Ngày nay, do nhu cầu thực tế, các bộ phận an ninh công nghệ thông tin (CNTT) lớn thường sẽ phải cần đến một người để quản lý bảo mật hệ thống thông tin (Information System Security Manager). Người này sẽ thực hiện vai trò giám sát, quản lý và chịu trách nhiệm đào tạo nghiệp vụ cho các nhân viên an ninh thông tin khác. Dưới đây là chi tiết về những điều bạn cần biết nếu muốn theo đuổi và gây dựng tương lai với công việc này.
Trách nhiệm chung của một nhà quản lý bảo mật hệ thống thông tin
Cũng giống như tất cả những ngành nghề khác, trách nhiệm trong công việc là một điều không thể thiếu. Tùy thuộc vào nhu cầu của mỗi doanh nghiệp mà các nhà quản lý bảo mật hệ thống thông tin phải đảm đương những công việc khác nhau, tuy nhiên, nhìn chung thì họ là những người chịu trách nhiệm chính trong việc hoàn thành các trọng trách sau:
- Quản lý việc triển khai và phát triển hệ thống bảo mật CNTT của một tổ chức, doanh nghiệp.
- Đảm bảo các chính sách, tiêu chuẩn và thủ tục bảo mật được thiết lập và thực thi.
- Phối hợp kiểm tra và đánh giá khả năng bảo mật thông tin.
- Giám sát một đội ngũ bảo mật hệ thống thông tin của công ty (cũng như các nhân nhân viên telecommute nếu có).
Các nhà quản lý bảo mật hệ thống thông tin còn được gọi là người quản lý bảo mật CNTT (IT security managers), những người trong nghề này thường sẽ làm việc toàn thời gian trong môi trường văn phòng. Tình trạng phải làm thêm giờ có tần suất xảy ra thường xuyên hơn so với các công việc khác, đơn giản là vì đội ngũ bảo mật hệ thống thường sẽ phải làm việc liên tục với một vấn đề hoặc mối đe dọa bảo mật nào đó cho đến khi nó được giải quyết hoàn toàn, thay vì trở về nhà đúng giờ tan tầm và tạm gác lại mọi thứ để hôm sau làm tiếp cũng được.
Công việc nòng cốt: Thiết kế một chính sách bảo mật cho hệ thống
Để thiết kế một chính sách bảo mật, một nhà quản lý bảo mật hệ thống thông tin có thể sẽ phải thu thập và tổ chức lại các thông tin kỹ thuật theo mục tiêu và nhu cầu của công ty, cũng như theo các sản phẩm bảo mật hiện tại và các chương trình và hoạt động đang diễn ra của công ty. Họ cũng sẽ cần phải tiến hành phân tích và đánh giá những rủi ro có thể xảy ra và sau đó đảm bảo đưa ra được các giải pháp để giảm thiểu những rủi ro đó.
Công việc nền tảng này hướng tới mục đích tạo ra các kế hoạch và chính sách bảo mật thông tin cho tổ chức. Một nhà quản lý bảo mật hệ thống thông tin sẽ có nhiệm vụ xác định cơ sở hạ tầng bảo mật hiện tại của tổ chức, cũng như xác định loại hình bảo mật nào phải được thiết kế và triển khai để đáp ứng các yêu cầu của tổ chức đó.
Sau cùng, một nhà quản lý bảo mật hệ thống thông tin sẽ phải giám sát các thành viên còn lại trong đội ngũ bảo mật hệ thống khi họ tiến hành thiết kế và thực hiện các giải pháp bảo mật theo yêu cầu của tổ chức.
Công việc hằng ngày
Người quản lý bảo mật hệ thống thông tin sẽ đưa ra những hướng dẫn cần thiết khi đội ngũ bảo mật phải phân tích và đánh giá, xử lý những lỗ hổng bảo mật và quản lý hệ thống bảo mật như chống virus, tường lửa, quản lý bản vá, phát hiện xâm nhập trái phép và mã hóa hàng ngày.
Đôi khi một nhà quản lý bảo mật hệ thống thông tin sẽ được yêu cầu tương tác và tư vấn cho các nhân viên phi kỹ thuật trong tổ chức, công ty. Chẳng hạn như trong các cuộc họp nhân viên hoặc các tình huống khác cần giải quyết vấn đề bảo mật.
Trong trường hợp xảy ra thảm họa về bảo mật trên hệ thống dẫn đến việc mất dữ liệu, người quản lý bảo mật sẽ phải có trách nhiệm hỗ trợ khôi phục dữ liệu.
Kiến thức và kỹ năng cần thiết
Một nhà quản lý bảo mật hệ thống thông tin thường sẽ phải có kiến thức về một số lĩnh vực, bao gồm:
- Có hiểu biết về các công cụ và chương trình bảo mật hiện có.
- Có kiến thức về thủ tục và bảo mật trong kinh doanh.
- Triển khai bảo mật phần cứng cũng như phần mềm.
- Kỹ thuật và các công cụ mã hóa.
- Có hiểu biết về các giao thức truyền thông khác nhau.
- Các nhà quản lý bảo mật hệ thống thông tin cũng nên có kỹ năng ra quyết định và kỹ năng phân tích tình huống tốt.
- Kinh nghiệm, đào tạo và chứng chỉ cần thiết
Mặc dù có nhiều yêu cầu đối với chức danh này phụ thuộc vào tổ chức đưa ra nhu cầu tuyển dụng, nhưng nhìn chung thì có thể khẳng định này công việc này không hề đơn giản và đặc biệt không phù hợp với những “lính mới”, những người còn non kinh nghiệm. Thông thường, các tổ chức sẽ yêu cầu nhà quản lý bảo mật hệ thống thông tin tương lai của họ phải có ít nhất một bằng cử nhân trong một lĩnh vực liên quan đến máy tính cộng với chín năm kinh nghiệm làm việc thực tế.
Tuy nhiên, các nhà tuyển dụng có thể yêu cầu nhiều năm kinh nghiệm hơn nếu bạn không có được tấm bằng đại học mà họ mong muốn. Kinh nghiệm làm việc của các ứng viên nên liên quan trực tiếp đến bảo mật thông tin, và kỹ năng quản lý, lãnh đạo cũng là một điểm cộng rất lớn. Đôi khi, chỉ kiến thức và kinh nghiệm không thôi vẫn là chưa đủ, đối với một chức danh quản lý thì kỹ năng cũng cực kỳ quan trọng.
Các chứng nhận sau đây cũng có thể được yêu cầu phải có:
- MCSE: Bảo mật
- Chứng nhận Unix / Linux
Nếu bạn muốn trở thành một nhà quản lý bảo mật CNTT trong tương lai, cần tập trung vào việc xây dựng các kỹ năng bảo mật thật vững vàng. Nếu bạn vẫn đang đi học, hãy điều chỉnh lựa chọn các khóa học sao cho hợp lý để phát triển những kỹ năng này. Mặt khác hãy tham gia vào các khóa tạo cơ bản và dành về một hoặc hai chứng chỉ, sau đó nộp hồ sơ vào làm việc ở những vị trí bảo mật cấp thấp, sau đó rèn luyện kỹ năng và tích lũy những kinh nghiệm cần thiết, cơ hội thăng tiến sẽ đến với bạn.
Chúc các bạn thành công!
Xem thêm: