Giới thiệu sơ lược
Sự thiếu hụt lực lượng lao động an ninh mạng và khoảng cách năng lực vẫn tồn tại dai dẳng. Rủi ro nguy hiểm ngày một tăng trong năm 2021, nên các tổ chức cần hành động để phát triển lực lượng an ninh mạng của họ. Nhu cầu về chuyên gia an ninh mạng tăng mạnh trong thập kỷ qua: Năm 2020, nhu cầu vượt quá 500000 người so với nguồn lực hiện có ở Mỹ, và 4 triệu người ở thế giới.
Trong bối cảnh đại dịch COVID-10 vào tháng 3, ngành công nghiệp an ninh mạng thay đổi một cách chóng mặt khi hàng triệu nhân viên bắt đầu làm việc từ xa. Một vài công ty thực hiện thay đổi trên chỉ trong 1 đêm, khiến cho các chuyên gia an ninh mạng gấp rút tìm cách bảo mật môi trường làm việc từ xa ở đám mây, ngay cả khi các mối đe dọa mới có khả năng xảy ra. Tuy vậy, 1 năm sau đó, sự thiếu hút nhân lực và khoảng cách năng lực vẫn tiếp diễn.
Theo nghiên cứu lực lượng lao động an ninh mạng năm 2020 của (ISC)2, nhu cầu về lực lượng lao động an ninh mạng của thế giới giảm xuống 3.1 triệu người, nhưng ở Mỹ vẫn còn 400000 vị trí an ninh mạng còn trống, và lực lượng an ninh mạng toàn cầu tăng 89% phục vụ cho mục đích “bảo vệ tài sản công ty một cách hiệu quả”. Trong khi các sự cố bảo mật vẫn ở mức căn bản, và nhu cầu nguồn lược được thu hẹp một ít, 56% những người được phỏng vấn trả lời sự thiếu hụt nhân lực an ninh mạng khiến cho tổ chức của họ gặp rủi ro.
“Đây vẫn là một ngành công nghiệp mới nổi với các mối đe dọa thay đổi hằng ngày, bao gồm các tác nhân đe dọa mới, công nghệ mới và sự phát triển của 5G”, Erin Weiss Kaya nói, một chuyên gia chiến lược tài năng của Booz Allen cho các tổ chức mạng. “Tuy vậy chúng tôi vẫn đang đối phó với tỷ lệ thất nghiệp 0%, với nhu cầu nhiều hơn nguồn cung hiện tại”
“Nền công này sẽ vẫn phát triển trong năm 2021 cùng với các rủi ro, nên bắt buột phải tiến hành lập chiến lược và thu hút nhân tài để thu hẹp khoảng cách năng lực”, Ondrej Krehel nói, Giám đốc điều hành & Người sáng lập công ty an ninh mạng LIFARS và là một chuyên gia về điều tra và hacker mũ trắng. “Hackers ngày càng nhanh nhạy và thông minh hơn, do đó đội phòng thủ cũng cần phải làm tương tự, thực hiện xây dựng một đội vững chắc, đảm bảo công ty không bị ảnh hưởng do thiếu nhân lực.” Tìm người có kỹ năng không dễ dàng Tìm kiếm người có đủ năng lực không phải điều dễ dàng. Danh sách những kỹ năng kỹ thuật cần thiết, ngay cả ở mức độ khởi điểm, khá nhiều. Mức độ khởi điểm của mô tả công việc an ninh mạng thường giống với trình độ trung cấp ở các ngành khác do cần thêm bằng cấp liên quan đến bảo mật và vendor. “Việc này đẩy chuẩn lên ở mức không đạt đến được”, Krehel nói.
“Thêm vào đó, kỹ năng phi kỹ thuật, như tính nhanh nhẹn và linh hoạt, rất khó để đo lường và ra quyết định trong tuyển dụng”-Kaya nói, và các kỹ năng này cũng rất cần thiết. “Kỹ năng cần thiết không yêu cầu các thao tác hay công cụ kỹ thuật, mà là khả năng triển khai và diễn giải dữ liệu công cụ kỹ thuật ấy.”
Marcus Fowler, cựu giám đốc điều hành CIA và hiện là giám đốc ban chiến lược cho các mối đe dọa tại Darktrace, một công ty trí tuệ nhân tạo chuyên vào hệ thống mạng, ông thêm vào rằng tổ chức phải tìm cách nâng cao năng suất của đội an ninh mạng hiện tại. “Nếu không giải quyết được khoảng cách giữa công việc và nhân viên, cố gắng giải quyết sự thiếu hụt bằng cách tuyển dụng số lượng lớn thì vấn đề nảy sinh có thể lớn hơn”-ông nói. Các lực lượng lao động hiện có cần phải được hỗ trợ với các tính năng tự động, để các chuyên gia bảo mật có thể thực hiện công việc nhanh hơn và thông minh hơn.
Sử dụng trí tuệ nhân tạo, máy học (machine learning) để tiến hành xem xét tất cả sự cố là cách mà đội an nịnh mạng giành quyền kiểm soát, ông nói. Khả năng điều tra tự động được hỗ trợ bởi AI cho phép máy thực hiện việc phân loại, các công việc nặng nhọc trong điều tra, và các công việc ưu tiên. Điều này làm giảm thời gian và năng lượng của đội an ninh trong việc lập chiến lược điều khiển vòng tuần hoàn giải quyết sự cố. Dù vậy, việc lập chiến lược tuyển dụng cho đội an ninh mang vẫn cần thiết. “Nền công nghiệp vẫn còn theo định nghĩa truyền thống của việc tuyển dụng là đi tìm một nguồn cung tin cậy cho khả năng kỹ thuật. Chúng ta cần phải tìm ra: cơ chế của các kỹ năng trong mức độ khởi đầu của ngành an ninh mạng, và cách thức của các chương trình đào tạo kỹ năng được sử dụng để đạt được đến trình độ chuyên gia. Đây là 5 cách mà các chuyên gia cho rằng tổ chức có thể làm để phát triển nhân lực an ninh năm 2021 và về sau:
1. Làm các bài tuyển dụng trở nên thu hút
Theo tiến sĩ Pam Rowland, một trợ lý giáo sư về an ninh mạng tại Đại học Bang Dakota và là đồng sáng lập của tổ chức tiếp cận cộng đồng CybHER, các tổ chức cần phải xem lại các quảng cáo tuyển dụng tăng độ đa dạng của ứng viên. “Tuyển dụng đội ngũ có khả năng tư duy phản biện và tái thiết kế, hơn là sử dụng chiến lược cũ của 10 năm trước. Ví dụ, công ty nên bỏ các phối màu mang tính nam tính cao (WTF??), đồng thời xem xét lại danh sách yêu cầu tuyển dụng mà “không ai trên thế giới có thể đạt được”, cô nói. “Nghiên cứu cho rằng đàn ông nhìn vào danh sách và ứng tuyển ngay cả khi họ chỉ đạt được 25% trong yêu cầu, còn phụ nữ sẽ từ bỏ và cho rằng công việc không phải dành cho họ. Thay vào đó, tiến sĩ khuyên chỉ liệt kê các yêu cầu cần được ưu tiên, nhấn mạnh nhu cầu tìm người có ý chí học hỏi và tính phản biện.
2. Thu hút các kỹ sư phần mềm có tư duy bảo mật
Một cách hay để tăng lựa chọn tìm kiếm là thu hút có kỹ sư phần mềm có khả năng về an ninh mạng. Họ có nhiều khả năng cần thiết, và cần cơ hội để tăng độ hữu dụng bằng cách xây dựng các công cụ nhỏ theo ý muốn, Jason Meller nói, giám đốc điều hành và nhà sáng lập tại Kolide. Những công cụ này (bao gồm tính năng như quét lỗ hổng, pentest, và thu thập thông tinh đầu cuối) giải quyết nhưng vấn đề nhỏ không đáng để mua giải pháp từ vendor, đồng thời tạo điều kiện cho người mới vào nghề được thực hành để tăng khả năng, tốc độ và độ chính xác. “Đáng ngạc nhiên là nhiều tác giả của các công cụ bảo mật nguồn mở phổ biến thường không được đánh giá cao bởi công ty của họ”, ông nói. “Nếu như bạn tiếp cận những cá nhân này và cho họ một cơ hội tiếp tục phát triển chương trình mong muốn và quan sát cách hoạt động của nó trong thế giới thực, đôi bên đều có lợi: về phần bạn, bạn sẽ có được một chuyên gia an ninh đầy nhiệt huyết, luôn quan tâm đến tương lai đội an ninh của công ty và sự thành công của đồng nghiệp.
3. Tìm kiếm tài năng thông qua chính sách khích lệ
“Một cách tốt để nhận diện ứng viên ưu tú của tổ chức là hình thành cơ chế khích lệ để khuyến khích nhân viên chủ động phối hợp với đội an ninh mạng”, Meller nói. “Ví dụ, công ty của bạn có thể đầu tư vào các cuộc săn lỗi nhận thưởng (bug bounty) để hacker ngoài công ty hỗ trợ thông báo lỗi, nhưng có cơ chế hay chính sách thưởng nào dành cho các nhân viên có thể an toàn báo cáo lỗi trong nội bộ”. “Khi mà các cấu trúc giao tiếp nội bộ trên được hình thành, bạn có thể tìm được một ứng viên có khả năng cho vị trí Junior với tiềm năng phát triển nhanh”.
4. Đầu tư vào các chứng nhận cho nhân viên
Junior cần được hỗ trợ và cung cấp tài liệu cần thiết từ ngày 1 để có thể thành công, Krehel nói. “Công ty nên tạo các chương trình hỗ trợ các nhân viên vừa tốt nghiệp để họ có thể được chứng nhận trong khi còn làm việc”, ông nói. Mặc dù chứng chỉ không thể thay thế cho kinh nghiệm, Krehel cho rằng chúng giúp nhân viên có nền tảng vững trong mọi lĩnh vực của an ninh mạng, bao gồm vận hành, điều tra và lập chính sách. Điều này đồng thời tăng độ trung thành của nhân việc bằng cách thể hiện sự tận tụy của công ty cho sự phát triển cá nhân của nhân viên.
5. Giảm sự chênh lệch về giới tính bằng cách thu hút nữ sinh từ nhỏ
Đến cấp 3, có thể sẽ là quá muộn để thu hút nữ sinh vào thế giới an ninh mạng. Rowland cho rằng ở cấp 2, nữ sinh sẽ bắt đầu quyết định nếu khoa học máy tính có phải ngành nghề họ hay không. “Chúng tôi đã tìm ra cách cho các em cảm thấy thích thú với ngành ở cấp 2, kết quả là các em đã sẵn sàng để học các lớp ở cấp 3 mà không sợ khó nữa”, bà nói. “Một khi các em đã nắm được ý chính của an ninh mạng, các em sẽ tiếp tục học hỏi”
Viễn cảnh nhân lực an ninh mạng sau đại dịch
Năm 2020, kích thước thị trường công nghiệp an ninh mạng là $167.1 tỷ, và được dự đoán sẽ tăng theo tỉ lệ tăng trưởng hằng năm kép 10% từ 2020 đến 2027. Với mức độ tăng trưởng trên, phát triển đội ngũ an ninh sẽ khó hơn sau đại dịch nhiều lần. Theo Nghiên cứu lực lượng lao động an ninh mang của (ISC)2, 49% người được phỏng vấn yêu cầu tổ chức của họ tuyển dụng nhiều chuyên gia an ninh mạng hơn trong năm tới.
Mặc dù không có dấu hiệu thể hiện khoảng cách năng lực sẽ giảm trong công nghiệp an ninh mạng, Booz Allen’s Kaya lạc quan về chặng đường dài. Bà chỉ ra rằng những thay đổi chưa từng có và những mối đe dọa mới nổi trong năm qua đã thực sự khiến an ninh mạng trở thành một lĩnh vực đang phát triển thu hút nhiều người hơn.
“Tôi nghĩ rằng có rất nhiều sự quan tâm đến lĩnh vực này, và chúng tôi bắt đầu thay đổi yêu cầu truyền thống đầu vào để có thể tăng sự lựa chọn trong nhóm ứng viên, và có những cơ chế rất hiệu quả để đào tạo lại kỹ năng cho những cá nhân có tố chất và nền tảng để trở thành chuyên gia”, bà nói. “Đây là thời điểm thú vị cho lĩnh vực an ninh mạng: Bạn đang phải đối mặt với những thử thách hấp dẫn và cuộc sống của bạn luôn thay đổi từng ngày”.
Sự thiếu hụt lực lượng lao động an ninh mạng và khoảng cách năng lực vẫn tồn tại dai dẳng. Rủi ro nguy hiểm ngày một tăng trong năm 2021, nên các tổ chức cần hành động để phát triển lực lượng an ninh mạng của họ. Nhu cầu về chuyên gia an ninh mạng tăng mạnh trong thập kỷ qua: Năm 2020, nhu cầu vượt quá 500000 người so với nguồn lực hiện có ở Mỹ, và 4 triệu người ở thế giới.
Trong bối cảnh đại dịch COVID-10 vào tháng 3, ngành công nghiệp an ninh mạng thay đổi một cách chóng mặt khi hàng triệu nhân viên bắt đầu làm việc từ xa. Một vài công ty thực hiện thay đổi trên chỉ trong 1 đêm, khiến cho các chuyên gia an ninh mạng gấp rút tìm cách bảo mật môi trường làm việc từ xa ở đám mây, ngay cả khi các mối đe dọa mới có khả năng xảy ra. Tuy vậy, 1 năm sau đó, sự thiếu hút nhân lực và khoảng cách năng lực vẫn tiếp diễn.
Theo nghiên cứu lực lượng lao động an ninh mạng năm 2020 của (ISC)2, nhu cầu về lực lượng lao động an ninh mạng của thế giới giảm xuống 3.1 triệu người, nhưng ở Mỹ vẫn còn 400000 vị trí an ninh mạng còn trống, và lực lượng an ninh mạng toàn cầu tăng 89% phục vụ cho mục đích “bảo vệ tài sản công ty một cách hiệu quả”. Trong khi các sự cố bảo mật vẫn ở mức căn bản, và nhu cầu nguồn lược được thu hẹp một ít, 56% những người được phỏng vấn trả lời sự thiếu hụt nhân lực an ninh mạng khiến cho tổ chức của họ gặp rủi ro.
“Đây vẫn là một ngành công nghiệp mới nổi với các mối đe dọa thay đổi hằng ngày, bao gồm các tác nhân đe dọa mới, công nghệ mới và sự phát triển của 5G”, Erin Weiss Kaya nói, một chuyên gia chiến lược tài năng của Booz Allen cho các tổ chức mạng. “Tuy vậy chúng tôi vẫn đang đối phó với tỷ lệ thất nghiệp 0%, với nhu cầu nhiều hơn nguồn cung hiện tại”
“Nền công này sẽ vẫn phát triển trong năm 2021 cùng với các rủi ro, nên bắt buột phải tiến hành lập chiến lược và thu hút nhân tài để thu hẹp khoảng cách năng lực”, Ondrej Krehel nói, Giám đốc điều hành & Người sáng lập công ty an ninh mạng LIFARS và là một chuyên gia về điều tra và hacker mũ trắng. “Hackers ngày càng nhanh nhạy và thông minh hơn, do đó đội phòng thủ cũng cần phải làm tương tự, thực hiện xây dựng một đội vững chắc, đảm bảo công ty không bị ảnh hưởng do thiếu nhân lực.” Tìm người có kỹ năng không dễ dàng Tìm kiếm người có đủ năng lực không phải điều dễ dàng. Danh sách những kỹ năng kỹ thuật cần thiết, ngay cả ở mức độ khởi điểm, khá nhiều. Mức độ khởi điểm của mô tả công việc an ninh mạng thường giống với trình độ trung cấp ở các ngành khác do cần thêm bằng cấp liên quan đến bảo mật và vendor. “Việc này đẩy chuẩn lên ở mức không đạt đến được”, Krehel nói.
“Thêm vào đó, kỹ năng phi kỹ thuật, như tính nhanh nhẹn và linh hoạt, rất khó để đo lường và ra quyết định trong tuyển dụng”-Kaya nói, và các kỹ năng này cũng rất cần thiết. “Kỹ năng cần thiết không yêu cầu các thao tác hay công cụ kỹ thuật, mà là khả năng triển khai và diễn giải dữ liệu công cụ kỹ thuật ấy.”
Marcus Fowler, cựu giám đốc điều hành CIA và hiện là giám đốc ban chiến lược cho các mối đe dọa tại Darktrace, một công ty trí tuệ nhân tạo chuyên vào hệ thống mạng, ông thêm vào rằng tổ chức phải tìm cách nâng cao năng suất của đội an ninh mạng hiện tại. “Nếu không giải quyết được khoảng cách giữa công việc và nhân viên, cố gắng giải quyết sự thiếu hụt bằng cách tuyển dụng số lượng lớn thì vấn đề nảy sinh có thể lớn hơn”-ông nói. Các lực lượng lao động hiện có cần phải được hỗ trợ với các tính năng tự động, để các chuyên gia bảo mật có thể thực hiện công việc nhanh hơn và thông minh hơn.
Sử dụng trí tuệ nhân tạo, máy học (machine learning) để tiến hành xem xét tất cả sự cố là cách mà đội an nịnh mạng giành quyền kiểm soát, ông nói. Khả năng điều tra tự động được hỗ trợ bởi AI cho phép máy thực hiện việc phân loại, các công việc nặng nhọc trong điều tra, và các công việc ưu tiên. Điều này làm giảm thời gian và năng lượng của đội an ninh trong việc lập chiến lược điều khiển vòng tuần hoàn giải quyết sự cố. Dù vậy, việc lập chiến lược tuyển dụng cho đội an ninh mang vẫn cần thiết. “Nền công nghiệp vẫn còn theo định nghĩa truyền thống của việc tuyển dụng là đi tìm một nguồn cung tin cậy cho khả năng kỹ thuật. Chúng ta cần phải tìm ra: cơ chế của các kỹ năng trong mức độ khởi đầu của ngành an ninh mạng, và cách thức của các chương trình đào tạo kỹ năng được sử dụng để đạt được đến trình độ chuyên gia. Đây là 5 cách mà các chuyên gia cho rằng tổ chức có thể làm để phát triển nhân lực an ninh năm 2021 và về sau:
1. Làm các bài tuyển dụng trở nên thu hút
Theo tiến sĩ Pam Rowland, một trợ lý giáo sư về an ninh mạng tại Đại học Bang Dakota và là đồng sáng lập của tổ chức tiếp cận cộng đồng CybHER, các tổ chức cần phải xem lại các quảng cáo tuyển dụng tăng độ đa dạng của ứng viên. “Tuyển dụng đội ngũ có khả năng tư duy phản biện và tái thiết kế, hơn là sử dụng chiến lược cũ của 10 năm trước. Ví dụ, công ty nên bỏ các phối màu mang tính nam tính cao (WTF??), đồng thời xem xét lại danh sách yêu cầu tuyển dụng mà “không ai trên thế giới có thể đạt được”, cô nói. “Nghiên cứu cho rằng đàn ông nhìn vào danh sách và ứng tuyển ngay cả khi họ chỉ đạt được 25% trong yêu cầu, còn phụ nữ sẽ từ bỏ và cho rằng công việc không phải dành cho họ. Thay vào đó, tiến sĩ khuyên chỉ liệt kê các yêu cầu cần được ưu tiên, nhấn mạnh nhu cầu tìm người có ý chí học hỏi và tính phản biện.
2. Thu hút các kỹ sư phần mềm có tư duy bảo mật
Một cách hay để tăng lựa chọn tìm kiếm là thu hút có kỹ sư phần mềm có khả năng về an ninh mạng. Họ có nhiều khả năng cần thiết, và cần cơ hội để tăng độ hữu dụng bằng cách xây dựng các công cụ nhỏ theo ý muốn, Jason Meller nói, giám đốc điều hành và nhà sáng lập tại Kolide. Những công cụ này (bao gồm tính năng như quét lỗ hổng, pentest, và thu thập thông tinh đầu cuối) giải quyết nhưng vấn đề nhỏ không đáng để mua giải pháp từ vendor, đồng thời tạo điều kiện cho người mới vào nghề được thực hành để tăng khả năng, tốc độ và độ chính xác. “Đáng ngạc nhiên là nhiều tác giả của các công cụ bảo mật nguồn mở phổ biến thường không được đánh giá cao bởi công ty của họ”, ông nói. “Nếu như bạn tiếp cận những cá nhân này và cho họ một cơ hội tiếp tục phát triển chương trình mong muốn và quan sát cách hoạt động của nó trong thế giới thực, đôi bên đều có lợi: về phần bạn, bạn sẽ có được một chuyên gia an ninh đầy nhiệt huyết, luôn quan tâm đến tương lai đội an ninh của công ty và sự thành công của đồng nghiệp.
3. Tìm kiếm tài năng thông qua chính sách khích lệ
“Một cách tốt để nhận diện ứng viên ưu tú của tổ chức là hình thành cơ chế khích lệ để khuyến khích nhân viên chủ động phối hợp với đội an ninh mạng”, Meller nói. “Ví dụ, công ty của bạn có thể đầu tư vào các cuộc săn lỗi nhận thưởng (bug bounty) để hacker ngoài công ty hỗ trợ thông báo lỗi, nhưng có cơ chế hay chính sách thưởng nào dành cho các nhân viên có thể an toàn báo cáo lỗi trong nội bộ”. “Khi mà các cấu trúc giao tiếp nội bộ trên được hình thành, bạn có thể tìm được một ứng viên có khả năng cho vị trí Junior với tiềm năng phát triển nhanh”.
4. Đầu tư vào các chứng nhận cho nhân viên
Junior cần được hỗ trợ và cung cấp tài liệu cần thiết từ ngày 1 để có thể thành công, Krehel nói. “Công ty nên tạo các chương trình hỗ trợ các nhân viên vừa tốt nghiệp để họ có thể được chứng nhận trong khi còn làm việc”, ông nói. Mặc dù chứng chỉ không thể thay thế cho kinh nghiệm, Krehel cho rằng chúng giúp nhân viên có nền tảng vững trong mọi lĩnh vực của an ninh mạng, bao gồm vận hành, điều tra và lập chính sách. Điều này đồng thời tăng độ trung thành của nhân việc bằng cách thể hiện sự tận tụy của công ty cho sự phát triển cá nhân của nhân viên.
5. Giảm sự chênh lệch về giới tính bằng cách thu hút nữ sinh từ nhỏ
Đến cấp 3, có thể sẽ là quá muộn để thu hút nữ sinh vào thế giới an ninh mạng. Rowland cho rằng ở cấp 2, nữ sinh sẽ bắt đầu quyết định nếu khoa học máy tính có phải ngành nghề họ hay không. “Chúng tôi đã tìm ra cách cho các em cảm thấy thích thú với ngành ở cấp 2, kết quả là các em đã sẵn sàng để học các lớp ở cấp 3 mà không sợ khó nữa”, bà nói. “Một khi các em đã nắm được ý chính của an ninh mạng, các em sẽ tiếp tục học hỏi”
Viễn cảnh nhân lực an ninh mạng sau đại dịch
Năm 2020, kích thước thị trường công nghiệp an ninh mạng là $167.1 tỷ, và được dự đoán sẽ tăng theo tỉ lệ tăng trưởng hằng năm kép 10% từ 2020 đến 2027. Với mức độ tăng trưởng trên, phát triển đội ngũ an ninh sẽ khó hơn sau đại dịch nhiều lần. Theo Nghiên cứu lực lượng lao động an ninh mang của (ISC)2, 49% người được phỏng vấn yêu cầu tổ chức của họ tuyển dụng nhiều chuyên gia an ninh mạng hơn trong năm tới.
Mặc dù không có dấu hiệu thể hiện khoảng cách năng lực sẽ giảm trong công nghiệp an ninh mạng, Booz Allen’s Kaya lạc quan về chặng đường dài. Bà chỉ ra rằng những thay đổi chưa từng có và những mối đe dọa mới nổi trong năm qua đã thực sự khiến an ninh mạng trở thành một lĩnh vực đang phát triển thu hút nhiều người hơn.
“Tôi nghĩ rằng có rất nhiều sự quan tâm đến lĩnh vực này, và chúng tôi bắt đầu thay đổi yêu cầu truyền thống đầu vào để có thể tăng sự lựa chọn trong nhóm ứng viên, và có những cơ chế rất hiệu quả để đào tạo lại kỹ năng cho những cá nhân có tố chất và nền tảng để trở thành chuyên gia”, bà nói. “Đây là thời điểm thú vị cho lĩnh vực an ninh mạng: Bạn đang phải đối mặt với những thử thách hấp dẫn và cuộc sống của bạn luôn thay đổi từng ngày”.