Sự phổ biến ngày càng tăng của các nhiều thiết bị kết nối Internet như thiết bị đeo tay, điện thoại thông minh và nền tảng tự động hóa giúp kiểm soát tất cả thiết bị trong nhà. Nhưng chính điều này tiềm ẩn những rủi ro về an ninh mạng. Bởi cùng với sự phát triển nhanh chóng của công nghệ hiện đại, các phương pháp tấn công mới của tội phạm mạng ngày càng phức tạp và tinh vi. Các nước trên thế giới luôn coi bảo đảm an toàn thông tin là một trong các nhiệm vụ quan trọng đối với sự phát triển bền vững của quốc gia trong đó việc phát triển nguồn nhân lực an ninh mạng được chú trọng đầu tư. Trên thực tế, sự thiếu hụt lực lượng lao động an ninh mạng và khoảng cách kỹ năng về an ninh mạng vẫn tồn tại dai dẳng. Năm 2021 vẫn tiếp tục được dự đoán có sự gia tăng về những rủi ro liên quan đến vấn đề an ninh, an toàn thông tin mạng. Để giải quyết thực trạng này, các quốc gia, các tổ chức/doanh nghiệp cần phải hành động để phát triển lực lượng an ninh mạng. Bài báo là bức tranh tổng thể về tình trạng nguồn nhân lực an ninh mạng toàn cầu và đưa ra 6 gợi ý để các tổ chức có thể thu hút nhân tài và thu hẹp khoảng cách về kỹ năng của lực lượng an ninh mạng.
Trong thập kỷ qua, nhu cầu về các chuyên gia an ninh mạng tăng đột biến. Theo đó chỉ tính đầu năm 2020, trên toàn cầu thiếu tới 4 triệu người làm về an ninh mạng và ở Mỹ con số này là nửa triệu. Đặc biệt, dịch COVID-19 xảy ra vào tháng 3 năm ngoái đã đẩy thế giới an ninh mạng vào một sự thay đổi nhanh chóng và khó lường; hàng triệu người đột ngột chuyển sang làm việc từ xa, một số công ty chuyển ngay lập tức sang sử dụng nền tảng đám mây chỉ sau “một đêm”.
Theo nghiên cứu về lực lượng an ninh mạng năm 2020 của (ISC)2, 30% tổ chức đã chuyển sang làm việc từ xa chỉ trong 1 ngày, 47% trong vài ngày đến 1 tuần và 16% mất hơn một tuần cho sự thay đổi này. Việc chuyển sang làm việc trực tuyến kéo theo nhu cầu đảm bảo an ninh mạng. Các chuyên gia an ninh mạng cho biết: 22% trong số học sinh ít hơn một ngày để đảm bảo cho hệ thống làm việc từ xa được bảo mật; 47% có vài ngày đến một tuần và chỉ 16% có hơn một tuần để làm công việc đảm bảo an toàn cho làm việc từ xa.
Có thể thấy bất chấp những mối đe dọa mới đang xuất hiện trên nền tảng đám mây, tốc độ chuyển sang làm việc từ xa của các tổ chức là rất cao. Điều này đã làm gia tăng nhu cầu về lực lượng chuyên gia an ninh mạng để bảo mật cho các văn phòng từ xa. Nhưng thực tế ghi nhận năm 2020 là năm đầu tiên mức độ thiếu hụt lực lượng lao động trong ngành an ninh mạng trên toàn cầu giảm, từ 4 triệu xuống còn 3,1 triệu lao động. Đây là tín hiệu khả quan. Tuy nhiên, mặc dù có sự thu hẹp sự thiếu hụt nhân lực an ninh mạng nhưng 56% số người trong khảo sát của (ISC)2 cho rằng tình trạng thiếu nhân viên an ninh mạng là nguyên nhân khiến tổ chức của họ gặp rủi ro. Đánh giá về tỷ lệ này, Erin Weiss Kaya, chuyên gia chiến lược tài năng của Booz Allen cho biết: “Đây vẫn là một ngành mới với các mối đe dọa thay đổi gần như hàng ngày, bao gồm các tác nhân đe dọa mới, công nghệ mới và sự phát triển của 5G. Tuy nhiên, chúng tôi vẫn đang giải quyết tỷ lệ thất nghiệp 0%, với nhu cầu nhiều hơn nhiều so với nguồn cung hiện tại”.
Dự báo cho năm 2021, Ondrej Krehel, Giám đốc điều hành & Người sáng lập công ty an ninh mạng LIFARS và kỹ thuật số cho biết: Ngành công nghiệp an ninh mạng và rủi ro an ninh mạng sẽ tiếp tục gia tăng cao hơn trong năm 2021, vì vậy phải bắt đầu thực hiện các chiến lược và thu hút nhân tài ngay từ bây giờ để thu hẹp khoảng cách về kỹ năng. Ông đánh giá: “Tin tặc ngày càng thông minh hơn và nhanh hơn, có nghĩa là các đội phòng thủ cũng cần phải làm như vậy, để xây dựng một đội an ninh mạng mạnh mẽ và đảm bảo rằng các công ty không bị thiếu hụt nhân lực”.
Thách thức tìm kiếm và thu hút nhân tài
Việc tìm kiếm và thu hút nhân tài có các kỹ năng an ninh mạng phù hợp không phải là nhiệm vụ dễ dàng. Hiện danh sách các kỹ năng kỹ thuật cần thiết, ngay cả ở các vị trí an ninh mạng mức “entry-level” (không yêu cầu kinh nghiệm làm việc chuyên nghiệp) đối với ứng viên cho công việc an ninh mạng vẫn là một thách thức lớn. Krehel chỉ ra rằng mô tả công việc an ninh mạng mức entry-level ngang bằng với mức cấp trung và cấp cao của các ngành khác, bởi vì yêu cầu phải có chứng chỉ về bảo mật hoặc nhà cung cấp. Krehel cho biết: “Đây là một rào cản không dễ để vượt qua”.
Trao đổi về việc tuyển dụng nguồn nhân lực an ninh mạng, Kaya, chuyên gia chiến lược tài năng của Booz Allen, cho biết, các ứng viên ngoài các kỹ năng kỹ thuật còn phải trang bị các kỹ năng phi kỹ thuật, chẳng hạn như sự nhanh nhẹn và linh hoạt – Các kỹ năng phi kỹ thuật này cũng rất cần, nhưng khó đo lường và càng khiến cho việc tuyển dụng khó hơn.
Marcus Fowler, cựu Giám đốc CIA và hiện là Giám đốc mối đe dọa chiến lược tại Darktrace, một công ty AI chuyên về mạng, cho biết thêm rằng các tổ chức cần tìm ra cách khai thác nhiều hơn các đội ngũ bảo mật hiện có. Ông nói: “Nếu không giải quyết được khoảng cách giữa yêu cầu công việc và năng lực nhân viên, cố gắng giải quyết khoảng cách kỹ năng bằng cách thuê toàn bộ sẽ chỉ tạo ra một vết lõm nhỏ trong một vấn đề lớn hơn”. Điều đó bao gồm việc kết nối nguồn nhân lực hiện có với các khả năng tự chủ, để các chuyên gia an ninh mạng có thể làm việc nhanh hơn và thông minh hơn.
Marcus Fowler cho biết việc sử dụng sức mạnh trí tuệ nhân tạo/máy học để thử nghiệm các sự cố bảo mật, cũng như phân loại và điều tra sớm các vấn đề an ninh mạng sẽ giúp giải phóng thời gian và công sức cho các chuyên gia an ninh. Lợi ích này hỗ trợ các chuyên gia an ninh kiểm soát vòng điều tra sự cố một cách chủ động và có chiến lược. Tuy nhiên, việc phát triển lực lượng lao động an ninh mạng thông qua các chiến lược tuyển dụng tốt hơn vẫn là điều cần thiết. Kaya cho biết: “Tôi cảm thấy ngành công nghiệp an ninh mạng chưa hoàn toàn chấp nhận việc xem xét các mức đầu vào phi tuyến tính, phi truyền thống trên không gian mạng. Ngành công nghiệp này đã quay trở lại với các định nghĩa tuyển dụng khá truyền thống về việc tìm kiếm nguồn lực đã có kinh nghiệm và các kỹ năng kỹ thuật”. Kaya cho biết thêm cần tìm hiểu: Làm thế nào để chúng ta nhìn nhận năng khiếu như một cơ chế để gia nhập lĩnh vực này? Và sau đó, làm thế nào các chương trình đào tạo lại các kỹ năng có thể được sử dụng để đạt được mức độ thực thi chuyên nghiệp đó?
Sáu cách phát triển lực lượng an ninh mạng
Sau đây là sáu cách quan trọng mà các chuyên gia cho rằng các tổ chức có thể thực hiện hành động để phát triển lực lượng lao động an ninh mạng cho mình trong năm 2021 và những năm sau đó.
1. Tạo ra thông báo tuyển dụng hấp dẫn với các ứng viên
Theo Tiến sĩ Pam Rowland, một trợ lý giáo sư về an ninh mạng tại Đại học Bang Dakota và là đồng sáng lập của tổ chức tiếp cận cộng đồng CybHER, nhiều tổ chức cần phải cải tiến quảng cáo tuyển dụng của họ để thu hút các ứng viên đa dạng. Pam Rowland cho biết: “Các đội tuyển dụng cần phải suy nghĩ chín chắn và thiết kế lại, thay vì sử dụng các chiến lược giống như 10 năm trước. Đầu tiên, các công ty nên từ bỏ các cách phối màu có tính nam tính cao, cũng như xem xét lại các danh sách yêu cầu dài mà “không ai trên thế giới này có thể đáp ứng được”. Rowland cho biết thêm: “Nghiên cứu cho thấy rằng nam giới sẽ xem xét những danh sách đó và nộp đơn ngay cả khi họ chỉ đủ tiêu chuẩn 25%, nhưng phụ nữ sẽ nói, ‘Tôi không thể làm điều đó, đó không phải là công việc dành cho tôi". Rowland khuyên các tổ chức nên có danh sách ưu tiên nhưng nhấn mạnh sự cần thiết của những người ứng tuyển ham thích học hỏi và có tư duy phản biện.
2. Thu hút các kỹ sư phần mềm quan tâm đến bảo mật đang tìm kiếm cơ hội
Jason Meller, Giám đốc điều hành và người sáng lập Kolide cho rằng cách tuyệt vời để mở rộng nguồn nhân tài là thu hút các kỹ sư phần mềm quan tâm đến bảo mật, những người có nhiều kỹ năng phù hợp nhưng đang tìm kiếm cơ hội để nâng cao vai trò của họ bằng các công cụ phát triển chuyên biệt. Những công cụ này (bao gồm máy quét lỗ hổng, tiện ích kiểm thử bảo mật và bộ thu thập dữ liệu điểm cuối) thường rất thích hợp để mua từ các nhà cung cấp bảo mật, cho phép các nhà bảo mật mới có cơ hội tăng khả năng, tốc độ và độ chính xác của họ. Jason Meller cho biết: “Đáng ngạc nhiên là nhiều tác giả của các công cụ bảo mật nguồn mở phổ biến thường không được đánh giá cao bởi người đứng đầu tổ chức nơi họ làm việc”. Do đó, Jason khuyên các tổ chức hãy tiếp cận các kỹ sư phần mềm này. Đây là mối quan hệ đôi bên cùng có lợi: các kỹ sư có cơ hội tiếp tục thực hiện dự án đam mê của mình, còn tổ chức có cơ hội quan sát hoạt động an ninh mạng trong các tình huống thực tế của tổ chức mình. Kết quả là tổ chức sẽ có một chuyên gia nhiệt huyết và đây chính là đầu tư trong tương lai cho nguồn nhân lực an ninh mạng.
3. Khuyến khích cộng tác với nhóm bảo mật
Theo quan điểm của Meller, có một cách tuyệt vời khác để xác định các ứng viên hàng đầu trong tổ chức là tạo ra các cơ chế khuyến khích nhân viên phối hợp trực tiếp với đội bảo mật về những ưu tiên quan trọng. Ví dụ: công ty của bạn có thể đã đầu tư vào một chương trình phát hiện lỗi, lỗ hổng bảo mật có thưởng để các tin tặc có thể tham gia, nhưng liệu công ty bạn có những cơ chế và chính sách khuyến khích dành cho nhân viên quan tâm đến bảo mật để động viên họ báo cáo các vấn đề an toàn mạng nội bộ.
Khi các chương trình giao tiếp nội bộ này được áp dụng, bạn có thể thấy mình không chỉ có nguồn nhân lực thân quen, những ứng viên tuyệt vời để lấp đầy các vị trí cấp dưới cho hiện tại, mà còn có tiềm năng nhanh chóng thăng tiến vào các vai trò có kinh nghiệm, Meller cho biết.
4. Đầu tư các chương trình chứng nhận nhân viên
Cũng theo Krehel, ngành công nghiệp an ninh mạng cần cam kết đào tạo nhân viên và cung cấp các nguồn lực mà họ cần ngay từ ngày đầu. Ông cho biết: “Các công ty nên tạo ra các chương trình để giúp những sinh viên mới tốt nghiệp được cấp chứng chỉ khi đang làm việc và học hỏi trong thời gian thực". Mặc dù chứng chỉ không thể bù đắp cho nhiều năm kinh nghiệm, nhưng Krehel cho rằng nó sẽ giúp các nhân viên cấp dưới và cấp trung có được nền tảng thực tế tốt trong tất cả các khía cạnh của an ninh mạng, bao gồm hoạt động bảo vệ, phát hiện và chính sách. Ngoài ra, việc cấp chứng chỉ có thể cũng sẽ giúp tăng khả năng giữ chân nhân viên thông qua cam kết đối với sự phát triển nghề nghiệp của mỗi cá nhân.
Thực tế, nhiều tổ chức, doanh nghiệp khi tuyển dụng nhân sự về an ninh mạng thường đặt ra rất nhiều yêu cầu trong phần mô tả công việc cũng như các chứng chỉ bắt buộc, khiến bộ phận nhân sự bỏ qua bất kỳ hồ sơ nào không bao gồm chúng. Tuy nhiên, có rất nhiều ứng cử viên an ninh mạng giỏi dù không học nền tảng chuyên ngành về STEM, kỹ thuật hay khoa học máy tính. Để khắc phục điều này, các nhà tuyển dụng nên xem xét danh sách công việc của họ và đưa ra các yêu cầu thực sự cần tại thời điểm đó cho vị trí đó. Sau khi được tuyển dụng, các ứng viên sẽ hoàn thiện dần các chứng chỉ cũng như bằng cấp cần thiết về an ninh mạng.
An ninh mạng là một lĩnh vực phát triển không ngừng, do đó, các nhân viên an ninh mạng cần liên tục học tập để đáp ứng nhu cầu của lĩnh vực này. Các tổ chức, doanh nghiệp cũng nên có các chính sách và cơ chế để hỗ trợ nhân viên phát triển sự nghiệp, ví dụ hỗ trợ học các chứng chỉ bảo mật, tạo cơ hội tham gia các khóa đào tạo nâng cao về an ninh mạng...
5. Thu hút sự quan tâm của giới nữ để tạo sự đa dạng trong nguồn nhân lực an ninh mạng
Đến cấp ba,có lẽ đã quá muộn để thu hút các cô gái vào thế giới an ninh mạng. Rowland nói rằng trung học cơ sở là lúc họ thực sự bắt đầu quyết định liệu khoa học máy tính có phù hợp với mình hay không. Rowland chia sẻ: “Nếu chúng ta có thể khiến các em gái quan tâm tới an ninh mạng ngay từ cấp trung học cơ sở, thì có khả năng giúp các em gắn bó và không còn quá đáng sợ nữa. Một khi hiểu được an ninh mạng là gì, các em có nhiều khả năng sẽ tiếp tục khám phá”.
6. Tạo ra một môi trường làm việc và văn hóa doanh nghiệp hấp dẫn để thu hút nhân viên
Để thu hút các nhân viên tiềm năng, các tổ chức, doanh nghiệp cần xây dựng một môi trường làm việc và văn hóa doanh nghiệp cho phù hợp. Điều này rất quan trọng khi tuyển dụng nhân viên với lứa tuổi hoặc nhân khẩu học khác nhau, đặc biệt là đối với các thế hệ Gen Z (những bạn trẻ được sinh từ năm 1996 trở đi) và thế hệ Millennials (những người sinh ra trong giai đoạn từ đầu thập niên 1980 đến đầu thập niên 2000).
“Làm cho nhân viên của bạn muốn trở thành một phần của tổ chức và muốn ở lại, thậm chí là giới thiệu bạn bè của họ trong lĩnh vực này”, Wesley Simpson, Giám đốc điều hành tại (ISC)2 khuyến nghị.
Theo ông, đối với thế hệ Gen Z, phản ứng của họ hoàn toàn khác so với các thế hệ trước: Các mong muốn về chế độ phúc lợi và lợi ích cũng như môi trường làm việc khá khác biệt, cách họ làm việc cũng khác. Do đó, các tổ chức, doanh nghiệp cần bắt đầu thay đổi để có thể thu hút và giữ chân các nhân viên mới.
Nguồn nhân lực an toàn thông tin tại Việt Nam
Hiện nay, chuyển đổi số đang là chiến lược nhằm kiến tạo xã hội số, hướng đến mô hình quản lý ưu việt, minh bạch và hiệu quả. Có thể nói, Việt Nam là một trong những quốc gia tiên phong trên thế giới đã xây dựng một chương trình chuyên đề về chuyển đổi số quốc gia, được Chính phủ phê duyệt. Năm 2021 được nhận định là thời điểm “vàng” cho chuyển đổi số. Tất cả các đơn vị, tổ chức, doanh nghiệp, cá nhân cần phải hành động ngay để khát vọng chuyển đổi số của Việt Nam sớm thành hiện thực. Tuy nhiên song song với chuyển đổi số thì nguy cơ mất an toàn thông tin được dự đoán có chiều hướng gia tăng, đe dọa đến sự phát triển ổn định của quốc gia. Bảo đảm an toàn, an ninh mạng được coi là yếu tố then chốt để chuyển đổi số thành công và bền vững, đồng thời là phần xuyên suốt, không thể tách rời của chuyển đổi số.
Những năm gần đây, nhận thức về đảm bảo an toàn an ninh mạng ở Việt Nam đã có những bước tiến triển đáng kể, có thể thấy qua sự hình thành hành lang pháp luật như Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018, sự phát triển của các doanh nghiệp và cộng đồng làm nghề đảm bảo an toàn an ninh mạng. Thị trường cũng có những dấu hiệu tích cực, dù chi tiêu cho đảm bảo an toàn an ninh mạng còn khiêm tốn. Tuy nhiên, nguy cơ mất an toàn an ninh mạng ở Việt Nam vẫn rất lớn. Việt Nam vẫn nằm trong các vị trí đứng đầu trong tốp các nước có lượng nhiễm mã độc, botnet... lớn trên thế giới.
Một thách thức từ lâu đối với ngành đảm bảo an toàn an ninh mạng của Việt Nam là sự thiếu hụt nguồn nhân lực. Đây là một ngành có tính đặc thù, tính chuyên gia rất cao, và hiện tại rất thiếu về chất và lượng, đồng thời Việt Nam còn có nguy cơ bị chảy máu chất xám ra các nước phát triển hơn. Theo các chuyên gia, sự thiếu hụt nguồn cung từ khâu đào tạo là vấn đề then chốt, nhận thức được những thách thức này, trong rất nhiều các chiến lược để đảm bảo an toàn thông tin mạng, Chính phủ đã chú trọng tới công tác phát triển nguồn nhân lực về an toàn thông tin. Nhiều chính sách đào tạo, khuyến khích mở rộng, phát triển và thu hút nhân tài ngành an toàn thông tin đã được áp dụng, triển khai đồng bộ trong cả nước. Đáng chú ý là, Thủ tướng Chính phủ đã phê duyệt Đề án “Đào tạo và phát triển nguồn nhân lực an toàn thông tin giai đoạn 2021 - 2025” (Quyết định số 21/QĐ-TTg, ngày 06/01/2021).
Mục tiêu tổng quát của Đề án là đào tạo, nâng cao kiến thức, kỹ năng về an toàn thông tin (ATTT) cho cán bộ, công chức, viên chức, người lao động trong cơ quan, tổ chức Nhà nước; hỗ trợ các cơ quan, tổ chức của Đảng, tổ chức chính trị - xã hội đào tạo, tập huấn về ATTT khi có đề nghị từ các cơ quan, tổ chức này; xây dựng và phát triển đội ngũ chuyên gia ATTT để bảo vệ cho các hệ thống thông tin của Đảng và Nhà nước.
Mục tiêu cụ thể là tổ chức 6.000 lượt đào tạo ngắn hạn về kiến thức, kỹ năng ATTT của người dùng cho các công chức, viên chức và người lao động có sử dụng thiết bị công nghệ thông tin (CNTT) khi làm việc của các cơ quan, tổ chức của Đảng, Nhà nước, tổ chức chính trị - xã hội, các doanh nghiệp, tổ chức kinh tế của nhà nước; lựa chọn và tổ chức đào tạo 200 chuyên gia ATTT để bảo vệ cho các hệ thống thông tin của Đảng và Nhà nước; đưa 150 giảng viên, nghiên cứu viên đi đào tạo, bồi dưỡng cập nhật về ATTT ở nước ngoài, trong đó có tối thiểu 70 tiến sĩ; đào tạo 5.000 thạc sĩ, kỹ sư, cử nhân ATTT;...
Với những chiến lược mang tầm quốc gia, chính sách nhất quán, đồng bộ, Việt Nam có cơ sở để tự tin sẽ không lo thiếu nguồn nhân lực về an toàn thông tin và hoàn thành khát vọng chuyển đối số quốc gia an toàn, bền vững.