Поделиться
Swordfish Security: двум из трех программистов нужно поступать «в первый класс» по безопасной разработке
Сотрудники направления консалтинга ГК Swordfish Security обратили внимание на рост интереса клиентов к программам по обучению культуре разработки безопасного программного обеспечения (РБПО). С запросом на построение центра компетенций РБПО в компанию сначала года обратились десятки компаний. Об этом CNews сообщили представители ГК Swordfish Security.
Важную роль сыграло вступление в силу с 20 декабря 2024 г. ГОСТ Р 56939-2024. Он устанавливает ряд обязательных требований к обучению сотрудников, занимающихся разработкой и сопровождением приложений, с целью обеспечения высокого уровня информационной безопасности. Стандарт определяет, что организация-разработчик обязана регулярно организовывать подготовку и переподготовку своего персонала в области безопасной разработки и ИБ. Можно сказать, ГОСТ Р 56939-2024 закрепляет важную роль регулярного обучения разработчиков.
Начальные знания в области РБПО, по оценке специалиста Swordfish Security Екатерины Башариной, присутствуют лишь у порядка 30% разработчиков, остальным необходимо, что называется, «поступить в первый класс», поскольку культура внедрения безопасной разработки – один из наиболее актуальных вопросов для ИТ-отрасли с учетом роста количества киберугроз. Это требует от команд понимания принципов безопасного программирования и умения правильно оценивать риски и применять меры предосторожности на каждом этапе жизненного цикла разработки безопасного ПО.
Только 20% клиентов, обратившихся за консультацией, говорит эксперт, могут похвастаться успешной интеграцией ИТ и ИБ-команд и способностью внедрять безопасною разработку самостоятельно. Проведенные Swordfish Security аудиты процессов разработки показывают, что иногда даже крупные организации не учитывают этот аспект, полагаясь исключительно на технические средства контроля и мониторинг угроз. Но без необходимых компетенций специалистов обеспечить корректную работу техники невозможно.
«Команда на стороне клиента может не знать тонкостей настройки инструментов анализа безопасности ПО, но при этом ошибочно полагать, что правильно их применяет, а значит, якобы обеспечивает безопасность», – отметила Екатерина Башарина.
Уровень подготовки специалистов, которые компании могут привлечь на рынке труда, не всегда соответствует нуждам бизнеса. Так, hh.ru проанализировали основные требования к соискателям среди вакансий в области ИТ и кибербезопасности и пришли к выводу, что закрытию вакансий препятствует несовпадение навыков. Так, на первом месте у работодателей такие требования как информационная безопасность и знание Linux (21% и 22% соответственно, прим. авт.), тогда как большинство соискателей указывают среди основных навыков знание SQL. По данным hh.ru, к 2030 г. в России будет ощущаться нехватка кадров в 6 млн человек, в том числе в сфере ИТ.
Без регулярного повышения квалификации сотрудники рискуют упустить новые угрозы и уязвимости, а также не смогут своевременно внедрять современные инструменты защиты. Знания в области защиты приложений достаточно быстро устаревают, например, регуляторные нормы для разработки ПО существенно изменились только за последние полтора года, в то время как программы некоторых популярных онлайн-курсов написаны ранее и далее не были обновлены. Среди наиболее острых проблем в корпоративных знаниях эксперты Swordfish Security, в частности, называют тот факт, что зачастую разработчики оставляют чувствительные данные в открытом виде, например, пароли – в коде. Инвестиции в повышение квалификации персонала становится стратегическим решением, способствующим снижению рисков и улучшению конкурентоспособности бизнеса.
Короткая ссылка
