Chuyên viên an ninh công nghệ thông tin (CNTT) là một trong những kĩ năng có nhu cầu cao nhất ngày nay trong công nghiệp CNTT. Với việc tăng các cuộc tấn công xi be, lây nhiễm phần mềm độc, sự xâm nhập của hacker v.v., các công ti bây giờ chi nhiều tiền hơn vào an ninh kết cấu nền và ứng dụng CNTT hơn vài năm trước.
Trong quá khứ, các công ti dựa trên tường lửa nhưng điều đó đã không có tác dụng tốt và họ chịu nhiều tổn thất. Ngày nay phần lớn các hackers là tội phạm có tổ chức rất giỏi xâm nhập vào các hệ thống CNTT và tạo ra hư hỏng. Để ngăn cản điều đó xảy ra, các công ti phải chấp nhận nhiều cách tiếp cận phòng ngừa hơn là phản ứng. Họ phải kiểm điểm lại hệ thống CNTT của họ để nhận diện những chỗ mong manh và sửa chúng để tránh bất kì hậu quả nào thêm. Kết quả là nhiều công ti đang thuê chuyên viên an ninh CNTT, những người được đào tạo để giải quyết với vấn đề an ninh để thực hiện mô hình an ninh phòng ngừa của họ.
Khu vực mong manh nhất của hệ thống CNTT là mã phần mềm. Ngay cả ngày nay, phần lớn sinh viên vẫn không được dạy lập trình có an ninh trong đầu. Đó là lí do tại sao “tràn bộ đệm” và “chèn lệnh SQL” là chiến thuật thông thường trong các hacker để có được quyền truy nhập vào hệ thống CNTT và để đánh cắp thông tin hay cấy phần mềm độc. Nhiều công ti vẫn còn dựa vào việc “vá” như giải pháp để vượt qua lỗi trong mã. Tuy nhiên việc vá thỉnh thoảng cũng tạo ra chỗ mong manh khác về phần mã. Cách tốt hơn là dành thời gian vào kiểm mã, kiểm thử rà lại, và giám định mã an ninh như công cụ phòng ngừa mã độc và xâm nhập của hacker. Để làm cho nó hiệu quả hơn, người lập trình, người phát triển và người quản lí CNTT phải được đào tạo về an ninh hệ thống CNTT.
Số lượng tăng lên những người truy nhập vào website phương tiện xã hội cũng làm tăng rủi ro của lây nhiễm phần mềm độc. Một người bất cẩn với laptop bị lây nhiễm có thể làm lây nhiễm ra toàn thể hệ thống CNTT công ti. Một điện thoại thông minh bị lây nhiễm có thể tạo ra hư hỏng cho hệ thống CNTT của công ti. Để giữ an ninh cho thông tin nhạy cảm và tối thiểu hoá rủi ro, công ti phải thực hiện nhiều đào tạo hơn về an ninh cho nhân viên và giám sát và làm cấu hình tường lửa với khả năng tốt nhất.
Với việc sử dụng tăng lên các thiết bị di động như máy tính bảng, điện thoại thông minh, v.v., rủi ro về ăn cắp thông tin và dữ liệu đã tăng lên. Thành công của công ti bây giờ phụ thuộc vào khả năng của nó giữ an ninh thông tin và dữ liệu “nhạy cảm” tách khỏi những thiết bị này bằng việc để chúng lưu giữ trên “đám mây tư” của họ thay vì trên thiết bị. Yêu cầu về mây tư an ninh cũng tạo ra nhu cầu thêm về chuyên viên an ninh.
Bởi vì tính toán “mây tư” bao gồm một số rủi ro gắn liền với an ninh dữ liệu và tính truy nhập được. Các công ti ngần ngại chuyển vào tính toán mây. Để thu được tin tưởng của khách hàng, nhiều nhà cung cấp dịch vụ phải làm cho mây của họ truy nhập được và được xác nhận bởi nhà bán an ninh bên thứ ba. Để làm điều đó, cả hai nhà cung cấp tính toán mây và nhà bán đánh giá an ninh đều cần thuê chuyên viên an ninh. Vấn đề thường được nêu ra là liệu họ có tìm được các chuyên viên này không? Mọi người lấy đào tạo về hệ thống an ninh ở đâu? Có vài chương trình chứng chỉ an ninh trong công nghiệp nhưng chừng nào người ta còn chưa có nhiều năm kinh nghiệm, thỉnh thoảng mới có vài tháng đào tạo có thể là không đủ. Ngày nay an ninh CNTT đang trở thành môn học trong một số đại học. Có thể có được bằng tốt nghiệp đại học hay bằng thạc sĩ trong an ninh CNTT và người tốt nghiệp có thể mong đợi làm được $95,000 tới $130,000 một năm.
—-English version—-
Information Technology Security specialist
Information Technology (IT) Security specialist is one of the highest demand skills in IT industry today. With increasing cyber attacks, malwares infections, hacker’s penetration etc., companies are now spending more money to secure their IT infrastructures and applications than few years ago.
In the past, companies relied on firewalls but it did not work well and they suffered a lot of damages. Today most hackers are organized crimes that are very good at penetrate IT systems and create damages. To prevent it from happening, companies have to adopt more preventive rather than reactive approach. They must review their IT systems to identify vulnerabilities and fix them to avoid any further consequences. As a result, more companies are hiring IT security specialists, people who are trained to deal with security issues to implement their preventive security model.
The most vulnerable area of the IT system is software code. Even today, most students are not taught to programming with security in mind. That is why “Buffer overflow” and “SQL injection” are common tactics among hackers to get access to IT systems and to steal information or plant malwares. Many companies are still relying on “patching” as a solution to overcome defects on the code. However patching sometime also creates another vulnerable on the other parts of code. The better way is to spend time on code review, regression testing, and secured code inspection as a tool to prevent malwares and hackers penetrations. To make it more effective, programmers, developers, and IT managers must be trained in IT system security.
The increasing number of people accessing social media web sites also increases the risk of malware infections. One careless person with an infected laptop can infect the whole company IT system. One infected smart phone can create damages to a phone company’s IT systems. In order to secure the sensitive information and minimize the risk, company must implement more training on security to employees and monitoring mechanism and configure firewall to the best possible.
With the increasing usage of mobile devices like tablets, smart-phones, etc. the risk of information and data theft has gone up. The success of company now depends on its ability to secure their “sensitive” information and data off these devices by having them store on their “private cloud” instead of the devices. The requirement of secured private cloud also increase demand for more security specialists.
Because “public cloud” computing involves certain risk pertaining to data security and accessibility. Companies are reluctant to move into cloud computing. To gain customers’ confidence, many service providers must get their cloud assessed and certified by a third party security vendor. To do that, both cloud computing providers and security assessment vendors need to hire more security specialists. The question often raised is where do they find these specialists? Where do people get training on security system? There are several security certificate programs in the industry but unless people have many years of experiences, sometime few months of training may not be enough. Today IT security is becoming a major in some universities. It is possible to get a bachelor or master degrees in IT security and graduates can expected to make $95,000 to $130,000 per year.
