Kỹ sư bảo mật được trả lương cao, đãi ngộ tốt, song vẫn khó tuyển dụng. Ảnh: Đức Thanh

Lương cao vẫn khó tuyển

Báo cáo thường niên của TopCV về thị trường tuyển dụng năm 2023 và nhu cầu năm 2024 cho thấy, IT phần mềm là nhóm ngành có nhu cầu tuyển dụng cao thứ hai tại Việt Nam, sau nhóm kinh doanh/bán hàng.

Qua khảo sát từ hơn 1.500 doanh nghiệp, 13,2% nói đang có nhu cầu lớn với đội ngũ IT phần mềm. Trong đó, chuyên viên hoặc nhân viên có trên 3 năm kinh nghiệm là những ứng viên được săn đón nhất, chiếm 28,57% lượng tuyển dụng.

Theo báo cáo này, nhân sự kỹ sư bảo mật dưới 1 năm kinh nghiệm có mức lương khởi điểm trung bình 16 - 20 triệu đồng, cao hơn nhiều so với mức lương của các mảng khác như kỹ sư kiểm thử phần mềm. Với nhân sự có kinh nghiệm 3-5 năm, còn được chào đón ở mức trên 36 triệu đồng/tháng. 

Lương cao, song nhân sự bảo mật tại Việt Nam không hề dễ tuyển dụng. Theo báo cáo của Bộ Thông tin và Truyền thông, tổng số lao động của doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin mạng hiện là 3.866 người, tăng 13% so với năm 2022, nhưng con số này còn quá ít để đáp ứng khối lượng công việc khổng lồ trước các xu thế tấn công mạng vào các tổ chức, doanh nghiệp, cá nhân…

Ông Phạm Trung Đức, chuyên gia an toàn thông tin Tập đoàn Bưu chính - Viễn thông Việt Nam (VNPT) đánh giá, số lượng nhân lực an toàn thông tin tại Việt Nam như “muối bỏ bể” so với nhu cầu thực tế. Trong khi đó, tại Singapore, quốc gia nhỏ hơn nhiều lần so với Việt Nam cả về diện tích và dân số, ước tính có hơn 77.400 nhân viên an ninh mạng. Theo tính toán thì Singapore vẫn thiếu hụt hơn 6.000 nhân viên trong lĩnh vực này.

Ông Hà Thế Phương, CEO của CMC Cyber Security cho hay, Việt Nam không chỉ thiếu hụt số lượng nhân lực an toàn thông tin, mà chất lượng cũng không đáp ứng. Đa số sinh viên ngành này tốt nghiệp, khi tuyển dụng chưa thể đưa vào làm các dự án. Trong khi đó, đào tạo nhân lực an toàn thông tin cũng có bất cập do các trường đang bị áp lực số lượng đào tạo, nhưng giáo viên giảng dạy thường là những người trái ngành chuyển sang. Đây là điểm cần lưu ý và tháo gỡ. Để giải quyết vấn đề thiếu nhân sự, nhiều công ty về an ninh mạng phải lấy sinh viên từ ngành khác về đào tạo lại để làm lĩnh vực này.

Tương tự, ông Vũ Ngọc Sơn, Giám đốc kỹ thuật  Công ty cổ phần Công nghệ an ninh mạng Quốc gia (NCS) cũng nhận định, nhân lực an toàn thông tin thiếu về lượng, yếu về chất.

“Chúng ta có một số chuyên gia an ninh mạng giỏi, hoàn toàn có thể tự tin ra thế giới. Nhưng tỷ lệ người giỏi còn quá ít. Người Việt Nam có thể chạm đến đỉnh cao xuất sắc, nhưng chưa thể tạo ra hệ thống nhân sự an toàn thông tin đủ lớp lang”, ông Vũ Ngọc Sơn nói.

Đồ họa: Thanh Huyền

Tăng cường khả năng thực chiến

Công ty An ninh mạng Viettel (VCS) có khoảng 700 nhân sự an ninh mạng. Một giải pháp được đưa ra là thực chiến chống tấn công mạng, xuất phát từ thực tế các hạ tầng trọng yếu của Viettel thường xuyên là đối tượng tấn công của các nhóm hacker có kỹ năng, được tổ chức cực kỳ bài bản. Mỗi năm, hệ thống phòng thủ của VCS ngăn chặn trung bình tới hơn 50.000 cuộc tấn công từ hacker toàn cầu vào hệ thống của Viettel và khách hàng.

Ông Nguyễn Sơn Hải, Giám đốc VCS cho rằng, việc đào tạo lý thuyết và thực chiến cần tiến hành cùng một thời điểm sẽ tốt nhất. Nếu sinh viên học xong, ra trường mới đào tạo về thực chiến chưa chắc đã tốt. Vì vậy, sinh viên ngành này cần có kiến thức cơ bản tốt và định hướng về công việc rõ ràng.

“Về bản chất, lĩnh vực an toàn thông tin cần nhiều kiến thức cơ bản về máy tính, khoa học máy tính, cấu trúc dữ liệu, lập trình. Những người giỏi về an toàn thông tin nắm chắc nhiều kiến thức, nhưng nếu các bạn học kiến thức này không biết làm nghề như thế nào thì lại là vấn đề. Thực chiến là quan trọng, nhưng kiến thức cơ bản cũng vô cùng quan trọng. Vì vậy, cần kết hợp giữa học và hành”, ông Hải chia sẻ.

Ông Vũ Ngọc Sơn cũng cho rằng, giải pháp đào tạo kết hợp với thực chiến tại các doanh nghiệp đã và đang mang lại hiệu quả cao.

“Với người làm an ninh mạng, vấn đề sống còn là phải bảo vệ hệ thống. Trong khi hệ thống bị tấn công thật, mà các bạn sinh viên chỉ học được ít lý thuyết thì không thể phòng chống được. Các bạn phải trải nghiệm các cuộc tấn công thật, thậm chí từng tấn công, từng phòng thủ, có cơ hội khắc phục sự cố ở tổ chức bị tấn công thì kiến thức học mới được áp dụng vào thực tiễn”, ông Sơn nói.

Cũng theo ông Sơn, việc đào tạo an ninh mạng trong các trường chủ yếu vẫn là lý thuyết, mỗi người lại hiểu khác nhau. Lý thuyết có thể nói một câu, nhưng không thể dùng một trang diễn giải được, nếu muốn hiểu phải có thực hành để hiểu ý nghĩa thực chất. Thậm chí, có những trường vẫn đào tạo lý thuyết an ninh mạng từ 20 năm trước. Vì vậy, bắt buộc doanh nghiệp phải đào tạo lại về thực chiến. Doanh nghiệp sẽ đưa nhân sự này vào các trường hợp cụ thể, được đi cùng các nhân viên của doanh nghiệp khi xử lý sự cố thật để được hướng dẫn, tiếp cận thực tế.

Ông Sơn ví von, đào tạo nhân lực an toàn thông tin cũng như đào tạo phi công, không chỉ bay giả lập, mà bắt buộc phải có bay thật, xử lý tình huống thật. Hay như đào tạo bác sỹ cũng phải trải qua quá trình thực tập khám chữa bệnh, chăm sóc bệnh nhân tại các bệnh viện rồi mới ra trường được. Vì vậy, đào tạo lĩnh vực an ninh mạng cần quy định phải có bao nhiêu thời gian thực chiến, rồi mới được vào làm việc tại các cơ quan.