Tìm hiểu về kiến trúc bảo mật và con đường sự nghiệp của kiến trúc sư bảo mật

Triển khai kiến ​​trúc bảo mật thường là một quá trình khó hiểu và không đơn giản trong các doanh nghiệp. Theo một khảo sát gần đây của Fortinet, các kiến trúc sư bảo mật được hỏi cho biết độ khó của việc triển khai các vấn đề bảo mật lên đến 45%, cao hơn hẳn các vấn đề khác mà họ phải đối mặt. Về cơ bản, kiến ​​trúc bảo mật bao gồm một số biện pháp phòng ngừa, kiểm soát những phát hiện và thực hiện điều chỉnh để bảo vệ cơ sở hạ tầng và ứng dụng của doanh nghiệp.

Vậy kiến trúc bảo mật (security architecture) thực sự là gì? Các thành phần và lợi ích của security architecture? Kiến trúc sư bảo mật  (security architect) làm gì và cần có những kỹ năng gì để làm tốt vai trò của mình? Cơ hội nghề nghiệp của các kiến trúc sư bảo mật ra sao? Họ cần những chứng chỉ gì? Lương bổng ra sao? Chúng ta hãy cùng tìm hiểu trong bài viết này

Kiến trúc bảo mật (security architecture)

Kiến trúc bảo mật là gì?

Kiến trúc bảo mật là một khuôn khổ (framework) xác định cấu trúc tổ chức, tiêu chuẩn, chính sách và hành vi chức năng của mạng máy tính, bao gồm cả tính năng bảo mật và mạng. Kiến trúc bảo mật cũng là cách thức mà các thành phần khác nhau của hệ thống mạng hoặc máy tính của bạn được tổ chức, đồng bộ hóa và tích hợp.

Khuôn khổ kiến ​​trúc bảo mật (security architecture framework) là một thành phần của kiến ​​trúc tổng thể của hệ thống. Nó được thiết kế và xây dựng để cung cấp hướng dẫn trong quá trình thiết kế toàn bộ sản phẩm hay hệ thống để vấn đề về bảo mật được tính đến và được đảm bảo trong quá trình vận hành.

Kiến trúc bảo mật giúp xác định các biện pháp kiểm soát an ninh và vi phạm cũng như cách chúng liên quan đến framework tổng thể của công ty bạn. Mục đích chính của các biện pháp kiểm soát này là duy trì các thuộc tính chất lượng quan trọng của hệ thống như tính bảo mật, tính toàn vẹn và tính khả dụng. Đó cũng là sức mạnh tổng hợp giữa kiến ​​thức phần cứng và phần mềm với trình độ lập trình, kỹ năng nghiên cứu và xây dựng chính sách.

Như vậy kiến trúc bảo mật thống nhất các phương pháp, quy trình và công cụ khác nhau để bảo vệ tài nguyên, dữ liệu và thông tin quan trọng khác của tổ chức. Sự thành công của kiến ​​trúc bảo mật chủ yếu dựa vào luồng thông tin liên tục trong toàn bộ tổ chức. Mọi người phải làm việc theo khuôn khổ và quy trình của kiến ​​trúc bảo mật đã được thiết kế.

Thành phần kiến ​​trúc bảo mật

Kiến trúc bảo mật liên quan đến các nguyên tắc và chính sách bảo mật hiện có, thay vì một hệ thống độc lập. Như vậy, nó không chỉ bao gồm tường lửa, chương trình chống vi-rút, phần mềm chống phần mềm độc hại, các công cụ và ứng dụng bảo mật khác để bảo vệ mạng của công ty. Kiến ​​trúc bảo mật bao gồm ba thành phần chính:

• Con người (People)
• Quy trình (Processes)
• Công cụ (Tools)

Lợi ích của kiến trúc bảo mật

1. Kiến trúc bảo mật mạnh mẽ dẫn đến ít vi phạm bảo mật, tăng tính cạnh tranh

Các doanh nghiệp cần phải có một security architecture framework mạnh mẽ để bảo vệ các thông tin quan trọng nhất của họ. Bằng cách tăng cường kiến trúc bảo mật doanh nghiệp có thể loại bỏ các điểm yếu bảo mật phổ biến, giảm đáng kể nguy cơ kẻ tấn công xâm nhập hệ thống.

Như một lợi ích bổ sung, với các biện pháp này, các doanh nghiệp có thể chứng minh mức độ đáng tin cậy của họ đối với các đối tác tiềm năng, có khả năng giúp họ đưa doanh nghiệp của mình vượt  lên trước các đối thủ cạnh tranh.

2. Các biện pháp bảo mật chủ động giúp tiết kiệm chi phí

Việc phát hiện và sửa chữa các lỗ hổng bảo mật tốn rất tốn kém. Lỗi càng được phát hiện muộn hơn trong chu kỳ phát triển sản phẩm, thì càng có thể tốn nhiều chi phí, công sức, chưa kể đến nguy cơ tổn hại đến danh tiếng.

Tích hợp bảo mật trong mỗi cấp độ phát triển sản phẩm có thể giảm nguy cơ xảy ra lỗi. Các sản phẩm được phát triển với bối cảnh bảo mật từ giai đoạn ý tưởng, và các công cụ và quy trình mới được phát triển (được cài đặt như một phần của quy trình kiến trúc bảo mật) giúp giảm nguy cơ lỗi ở mỗi giai đoạn tiếp theo.

3. Kiến trúc bảo mật có thể giúp giảm nhẹ các biện pháp kỷ luật trong trường hợp vi phạm

Mặc dù luật pháp trên toàn cầu khác nhau về hậu quả của một vụ vi phạm mạng, nhưng một doanh nghiệp càng cố gắng giảm thiểu rủi ro và ngăn chặn các lỗ hổng bảo mật, thì kết quả càng có lợi trong trường hợp bị tấn công. Nhìn chung, các cơ quan quản lý tôn trọng các tổ chức đã nỗ lực hết mình trong việc bảo vệ thông tin và trừng phạt những doanh nghiệp chỉ giả vờ cố gắng hoặc không cố gắng gì cả.

Tạo ra một kiến ​​trúc bảo mật mạnh mẽ, tích hợp bảo mật vào chu trình phát triển, sử dụng các công cụ và quy trình để phát hiện lỗi – đây là tất cả các bước quan trọng trong nỗ lực của một tổ chức để cho thấy rằng tổ chức đang cố gắng hết sức để tự bảo vệ mình trước các mối đe dọa mạng và tuân thủ tất cả các quy định liên quan với khả năng tốt nhất của nó.

Kiến trúc sư bảo mật

Kiến trúc sư bảo mật làm gì?

Bạn có những suy nghĩ giống như một hacker và như một giám đốc công nghệ thông tin của một doanh nghiệp tầm cỡ không? Bởi vì cả hai tư duy này đều cần thiết để trở thành một kiến ​​trúc sư bảo mật hiệu quả.

Công việc của kiến ​​trúc sư bảo mật là một vị trí cấp cao chịu trách nhiệm lập kế hoạch, thiết kế, thử nghiệm, triển khai và duy trì cơ sở hạ tầng máy tính và an ninh mạng của một tổ chức, doanh nghiệp, đảm bảo khuôn khổ kiến trúc bảo mật được tuân thủ.  Vai trò này đòi hỏi phải có kiến ​​thức sâu rộng về hoạt động kinh doanh của doanh nghiệp và hiểu biết toàn diện về công nghệ mà doanh nghiệp sử dụng trong hoạt động kinh doanh của mình.

Một số thuộc tính chính của một kiến ​​trúc sư bảo mật hiệu quả bao gồm:

• Khả năng suy nghĩ như một tin tặc để dự đoán và bảo vệ tổ chức của một người trước các rủi ro bảo mật thông tin
• Khả năng suy nghĩ như một nhà điều hành doanh nghiệp, quản lý các thành viên trong nhóm bảo mật và giao tiếp hiệu quả với các bên liên quan chính
• Kinh nghiệm và chuyên môn kỹ thuật để xây dựng cơ sở hạ tầng bảo mật từ đầu hoặc cập nhật các hệ thống hiện có để đáp ứng với những thay đổi liên tục trong bối cảnh bảo mật, bao gồm các rủi ro mới và tuân thủ các quy định hiện hành

Kiến trúc sư bảo mật còn được gọi là kiến ​​trúc sư an ninh mạng hoặc kiến ​​trúc sư bảo mật thông tin.

Trách nhiệm công việc của kiến ​​trúc sư an ninh mạng

Nhiệm vụ của kiến ​​trúc sư an ninh mạng có thể khác nhau theo ngành và theo nhu cầu riêng của công ty, nhưng trách nhiệm cốt lõi thường bao gồm những điều sau:

• Phát triển sự hiểu biết đầy đủ về công nghệ và hệ thống thông tin của một công ty
• Thiết kế, xây dựng, triển khai và hỗ trợ các hệ thống an ninh cấp doanh nghiệp
• Điều chỉnh chiến lược bảo mật của tổ chức và cơ sở hạ tầng với chiến lược kinh doanh và công nghệ tổng thể
• Xác định và truyền đạt các mối đe dọa bảo mật hiện tại và mới xuất hiện.
• Thiết kế các yếu tố kiến ​​trúc bảo mật để giảm thiểu các mối đe dọa khi chúng xuất hiện
• Lập kế hoạch, nghiên cứu và thiết kế kiến ​​trúc bảo mật mạnh mẽ cho bất kỳ dự án CNTT nào
• Thực hiện hoặc giám sát kiểm tra lỗ hổng bảo mật, phân tích rủi ro và đánh giá bảo mật
• Tạo ra các giải pháp cân bằng các yêu cầu kinh doanh với các yêu cầu về thông tin và an ninh mạng
• Xác định các lỗ hổng thiết kế bảo mật trong các kiến ​​trúc hiện có và được đề xuất và đề xuất các thay đổi hoặc cải tiến
• Xem xét và phê duyệt cài đặt tường lửa, VPN, bộ định tuyến, công nghệ quét IDS và máy chủ
• Kiểm tra hệ thống bảo mật để đảm bảo chúng hoạt động như mong đợi
• Sử dụng ngôn ngữ lập trình và công nghệ hiện tại để viết code, hoàn thành và thực hiện kiểm tra và gỡ lỗi các ứng dụng
• Cung cấp sự giám sát và hướng dẫn cho nhóm bảo mật
• Xác định, thực hiện và duy trì các chính sách và thủ tục bảo mật của công ty
• Đào tạo người dùng trong việc triển khai hoặc chuyển đổi hệ thống
• Phản ứng tức thời với các sự cố liên quan đến bảo mật và cung cấp các giải pháp khắc phục
• Thường xuyên trao đổi thông tin quan trọng, nhu cầu bảo mật và ưu tiên cho quản lý cấp trên

Con đường sự nghiệp của Security Architect

Trong hệ thống phân cấp CNTT của một tổ chức, Security Architect ở vị trí cao hơn Kỹ sư bảo mật hoặc nhà phân tích bảo mật và thấp hơn giám đốc công nghệ (Chief Technology Officer – CTO), giám đốc bảo mật (Chief Security Officer – CSO) hoặc giám đốc an ninh thông tin (Chief Information Security Officer – CISO).

Thông thường, để trở thành một kiến trúc sư an ninh mạng bạn thường phải có ít nhất năm năm kinh nghiệm trong các vai trò bảo mật thông tin. Dưới đây là con đường sự nghiệp khả thi nhất cho vị trí này:

Các vị trí bảo mật cấp độ đầu vào:

• Quản trị viên bảo mật (Security Administrator)
• Quản trị mạng (Network Administrator)
• Quản trị hệ thống (System Administrator)

Các vị trí cấp trung gian:

• Nhà phân tích bảo mật (Security Analyst)
• Kỹ sư bảo mật (Security Engineer)
• Tư vấn bảo mật (Security Consultant)
• Chuyên gia bảo mật (Security Specialist)

Trở thành một kiến ​​trúc sư bảo mật không hề dễ dàng, nhưng những lợi ích mà nó mang lại cho bạn vượt xa những thách thức mà bạn phải trải qua.

Kỹ năng cần có của Security Architect

Dưới đây là các kỹ năng và năng lực cần thiết để làm việc với vai trò này theo Csoonline.com

Kinh nghiệm

• Sử dụng các công nghệ mới nhất để thiết kế và triển khai các giải pháp bảo mật; giám sát và cải tiến các giải pháp đó trong khi làm việc với nhóm bảo mật thông tin.
• Tư vấn trong việc thiết kế và phát triển các phương pháp bảo mật tốt nhất; thực hiện các biện pháp bảo mật để đáp ứng các mục tiêu kinh doanh, nhu cầu của khách hàng và các yêu cầu theo luật định.
• Xem xét các vấn đề về bảo mật điện toán đám mây, bao gồm vi phạm dữ liệu, hack, chiếm đoạt tài khoản, nội gián độc hại, bên thứ ba, xác thực, chống tấn công có chủ đích (Advanced Persistent Threat – APT) , mất dữ liệu và tấn công DoS.
• Quản lý danh tính và quyền truy cập; theo dõi và tạo, thực thi các chính sách quản lý việc truy cập các tài nguyên công nghệ và tài sản thông tin nhạy cảm.

Những kỹ năng cơ bản của security architect

• Kỹ năng giao tiếp vượt trội; kỹ năng phân tích và tư duy phản biện mạnh mẽ
• Kỹ năng lãnh đạo, quản lý dự án và xây dựng nhóm mạnh mẽ, bao gồm khả năng lãnh đạo nhóm và thúc đẩy các sáng kiến ​​trong nhiều phòng ban
• Chứng minh được khả năng xác định các rủi ro liên quan đến các quy trình kinh doanh, vận hành, các dự án công nghệ và các chương trình bảo mật thông tin
• Khả năng hoạt động như một chuyên gia về các vấn đề bảo mật doanh nghiệp, người có thể giải thích các chủ đề phức tạp cho những người không có kiến ​​thức về kỹ thuật

Kỹ năng và kiến ​​thức kỹ thuật

Kiến trúc sư bảo mật cần có những kiến thức, kỹ năng sau:

• Hệ điều hành Windows, UNIX và Linux
• VB.NET, Java / J2EE, ColdFusion, dịch vụ API / web, ngôn ngữ kịch bản và hệ quản trị cơ sở dữ liệu quan hệ (RDBMS) như MS SQL Server hoặc Oracle.
• Nắm vững các tiêu chuẩn và giao thức bảo mật ngành liên quan bao gồm ISO27001, National Institute of Standards and Technology  (NIST),  Control Objectives for Information and Related Technologies (COBIT); Committee of Sponsoring Organizations (COSO) of Treadway Commission..
• Các thông số kỹ thuật ISO 27001 cho hệ thống quản lý bảo mật thông tin
• Router, switch và bảo mật VLAN; bảo mật không dây
• Quy trình đánh giá rủi ro, chính sách, các phương pháp chứng thực quyền dựa trên vai trò  (role-based authorization methodologies), công nghệ xác thực và tấn công bảo mật

Những thách thức mà Security architect phải đối mặt

Theo khảo sát của Fortinet, tổ chức về bảo mật có trụ sở tại California, dưới đây là các thách thức mà các security architect cho biết họ phải đối mặt

• Các kiến ​​trúc sư bảo mật cần học hỏi và phát triển nhiều hơn để đáp ứng với các xu hướng hiện tại trong an ninh mạng: Các kiến ​​trúc sư bảo mật cho biết họ đang phải vật lộn để bắt kịp với các tấn công ngày càng mở rộng, mức độ phức tạp bảo mật gia tăng và bối cảnh mối đe dọa hiện đại. Trong mỗi thể loại này, người trả lời cho rằng họ cần phải học hỏi và phát triển thêm để có thể xử lý tốt được các vấn đề (xem kết quả khảo sát trong hình bên dưới)

• Phát hiện và ngăn chặn sự xâm nhập là trọng tâm hàng đầu của các kiến ​​trúc sư bảo mật: Một sự phát triển đáng lo ngại trong lĩnh vực an ninh mạng là tính hiệu quả ngày càng tăng của những kẻ tấn công với việc truy quét dữ liệu thành công đã tăng lên. Kết quả là chi phí cho các sự cố bảo mật tăng nhanh. Việc ngăn chặn vi phạm cũng ngày càng khó khăn hơn, do các cuộc tấn công ngày càng tinh vi sử dụng Malware-as-a-Service (MaaS), AI và máy học (ML), IoT và các công nghệ tiên tiến khác.

• Sự phức tạp ngày càng tăng của an ninh mạng làm cho việc quản lý rủi ro trở nên khó khăn hơn đối với các kiến trúc sư bảo mật: hơn 3/4 (68%) kiến trúc sư bảo mật được hỏi cho biết không có kiến trúc bảo mật tích hợp đầy đủ. Thêm vào đó các tổ chức bảo mật cũng có một danh sách ngày càng tăng các yêu cầu tuân thủ mới và đang phát triển. Tất cả những yếu tố này có hậu quả trực tiếp đối với các kiến trúc sư bảo mật: 44% nói rằng độ phức tạp bảo mật tăng lên khiến việc quản lý rủi ro trở nên khó khăn hơn.

• Các kiến trúc sư bảo mật đang gặp phải tỷ lệ kiệt sức cao hơn do áp lực công việc: những tiến bộ trong các mối đe dọa đang khiến các kiến trúc sư bảo mật gặp phải tỷ lệ căng thẳng và kiệt sức trong công việc cao hơn. Nghiên cứu gần đây cho thấy 91% CISO (Chief Information Securiry Officer) phải đối mặt với căng thẳng từ mức độ trung bình đến cao. Sự kiệt sức đạt đến tỷ lệ khủng hoảng lĩnh vực an ninh mạng, nơi mà sai lầm phải trả giá đắt, mọi nhiệm vụ đều là nhiệm vụ quan trọng và tinh thần cảnh giác cao là trạng thái mặc định. 66 % các chuyên gia bảo mật cho biết nhóm của họ đang bị quá tải với khối lượng công việc ngày càng tăng, dẫn đến kiệt sức.

Công việc và mức lương của Kiến trúc sư An ninh mạng

Mức lương trung bình cao trả cho các kiến trúc sư bảo mật phản ánh cả kỹ năng và kinh nghiệm đáng kể cần thiết, cũng như sự thiếu hụt tổng thể về nhân tài an ninh mạng. Dữ liệu về mức lương theo năm sau đây được liệt kê bởi Robert Walters năm 2020 cho thị trường Việt Nam:

Không có số liệu chính xác lương về vị trí Security Architect nhưng số liệu về lương về Cybersecurity Engineer hay Solution Architect cũng mang đến cho bạn những con số tham khảo:

Chứng chỉ Kiến trúc sư An ninh mạng

Hầu hết các tổ chức yêu cầu kiến ​​trúc sư bảo mật của họ ít nhất phải có bằng cử nhân. Ngoài ra, bằng thạc sĩ trong lĩnh vực CNTT là một điểm cộng và bằng thạc sĩ về an ninh mạng là một điểm cộng lớn hơn nữa, theo CSOonline.

Ngoài nền tảng về giáo dục, một số chứng chỉ đáng chú ý nhất dành cho kiến ​​trúc sư an ninh mạng và các ngành nghề liên quan bao gồm:

• Certified Information Systems Security Professional – Information Systems Security Architecture Professional (CISSP-ISSAP)
• Certified Information Systems Security Professional (CISSP). Bạn có thể xem thêm về chứng chỉ này trong bài viết trước của ITguru: Tìm hiểu về chứng chỉ CISSP cùng cơ hội nghề nghiệp với chứng chỉ này
• Certified Information Security Manager (CISM)
• Certified Information Systems Auditor (CISA)
• SANS-related certifications such as GIAC Defensible Security Architecture (GDSA)

Tài liệu tham khảo:

1/https://blog.rsisecurity.com/what-is-the-purpose-of-cybersecurity-architecture/

2/https://dig8ital.com/resources/library/what-is-security-architecture-and-what-do-you-need-to-know

3/https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/08_Report/report-security-architect-and-cybersecurity.pdf

4/ Ảnh cover: Image by Pete from Pixabay