Firmy przyspieszają proces wdrażania, czyli skracają czas potrzebny na tworzenie i dystrybucję oprogramowania, a także coraz szybciej udostępniają nowe wersje aplikacji.
Wiele osób nie zdaje sobie sprawy, że taka szybkość nie zawsze jest korzystna, gdyż może sprawić, że systemy będą bardziej podatne na różne rodzaje ataków cybernetycznych, gdyż nie zawsze jest wystarczająco dużo czasu na przeprowadzenie rygorystycznych testów bezpieczeństwa przed uruchomieniem systemu.
Jednak czas nie zawsze jest jedynym czynnikiem decydującym o bezbłędnym i bezpiecznym funkcjonowaniu aplikacji. Sytuację tę dodatkowo pogarsza niedobór wykwalifikowanych specjalistów do ochrony całego ekosystemu cyfrowego. Wraz ze wzrostem ryzyka brakuje osób przygotowanych do zapewnienia bezpieczeństwa aplikacji. Według badania Cybersecurity Workforce Study 2024, przeprowadzonego przez ISC² – Międzynarodowe Konsorcjum Certyfikacji Bezpieczeństwa Systemów Informacyjnych – organizację non-profit zajmującą się szkoleniem i certyfikacją specjalistów ds. bezpieczeństwa informacji, globalny niedobór specjalistów ds. cyberbezpieczeństwa przekracza już 4,8 miliona – a AppSec jest jednym z najbardziej newralgicznych obszarów w tym niedoborze.
„Firmy, które zaniedbują bezpieczeństwo aplikacji, narażają się na znaczne ryzyko finansowe, wizerunkowe i prawne. Jednak wiele z nich, które wykazują rzeczywiste zaangażowanie w inwestowanie w tym obszarze, często boryka się z niedoborem wykwalifikowanych specjalistów, którzy mogliby zapewnić niezbędne wsparcie na każdym etapie” – podkreśla Wagner Elias, dyrektor generalny Conviso, firmy produkującej rozwiązania z zakresu bezpieczeństwa aplikacji (AppSec).
W Brazylii sytuacja jest równie alarmująca. Fortinet szacuje, że kraj ten potrzebuje około 750 000 specjalistów ds. cyberbezpieczeństwa, a ISC² ostrzega przed potencjalnym niedoborem 140 000 specjalistów do 2025 roku. Ta kombinacja pokazuje, że chociaż kraj stara się obsadzić setki tysięcy wakatów, istnieje realny i pilny niedobór wykwalifikowanych specjalistów w zakresie bezpieczeństwa aplikacji, operacji i zarządzania.
„Popyt na wykwalifikowanych specjalistów znacznie przewyższa dostępną podaż. Dlatego wiele firm, nie mając czasu na tradycyjne szkolenia, decyduje się na inwestycję we własne programy szkoleniowe” – wyjaśnia Elias.
Jednym z przykładów jest Conviso Academy, inicjatywa Conviso, firmy z Kurytyby specjalizującej się w bezpieczeństwie aplikacji, która niedawno przejęła Site Blindado. Akademia powstała, aby rozwiązać realny problem rynkowy: niedobór specjalistów ds. bezpieczeństwa aplikacji. Dlatego postanowiliśmy wyszkolić te talenty! – wyjaśnia Luiz Custódio, instruktor w Conviso Academy.
„Akademia nie jest już obozem szkoleniowym z nagranymi zajęciami dla setek osób. Zajęcia odbywają się w małych grupach, a synchroniczne sesje odbywają się co tydzień. Już od pierwszego modułu uczestnicy pracują nad rzeczywistymi problemami, stawiając czoła wyzwaniom w zakresie modelowania zagrożeń, bezpiecznej architektury i bezpiecznego kodowania, tak jak zespoły AppSec robią to każdego dnia” – mówi Custódio.
Prezes podkreśla również, że „w ramach tego modelu Conviso zainwestowało w planowanie metodologiczne, aby ustrukturyzować podejście edukacyjne dostosowane do rzeczywistych potrzeb szkoleniowych specjalistów ds. bezpieczeństwa. Metodologia ta opiera się na idei, że edukacja to nie tylko teoria i praktyka, ale także doświadczenie”.
W trakcie modułów uczestnicy uczą się na przykład, jak mapować i priorytetyzować zagrożenia, które mogą wpłynąć na ciągłość działania; oceniać i proponować bezpieczne architektury dla aplikacji internetowych, mobilnych i chmurowych; wdrażać bezpieczne praktyki programistyczne zintegrowane z DevSecOps; oraz budować bezpieczny proces, automatyzując kontrole bez spowalniania wdrażania. Wszystko to wzmacnia zasadę przesunięcia w lewo , czyli wprowadzania bezpieczeństwa na najwcześniejsze etapy cyklu rozwoju, gdzie jest ono najskuteczniejsze i najmniej kosztowne.
„Rezultat nie jest tylko techniczny; chodzi o zrozumienie, w jaki sposób zabezpieczenia aplikacji chronią firmy i generują dla nich wartość, o przygotowanie do rozmów z interesariuszami, interpretację ryzyka i pomoc zespołom w bezpiecznym dostarczaniu oprogramowania” – podkreśla.
W praktyce wygląda to tak: uczestnicy od samego początku brudzą sobie ręce, rozwijając nie tylko umiejętności techniczne w zakresie bezpieczeństwa, ale także niezbędne umiejętności interpersonalne, takie jak komunikacja, praca zespołowa i samodzielność w uczeniu się.
„Bierzemy to, co ludzie już wiedzą, łączymy z tym, czego muszą się nauczyć, i uświadamiamy im, że AppSec to nie fizyka kwantowa. Instruktor nie jest protagonistą, a raczej mediatorem, pomagającym budować i rozwijać rozwiązania, które uczestnicy sami opracowują” – mówi instruktor Conviso Academy.
Na pierwszą klasę wpłynęło ponad 400 zgłoszeń. Jednak ze względu na ograniczoną liczbę miejsc, aby zapewnić jakość, w każdej edycji dostępnych jest tylko 20 miejsc, z czego 30%–40% zarezerwowano dla grup mniejszościowych (kobiet, osób czarnoskórych i społeczności LGBTQIAPN+).
„Nacisk kładziemy na osoby, które chcą wejść w branżę AppSec, nawet jeśli jeszcze nie są na rynku. Nie potrzebujesz dyplomu ani minimalnego wieku, ale potrzebujesz autentycznej chęci do nauki i stawiania sobie wyzwań” – mówi Custódio.
Zgodnie z informacjami organizacji, rejestracja na drugą edycję szkolenia, której rozpoczęcie planowane jest na rok 2026, jest już otwarta. Zainteresowane osoby znajdą więcej informacji na stronie internetowej: https://www.convisoappsec.com/pt-br/conviso-academy
