Компании ускоряют процесс развертывания (то есть сокращают время, необходимое для создания и распространения программного обеспечения) и выпускают новые версии приложений все быстрее.
Многие не осознают, что такая скорость не всегда выгодна, поскольку она может сделать системы более уязвимыми для различных типов кибератак, поскольку не всегда есть достаточно времени для проведения тщательного тестирования безопасности перед запуском.
Однако время не всегда является единственным определяющим фактором для безупречной и безопасной работы приложения. Ситуацию ещё больше усугубляет нехватка квалифицированных специалистов для защиты всей этой цифровой экосистемы. По мере роста рисков растёт и нехватка специалистов, готовых обеспечить безопасность приложений. Согласно исследованию Cybersecurity Workforce Study 2024, проведённому ISC² (Международным консорциумом по сертификации в области безопасности информационных систем) – некоммерческой организацией, занимающейся обучением и сертификацией специалистов по информационной безопасности, – глобальный дефицит специалистов по кибербезопасности уже превышает 4,8 миллиона человек, и AppSec – одна из наиболее критических областей в этом дефиците.
«Компании, пренебрегающие безопасностью приложений, сталкиваются со значительными финансовыми, репутационными и юридическими рисками. Однако многие из тех, кто действительно стремится инвестировать в эту область, часто сталкиваются с нехваткой квалифицированных специалистов, способных оказать необходимую поддержку на этом пути», — подчеркивает Вагнер Элиас, генеральный директор Conviso, разработчика решений для обеспечения безопасности приложений (AppSec).
В Бразилии ситуация не менее тревожная. По оценкам Fortinet, стране требуется около 750 000 специалистов по кибербезопасности, а ISC² предупреждает о потенциальной нехватке 140 000 специалистов к 2025 году. Эта комбинация показывает, что, хотя страна пытается заполнить сотни тысяч вакансий, существует конкретная и острая нехватка квалифицированных специалистов в области безопасности приложений, эксплуатации и управления.
«Спрос на квалифицированных специалистов значительно превышает предложение. Поэтому многие компании, не имея времени ждать традиционного обучения, предпочитают инвестировать в собственные программы обучения», — объясняет Элиас.
Одним из примеров является Conviso Academy, инициатива Conviso, компании из Куритибы, специализирующейся на безопасности приложений, которая недавно приобрела Site Blindado. Академия была создана для решения реальной рыночной проблемы: нехватки специалистов по безопасности приложений. Поэтому мы решили обучить эти таланты! — объясняет Луис Кустодио, преподаватель Conviso Academy.
«Академия больше не является тренировочным лагерем с записями занятий для сотен человек. Группы небольшие, занятия проводятся еженедельно в режиме синхронного обучения. С самого первого модуля участники работают над реальными проблемами, решая задачи в области моделирования угроз, безопасной архитектуры и безопасного программирования, как это делают команды AppSec каждый день», — говорит Кустодио.
Генеральный директор также подчёркивает: «В основе этой модели Conviso лежит методологическое планирование, призванное структурировать образовательный подход, соответствующий реальным потребностям в обучении специалистов по безопасности. Эта методология основана на идее, что образование — это не только теория или практика, но и опыт».
В рамках модулей участники учатся, например, выявлять и приоритизировать угрозы, которые могут повлиять на непрерывность бизнеса; оценивать и предлагать безопасные архитектуры для веб-, мобильных и облачных приложений; внедрять безопасные методы разработки, интегрированные с DevSecOps; и создавать безопасный конвейер, автоматизируя проверки без замедления развертывания. Всё это подкрепляет принцип « сдвига влево» , то есть переноса безопасности на самые ранние этапы цикла разработки, где она наиболее эффективна и наименее затратна.
«Результат не только технический; речь идет о понимании того, как безопасность приложений защищает и создает ценность для компаний, о готовности общаться с заинтересованными сторонами, оценивать риски и помогать командам безопасно поставлять программное обеспечение», — подчеркивает он.
На практике это работает следующим образом: участники с самого начала приступают к работе, развивая не только технические навыки обеспечения безопасности, но и такие важные гибкие навыки, как коммуникация, работа в команде и самостоятельность в обучении.
«Мы берём то, что люди уже знают, связываем это с тем, что им нужно изучить, и они понимают, что AppSec — это не высшая математика. Преподаватель — не главный герой, а скорее посредник, помогающий разрабатывать и дорабатывать решения, которые участники разрабатывают сами», — говорит преподаватель Conviso Academy.
В первый набор поступило более 400 заявок. Однако, поскольку количество мест ограничено для обеспечения качества, на каждый набор выделено всего 20 мест, при этом 30–40% зарезервировано для представителей меньшинств (женщин, чернокожих и представителей сообщества ЛГБТКИАПН+).
«Мы делаем ставку на людей, которые хотят войти в сферу безопасности приложений, даже если они ещё не работают на этом рынке. Вам не нужен диплом или минимальный возраст, но необходимо искреннее желание учиться и бросать себе вызов», — говорит Кустодио.
По данным организации, открыта регистрация на второй курс обучения, начало которого запланировано на 2026 год. Заинтересованные лица могут получить дополнительную информацию на веб-сайте: https://www.convisoappsec.com/pt-br/conviso-academy
