denne kombinasjonen viser at mens landet prøver å fylle hundretusenvis av ledige stillinger, er det en konkret og presserende mangel på kvalifiserte fagfolk innen applikasjonssikkerhet, drift og styring.
«Etterspørselen etter kvalifiserte fagfolk overstiger langt det tilgjengelige tilbudet. Derfor velger mange bedrifter, som mangler tid til å vente på tradisjonell opplæring, å investere i sine egne opplæringsprogrammer», forklarer Elias.
Et eksempel er Conviso Academy, et initiativ fra Conviso, et Curitiba-basert selskap som spesialiserer seg på applikasjonssikkerhet, som nylig kjøpte opp Site Blindado. Akademiet ble opprettet for å løse et reelt markedsproblem: mangelen på AppSec-fagfolk. Så vi bestemte oss for å utdanne disse talentene! forklarer Luiz Custódio, instruktør ved Conviso Academy.
«Akademiet er ikke lenger en bootcamp med innspilte klasser for hundrevis av mennesker. Klassene er små, med synkrone klasser som holdes ukentlig. Helt fra den første modulen jobber deltakerne med virkelige problemer, og takler utfordringer innen trusselmodellering, sikker arkitektur og sikker koding, akkurat som AppSec-team gjør hver dag», sier Custódio.
Administrerende direktør understreker også at «Conviso investerte i metodisk planlegging bak denne modellen for å strukturere en pedagogisk tilnærming som er i tråd med de reelle opplæringsbehovene til sikkerhetspersonell. Og denne metodikken er styrt av ideen om at utdanning ikke bare handler om teori eller praksis, men om erfaring.»
Gjennom modulene lærer deltakerne for eksempel hvordan de kartlegger og prioriterer trusler som kan påvirke forretningskontinuiteten; evaluerer og foreslår sikre arkitekturer for nett-, mobil- og skyapplikasjoner; implementerer sikre utviklingspraksiser integrert med DevSecOps; og bygger en sikker pipeline, som automatiserer kontroller uten å bremse utrullingen. Alt dette forsterker prinsippet om å flytte til venstre , det vil si å bringe sikkerheten til de tidligste stadiene av utviklingssyklusen, der den er mest effektiv og minst kostbar.
«Resultatet er ikke bare teknisk; det handler om å forstå hvordan applikasjonssikkerhet beskytter og genererer verdi for bedrifter, være forberedt på å snakke med interessenter, oversette risikoer og hjelpe team med å levere programvare sikkert», understreker han.
I praksis fungerer det slik: deltakerne får skitne hendene fra starten av, og utvikler ikke bare tekniske sikkerhetsferdigheter, men også viktige myke ferdigheter som kommunikasjon, samarbeid og autonomi til å lære.
«Vi tar det folk allerede kan, kobler det til det de trenger å lære, og de innser at AppSec ikke er rakettvitenskap. Instruktøren er ikke hovedpersonen, men snarere en mellommann, som hjelper til med å bygge og utvikle løsninger som deltakerne utvikler selv», sier instruktøren fra Conviso Academy.
Det første kurset mottok over 400 søknader. Fordi kurset er begrenset for å sikre kvalitet, er det imidlertid bare 20 plasser tilgjengelig per utgave, hvorav 30 % til 40 % er reservert for minoritetsgrupper (kvinner, svarte mennesker og LGBTQIAPN+-samfunnet).
«Fokuset er på folk som ønsker å gå inn i AppSec-feltet, selv om de ikke allerede er i markedet. Du trenger ikke en grad eller en minimumsalder, men du trenger et genuint ønske om å lære og utfordre deg selv», sier Custódio.
Ifølge institusjonens organisasjon er registreringen nå åpen for andre klasse av opplæringen, som etter planen skal starte i 2026. Interesserte kan gå inn på nettsiden for mer informasjon: https://www.convisoappsec.com/pt-br/conviso-academy
