Nos últimos anos, não somente a área de AppSec, mas toda a área de TI tem sofrido um crescimento exponencial: e com isso aumenta-se a demanda e também a falta de profissionais especializados em AppSec.
Estamos chegando ao final de mais um ano e, como em todos os anos, começamos a fazer o balanço do que aconteceu para projetar as melhorias que buscamos para o ano seguinte.
Nas empresas isso não é diferente: todas começam a iniciar os seu planejamento para o próximo ano e, como em todo planejamento de expansão ou melhoria em seus produtos, alguns pontos acabam ganhando mais atenção que outros.
E quando nos voltamos especificamente para o ramo de Aplicações, a busca por novos talentos começa. É aí que nos deparamos com a dura realidade do mercado: a escassez de profissionais qualificados para assumirem os postos oferecidos.
Com a falta destes profissionais, os que se destacam no mercado ficam cada vez mais valorizados, aumentando a dificuldade das empresas em manterem seus colaboradores.
Mas por que isso acontece? Quais são os fatores que levam o mercado a ter esta grande falta de profissionais?
Neste artigo vamos colocar alguns dados que podem ajudar a identificar estes motivos, além de mostrar aos profissionais que buscar qualificar-se cada vez mais pode trazer grandes benefícios.
O cenário do mercado de AppSec
Por mais que quem está no mercado perceba a falta de profissionais ou mesmo a falta de habilidades e conhecimentos necessários, não temos uma pesquisa que valide estes dados.
Desta forma, vamos usar como base nossa observação, além de alguns dados que temos acesso no mercado externo de Cybersecurity.
Assim, podemos traçar um cenário um pouco mais realista.
No mercado nacional temos um grande movimento de profissionais de desenvolvimento entre as mais diversas empresas.
Isso não é de gerar espanto, visto que cada vez mais estamos nos movendo para um mercado e um mundo mais digital.
A questão é que mesmo com toda essa busca e troca de cenários, ainda continuamos vendo profissionais de desenvolvimento sem conhecimento básico das melhores práticas de desenvolvimento seguro.
Então, a pergunta continua: por que mesmo com todo este cenário de necessidade de profissionais, ainda temos esta lacuna de conhecimento?
Lei da oferta e da procura no mercado de AppSec
Bom, não temos muitos dados do mercado nacional para ajudar nesta resposta, mas pelo que temos observado nos últimos anos, parece que os desenvolvedores estão mais preocupados em se posicionarem no mercado pela falta de profissionais de AppSec do que por qualificação técnica e conhecimento.
Em entrevistas com clientes e o mercado de forma geral, percebemos que é enorme a busca de profissionais que tenham um conhecimento além do básico para a profissão.
E, devido a escassez de mão de obra especializada, essa acaba sendo uma busca frustrante para os gestores da área.
No entanto, melhorar o skill de desenvolvedores com foco em AppSec — ou mesmo em DevSecOps — deveria ser uma missão também das empresas, mas parece que elas não entendem desta forma.
Então, o resultado acaba sendo uma falta generalizada de profissionais de AppSec que tenham conhecimento necessário para a construção de aplicações seguras.
Em nossa experiência, nada demonstra mais isso do que a simples pergunta: você conhece a OWASP?
Acredite ou não, em uma turma com mais de 40 pessoas, com sorte encontramos 3 ou 4 que já ouviram falar de OWASP.
Esse é um dado importante, pois para desenvolvedores WEB a OWASP deveria ser uma fonte básica de conhecimento.
O que as pesquisas indicam sobre a falta de profissionais de AppSec?
Mesmo que os dados analisados sejam retirados de pesquisas feitas fora do Brasil, ainda podem guardar grande semelhança com nosso mercado, visto que a forma como usamos a tecnologia aqui também é verdade lá fora.
No entanto, antes de continuar, precisamos alinhar um conceito que é usado nas pesquisas internacionais e que para o cenário brasileiro pode representar uma certa diferença.
Para o mercado externo, o termo Cybersecurity é usado para determinar profissionais que trabalham com todo o ciclo de proteção de um negócio — e isso em envolve também profissionais de desenvolvimento.
Tendo isso alinhado, podemos dar continuidade aos processos de avaliação dos dados da pesquisa realizada nos últimos meses de cada ano pela Enterprise Strategy Group – ESG.
A ESG é uma empresa que realiza pesquisas anuais com profissionais de TI para mensurar como o profissional vê o mercado e como o mercado vê o profissional.
Falta de conhecimento dos profissionais de AppSec
Na última pesquisa realizada pela empresa, liderando a lista de pontos negativos está a falta de conhecimento em Cibersegurança dos profissionais.
No entanto, este dado não é novo, e já temos acompanhado nos últimos relatórios este tópico se mostrar um dos mais frequentes, como podemos ver na lista abaixo.
- 2018-2019: 53% Aponta problemas nas habilidades de cybersecurity
- 2017-2018: 51% Aponta problemas nas habilidades de cybersecurity
- 2016-2017: 45% Aponta problemas nas habilidades de cybersecurity
- 2015-2016: 42% Aponta problemas nas habilidades de cybersecurity
Estes dados são reforçados pelas observações encontradas pelos analistas do Gartner, que neste artigo discorrem sobre o problema:
“By the time the need for new cybersecurity skills is fully obvious, it is often too late to develop a plan of action; the organization has already been left exposed to active threats for some time.”
Que de forma livre podemos traduzir como:
“A partir do momento em que as habilidades de cibersegurança se tornam óbvias, já é muito tarde para desenvolver uma plano de ação; a organização já foi exposta a ameaças algumas vezes.”
Isso é bastante claro para nós, que temos a chance de observar essa realidade de forma recorrente em nossos serviços.
Falta de treinamentos em desenvolvimento seguro para profissionais de AppSec
Percebemos que o processo de desenvolvimento seguro só é colocado como uma prioridade quando algo grave acontece, ou ainda quando o treinamento é necessário para justificar uma conformidade.
Essa constatação é reforçada pelos dados da pesquisa da ESG, que mostram que para grande parte dos profissionais de AppSec existe a falta de treinamentos que tenham relevância às suas reais necessidades.
No gráfico acima, podemos ver que 63% dos profissionais de AppSec consideram que nos treinamentos oferecidos pelas empresas falta conteúdo específico para prevenir riscos na área de cibersegurança.
E como se isso já não fosse suficientemente alarmante, na mesma pesquisa de 2018, 83% das empresas declaram não oferecerem treinamentos a seus times de cybersecurity.
O mais impressionante é que esse número de 83% é ainda superior ao encontrado na pesquisa nos anos anteriores.
Ou seja, não estamos aprendendo com os erros.
Inclusive, foi pensando nisso que escrevemos esse artigo abordando a necessidade de conformidade com normas vigentes, apresentando nossos argumentos para darmos a devida atenção aos benefícios da realização de treinamentos periódicos.
E sobretudo planejando esses treinamentos não somente pelo fato da conformidade, mas sim pensando na necessidade de manter os profissionais atualizados.
Falta de visão sobre os profissionais no mercado de AppSec
No entanto, um ponto interessante chama a atenção quando analisamos uma pesquisa feita pelo Gartner sobre a intenção de aumentar as equipes de cybersecurity.
Nesse outro artigo, o Gartner nos mostra que frequentemente as empresas desejam aumentar o seu staff mas, considerando os dados da Pesquisa feita pela ESG, como isso seria possível diante da falta de profissionais especializados em AppSec?
Então, podemos ver que essa é uma conta que não fecha.
De uma lado, temos gestores buscando aumentar o seu staff de segurança — e aqui se entenda que há também a busca por melhorar a segurança de suas aplicações — mas que paradoxalmente dificilmente buscam aumentar o conhecimento desse mesmo staff.
E esse dado é reforçado quando percebemos que pouca ou nenhuma parte dos orçamentos das empresas está vinculada a treinamentos, destinando grande fatia dos investimentos na compra e renovação de ferramentas.
Portanto, esse é um sinal claro de que precisamos rever rapidamente as prioridades quanto ao que é planejado dentro das empresas.
Como podemos melhorar a oferta de profissionais especializados no mercado de AppSec?
Acreditamos fortemente em educação, e isso é uma das bases que buscamos melhorar todos os dias.
Portanto, esse deve ser um dos pontos principais a ser considerado pelas empresas ao montar o seu planejamento para o início de cada ano.
Incluir o treinamento em seu planejamento, realizá-lo de forma consciente e fomentar a aquisição de conhecimento são pontos fundamentais para que as empresas comecem a buscar melhores resultados quando falamos em Application Security — ponto chave na redução dos riscos de aplicações.
No entanto, também entendemos que este movimento não é apenas de responsabilidade das empresas: os profissionais também têm grande responsabilidade sobre este resultado.
Existem grande fontes de busca e pesquisa onde é possível ter acesso a materiais de qualidade.
Buscar o conhecimento e as melhores práticas de segurança devem ser objetivos compartilhados tanto pela empresa quanto por cada um dos profissionais que buscam se manter e melhorar na carreira.
Não sabe por onde começar? Que tal conhecer a OWASP?
