Techcombank
Chuyên viên An ninh Thông tin (40001099)
Hà Nội
Technology Division
Chuyên viên
Mô tả công việc
## Mục tiêu
Người đảm nhiệm vị trí: Chịu trách nhiệm xây dựng, quản lý, tham gia phát triển một trong các mảng sau:
a. Mảng Phát triển ANTT : Đánh giá triển khai, phát triển giải pháp ANTT/Thiết kế, kiểm thử ANTT/ Đảm bảo tuân thủ tiêu chuẩn ANTT (của Việt Nam và Quốc tế)
b. Mảng Quản trị ANTT: Thực hiện các hoạt động quản trị về ANTT định danh và truy cập/ANTT mạng/ANTT thiết bị đầu cuối và dữ liệu
c. Mảng Hoạch định ANTT: Thực hiện kiểm soát thực thi theo chính sách, tiêu chuẩn an ninh thông tin cho các ứng dụng, hạ tầng của Techcombank và các đối tác, nhà cung cấp, đảm bảo phù hợp với yêu cầu an ninh thông tin của Ngân hàng. Thực hiện xây dựng, triển khai các công cụ và kỹ thuật an ninh thông tin cho ngân hàng.
d. Mảng Kiểm thử ANTT: Thực hiện các hoạt động tấn công kiểm thử cho hệ thống công nghệ nhằm phát hiện các lỗ hổng/ điểm yếu và cung cấp các giải pháp khắc phục nhanh chóng kịp thời.
e. Mảng Giám sát ANTT: Giám sát phát hiện tất cả các sự kiện/sự cố tấn công một cách nhanh nhất có thể (realtime) dựa trên các sự kiện được tổng hợp từ các hệ thống ANTT cũng như các thành phần công nghệ khác. Tham gia vào quá trình điều tra truy vết và xử lý các sự cố an ninh thông tin.
## Trách nhiệm chính (1)
1. Mảng Phát triển An ninh thông tin
- Tham gia các dự án, phát triển, triển khai công nghệ để đảm bảo An ninh thông tin cho các hệ thống sẽ được xây dựng, bao gồm các công đoạn: phân tích, xây dựng yêu cầu An ninh thông tin, thiết kế An ninh thông tin, threat modeling, rà soát mã nguồn, kiểm thử và xây dựng các biện pháp kiểm soát đảm bảo An ninh thông tin.
- Nghiên cứu, xây dựng các giải pháp An ninh thông tin cần thiết để ngăn chặn các cuộc tấn công, sự cố An ninh thông tin, đảm bảo an ninh, an toàn cho toàn bộ hệ thống thông tin của ngân hàng.
- Phối hợp với bộ phận giám sát An ninh thông tin tham gia xử lý các sự cố An ninh thông tin.
- Thiết lập và giám sát việc thực hiện quy trình, quy định, tiêu chuẩn, hướng dẫn, chính sách An ninh thông tin của TCB theo quy định của chính phủ và các tổ chức quốc tế
- Thực hiện và duy trì tuân thủ các tiêu chuẩn quốc tế PCI-DSS, ISO, SWIFT CSP.
- Thực hiện và duy trì tuân thủ các chính sách của TCB, thông tư, quy định của Ngân hàng Nhà Nước.
- Thường xuyên thực hiện kiểm tra tính tuân thủ, toàn vẹn
của cấu hình chính sách bảo mật trong hệ thống nội bộ TCB phát hiện các hành vi vi phạm hoặc tấn công nội bộ.
- Phối hợp với các đơn vị Đánh giá Tuân thủ, Quán lý rủi ro để đánh giá mức độ tuân thủ của hệ thống công nghệ theo các chính sách, quy định, tiêu chuẩn, quy trình, danh sách kiểm tra.
## Trách nhiệm chính (2)
2. Mảng Kiểm thử An ninh thông tin
- Thực hiện chiến lược đảm bảo An ninh thông tin:
+ Tham gia thực hiện chiến lược An ninh thông tin thông qua việc cung cấp các số liệu đầu vào về xu hướng tấn công, các dạng thức khai thác và rủi ro phát sinh trong từng giai đoạn.
+ Tham gia thực hiện kế hoạch triển khai đảm bảo An ninh thông tin hàng năm, đáp ứng nhu cầu kinh doanh và vận hành của ngân hàng thông qua việc thực hiện các chương trình kiểm thử An ninh thông tin cho hoạt động công nghệ của ngân hàng.
+ Xây dựng phương pháp kiểm tra thâm nhập, kịch bản quét bảo mật thông tin và kiểm tra bảo mật theo tiêu chuẩn quốc tế như OSSTMM, Sans và OWASP.
+ Phát triển các kỹ thuật mới, các kịch bản và chương trình khai thác để tự động kiểm tra thâm nhập
- Thực hiện hoạt động tấn công kiểm thử:
+ Trực tiếp thực hiện rà soát phát hiện các điểm yếu, đánh giá khả năng khai thác điểm yếu và tiến hành kiểm tra thâm nhập / khai thác định kỳ hoặc theo yêu cầu của lãnh đạo Khối cho tất cả các hệ thống / ứng dụng; thử nghiệm thâm nhập cho hệ thống / ứng dụng sau khi phát hiện trực tiếp hoặc bất cứ khi nào trải qua một thay đổi lớn. Các phương pháp kiểm thử phải đảm bảo tính thực tế bao gồm cả kĩ thuật (công nghệ) và phi kĩ thuật (con người, quy trình, tài sản vật lý). Từ đó cung cấp lại cho CISO cũng như các bộ phận An ninh thông tin khác để có các chương trình xử lý các vấn đề của điểm yếu hệ thống có thể bị khai thác được.
+ Thực hiện quét lỗ hổng thường xuyên, kiểm tra bảo mật thông tin để tìm ra lỗ hổng trong hệ thống và cung cấp giải pháp khắc phục / khắc phục; hỗ trợ duy trì tuân thủ các tiêu chuẩn an ninh thế giới như PCI-DSS, ISO27001, SCP (swift).
+ Thực hiện phát triển và quản lý chương trình quản lý lỗ hổng, cơ sở dữ liệu tình báo mối đe dọa. Thu thập, theo dõi các số liệu và phân tích xu hướng về phòng thủ không gian mạng, mối đe dọa, các cuộc tấn công được phát hiện, các lỗ hổng và các biện pháp xử lý/ngăn chặn.
+ Chủ động nghiên cứu / tìm ra lỗ hổng mới, kỹ thuật khai thác và các mối đe dọa trên mạng; xác định xu hướng trong bảo mật mạng liên quan đến chiến thuật, kỹ thuật và quy trình, nhắm mục tiêu để phát triển và triển khai phần mềm độc hại.
+ Trực tiếp tham gia vào kế hoạch thực nghiệm phản ứng với sự cố An ninh thông tin với tư cách là đơn vị tấn công và trong trường hợp sự cố An ninh thông tin thực tế là đội phản ứng. Phối hợp và cung cấp kỹ năng kỹ thuật phòng thủ không gian mạng chuyên gia để giải quyết các sự cố tấn công mạng
## Trách nhiệm chính (3)
3. Mảng Quản trị An ninh thông tin
- Xây dựng/điều chỉnh và thực thi MTPQ của các hệ thống.
- Xây dựng các yêu cầu, biện pháp nhằm kiểm soát truy cập và bảo vệ dữ liệu của ngân hàng.
- Xây dựng, duy trì, tối ưu chính sách/tập luật/cấu hình An ninh thông tin cho các giải pháp đảm bảo An ninh thông tin như: Các giải pháp An ninh thông tin về quản lý định danh truy cập (PAM, IAM…); Các giải pháp An ninh thông tin về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…); Các giải pháp An ninh thông tin về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…); Các giải pháp An ninh thông tin về dữ liệu (DLP, FAM…).
- Thẩm định, đánh giá, rà soát:
+ Công tác thực thi phân quyền đảm bảo tuân thủ theo ma trận phân quyền.
+ Công tác cấp phát, thu hồi tài khoản đặc quyền và chứng thư số trên các hệ thống công nghệ.
+ Các yêu cầu ngoại lệ liên quan đến định danh, quyền truy cập trên các hệ thống công nghệ
+ Các yêu cầu thay đổi trên các giải pháp đảm bảo An ninh thông tin.
- Quản trị rủi ro và tuân thủ
+ Nhận biết rủi ro của bộ phận trong quá trình hoạt động, đảm bảo tuân thủ đúng các quy trình, quy định của ngân hàng. Phối hợp với các đơn vị liên quan xử lý rủi ro.
+ Thực hiện các hoạt động xử lý rủi ro theo các báo cáo của các bộ phân kiểm toán bên trong/bên ngoài Ngân hàng.
## Chân dung Thành công - Bằng cấp, Kinh nghiệm
Bằng cấp:
- Tốt nghiệp chuyên ngành CNTT, Toán tin hoặc Điện tử viễn thông
- Tiếng anh: Theo quy định hiện hành của Ngân hàng (Toeic dưới 550)
- Các chứng chỉ về an ninh thông tin như CEH, chứng chỉ triển khai đánh giá PCI DSS, ISO
- Có các chứng chỉ về bảo mật ISC2 SSCP là một lợi thế
- Có các chứng chỉ của các hãng cung cấp các giải pháp đảm bảo ANTT như Microsoft/Cisco/PaloAlto/Checkpoint/Cyberark/Sailpoint…
- Có chứng chỉ về an ninh thông tin như SANS SEC642, SANS SEC575. OSCE, OSCP, CEH
Kinh nghiệm:
- Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông từ 3 năm. Kinh nghiêm bao gồm các khía cạnh:
+ Nghiên cứu, thiết kế, triển khai và đánh giá trong lĩnh vực ANTT tại các mảng
+ Triển khai PCI-DSS, ISO, Swift CSP… Tham gia triển khai xây dựng, kiểm soát tuân thủ tiêu chuẩn ANTT đối với hệ thống CNTT
- Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông. Kinh nghiêm bao gồm các khía cạnh:
+ Kinh nghiệm trong hoạt động nghiên cứu lỗ hổng bảo mật, phát triển các kĩ thuật/công cụ tấn công, thực hiện tấn công kiểm thử các hệ thống công nghệ bằng các biện pháp kĩ thuật và phi kĩ thuật (01 năm trở lên)
- Có kinh nghiệm triển khai, quản trị, vận hành chuyên sâu về mặt chính sách, tập luật, cấu hình ANTT tối thiểu một trong các mảng sau tại các tổ chức tài chính/dịch vụ/ viễn thông (2-3 năm):
- Các giải pháp ANTT về quản lý định danh truy cập (PAM, IAM…);
- Các giải pháp ANTT về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…);
- Các giải pháp ANTT về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…);
- Các giải pháp ANTT về dữ liệu (DLP, FAM…).
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho vị trí Chuyên viên ANTT tại Techcombank
### 1. Hard Skills (Kỹ năng chuyên môn)
#### a) Kiến thức bắt buộc
| Lĩnh vực | Yêu cầu cụ thể |
|----------|----------------|
| **Mạng & Hệ thống** | TCP/IP, OSI, Firewall (PaloAlto, Checkpoint, Fortinet), NAC, IDS/IPS, VPN, DDoS protection |
| **Identity & Access** | IAM, PAM (CyberArk, SailPoint), LDAP, AD, RBAC/ABAC |
| **Endpoint Security** | HIPS/HFW, Application Control, EDR, DLP, Antivirus |
| **Database Security** | DB firewall, privilege management, encryption at rest/transit |
| **Penetration Testing** | OWASP Top 10, OSSTMM methodology, PTES, CVE research |
| **Coding/Scripting** | Python, Bash, PowerShell (phục vụ automation & exploit development) |
| **Compliance** | PCI-DSS, ISO 27001, SWIFT CSP, NIST, Basel/TT220 |
#### b) Chứng chỉ gợi ý theo mảng
**Bắt buộc nên có:**
- **CEH** (Certified Ethical Hacker) — entry-level, phổ biến nhất
- **OSCP** (Offensive Security Certified Professional) — vào vai trò kiểm thử tấn công
**Nâng cao (là lợi thế lớn):**
- **OSCE/OSCE3** (Advanced Pen Testing)
- **CISSP** — nếu muốn phát triển lâu dài sang quản lý ANTT
- **CISM** — quản trị ANTT
- **SANS SEC642** (Advanced Web App Penetration Testing)
- **SANS SEC575** (Mobile Device Security)
- **Vendor certifications**: CyberArk Sentry/Vanguard, SailPoint, PaloAlto ACE, Cisco CCNP Security
**Về tiếng Anh:**
- Yêu cầu khá nhẹ: **TOEIC dưới 550** (tương đương B1)
- Tuy nhiên, tài liệu kỹ thuật chuyên môn 90% là tiếng Anh, cần đọc-hiểu tốt
---
### 2. Soft Skills (Kỹ năng mềm)
| Kỹ năng | Tại sao quan trọng |
|---------|-------------------|
| **Phân tích & giải quyết vấn đề** | Xử lý sự cố ANTT đòi hỏi tư duy phân tích nhanh dưới áp lực |
| **Giao tiếp** | Phối hợp với nhiều bộ phận (DEV, OPS, Risk, Audit), trình bày báo cáo cho CISO |
| **Viết tài liệu** | Xây dựng chính sách, quy trình, báo cáo tuân thủ |
| **Quản lý thời gian** | Nhiều dự án cùng lúc, deadline kiểm thử định kỳ |
| **Tự học** | Lĩnh vực ANTT thay đổi liên tục, phải cập nhật xu hướng tấn công mới |
---
### 3. So sánh vị trí tương đương tại các ngân hàng khác
| Tiêu chí | Techcombank | VietinBank | VPBank | ACB |
|----------|-------------|------------|--------|-----|
| **Mức lương** | Thỏa thuận (thường cao) | 15-25 triệu | 20-30 triệu | 18-25 triệu |
| **Yêu cầu chứng chỉ** | Rất cao | Trung bình | Cao | Trung bình |
| **Quy mô đội nhóm** | Tập trung, chuyên sâu | Trung bình | Trung bình | Nhỏ |
| **Công nghệ** | Hiện đại (cloud-first) | Legacy + modern | Hybrid | Legacy |
| **Phúc lợi** | Rất tốt (bảo hiểm cao cấp, bonus) | Theo quy định nhà nước | Tốt | Khá |
> **Nhận định:** Techcombank đang trong giai đoạn chuyển đổi số mạnh, đầu tư lớn vào Cybersecurity. Mức lương thỏa thuận có thể lên tới **35-60 triệu/tháng** cho ứng viên có 3-5 năm kinh nghiệm + OSCP/CEH.
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn vị trí Chuyên viên ANTT tại Techcombank
### 1. Quy trình phỏng vấn thông thường
**Vòng 1: Sàng lọc hồ sơ (HR)**
- Gọi điện xác nhận thông tin cơ bản
- Tìm hiểu động lực, mức lương mong đợi
- Đánh giá kỹ năng tiếng Anh sơ bộ
**Vòng 2: Technical Interview (Trưởng bộ phận/CISO)**
- Phỏng vấn chuyên môn sâu
- Có thể có bài kiểm tra thực hành (hands-on lab)
- Thời lượng: 60-90 phút
**Vòng 3: Manager Interview**
- Đánh giá văn hóa phù hợp, tư duy làm việc
- Hỏi về kinh nghiệm dự án cụ thể
**Vòng 4: HR/Final (có thể)**
- Thương lượng lương, phúc lợi
- Đánh giá fit với tổ chức
---
### 2. Câu hỏi hay gặp theo từng vòng
#### Vòng HR:
- "Tại sao bạn muốn chuyển sang an ninh thông tin?"
- "Bạn có những chứng chỉ gì liên quan đến ANTT?"
- "Kỳ vọng lương của bạn là bao nhiêu?"
- "Bạn biết gì về Techcombank và chiến lược công nghệ của họ?"
#### Vòng Technical (quan trọng nhất):
**Mảng Kiểm thử ANTT:**
- "Mô tả quy trình pentest một ứng dụng web từ đầu đến cuối"
- "OWASP Top 10 2021 có những lỗ hổng nào? Cho ví dụ thực tế"
- "Làm thế nào để kiểm thử SQL Injection mà không làm hỏng hệ thống?"
- "Sự khác nhau giữa SAST, DAST, IAST là gì?"
- "Bạn biết gì về SSRF, IDOR, XXE?"
**Mảng Quản trị ANTT:**
- "Mô tả cách thiết lập chính sách mật khẩu theo best practice"
- "Zero Trust Architecture là gì? Ứng dụng như thế nào trong ngân hàng?"
- "Phân biệt IAM, PAM, IDM?"
- "Triển khai DLP cần lưu ý những gì?"
**Mảng Tuân thủ:**
- "PCI-DSS gồm những requirement nào? Những requirement nào khó nhất?"
- "ISO 27001 khác gì PCI-DSS?"
- "Khi audit yêu cầu evidence gồm những gì?"
**Mảng Ứng phó sự cố:**
- "Phát hiện server bị compromised, bạn xử lý như thế nào?"
- "Mô tả các bước forensic investigation sau một sự cố?"
- "SOC tier 1, 2, 3 khác nhau thế nào?"
**Kịch bản thực hành (hands-on):**
- Lab kiểm thử XSS, SQLi trên môi trường sandbox
- Phân tích log để phát hiện intrusion
- Thiết kế kiến trúc bảo mật cho một ứng dụng banking
#### Vòng Manager:
- "Mô tả một dự án ANTT khó nhất bạn từng làm và cách bạn giải quyết?"
- "Bạn làm việc với DEV team như thế nào khi yêu cầu bảo mật mâu thuẫn với deadline?"
- "Xu hướng tấn công mạng nào đáng lo ngại nhất cho ngân hàng hiện nay?"
- "Bạn có kế hoạch phát triển sự nghiệp như thế nào trong 3-5 năm tới?"
---
### 3. Tips chuẩn bị
**✅ Nên làm:**
- Ôn kỹ OWASP Top 10, PTES/OWASP Testing Guide
- Chuẩn bị portfolio các pentest report/responsible disclosure
- Tìm hiểu Techcombank đang sử dụng công nghệ gì (họ dùng nhiều giải pháp PaloAlto, CyberArk)
- Đọc các báo cáo tình báo mối đe dọa của Việt Nam (CNCERT, BKAV)
- Thực hành trên HackTheBox, TryHackMe, VulnHub
- Chuẩn bị câu chuyện về 1-2 sự cố ANTT thực tế đã xử lý
**❌ Không nên:**
- Nói "tôi biết hết" — ANTT là lĩnh vực rất rộng, thừa nhận điểm mạnh/yếu
- Tập trung quá nhiều vào lý thuyết mà không có kinh nghiệm thực hành
- Đánh giá thấp tầm quan trọng của tuân thủ (compliance) trong ngân hàng
---
### 4. Dress Code
- **Business casual** (áo sơ mi, quần âu/khaki)
- Techcombank là ngân hàng tư nhân hiện đại, không quá formal
- Với vòng technical có thể smart casual
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí ANTT tại Techcombank
### 1. Lộ trình chuẩn bị 2 tuần
**Tuần 1: Củng cố kiến thức nền tảng**
| Ngày | Chủ đề | Tài liệu |
|------|--------|----------|
| Ngày 1-2 | OSINT & Reconnaissance | TryHackMe, PortSwigger Academy |
| Ngày 3 | Web Application Testing (OWASP) | OWASP Top 10 2021, PortSwigger Web Academy |
| Ngày 4-5 | Network Penetration Testing | PTES, Cybrary, Practical Ethical Hacking |
| Ngày 6-7 | Privilege Escalation & Post-Exploitation | HackTheBox, Tibrious blog |
**Tuần 2: Chuyên sâu & Thực hành**
| Ngày | Chủ đề | Tài liệu |
|------|--------|----------|
| Ngày 8-9 | Compliance (PCI-DSS, ISO 27001) | Official PCI-DSS v4.0, ISO 27001:2022 |
| Ngày 10 | IAM/PAM Solutions | CyberArk docs, SailPoint fundamentals |
| Ngày 11 | SOC/SIEM & Log Analysis | Splunk fundamentals, Elastic stack basics |
| Ngày 12 | Incident Response & DFIR | SANS DFIR, incidentresponse.com |
| Ngày 13-14 | Ôn tập tổng hợp + Mock interview | Thực hành CTF, tự đặt câu hỏi |
---
### 2. Tài liệu tham khảo bắt buộc
**Về Kiểm thử ANTT:**
- **OWASP Testing Guide v4.2** — tiêu chuẩn kiểm thử web app
- **PTES (Penetration Testing Execution Standard)** — framework pentest
- **OSSTMM** — tiêu chuẩn kiểm thử bảo mật quốc tế
- **CEH Study Guide** (Sybil Ingram/Eric Cole) — ôn thi CEH
**Về Tuân thủ:**
- **PCI-DSS v4.0** (official documentation) — miễn phí tải trên pcisecuritystandards.org
- **ISO/IEC 27001:2022** — framework quản trị ANTT
- **SWIFT CSP Customer Security Program** — yêu cầu riêng của ngân hàng
**Về Công nghệ cụ thể (tuỳ mảng bạn ứng tuyển):**
- PaloAlto Firewall Administration (PAN-OS)
- CyberArk PAM Implementation Guide
- Fortinet/Cisco Security Solutions
**Thực hành:**
- **HackTheBox** (machine lab, OSCP-like)
- **TryHackMe** (beginner-friendly, có đường lối đào tạo)
- **PortSwigger Web Academy** (miễn phí, rất chất lượng)
- **VulnHub** (download VM vulnerable để thực hành local)
- **CyberDefenders / DFIR** (học phân tích sự cố)
---
### 3. Kiến thức nền tảng cần nắm vững
**Networking:**
- TCP/UDP handshake, routing, VLAN, VPN
- Các protocol: HTTP/S, DNS, SMB, LDAP
- Firewall rules, NAT, PAT
**System Administration:**
- Linux (CentOS, Ubuntu): user management, cron, log analysis
- Windows AD: GPO, NTFS permissions, Kerberos
- Container (Docker/Kubernetes) basics
**Programming:**
- Python (requests, scapy, nmap library — tự động hóa)
- Bash scripting
- Hiểu cơ bản: SQL, JavaScript, HTML
**Cryptography:**
- Encryption (symmetric/asymmetric), hashing
- TLS/SSL handshake
- PKI, digital certificates
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho vị trí ANTT tại Techcombank
### 1. Lộ trình thăng tiến điển hình
```
Junior Security Engineer (0-2 năm)
↓
Security Engineer / Penetration Tester (2-5 năm) ← Bạn đang ở đây
↓
Senior Security Engineer / Team Lead (5-7 năm)
↓
Security Architect / CISO Advisory (7-10 năm)
↓
CISO / VP of Security (10+ năm)
```
**Cụ thể tại Techcombank:**
- **Chuyên viên ANTT** → **Senior Security Engineer** (2-3 năm)
- **Senior** → **Security Lead/Architect** (2-3 năm nữa)
- Techcombank có chính sách đào tạo nội bộ mạnh, hỗ trợ chứng chỉ quốc tế
---
### 2. Mức lương kỳ vọng theo cấp bậc (tham khảo)
| Cấp bậc | Kinh nghiệm | Mức lương VNĐ/tháng |
|---------|-------------|---------------------|
| Junior (Fresher/Senior mới) | 0-2 năm | 15-25 triệu |
| Mid-level (Security Engineer) | 2-5 năm | 25-40 triệu |
| Senior | 5-8 năm | 40-65 triệu |
| Lead/Architect | 8+ năm | 65-100+ triệu |
**Techcombank** thường trả **premium 20-30%** so với mặt bằng thị trường, cộng thêm:
- Performance bonus: 2-4 tháng lương
- Stock options (cho vị trí senior)
- Phúc lợi cao cấp: bảo hiểm sức khỏe family, meal allowance, parking
---
### 3. Kỹ năng cần phát triển thêm
**Short-term (6-12 tháng đầu):**
- Lấy **OSCP** nếu chưa có — đây là "visa" vào mảng offensive security
- Thành thạo ít nhất 1 SIEM (Splunk, Elastic, QRadar)
- Hiểu sâu hơn về cloud security (AWS/GCP/Azure) — Techcombank đang cloud-first
**Medium-term (1-3 năm):**
- **CISSP** hoặc **CISM** để chuyển hướng governance/risk
- OSCP → OSCE để nâng level offensive
- Học thêm về DevSecOps — "security as code" đang là xu hướng
**Long-term (3-5 năm):**
- Security Architecture (TOGAF, SABSA)
- Quản lý đội nhóm, dự án
- Có thể chuyên sâu một mảng: AppSec, CloudSec, DFIR
---
### 4. Lời khuyên thực tế
**🔑 Điều quan trọng nhất:** Vị trí này đòi hỏi bạn phải xác định rõ mình muốn đi sâu vào **mảng nào** trong 5 mảng được liệt kê. Khi phỏng vấn, hãy thể hiện rõ định hướng — điều này cho thấy bạn có tư duy chiến lược, không chỉ là "muốn vào ngân hàng".
**💡 Mẹo để nổi bật:**
- Có bug bounty/responsible disclosure profile (HackerOne, Bugcrowd) — thể hiện kỹ năng thực tế
- Viết blog chia sẻ kiến thức ANTT (tiếng Việt cũng được)
- Tham gia CTF competition, DEFCON Vietnam group
- Học thêm về regtech/compliance tech — đây là lợi thế riêng trong ngành fintech banking
**⚠️ Cảnh báo:**
- Đây là vị trí chịu áp lực cao (on-call khi có sự cố, deadline audit)
- Yêu cầu tuân thủ rất nghiêm ngặt — không được "shortcut" vì lý do deadline
- Cần liên tục cập nhật kiến thức — ngành ANTT thay đổi cực nhanh
Câu hỏi thường gặp
Em mới tốt nghiệp ngành CNTT, chưa có kinh nghiệm ANTT, có nên ứng tuyển vị trí này không?
Không khuyến khích lắm. JD yêu cầu tối thiểu 3 năm kinh nghiệm trong lĩnh vực ANTT tại tổ chức tài chính/dịch vụ, cộng thêm yêu cầu chứng chỉ chuyên môn (CEH, OSCP...). Nếu bạn thực sự quan tâm, hãy bắt đầu bằng các vị trí như SOC Analyst, Junior Security Engineer tại các công ty nhỏ hơn, tích lũy 2-3 năm kinh nghiệm + lấy chứng chỉ CEH/OSCP, sau đó quay lại ứng tuyển.
Mức lương thỏa thuận cho vị trí này thường là bao nhiêu?
Với 3-5 năm kinh nghiệm + chứng chỉ OSCP/CEH, mức lương thường dao động 30-50 triệu/tháng tại Techcombank. Nếu có thêm kinh nghiệm về cloud security hoặc compliance (PCI-DSS, ISO) sâu, có thể đàm phán lên 55-65 triệu. Techcombank trả premium hơn thị trường 20-30%, nhưng đổi lại yêu cầu cũng cao tương ứng. Nên điều tra kỹ mức lương trên Glassdoor/LinkedIn trước khi đàm phán.
Vòng phỏng vấn kỹ thuật có khó không? Có thi thực hành không?
Có khả năng cao có bài hands-on lab. Techcombank đánh giá cao practical skills. Bạn nên chuẩn bị: (1) OWASP Top 10 thật sâu — có thể hỏi kịch bản cụ thể, (2) Một số lab nhỏ trên PortSwigger/HackTheBox, (3) Phân tích log để phát hiện intrusion. Không cần biết tất cả, nhưng cần thể hiện tư duy phân tích rõ ràng và phương pháp luận chuẩn.
Chứng chỉ nào là quan trọng nhất để gây ấn tượng với nhà tuyển dụng?
Thứ tự ưu tiên: OSCP > CEH > CISSP (nếu định hướng governance). OSCP được coi là 'bằng chứng' về kỹ năng offensive security thực tế, rất được đánh giá cao trong mảng kiểm thử ANTT. CEH là baseline nhưng bị nhiều người trong ngành coi là thiên lý thuyết. Vendor certs (PaloAlto, CyberArk) cũng có giá trị nếu bạn ứng tuyển mảng quản trị ANTT.
Nên chọn mảng nào trong 5 mảng được liệt kê để dễ phát triển sự nghiệp nhất?
Mỗi mảng có lợi thế riêng: (1) Kiểm thử ANTT (pentester) — lương cao, kỹ năng kỹ thuật sâu, dễ chuyển sang consultancy. (2) Quản trị ANTT (PAM/IAM) — nhu cầu nhân lực rất lớn, stability cao. (3) Giám sát ANTT (SOC) — entry point tốt, phát triển sang DFIR. Xu hướng hiện tại: Cloud Security và AppSec đang rất hot, thiếu nhân lực nghiêm trọng. Hãy chọn dựa trên sở trường cá nhân, không chạy theo lương.
Kỹ năng nào ngoài ANTT mà ứng viên cần có khi làm việc tại ngân hàng?
Ngoài kỹ năng kỹ thuật, bạn cần: (1) Hiểu business của ngân hàng — các sản phẩm, quy trình nghiệp vụ, rủi ro tín dụng/vận hành. (2) Kỹ năng giao tiếp với người non-technical (như ban lãnh đạo, compliance team) — phải trình bày vấn đề bảo mật bằng ngôn ngữ họ hiểu. (3) Quản lý stakeholder — phối hợp DEV, OPS, Audit, Risk là daily job. (4) Tiếng Anh kỹ thuật tốt — đọc tài liệu, viết policies, trao đổi với vendor quốc tế.
Làm ở ANTT ngân hàng có vất vả không? Giờ làm có overtime nhiều không?
Tùy mảng: (1) SOC/Giám sát — có lịch trực 24/7, có thể phải trực đêm/weekend theo ca luân phiên. (2) Kiểm thử ANTT — deadline audit (thường Q3-Q4) rất bận, bình thường ổn định. (3) Compliance — audit season (tháng 6-9) khối lượng tăng đột biến. Tuy nhiên, ngân hàng hiện đại như Techcombank đã áp dụng hybrid working khá linh hoạt. Compensation thường xứng đáng với công sức.