Şirketler dağıtım sürecini hızlandırıyor, yani yazılım oluşturma ve dağıtma süresini kısaltıyor ve uygulamaların yeni sürümlerini giderek daha hızlı bir şekilde yayınlıyor.
Birçok kişinin farkında olmadığı şey ise bu hızın her zaman faydalı olmadığıdır. Çünkü sistemleri çeşitli siber saldırılara karşı daha savunmasız hale getirebilir; lansmandan önce sıkı güvenlik testleri yapmak için her zaman yeterli zaman olmayabilir.
Ancak zaman, bir uygulamanın kusursuz ve güvenli bir şekilde çalışması için her zaman tek belirleyici faktör değildir. Bu durumu daha da kötüleştiren şey, tüm bu dijital ekosistemi koruyacak nitelikli profesyonellerin eksikliğidir. Riskler arttıkça, uygulama güvenliğini sağlamaya hazır personel eksikliği de artmaktadır. 2024 Siber Güvenlik İşgücü Çalışması'na göre, küresel siber güvenlik uzmanı açığı şimdiden 4,8 milyonu aşmış durumda ve bu açığın en kritik alanlarından biri de Uygulama Güvenliği.
Uygulama güvenliğini ihmal eden şirketler önemli finansal, itibar ve yasal risklerle karşı karşıya kalıyor. Ancak, bu alana yatırım yapma konusunda gerçek bir kararlılık gösteren birçok şirket, süreç boyunca gerekli desteği sağlayacak nitelikli profesyonel eksikliğiyle karşı karşıya kalıyor," diyor uygulama güvenliği (AppSec) çözümleri geliştiricisi Conviso'nun CEO'su Wagner Elias.
Brezilya'da durum daha az endişe verici değil. Fortinet, ülkenin yaklaşık 750.000 siber güvenlik uzmanına ihtiyaç duyduğunu tahmin ederken, ISC² 2025 yılına kadar 140.000 uzman açığı olabileceği konusunda uyarıyor. Bu durum, ülkenin yüz binlerce boş pozisyonu doldurmaya çalışırken, uygulama güvenliği, operasyonlar ve yönetişim alanlarında somut ve acil bir nitelikli uzman açığı olduğunu gösteriyor.
Elias, "Nitelikli profesyonellere olan talep, mevcut arzı çok aşıyor. Bu nedenle, geleneksel eğitimleri bekleyecek zamanı olmayan birçok şirket, kendi eğitim programlarına yatırım yapmayı tercih ediyor," diye açıklıyor.
Örneklerden biri, uygulama güvenliği konusunda uzmanlaşmış Curitiba merkezli bir şirket olan Conviso'nun girişimi olan ve yakın zamanda Site Blindado'yu satın alan Conviso Academy. Akademi, gerçek bir pazar sorununu çözmek için kuruldu: Uygulama Güvenliği profesyoneli eksikliği. Bu yüzden bu yetenekleri eğitmeye karar verdik!" diye açıklıyor Conviso Academy eğitmeni Luiz Custódio.
Custódio, "Akademi artık yüzlerce kişiye kayıtlı dersler sunan bir eğitim kampı değil. Sınıflar küçük ve haftalık olarak eş zamanlı dersler düzenleniyor. İlk modülden itibaren katılımcılar, tıpkı AppSec ekiplerinin her gün yaptığı gibi, tehdit modelleme, güvenli mimari ve güvenli kodlama alanındaki zorlukların üstesinden gelerek gerçek dünya sorunları üzerinde çalışıyorlar," diyor.
CEO ayrıca, "Conviso, bu modelin arkasında, güvenlik profesyonellerinin gerçek eğitim ihtiyaçlarıyla uyumlu bir eğitim yaklaşımı oluşturmak için metodolojik planlamaya yatırım yaptı. Bu metodoloji, eğitimin sadece teori veya pratikle ilgili olmadığı, deneyimle ilgili olduğu fikrinden yola çıkıyor." diye vurguluyor.
Modüller boyunca katılımcılar, örneğin iş sürekliliğini etkileyebilecek tehditleri haritalamayı ve önceliklendirmeyi; web, mobil ve bulut uygulamaları için güvenli mimarileri değerlendirip önermeyi; DevSecOps ile entegre güvenli geliştirme uygulamalarını uygulamayı; ve dağıtımı yavaşlatmadan kontrolleri otomatikleştiren güvenli bir süreç hattı oluşturmayı öğrenirler. Tüm bunlar, sola kayma , yani güvenliği en etkili ve en düşük maliyetli olduğu geliştirme döngüsünün en erken aşamalarına getirmeyi pekiştirir.
"Sonuç sadece teknik değil; uygulama güvenliğinin şirketleri nasıl koruduğunu ve onlar için nasıl değer yarattığını anlamak, paydaşlarla konuşmaya hazır olmak, riskleri yorumlamak ve ekiplerin yazılımları güvenli bir şekilde teslim etmelerine yardımcı olmak anlamına geliyor," diye vurguluyor.
Pratikte bu şöyle işliyor: Katılımcılar en başından itibaren ellerini kirletiyorlar, sadece teknik güvenlik becerilerini değil, aynı zamanda iletişim, ekip çalışması ve öğrenme özerkliği gibi temel yumuşak becerileri de geliştiriyorlar.
Conviso Academy eğitmeni, "İnsanların zaten bildiklerini alıp, öğrenmeleri gerekenlerle birleştiriyoruz ve AppSec'in çok da karmaşık bir şey olmadığını anlıyorlar. Eğitmen, başrol oyuncusu değil, katılımcıların kendi başlarına geliştirebilecekleri çözümlerin oluşturulmasına ve somutlaştırılmasına yardımcı olan bir arabulucu," diyor.
İlk sınıfa 400'den fazla başvuru geldi. Ancak, sınıfın kalitesinin sağlanması için sınırlı sayıda kontenjan ayrıldığından, her edisyonda yalnızca 20 kontenjan mevcut olup, kontenjanın %30 ila %40'ı azınlık gruplarına (kadınlar, siyahiler ve LGBTQIAPN+ topluluğu) ayrılmıştır.
Custódio, "Odak noktamız, henüz piyasada olmasalar bile AppSec alanına girmek isteyen kişiler. Bir dereceye veya asgari bir yaşa ihtiyacınız yok, ancak öğrenmeye ve kendinizi zorlamaya dair gerçek bir arzuya ihtiyacınız var," diyor.
Kurum organizasyonuna göre, 2026 yılında başlaması planlanan eğitimin ikinci sınıfı için kayıtlar açıldı. İlgilenenler daha fazla bilgi için web sitesine erişebilirler: https://www.convisoappsec.com/pt-br/conviso-academy
