Hiện nay và trong tương lai, bảo vệ hệ thống thông tin đang và sẽ trở thành một trong các mối quan tâm hàng đầu của các cá nhân, tổ chức, doanh nghiệp. Trong hệ thống bảo vệ này, bên cạnh vấn đề trang thiết bị kỹ thuật và chính sách an ninh, nhân lực là một yếu tố quan trọng, đóng vai trò có tính chất quyết định. Do đó, đào tạo nguồn nhân lực như thế nào để đáp ứng nhu cầu an ninh thông tin là một mối quan tâm của các cơ sở đào tạo cũng như của các tổ chức ứng dụng công nghệ thông tin.
Trong khuôn khổ Ngày an toàn thông tin do Chi hội an toàn thông tin phía Nam cùng Sở Thông tin và Truyền thông TP. Hồ chí Minh tổ chức, chúng tôi đã thực hiện một khảo sát nhanh về hiện trạng công tác đào tạo nguồn nhân lực phục vụ công tác an toàn thông tin tại khu vực thành phố Hồ Chí Minh. Bài báo này trình bày những kết quả khảo sát đã nhận được và chia sẻ cùng bạn đọc một số suy nghĩ về vấn đề đào tạo nguồn nhân lực cho an toàn thông tin.
Một vài con số.
Hiện nay, theo thống kê chưa đầy đủ, có 8 đơn vị có đào tạo các môn học liên quan tới an toàn thông tin trên địa bàn TP.HCM với 19 môn học và trên 1200 lượt người học trong 10 tháng đầu năm 2008 (thời điểm tiến hành khảo sát). Vấn đề cần quan tâm là các chương trình đào tạo như vậy có đáp ứng đủ nhu cầu của thực tế an toàn thông tin hay không?
Bảng thống kê sơ bộ về tình hình đào tạo ATTT tại TP Hồ Chí Minh
Yêu cầu đối với chuyên viên đảm bảo an toàn thông tin
Để có thể xác định được mục tiêu đào tạo, chúng tôi xin có một số ý kiến về yêu cầu đối với một chuyên viên an toàn thông tin.
Một chuyên viên về an toàn thông tin cần có kiến thức và kỹ năng nền tảng như:
- Thành thạo về các công nghệ mạng Internet, TCP/IP, định tuyến…
- Hiểu biết vững chắc về ít nhất một hệ điều hành: cơ chế quản lý và bảo vệ tiến trình, cơ chế phân quyền truy cập tài nguyên hệ thống…
- Hiểu biết về lập trình, cơ sở dữ liệu, ứng dụng web…
- Nắm vững cơ chế hoạt động của các giao thức mạng liên quan tới an toàn thông tin.
Ngoài ra, chuyên viên an toàn thông tin cần có một số hiểu biết, kỹ năng mang tính chuyên ngành tin học như: Nắm bắt được các điểm yếu/mạnh của từng kiểu hệ điều hành; cách thức phát sinh các sơ hở trong lập trình cùng các ngôn ngữ lập trình khác nhau; các công nghệ mã hóa dữ liệu; Chính sách an toàn thông tin. Đây là những mảng kiến thức rất rộng mà một chuyên viên khó có thể nắm bắt hết được. Bởi vậy phương thức làm việc theo nhóm gồm các chuyên viên có kiến thức bổ sung cho nhau là giải pháp khả thi trên thực tế.
Ngoài các kiến thức chuyên môn, một chuyên viên về an ninh thông tin cần có một số tư chất đặc trưng cho lĩnh vực này, bao gồm: Nhạy cảm, tinh tế, sáng tạo trong công tác phát hiện xâm nhập, trong các cuộc “song đấu” với Hacker; Kiên nhẫn, say mề nghề nghiệp; Ngăn nắp, tỷ mỷ, tính kỷ luật cao; Có tinh thần chia sẻ, hợp tác với đồng nghiệp; có đạo đức nghề nghiệp, không quá coi trọng vật chất...
Đào tạo và nhu cầu thực tế đã gặp nhau?
Với những thông tin về hiện trạng đào tạo và yêu cầu đối với một chuyên viên an ninh thông tin, chúng tôi xin chia sẻ một số nhận xét về khả năng đào tạo đáp ứng nhu cầu về an toàn thông tin.
- Đã có nhiều chuyển biến rõ rệt trong công tác đào tạo: số lượng người học và số lượng các môn học đều tăng lên theo thời gian.
- Các khóa học về kiến thức nền tảng (CCSP, SCNP, Security+, ISO 17799, CEH…) đã được triển khai ở nhiều cơ sở đào tạo.
- Còn thiếu các chương trình đào tạo chuyên gia cao cấp như CISSP, CCIE Security. Chưa có các khóa học “đặc biệt” như một số môn của InfoSec Institute về xâm nhập thử nghiệm, hoặc huấn luyện về lập trình an toàn.
- Chương trình các khóa học còn chưa hệ thống và đầy đủ để có thể xây dựng thành một chương trình hoàn thiện đào tạo chuyên gia ATTT.
Một số nhận định.
Với những thông tin hiện có, chúng tôi xin có một số nhận định về vấn đề đào tạo an toàn thông tin như sau.
- Trước tiên, chúng ta cần chờ đợi một nhu cầu từ thực tiễn lớn hơn nữa (hay mức độ ứng dụng CNTT cao hơn nữa) để phát triển mạnh đào tạo an toàn thông tin. Để xác định đúng “cầu”, cần đẩy mạnh công tác đánh giá, lượng hóa giá trị tài sản số của các tổ chức để xác định hợp lý quy mô đầu tư cho an toàn thông tin. Khi thông tin cần bảo vệ có giá trị lớn, các doanh nghiệp sẽ phải tăng cường đầu tư để có chức danh cán bộ an toàn thông tin chuyên trách.
- Hiệp hội an toàn thông tin Việt Nam cần ủng hộ, quảng bá cho các tổ chức cung cấp chương trình đào tạo trình độ cao về an toàn thông tin cũng như vinh danh các cá nhân đạt được các chứng chỉ chuyên viên ATTT cao cấp.
- Cần đẩy mạnh công tác nghiên cứu khoa học thông qua các đề tài về an toàn thông tin tại các trường đại học, các cơ sở đào tạo để tạo điều kiện nâng cao trình độ trong lĩnh vực này
ISeLAB là phòng thí nghiệm An ninh thông tin thuộc Khu Công nghệ phần mềm ĐHQG-HCM. ISeLAB cung cấp các dịch vụ kiểm định mức độ an toàn của mạng tin học theo ISO 17799; nâng cấp, bảo trì hệ thống mạng và máy chủ dịch vụ; đào tạo chuyên viên an ninh thông tin với các chương trình đào tạo của Cisco và SCP. ISeLAB đã nghiên cứu và chuyển giao ứng dụng sản phẩm Firewall phi chuẩn. Đây là dự án nghiên cứu đã được triển khai từ nhiều năm gần đây với sự hợp tác của Ban Cơ yếu chính phủ và Khoa CNTT trường Đại học KHTN - ĐHQG TP.HCM.