Компанії прискорюють процес розгортання, тобто скорочують час, необхідний для створення та розповсюдження програмного забезпечення, та дедалі швидше випускають нові версії додатків.
Багато людей не усвідомлюють, що така швидкість не завжди вигідна, оскільки вона може зробити системи більш вразливими до різних типів кібератак, оскільки не завжди вистачає часу для проведення ретельного тестування безпеки перед запуском.
Однак, час не завжди є єдиним визначальним фактором для бездоганного та безпечного функціонування програми. Ситуацію ще більше посилює нестача кваліфікованих фахівців для захисту всієї цієї цифрової екосистеми. Зі зростанням ризиків не вистачає людей, готових забезпечувати безпеку програм. Згідно з дослідженням Cybersecurity Workforce Study 2024, проведеним ISC² – Міжнародним консорціумом сертифікації безпеки інформаційних систем – некомерційною організацією, що займається навчанням та сертифікацією фахівців з інформаційної безпеки, глобальна нестача фахівців з кібербезпеки вже перевищує 4,8 мільйона, причому AppSec є однією з найважливіших сфер у цій прогалині.
«Компанії, які нехтують безпекою додатків, стикаються зі значними фінансовими, репутаційними та юридичними ризиками. Однак багато з тих, хто демонструє справжню відданість інвестуванню в цю сферу, часто стикаються з нестачею кваліфікованих фахівців, які б надавали необхідну підтримку на цьому шляху», – підкреслює Вагнер Еліас, генеральний директор Conviso, розробника рішень для безпеки додатків (AppSec).
У Бразилії ситуація не менш тривожна. Fortinet оцінює, що країні потрібно приблизно 750 000 спеціалістів з кібербезпеки, тоді як ISC² попереджає про потенційну нестачу 140 000 фахівців до 2025 року. Це поєднання показує, що, хоча країна намагається заповнити сотні тисяч вакансій, існує конкретна та нагальна нестача кваліфікованих фахівців у сфері безпеки додатків, операцій та управління.
«Попит на кваліфікованих фахівців значно перевищує наявну пропозицію. Тому багато компаній, не маючи часу чекати на традиційне навчання, вирішують інвестувати у власні навчальні програми», – пояснює Еліас.
Одним із прикладів є Conviso Academy, ініціатива Conviso, компанії з Куритиби, що спеціалізується на безпеці додатків, яка нещодавно придбала Site Blindado. Академію було створено для вирішення реальної ринкової проблеми: нестачі фахівців з безпеки додатків. Тож ми вирішили навчити ці таланти!» — пояснює Луїс Кустодіо, інструктор Conviso Academy.
«Академія більше не є навчальним табором із записаними заняттями для сотень людей. Заняття невеликі, а синхронні заняття проводяться щотижня. З самого першого модуля учасники працюють над реальними проблемами, вирішуючи проблеми моделювання загроз, безпечної архітектури та безпечного кодування, як це роблять команди AppSec щодня», — каже Кустодіо.
Генеральний директор також наголошує, що «За цією моделлю Conviso інвестувала в методологічне планування, щоб структурувати освітній підхід, що відповідає реальним потребам у навчанні фахівців з безпеки. І ця методологія керується ідеєю, що освіта — це не лише теорія чи практика, а й досвід».
Протягом модулів учасники навчаться, наприклад, як відображати та визначати пріоритети загроз, які можуть вплинути на безперервність бізнесу; оцінювати та пропонувати безпечні архітектури для веб-, мобільних та хмарних додатків; впроваджувати безпечні практики розробки, інтегровані з DevSecOps; та створювати безпечний конвеєр, автоматизуючи перевірки без уповільнення розгортання. Все це підкріплює принцип зсуву вліво , тобто перенесення безпеки на найдавніші стадії циклу розробки, де вона є найефективнішою та найменш витратною.
«Результат не лише технічний; йдеться про розуміння того, як безпека додатків захищає та створює цінність для компаній, готовність спілкуватися із зацікавленими сторонами, інтерпретувати ризики та допомагати командам безпечно постачати програмне забезпечення», – наголошує він.
На практиці це працює так: учасники з самого початку беруть участь у вивченні процесу, розвиваючи не лише навички технічної безпеки, але й важливі м’які навички, такі як комунікація, робота в команді та самостійність у навчанні.
«Ми беремо те, що люди вже знають, пов’язуємо це з тим, що їм потрібно вивчити, і вони розуміють, що AppSec — це не вища математика. Інструктор — не головна героїня, а радше посередник, який допомагає будувати та вдосконалювати рішення, які учасники розробляють самі», — каже інструктор Академії Conviso.
На перший курс надійшло понад 400 заявок. Однак, оскільки кількість місць обмежена для забезпечення якості, у кожному випуску доступно лише 20 місць, причому від 30% до 40% зарезервовано для меншин (жінок, темношкірих людей та ЛГБТКІАПН+ спільноти).
«Увага приділяється людям, які хочуть увійти в сферу AppSec, навіть якщо вони ще не працюють на ринку. Вам не потрібен диплом чи мінімальний вік, але вам потрібне справжнє бажання навчатися та кидати собі виклик», — каже Кустодіо.
Згідно з інформацією організації закладу, реєстрація на другий курс навчання, який заплановано розпочати у 2026 році, вже відкрита. Зацікавлені сторони можуть отримати додаткову інформацію на вебсайті: https://www.convisoappsec.com/pt-br/conviso-academy
