Podjetja pospešujejo proces uvajanja – torej skrajšujejo čas, potreben za ustvarjanje in distribucijo programske opreme – in vse hitreje izdajajo nove različice aplikacij.
Mnogi se ne zavedajo, da ta hitrost ni vedno koristna, saj lahko sisteme naredi bolj ranljive za različne vrste kibernetskih napadov, saj ni vedno dovolj časa za izvedbo strogih varnostnih testov pred lansiranjem.
Vendar pa čas ni vedno edini odločilni dejavnik za brezhibno in varno delovanje aplikacije. To stanje še dodatno poslabšuje pomanjkanje usposobljenih strokovnjakov za zaščito celotnega digitalnega ekosistema. Z naraščajočimi tveganji primanjkuje ljudi, ki so pripravljeni zagotavljati varnost aplikacij. Glede na študijo delovne sile za kibernetsko varnost iz leta 2024, ki jo je izvedla neprofitna organizacija ISC² – Mednarodni konzorcij za certificiranje varnosti informacijskih sistemov, posvečena usposabljanju in certificiranju strokovnjakov za informacijsko varnost, globalno pomanjkanje strokovnjakov za kibernetsko varnost že presega 4,8 milijona – pri čemer je AppSec med najbolj kritičnimi področji znotraj te vrzeli.
»Podjetja, ki zanemarjajo varnost aplikacij, se soočajo z velikimi finančnimi, uglednimi in pravnimi tveganji. Vendar pa se mnoga, ki kažejo resnično zavezanost vlaganju na tem področju, pogosto soočajo s pomanjkanjem usposobljenih strokovnjakov, ki bi jim nudili potrebno podporo na tej poti,« poudarja Wagner Elias, izvršni direktor podjetja Conviso, razvijalca rešitev za varnost aplikacij (AppSec).
V Braziliji razmere niso nič manj zaskrbljujoče. Fortinet ocenjuje, da država potrebuje približno 750.000 strokovnjakov za kibernetsko varnost, medtem ko ISC² opozarja na morebitno pomanjkanje 140.000 strokovnjakov do leta 2025. Ta kombinacija kaže, da medtem ko država poskuša zapolniti več sto tisoč prostih delovnih mest, obstaja konkretno in nujno pomanjkanje usposobljenih strokovnjakov na področju varnosti aplikacij, delovanja in upravljanja.
»Povpraševanje po usposobljenih strokovnjakih daleč presega razpoložljivo ponudbo. Zato se mnoga podjetja, ki nimajo časa čakati na tradicionalno usposabljanje, odločijo za vlaganje v lastne programe usposabljanja,« pojasnjuje Elias.
"Eden od primerov je Conviso Academy, pobuda podjetja Conviso s sedežem v Curitibi, specializiranega za varnost aplikacij, ki je nedavno prevzelo Site Blindado. Akademija je bila ustanovljena za rešitev resnične tržne težave: pomanjkanja strokovnjakov za varnost aplikacij. Zato smo se odločili, da bomo te talente usposobili!" pojasnjuje Luiz Custódio, inštruktor na Conviso Academy.
»Akademija ni več bootcamp s posnetimi tečaji za stotine ljudi. Tečaji so majhni, sinhroni tečaji pa potekajo tedensko. Udeleženci že od prvega modula delajo na resničnih problemih, se spopadajo z izzivi pri modeliranju groženj, varni arhitekturi in varnem kodiranju, tako kot to počnejo ekipe AppSec vsak dan,« pravi Custódio.
Izvršni direktor poudarja tudi, da je »Conviso pri tem modelu investiral v metodološko načrtovanje, da bi strukturiral izobraževalni pristop, ki je usklajen z dejanskimi potrebami po usposabljanju varnostnih strokovnjakov. In to metodologijo vodi ideja, da izobraževanje ni le teorija ali praksa, temveč izkušnje.«
V modulih se udeleženci naučijo, na primer, kako preslikati in določiti prioritete groženj, ki bi lahko vplivale na neprekinjeno poslovanje; kako oceniti in predlagati varne arhitekture za spletne, mobilne in oblačne aplikacije; kako implementirati varne razvojne prakse, integrirane z DevSecOps; in kako zgraditi varen cevovod, avtomatizirati preverjanja brez upočasnjevanja uvajanja. Vse to krepi načelo premikanja v levo , torej prenosa varnosti v najzgodnejše faze razvojnega cikla, kjer je najučinkovitejša in najcenejša.
»Rezultat ni le tehničen; gre za razumevanje, kako varnost aplikacij ščiti in ustvarja vrednost za podjetja, za pripravljenost na pogovor z deležniki, prevajanje tveganj in pomoč ekipam pri varni dostavi programske opreme,« poudarja.
V praksi deluje takole: udeleženci se že od samega začetka seznanijo s tehničnimi varnostnimi veščinami in razvijajo ne le tehnične varnostne veščine, temveč tudi bistvene mehke veščine, kot so komunikacija, timsko delo in avtonomija učenja.
»Vzamemo tisto, kar ljudje že vedo, to povežemo s tem, kar se morajo naučiti, in spoznajo, da AppSec ni raketna znanost. Inštruktor ni protagonist, temveč mediator, ki pomaga graditi in dopolnjevati rešitve, ki jih udeleženci razvijejo sami,« pravi inštruktor akademije Conviso.
V prvi razred je bilo prijavljenih več kot 400 ljudi. Ker pa je število mest omejeno zaradi zagotavljanja kakovosti, je na voljo le 20 mest na razred, od tega jih je 30 % do 40 % rezerviranih za manjšinske skupine (ženske, temnopolte osebe in skupnost LGBTQIAPN+).
»Poudarek je na ljudeh, ki želijo vstopiti na področje AppSec, tudi če še niso na trgu. Ne potrebujete diplome ali minimalne starosti, potrebujete pa pristno željo po učenju in izzivanju,« pravi Custódio.
Po navedbah organizacije ustanove so prijave za drugi razred usposabljanja, ki naj bi se začel leta 2026, zdaj odprte. Zainteresirani lahko za več informacij obiščejo spletno stran: https://www.convisoappsec.com/pt-br/conviso-academy
