Tôi nhận được một email: “Cám ơn thầy về bài báo an ninh Công nghệ thông tin. Thầy có thể nói thêm cho em về cách tôi có thể vào lĩnh vực này được không? Em đã là người phát triển phần mềm trong 4 năm và em muốn là chuyên viên về an ninh.”
Đáp: Có nhiều con đường nghề nghiệp để đi vào khu vực an ninh Công nghệ thông tin, bạn có thể trở về trường để lấy bằng thạc sĩ trong Công nghệ thông tin chuyên ngành An ninh hệ thống hay lấy các môn học thêm về an ninh thông tin rồi qua kì thi để được chứng chỉ về an ninh công nghệ thông tin. Một môn phổ biến nhất là “Chuyên nghiệp an ninh hệ thông tin có chứng chỉ – Certified Information Systems Security Professional” (CISSP) được Liên đoàn chứng nhận an ninh hệ thông tin quốc tế – International Information Systems Security Certification Consortium hay ISC² quản lí. Tổ chức này yêu cầu rằng các thành viên của họ phải hỗ trợ và tuân theo bộ luật đạo đức để:
1) Bảo vệ xã hội, toàn thể nhân dân, và kết cấu nền.
2) Hành động một cách đáng kính, trung thực, công bằng, trách nhiệm, và hợp pháp.
3) Cung cấp dịch vụ siêng năng và có trình độ cho thân chủ.
4) Thúc đẩy và bảo vệ nghề chuyên môn.
Tổ chức ISC coi rằng chứng chỉ là đặc quyền phải được thu lấy và duy trì. Các thành viên có ý định hay chủ ý vi phạm bất kì điều khoản nào của bộ luật này sẽ tuỳ thuộc vào hành động của mình mà bị thu hồi chứng chỉ.
Đào tạo của CISSP bao quát mười khu vực miền có liên quan tới chủ đề an ninh: Kiểm soát truy nhập; Mật mã hoá; Kiến trúc an ninh; Viễn thông và an ninh mạng; Quản lí rủi ro; Pháp lí, Qui chế và điều tra; An ninh vận hành; Liên tục nghiệp vụ và phục hồi thảm hoạ; An ninh ứng dụng; và An ninh vật lí;
Để được xác nhận là CISSP, bạn phải đáp ứng một số yêu cầu:
- Có ít nhất năm năm kinh nghiệm làm việc an ninh trực tiếp trong hai khu vực thuộc mười khu vực miền này.
- Có bằng cử nhân và bốn năm kinh nghiệm làm việc trong hai khu vực thuộc mười khu vực miền này.
- Qua được kì thi CISSP với điểm được tính theo thang 700 điểm hay lớn hơn. Kì thi này là thi đa chọn lựa, chứa 250 câu hỏi với bốn tuỳ chọn cho từng câu, cần được trả lời trong thời hạn sáu giờ.
- Chứng nhận là đúng về các đánh giá của họ liên quan tới kinh nghiệm chuyên môn và bộ luật đạo đức của CISSP.
- Được xác nhận bởi một CISP khác, người chứng nhận rằng những khẳng định của ứng cử viên liên quan tới kinh nghiệm chuyên môn là đúng với hiểu biết tốt nhất của họ, và rằng ứng cử viên này đang giữ vị trí tốt trong công nghiệp an ninh thông tin.
Chứng chỉ CISSP có hiệu lực trong ba năm, sau đó nó sẽ phải được gia hạn bằng việc lấy lại các kì thi hay ít nhất lấy 120 tín chỉ giáo dục chuyên nghiệp tiếp tục – Continuing Professional Education (CPE) như học các lớp công nghệ thông tin bổ sung, dự các hội nghị và xê mi na, xuất bản các bài báo và nghiên cứu trong khu vực an ninh, v.v. Bạn có thể liên hệ với Liên đoàn chứng nhận an ninh hệ thông tin quốc tế để biết thông tin chi tiết về đào tạo và lấy chứng nhận tại: https://www.isc2.org/
Theo quan điểm của tôi, người phát triển phần mềm với tri thức chuyên gia an ninh đang có nhu cầu cao ở mọi nơi. Có thiếu hụt trầm trọng về người có kĩ năng này cho nên bạn có thể mong đợi kiếm được lương rất cao (từ $90,000 tới $125,000 một năm) và nó sẽ còn lên cao hơn nếu bạn có các kĩ năng phụ trong kiến trúc và thiết kế an ninh hay chuyên môn giải quyết với các cuộc tấn công xi be, toà án máy tính và quản lí tổ đáp ứng tình trạng khẩn cấp máy tính. Vì khu vực an ninh yêu cầu nhiều kinh nghiệm, điều đó thích hợp cho những người có nhiều năm làm việc như người phát triển phần mềm như bạn, tôi động viên rằng bạn có thể lấy cơ hội này để thăng tiến nghề nghiệp của mình.
—-English version—-
Information Security Training
I received an email: “Thanks for your Information Technology security article. Could you tell me more about how can I get into this field ? I have been a software developer for 4 years and I want to be a security specialist.”
Answer: There are several career paths to get into the Information Technology security area, you can return to school to get a Master Degree in Information Technology specialize in System Security or take additional courses in Information security then pass an exam to get certified in Information System Security. The most popular one is the “Certified Information Systems Security Professional” (CISSP) which governs by the International Information Systems Security Certification Consortium or ISC². This organization requires that their members must support and follow a code of ethics to:
1) Protect society, the commonwealth, and the infrastructure.
2) Act honorably, honestly, justly, responsibly, and legally.
3) Provide diligent and competent service to principals.
4) Advance and protect the profession.
The ISC organization considered that certification is a privilege that must be both earned and maintained. Members who intentionally or knowingly violate any provision of the Code will be subject to action which result in the revocation of certification.
The current CISSP training covers ten domain areas related to Information Security topics: Access control; Cryptography; Security Architecture; Telecommunication and network security; Risk Management; Legal, regulation and investigation; Operation security; Business continuity and disaster recovery; Application Security; and Physical Security;
To be certified as CISSP, you must meet several requirements:
- Have at least five years of direct security work experience in two of the ten domain areas.
- Have a Bachelor degree and four years of work experience in two of the ten domain areas.
- Pass the CISSP exam with a scaled score of 700 points or greater. The exam is multiple choice, consisting of 250 questions with four options each, to be answered over a period of six hours.
- Attest to the truth of their assertions regarding professional experience and accept the CISSP Code of Ethics.
- Be endorsed by another CISSP who attests that the candidate’s assertions regarding professional experience are true to the best of their knowledge, and that the candidate is in good standing within the information security industry.
The CISSP certificate is valid for three years, after which it must be renewed by re-taking the exam or taken at least 120 Continuing Professional Education (CPE) credits such as taking additional information technology classes, attending conferences and seminars, publish articles and researches in security areas, etc. You may contact the International Information Systems Security Certification Consortium for more detailed information about trainings and get certify at: https://www.isc2.org/
From my view, software developer with security expertise are in high demand everywhere. There is a critical shortage of people with this skills so you can expected to earn a very high salary (From $90,000 to $125,000 a year) and it will go up higher if you have additional skills in security architecture and design or specialty in dealing with cyber attacks, computer forensic and manage computer emergency response team. Since security area requires a lot of experiences, it is suitable for people who have several years working as software developer like you, I do encourage that you may want to take this opportunity to advance your career.
