IT Security là nghề không mới nhưng không phải ai cũng biết rõ công việc của những người làm trong lĩnh vực này.
Với những người trong nghề thì IT Security mang lại khá nhiều trải nghiệm thú vị và khiến họ cảm thấy bản thân không bao giờ bị lỗi thời hay đi theo lối mòn.
Có thực sự như vậy không?
Đọc bài phỏng vấn của ITviec với anh Hoàng Minh Việt – IT Security Manager tại SaiGonLab Services để tìm câu trả lời:
- Công việc của một IT Security?
- Điều thú vị khi làm IT Security và những khó khăn trong nghề
- Cơ hội nghề nghiệp và mức lương của IT Security
- Muốn trở thành IT Security nên bắt đầu từ đâu?
Xem thêm việc làm IT Security trên ITviec
Tiểu sử:
Mặc dù tốt nghiệp ngành Điện tử viễn thông trường ĐH Tôn Đức Thắng nhưng sau khi ra trường, anh Việt lại đi theo hướng Technical. Anh từng nắm giữ vị trí Technical Team Leader và Technical Supervisor tại một số công ty như ALTA Media và An Thinh InfoTech.
Tuy nhiên, con đường sự nghiệp của anh rẽ sang một nhánh khác khi anh xác định được hướng đi mà mình thực sự muốn theo đuổi. Anh quyết định đầu quân cho Trung tâm Công nghệ thông tin và truyền thông TP. HCM (trực thuộc Sở Thông tin và Truyền thông TP. HCM) với vị trí ban đầu là IT Network Administrator, sau đó là IT Security Executive.
Sau hơn 4 năm gắn bó, anh chuyển sang làm việc cho SaiGonLab Services với vai trò IT Security Manager.
Chào anh Việt. Tại sao anh lại quyết định theo đuổi con đường trở thành một IT Security khi công việc trước đó có vẻ khá ổn định?
Đây là câu chuyện khá tình cờ và có 2 người ảnh hưởng đến quyết định này của anh.
Người đầu tiên phải kể đến là anh Khánh (trước kia là giám đốc IT của VinMart). 2 anh em có duyên gặp nhau, anh Khánh chia sẻ với anh rất nhiều điều về những con đường sự nghiệp mình đã đi qua.
Lúc đó, anh kiểu như thức tỉnh và nhận ra bản thân mình muốn làm một công việc khác, có thể đi được đường dài và gặt hái nhiều thành công hơn. Vậy là anh quyết định nghỉ việc ở công ty.
Người thứ hai không kém phần quan trọng là sếp cũ của anh ở Trung tâm Công nghệ thông tin và truyền thông TP.HCM. Lúc mới sang đây làm, anh chỉ nghĩ là làm Network thôi. Nhưng sếp anh là người đã định hướng cho anh theo con đường IT Security.
Sếp không nói gì nhiều, chỉ đơn giản đưa cho anh các công cụ và thiết bị rồi bảo anh nghiên cứu. Từ những lần hoàn thành tốt nhiệm vụ được giao mà sếp tin tưởng anh hơn. Anh dần chuyển sang làm công việc của một IT Security cho đến tận bây giờ.
Công việc của một IT security là gì vậy anh?
Công việc có thể hơi khác nhau tùy thuộc vào từng tổ chức. Còn bản thân anh trước đây đảm nhiệm một số việc như:
- Giám sát, điều chỉnh chính sách an ninh thông tin của tổ chức.
Ví dụ đơn giản là trong nội bộ công ty, mình setup xem những ai có quyền truy cập vào folder bảng lương. Vì đây là thông tin khá nhạy cảm, không phải ai cũng được phép xem.
- Giám sát, thậm chí trực tiếp triển khai và vận hành các giải pháp an toàn thông tin cho hệ thống. Ví dụ: hệ thống firewall, anti virus, IDS…
- Giám sát và xử lý các sự cố về an toàn thông tin theo thực tế hoặc diễn tập các tình huống an toàn thông tin (tự giả định hoặc sử dụng dịch vụ của các bên System Integration)
- Phối hợp với các phòng ban, đơn vị khác (kế toán, thu ngân) để kiểm tra sự cố xem hậu quả như thế nào, thiệt hại ra sao, biện pháp khắc phục…
- Hỗ trợ IT Helpdesk xử lý các vấn đề nằm ngoài khả năng của họ
Anh Việt (thứ 2, từ phải sang) du lịch cùng đồng nghiệp
Theo cá nhân anh, điều thú vị nhất khi trở thành IT security là gì?
Anh nghĩ là 2 điều:
(1) Hiệu quả công việc đến từ việc giao tiếp với user
IT Security là người làm việc với những vấn đề liên quan đến kỹ thuật nhưng thực chất cũng đang đối mặt với vấn đề con người.
Một user bình thường sẽ cảm thấy rất phiền phức khi hệ thống yêu cầu phải tạo mật khẩu có độ khó cao hoặc thường xuyên thay đổi mật khẩu để đảm bảo tính mật. Là một IT Security, mình phải tư vấn, giải thích lợi ích và tầm quan trọng của những việc này cho họ.
“Làm thế nào để họ tuân thủ những quy định về an toàn thông ninh với một tâm thế thoải mái, không cảm thấy bị ép buộc”, quá trình này khiến anh thấy hứng thú.
(2) Nghề này đòi hỏi anh phải nghĩ như một hacker
Để có thể chủ động hơn trong xử lý các sự cố, người làm IT Security phải suy nghĩ làm thế nào để tìm ra lỗ hổng của hệ thống sớm nhất có thể, tất nhiên là không với chủ đích gây hại.
Nói đơn giản thì em với bạn bè có thể chơi đoán mật khẩu của nhau hoặc thách đố nhau hack được file lưu trữ trong máy tính. Chính những hành động đơn giản như thế này đã bắt mình phải vận dụng suy nghĩ của một hacker.
Đã bao giờ anh phát hiện một lỗ hổng bảo mật và báo cáo với cấp trên nhưng lại bị hiểu lầm là có dụng ý xấu?
Tình huống này anh nghĩ là cũng ít, bản thân anh thì chưa gặp bao giờ. Vì doanh nghiệp thuê mình về là để mình làm những công việc này mà.
Tuy nhiên anh thấy, những lỗ hổng mà mình phát hiện ra và báo cáo lại với cấp trên chỉ nên nằm trong phạm vi và thẩm quyền công việc mà mình phụ trách.
Ví dụ: Em đang phụ trách web mà em lại báo cáo với cấp trên rằng em vừa phát hiện lỗ hổng về database (do người khác phụ trách) thì không nên. Dễ gây hiểu lầm và vô tình, có thể em sẽ gây ảnh hưởng không tốt đến đồng nghiệp.
Những kỹ năng và tố chất cần thiết để theo đuổi nghề IT Security?
Về kỹ năng kỹ thuật thì anh nghĩ bạn nên:
- Nắm về networking: Routing, NAT, VPN…
- Về hệ điều hành: biết cách thức các hệ điều hành (Linux, Window, iOS, Mac) hoạt động như thế nào
- Về phần mềm: phải nắm về dữ liệu, mã hóa, các ký tự, mật mã học như RSA, mã hóa đối xứng, mã hóa bất đối xứng…
- Nắm được các công cụ chuyên về an ninh mạng: Kali Linux, Metasploit, NMap…
- Nên biết một ngôn ngữ lập trình, có thể chỉ ở mức độ cơ bản: C, Python, Ruby on Rails…
Tham khảo: 10 ngôn ngữ lập trình nên học trong năm 2020
Ngoài các yếu tố nói trên, muốn theo đuổi công việc này, bạn phải có một tư duy tốt (học hỏi từ nhiều nguồn, thường xuyên đặt câu hỏi như một hacker mũ trắng) và có kỹ năng đọc hiểu tài liệu tiếng Anh.
Làm thế nào để một bạn có thể trở thành IT Security?
Nếu bạn muốn theo học chính quy thì anh thấy ở thời điểm hiện tại, có khá nhiều trường đào tạo về an ninh mạng.
Miền Bắc thì có ĐH Bách Khoa Hà Nội, ĐH Công nghệ Hà Nội và một trường rất nổi tiếng, không thể không nhắc đến là Học viện kỹ thuật mật mã (dành cho bạn nào muốn chuyên về mật mã).
Miền Trung thì có ĐH Bách Khoa Đà Nẵng.
Còn miền Nam thì có Học viện công nghệ bưu chính viễn thông, ĐH Công nghệ thông tin, ĐH FPT…
Còn nếu bạn đã ra trường hoặc muốn chuyển ngành thì có thể bắt đầu học những chứng chỉ về Network và System như CCNA, MCSA, rồi học về Security +.
Sau đó, bạn nên dành nhiều thời gian để tự học và nghiên cứu sâu về Kali Linux, Metasploit…. Youtube là kênh nên tham khảo vì có khá nhiều video hướng dẫn rất chi tiết.
Sâu hơn nữa, bạn có thể thi các chứng chỉ CEH hoặc CHFI. Ở mức này thì bạn đã có thể tự tin đi xin việc được rồi.
Đâu là khó khăn lớn nhất của nghề IT security theo cảm nhận của anh?
Khó khăn nhất là công nghệ lúc nào cũng đi lên và các lỗ hổng bảo mật luôn bị phát hiện sau hacker, chúng ta thường đi sau hacker một bước.
Bởi vậy mới có thuật ngữ zero-day, nghĩa là những lỗ hổng chưa được phát hiện ra. Có những mã độc không ai biết tới, cứ nằm im trong hệ thống, tới khi hacker phát đi lệnh phá hoại thì người ta mới biết là nó tồn tại. Truy vết ra thì mới biết mã độc đó đã nằm trong hệ thống vài trăm ngày rồi.
Nghề IT security có vẻ không phổ biến lắm. Vậy cơ hội nghề nghiệp có phải cũng thấp không anh?
Anh thì nghĩ ngược lại. Nghề này càng trong tương lai càng phát triển vì vấn đề an toàn thông tin đang dần được chú trọng hơn. Hiện nay mọi tổ chức đều biết về vấn đề bảo mật an toàn thông tin nên vai trò, vị trí của ngành này càng cao và cơ hội nghề nghiệp không hề thấp.
Mức lương trung bình của một người làm IT security?
Theo một bài nghiên cứu anh có đọc thì mức lương của một bạn Fresher hoặc Junior rơi vào khoảng 300-500 USD. Còn những bạn đã có kinh nghiệm làm việc từ 3-5 năm thì lương khoảng 1000-2500 USD.
Nhìn chung thì mức lương trung bình của nghề này có vẻ thấp hơn các nghề khác nhưng về độ bền thì anh nghĩ, làm IT security có thể đi được đường dài hơn.
Xem thêm: 8 công việc lương cao nhất ngành IT
Đã bao giờ anh có suy nghĩ chuyển sang một công việc khác chưa?
Anh chưa. Khi làm việc mà thấy công nghệ về bảo mật liên tục thay đổi, nếu thực sự yêu thích thì sẽ không muốn thay đổi.
Có một tổ chức gọi là CVE (Common Vulnerabilities and Exposures) thường xuyên cập nhật các lỗ hổng, mã độc từ ứng dụng hoặc hệ điều hành đã được phát hiện ra trên toàn thế giới. Chỉ với việc cập nhật danh sách này và xem xét ứng dụng cho doanh nghiệp cũng đủ khiến em thấy công việc luôn mới mỗi ngày rồi.
Có điều gì anh ước là giá như mình biết sớm hơn trước khi vào nghề IT security?
Chắc là chỉ ước giá như mình biết đến và theo đuổi nghề này sớm hơn thôi (cười).
Những tài liệu anh từng tham khảo trên con đường trở thành IT security?
- Kiến thức cơ bản về an ninh mạng: Bắt đầu tìm hiểu về an ninh mạng thì mình nên bắt đầu từ link này, khá tập trung và dễ hiểu về roadmap của an ninh mạng.
- Cộng đồng An ninh mạng Việt Nam: Đây là diễn đàn thường xuyên cập nhật tin tức và các case study về lỗ hổng bảo mật, dễ dàng đặt câu hỏi và tương tác với các thành viên khác.
- CyStack Resource: Trang này thường cập nhập các số liệu thống kê về tình hình An ninh mạng (sẽ có lợi cho người đang đi làm, đang cần thu thập số liệu vì mục đích báo cáo, nghiên cứu).
- Null Byte: Hướng dẫn nhiều kỹ năng liên quan đến an toàn thông tin, có video chi tiết.
Và một số trang tin tức hay để tham khảo như: https://anninhmang.net, https://ictnews.vietnamnet.vn, https://ais.gov.vn
Bạn thấy bài viết hay và cần thiết với nhiều người? Đừng ngại nhấn nút Share bên dưới nhé.
Và đừng quên tham khảo việc làm IT Security trên ITviec.