Techcombank
Officer, Information Security (40001099)
TP. Ha Noi
Technology Division
Experienced (Non-Manager)
Mô tả công việc
## Job Purpose
The job holder is responsible for building, managing, participating in the development of one of the following areas:
a. IS Practice: Evaluate deployment, develop security solutions/Design, test information security/Ensure compliance with security standards (of Vietnam and International)
b. IS Administration: Manage and directly participate in administrative activities on identity and access security/network security/endpoint services and data security
c. IS Engieering: Manage and directly control the implementation of information security policies and standards for applications, infrastructure of Techcombank and its partners and suppliers, ensure compliance with the Bank's information security requirements.
d. IS Red team: Manage and directly perform testing attack activities for technology systems to detect vulnerabilities/weaknesses and provide solution guidance.
e. IS Monitoring: Monitor detecting all attack events/incidents as quickly as possible (realtime) based on events aggregated from security systems as well as other technology components.Then alert relevant departments to investigate and react to that event/incident.
## Key Accountabilities (1)
1. IS Practice:
- Participate in projects, developing and deploying technology to ensure Information Security for systems to be built, including stages: analysis, building requirements Information security, design Information security, threat modeling, source code review, testing and building controls to ensure Information Security.
- Research and develop necessary information security solutions to prevent attacks and incidents Information security, ensure security and safety for the entire information system of the bank.
- Coordinate with the Information Security supervisory department in handling information security incidents.
- Set up and monitor the implementation of TCB's information security process, regulations, standards, guidelines and policies in accordance with the regulations of the government and international organizations
- Implement and maintain compliance with international standards PCI-DSS, ISO, SWIFT CSP.
- Implement and maintain compliance with TCB's policies, circulars and regulations of the State Bank.
- Regularly perform compliance and integrity checks
of the security policy configuration in the internal system TCB detects violations or insider attacks.
- Coordinate with Compliance Assessment and Risk Management units to assess the compliance of technology systems according to policies, regulations, standards, processes, checklists.
## Key Accountabilities (2)
2. IS Red team:
- Implement the strategy to ensure information security:
+ Participate in the implementation of the Information Security strategy by providing input data on attack trends, forms of exploitation and risks arising in each period.
+ Participate in the implementation of the annual information security implementation plan, meet the business and operational needs of the bank through the implementation of information security testing programs for the technology activities of the bank. Bank.
+ Develop penetration testing methods, information security scanning scripts and security checks according to international standards such as OSSTMM, Sans and OWASP.
+ Develop new techniques, exploit scripts and programs for automated penetration testing
- Perform test attack activities:
+ Directly perform vulnerability detection review, vulnerability assessment, and conduct penetration/exploit testing periodically or at the request of the Block leader for all systems/applications ; Penetration testing for system/application after live detection or whenever undergoing a major change. Testing methods must ensure practicality including both technical (technology) and non-technical (people, processes, physical assets). From there, provide CISO as well as other Information Security departments to have programs to deal with the problems of system weaknesses that can be exploited.
+ Perform regular vulnerability scans, information security checks to find vulnerabilities in the system and provide remedial / remedial solutions; supports maintaining compliance with world security standards such as PCI-DSS, ISO27001, SCP (swift).
+ Develop and manage vulnerability management program, threat intelligence database. Collect, track metrics, and analyze trends on cyber defenses, threats, detected attacks, vulnerabilities, and countermeasures/preventions.
+ Actively research / find new vulnerabilities, exploitation techniques and cyber threats; Identify trends in cybersecurity involving tactics, techniques, and processes, targeting for malware development and deployment.
+ Directly participate in the experimental plan of responding to an Information Security incident as an attack unit and in the case of an actual Information Security incident as the response team. Coordinate and provide expert cyber defense engineering skills to resolve cyber attack incidents
## Key Accountabilities (3)
3. IS Administration
- Building/adjusting and implementing MTPQ of systems.
- Develop requirements and measures to control access and protect the bank's data.
- Develop, maintain and optimize information security policy/rule/configuration for solutions to ensure information security such as: Information security solutions on access identity management (PAM, IAM…); Network information security solutions (Firewall, NAC, APT, NetIPS, DDOS...); Information Security solutions on endpoints (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…); Information security solutions on data (DLP, FAM...).
- Assess, evaluate, review:
+ Decentralization enforcement ensures compliance with the decentralized matrix.
+ The issue and withdrawal of privileged accounts and digital certificates on technology systems.
+ Exception requirements related to identity, access rights on technology systems
+ Change requirements on information security assurance solutions.
- Risk management and compliance
+ Identify risks of the department in the process of operation, ensuring compliance with the processes and regulations of the bank. Coordinate with relevant units to handle risks.
+ Perform risk treatment activities according to reports of internal/external audit departments.
## Key Relationships - Direct Manager
Senior Manager, Manager, Information Security
## Key Relationships - Direct Reports
No
## Key Relationships - Internal Stakeholders
Departments in the divisions
## Key Relationships - External Stakeholders
Information security solutions/services companies, quick incident response organizations…etc.
## Success Profile - Qualification and Experiences
Qualification:
- Graduated in IT, Computer Science or Telecommunications
- English: According to current regulations of the Bank (Toeic below 550)
- Certificates in information security such as CEH, PCI DSS assessment implementation certificate, ISO
- Having ISC2 SSCP security certificates is an advantage
- Having certificates of companies providing security solutions such as Microsoft/Cisco/PaloAlto/Checkpoint/Cyberark/Sailpoint...
- Having certificates in information security such as SANS SEC642, SANS SEC575. OSCE, OSCP, CEH
Experience:
- Experience in conducting security testing in financial / service / telecommunications organizations from 3 years. The experience includes the following aspects:
+ Research, design, implement and evaluate in the field of information security in various fields
+ Implement PCI-DSS, ISO, Swift CSP... Participate in the development and control of compliance with security standards for IT systems
- Experience in performing security testing in financial / service / telecommunications organizations. The experience includes the following aspects:
+ Experience in researching security holes, developing attack techniques/tools, performing attack testing of technology systems by technical and non-technical measures (01 year or more) )
- Having experience in implementing, administering, and operating in-depth in terms of policies, set of rules, configuration of information security at least one of the following areas at financial/service/telecommunications organizations (2-3 years) :
- Security solutions for access identity management (PAM, IAM...);
- Network security solutions (Firewall, NAC, APT, NetIPS, DDOS...);
- Security solutions for terminals (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security...);
- Data security solutions (DLP, FAM...).
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho vị trí Information Security Officer tại Techcombank
### 🔧 HARD SKILLS (Kỹ năng chuyên môn bắt buộc)
**1. Kiến thức an ninh mạng chuyên sâu**
| Lĩnh vực | Yêu cầu cụ thể | Mức độ ưu tiên |
|-----------|----------------|----------------|
| Vulnerability Assessment & Penetration Testing | Thực hiện đánh giá lỗ hổng bảo mật, pentest định kỳ và khi có thay đổi lớn | ⭐⭐⭐⭐⭐ |
| Threat Intelligence | Thu thập, phân tích xu hướng tấn công mới, malware | ⭐⭐⭐⭐⭐ |
| Security Standards | PCI-DSS, ISO 27001, SWIFT CSP | ⭐⭐⭐⭐⭐ |
| Security Tools | Burp Suite, Nmap, Metasploit, OWASP ZAP, Nessus | ⭐⭐⭐⭐ |
| Scripting/Programming | Python, Bash, PowerShell (để viết exploit, automation) | ⭐⭐⭐⭐ |
**2. Kinh nghiệm với các giải pháp bảo mật**
- **Identity & Access Management:** PAM, IAM (CyberArk, SailPoint)
- **Network Security:** Firewall (Palo Alto, Checkpoint), NAC, APT detection, NetIPS, DDoS mitigation
- **Endpoint Security:** AD GPO, HIPS/HFW, Application Control, Web/Mail filtering, Database security
- **Data Security:** DLP, FAM (File Access Management)
**3. Chứng chỉ bảo mật quốc tế**
| Chứng chỉ | Mức độ | Ghi chú |
|------------|--------|----------|
| OSCP (Offensive Security Certified Professional) | Bắt buộc cao | Chứng chỉ pentest thực hành nổi tiếng nhất |
| CEH (Certified Ethical Hacker) | Bắt buộc | Yêu cầu trong JD |
| OSCE (Offensive Security Certified Expert) | Ưu tiên | Cấp độ cao hơn OSCP |
| SSCP (ISC² Systems Security Certified Practitioner) | Ưu tiên | Chuẩn quốc tế ISC² |
| SANS SEC642, SEC575 | Ưu tiên | Giáo trình chuyên sâu SANS |
| CompTIA Security+ | Khuyến khích | Nền tảng cho người mới |
| CISSP | Ưu tiên cao | Senior level, nếu có kinh nghiệm 5+ năm |
**4. Kiến thức nghiệp vụ ngân hàng/tài chính**
- Hiểu về hệ thống core banking, payment gateway, SWIFT
- Quy định NHNN về an ninh mạng (Thông tư 13/2017/TT-NHNN)
- Kiến thức về Regulatory Compliance trong ngành tài chính
---
### 🧩 SOFT SKILLS (Kỹ năng mềm)
| Kỹ năng | Tại sao quan trọng | Tips phát triển |
|---------|-------------------|-----------------|
| Giao tiếp kỹ thuật | Phải trình bày kết quả pentest cho CISO, ban lãnh đạo | Tập viết report bằng tiếng Anh, trình bày bằng sơ đồ |
| Phân tích vấn đề | Xử lý sự cố bảo mật dưới áp lực thời gian | Tham gia CTF, hackathon để luyện tập |
| Làm việc nhóm | Phối hợp với nhiều phòng ban (Compliance, Risk, IT) | Tích cực tham gia cross-functional projects |
| Quản lý thời gian | Xử lý nhiều task cùng lúc (red team, compliance, monitoring) | Sử dụng OKR, Jira để track công việc |
| Tự học liên tục | Lĩnh vực bảo mật thay đổi nhanh, mỗi ngày đều có APT mới | Theo dõi MITRE ATT&CK, CISA advisories hàng ngày |
---
### 📊 BẢNG SO SÁNH: Ứng viên Junior vs Senior cho vị trí này
| Tiêu chí | Junior (0-2 năm) | Senior (3-5+ năm) |
|----------|-----------------|-------------------|
| Chứng chỉ | CEH, CompTIA Security+ | OSCP, OSCE, CISSP |
| Kinh nghiệm pentest | Lab/HTB, ít dự án thực tế | 100+ systems tested, Bug Bounty |
| Security tools | Nmap, Burp Suite basic | Full toolkit + custom scripts |
| Compliance | Hiểu cơ bản | Audit thực tế PCI-DSS, ISO |
| Mức lương kỳ vọng | 15-25 triệu | 30-60 triệu + benefits |
| Cơ hội | Có thể ứng tuyển nếu có OSCP + portfolio mạnh | Phù hợp nhất, có negotation cao |
---
### ⚠️ LƯU Ý QUAN TRỌNG
- JD tuyên bố "Không yêu cầu kinh nghiệm" nhưng thực tế yêu cầu **3+ năm** kinh nghiệm security testing
- Yêu cầu tiếng Anh: Toeic dưới 550 là mức thấp, nhưng tài liệu kỹ thuật toàn bộ bằng tiếng Anh
- Vị trí này yêu cầu khả năng chịu áp lực cao (red team, incident response 24/7)
- Techcombank là ngân hàng tư nhân lớn, hệ thống phức tạp, compliance requirements nghiêm ngặt
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn vị trí Information Security Officer - Techcombank
---
### 📋 QUY TRÌNH PHỎNG VẤN (Dự kiến 3-4 vòng)
**Vòng 1: HR Screening (30-45 phút)**
- Review CV, xác nhận kinh nghiệm
- Tìm hiểu động lực ứng tuyển
- Đánh giá tiếng Anh sơ bộ
**Vòng 2: Technical Interview với CISO/Manager IS (60-90 phút)**
- Kiểm tra kiến thức chuyên môn sâu
- Case study: Xử lý tình huống bảo mật
- Có thể có bài test thực hành nhỏ
**Vòng 3: Technical Panel với Team (45-60 phút)**
- Deep dive vào kinh nghiệm cụ thể
- Scenario-based questions
- Thảo luận về các xu hướng tấn công mới
**Vòng 4: Manager/Head Interview (30-45 phút)**
- Cultural fit
- Đánh giá attitude, potential
- Thương lượng lương & benefits
---
### ❓ CÂU HỎI HAY GẶP THEO TỪNG VÒNG
#### Vòng HR - Câu hỏi phổ biến:
1. "Tại sao bạn muốn chuyển sang làm việc tại Techcombank?"
2. "Bạn biết gì về văn hóa và chiến lược của Techcombank?"
3. "Bạn đã có kinh nghiệm làm việc trong môi trường ngân hàng chưa?"
4. "Mức lương kỳ vọng của bạn là bao nhiêu?"
5. "Bạn có thể làm việc under pressure, overtime khi có incident không?"
#### Vòng Technical - Câu hỏi chuyên sâu:
1. **Về Pentest & Vulnerability:**
- "Mô tả quy trình pentest của bạn từ đầu đến cuối"
- "Làm thế nào để phát hiện APT (Advanced Persistent Threat)?"
- "Bạn đã từng tìm được lỗ hổng critical nào không? Chia sẻ chi tiết?"
- "Khác nhau giữa black box, grey box và white box testing?"
2. **Về Compliance & Standards:**
- "Quy trình triển khai PCI-DSS gồm những bước nào?"
- "Điểm khác biệt giữa ISO 27001 và SOC 2?"
- "Làm sao để đảm bảo compliance khi hệ thống liên tục thay đổi?"
- "SWIFT CSP yêu cầu những gì? Bạn đã triển khai bao giờ chưa?"
3. **Về Incident Response:**
- "Khi phát hiện có breach, bạn sẽ xử lý như thế nào?"
- "Mô tả quy trình incident response của bạn?"
- "Khi nào cần escalate incident?"
- "Đã từng xử lý incident nào chưa? Kể lại?"
4. **Về Security Tools & Architecture:**
- "Sự khác nhau giữa HIPS và HFW?"
- "Làm thế nào để implement DLP hiệu quả?"
- "Bạn quản lý và monitor security alerts như thế nào?"
- "Giải thích defense-in-depth?"
5. **Hands-on Challenge (có thể xuất hiện):**
- "Write a Python script để scan open ports và detect services"
- "Analyze một pcap file để tìm indicators of compromise"
- "Triage một security alert (SIEM alert)"
#### Vòng Manager/Culture Fit:
1. "Bạn thấy thế nào về việc bảo mật vs user experience?"
2. "Làm sao để thuyết phục developers fix security issues?"
3. "Khi nào bạn từ chối một yêu cầu từ business vì lý do security?"
4. "Bạn có đang học gì để phát triển kỹ năng không?"
5. "Mục tiêu nghề nghiệp 3-5 năm tới của bạn là gì?"
---
### 💡 TIPS CHUẨN BỊ CHO TỪNG VÒNG
**Chuẩn bị chung:**
- [ ] Nghiên cứu Techcombank: Đọc annual report, news về digital transformation
- [ ] Cập nhật xu hướng tấn công 2023-2024: Ransomware, Supply Chain Attack, AI-powered attacks
- [ ] Chuẩn bị portfolio: Write-ups về các pentest/dự án đã làm (nếu có thể share)
- [ ] Ôn lại kiến thức OWASP Top 10, MITRE ATT&CK framework
**Tips cho Vòng Technical:**
- [ ] Thực hành trên HackTheBox, TryHackMe, VulnHub
- [ ] Đọc write-ups từ Bug Bounty programs của Việt Nam
- [ ] Ôn lại lab hands-on: Metasploit, Burp Suite, Wireshark
- [ ] Chuẩn bị 2-3 câu chuyện thành công (vulnerability found, incident handled)
**Tips cho Vòng Manager:**
- [ ] Chuẩn bị câu hỏi cho interviewer về team, roadmap
- [ ] Nghiên cứu Techcombank's tech stack (nếu public)
- [ ] Chuẩn bị statement về "security ROI" (justify security spend)
---
### 👔 DRESS CODE & ETIQUETTE
**Dress Code:** Business casual
- Nam: Áo sơ mi, quần âu (không cần cravat)
- Nữ: Áo blouse/cam tay, quần âu/váy công sở
- Tránh jeans, sneakers, đồ quá formal
**Etiquette:**
- Đến sớm 10-15 phút
- Mang laptop/notes nếu được yêu cầu
- Tắt điện thoại hoặc để chế độ im lặng
- Chuẩn bị câu hỏi cho interviewer (thể hiện sự quan tâm)
**Địa điểm:** Có thể interview tại Head Office Techcombank (60 Lý Thường Kiệt, Hoàn Kiếm, Hà Nội) hoặc online qua Zoom/Teams
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí Information Security tại Techcombank
---
### 📚 LỘ TRÌNH CHUẨN BỊ 2 TUẦN (14 ngày)
#### Tuần 1: Củng cố nền tảng + Kiến thức chuyên sâu
**Ngày 1-2: Tổng quan An ninh mạng Ngân hàng**
- Đọc Thông tư 13/2017/TT-NHNN về an ninh mạng cho ngân hàng
- Tìm hiểu PCI-DSS 4.0 Overview
- Xem video: "Banking Cybersecurity Fundamentals" trên YouTube
**Ngày 3-4: Pentesting & Vulnerability Assessment**
- Ôn OWASP Top 10 (2021)
- Thực hành: Port scanning với Nmap, Nikto, dirb
- Đọc: PTES (Penetration Testing Execution Standard)
**Ngày 5-6: Compliance & Standards**
- Deep dive PCI-DSS: 12 requirements
- ISO 27001: Clauses quan trọng
- SWIFT CSP: 16 mandatory controls
**Ngày 7: Nghỉ ngơi + Review tuần 1**
#### Tuần 2: Luyện tập + Mock Interview
**Ngày 8-9: Hands-on Labs**
- TryHackMe: PreSecurity, Jr Penetration Tester paths
- HackTheBox: Starting points
- Practice: DVWA, WebGoat
**Ngày 10-11: Incident Response & SIEM**
- Học cách triage alerts (Splunk, ELK stack basics)
- Đọc case study: Các breach nổi tiếng trong ngành tài chính
- Ôn: NIST Incident Response Lifecycle
**Ngày 12-13: Mock Interviews + Case Studies**
- Tự hỏi/tự trả lời các câu hỏi phỏng vấn
- Practice viết security report
- Chuẩn bị 3-5 câu chuyện thành công/thất bại
**Ngày 14: Final Review**
- Đọc lại JD, đảm bảo cover được tất cả requirements
- Chuẩn bị questions cho interviewer
- Nghỉ ngơi, ngủ sớm
---
### 📖 TÀI LIỆU THAM KHẢO BẮT BUỘC
**1. Kiến thức nền tảng:**
- "The Web Application Hacker's Handbook" - Dafydd Stuttard
- "Metasploit: The Penetration Tester's Guide" - David Kennedy
- OWASP Testing Guide v4
**2. Compliance & Standards:**
- PCI DSS v4.0 Official Documentation (pcisecuritystandards.org)
- ISO/IEC 27001:2022 Overview
- SWIFT CSP Customer Security Controls Framework 2023
**3. Practice Platforms:**
| Nền tảng | Focus | Chi phí |
|----------|-------|----------|
| HackTheBox | All-round | Free + Paid |
| TryHackMe | Beginner-friendly | Free + Paid |
| PortSwigger Academy | Web Security | Free |
| PentesterLab | Hands-on | Free + Paid |
| SANS Cyber Ranges | Enterprise-level | Paid |
**4. Blogs & News:**
- The Hacker News (news.feed)
- Krebs on Security
- Dark Reading
- CISA Advisories
- Báo Việt Nam: An ninh thế giới, ICT News (phần security)
---
### 🎯 ÔN TẬP THEO CHỦ ĐỀ
**Priority 1 - BẮT BUỘC:**
- [ ] OWASP Top 10 (SQLi, XSS, IDOR, SSRF...)
- [ ] Network security (Firewall, IDS/IPS, VPN)
- [ ] Penetration testing methodology
- [ ] Incident response process
- [ ] Cryptography basics (AES, RSA, hashing)
**Priority 2 - RẤT QUAN TRỌNG:**
- [ ] Identity & Access Management (IAM, PAM)
- [ ] Zero Trust Architecture
- [ ] Cloud security basics (AWS/Azure security)
- [ ] SIEM fundamentals
- [ ] Malware analysis basics
**Priority 3 - NÊN BIẾT:**
- [ ] DevSecOps basics
- [ ] Container security (Docker, Kubernetes)
- [ ] Mobile security basics
- [ ] IoT security considerations
---
### ⚡ QUICK REVISION CHECKLIST (Ngày interview)
**Sáng ngày interview:**
- [ ] Rà soát lại CV, đảm bảo không có sai sót
- [ ] Check địa điểm/interview link
- [ ] Chuẩn bị 2-3 câu hỏi cho interviewer
- [ ] In bản mềm certifications, reference letters
**30 phút trước khi interview:**
- [ ] Review lại những concept hay quên
- [ ] Thở sâu, bình tĩnh
- [ ] Tắt notifications điện thoại
- [ ] Mở sẵn laptop nếu cần demo
**Trong phòng interview:**
- [ ] Lắng nghe kỹ câu hỏi trước khi trả lời
- [ ] Nếu không biết, thành thật và nói sẽ research thêm
- [ ] Dùng STAR method cho behavioral questions
- [ ] Hỏi lại nếu chưa hiểu rõ câu hỏi
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho vị trí Information Security tại Techcombank
---
### 🚀 LỘ TRÌNH THĂNG TIẾN TỪ VỊ TRÍ NÀY
```
Officer, Information Security (entry point)
↓
Senior Officer, IS (1-2 năm)
↓
Team Lead / Specialist, IS (2-3 năm)
↓
Manager, Information Security (3-5 năm)
↓
Senior Manager / CISO (5-8 năm)
```
**Chi tiết từng bước:**
| Cấp bậc | Thời gian TB | Trách nhiệm mới | Kỹ năng cần phát triển |
|---------|-------------|-----------------|------------------------|
| Officer | 0-1 năm | Execute tasks, assist senior team | Technical deep-dive, soft skills cơ bản |
| Senior Officer | 1-2 năm | Lead small projects, mentor juniors | Project management, stakeholder management |
| Team Lead | 2-3 năm | Manage 2-5 members, strategy execution | Leadership, planning, communication |
| Manager | 3-5 năm | Department goals, budget planning | Business acumen, risk management |
| CISO | 5-8 năm | C-level strategy, board reporting | Executive presence, business continuity |
---
### 💰 MỨC LƯƠNG KỲ VỌNG THEO CẤP BẬC (Thị trường Việt Nam 2024)
**Lưu ý:** Mức lương phụ thuộc vào kinh nghiệm, chứng chỉ, và khả năng đàm phán
| Level | Kinh nghiệm | Lương tháng (VND) | Notes |
|-------|-------------|-------------------|-------|
| Junior (fresh) | 0-1 năm | 15-22 triệu | Thường cần internship trước |
| Officer | 1-3 năm | 22-35 triệu | Mức entry cho vị trí này |
| Senior Officer | 3-5 năm | 35-50 triệu | Có OSCP/CEH + thực chiến |
| Team Lead | 4-6 năm | 50-70 triệu | Quản lý team 3-5 người |
| Manager | 5-8 năm | 70-100 triệu | Strategic responsibilities |
| CISO | 8+ năm | 150-250 triệu+ | Board-level, có thể thêm equity |
**Techcombank Premium:**
- Thường cao hơn thị trường 10-20% do thương hiệu
- Bonus: 1-4 tháng tùy performance
- Stock options cho senior levels
- Benefits: BHXH, BHYT, bảo hiểm sức khỏe cao cấp
---
### 🎯 KỸ NĂNG CẦN PHÁT TRIỂN THÊM (Để thăng tiến nhanh)
**Ngắn hạn (6-12 tháng đầu):**
1. **Chứng chỉ cao cấp:** OSCP → OSCE → OSEP (Offensive Security Expert)
2. **Specialization:** Chọn 1-2 lĩnh vực sâu: Cloud Security, AppSec, или Red Team
3. **Tool mastery:** Splunk/ELK, Burp Suite Pro, Ghidra (reverse engineering)
4. **Nghiệp vụ ngân hàng:** Hiểu Core Banking, Payment Systems, AML basics
**Trung hạn (1-3 năm):**
1. **Leadership:** Xây dựng kỹ năng mentor, presentation
2. **Business acumen:** Hiểu business impact của security decisions
3. **Governance:** GRc (Governance, Risk, Compliance) knowledge
4. **Certifications:** CISSP, CISM (nếu hướng management)
**Dài hạn (3-5 năm):**
1. **Strategic thinking:** Từ technical → business risk mindset
2. **Executive presence:** Board-level communication
3. **Network:** Xây dựng relationships với peers trong industry
4. **Continuous learning:** Theo dõi emerging tech: AI security, IoT, Blockchain
---
### ⚠️ CẢNH BÁO & THỰC TẾ CẦN BIẾT
**Những điều KHÔNG ai nói với bạn:**
1. **Áp lực thực sự:**
- Incident không xảy ra 9-5, có thể 3h sáng cuối tuần
- Security được đánh giá bằng "nothing happened" - khó prove ROI
- Luôn có conflict giữa security và business velocity
2. **Cạm bẫy phổ biến:**
- Burnout cao: Liên tục phải cập nhật kiến thức, chase new vulnerabilities
- "Tool overload": Biết nhiều tool nhưng không expert cái nào
- Imposter syndrome: Ai cũng có thể bị hack, kể cả security experts
3. **Cơ hội vs Rủi ro:**
- **Pros:** Lương cao, always in demand, interesting problems
- **Cons:** High stress, constant learning pressure, on-call life
- **Techcombank specifically:** Môi trường demanding, performance-driven, nhiều thay đổi
---
### 📈 ALTERNATIVE CAREER PATHS (Nếu không muốn đi Management)
**Technical Track:**
```
Security Engineer → Senior SE → Principal SE → Fellow/Architect
(Specialist trong: Red Team, Cloud Security, AppSec, SOC)
```
**Consulting Track:**
```
Security Consultant → Senior Consultant → Manager → Partner
(Big 4: PwC, Deloitte, EY, KPMG - security practice)
```
**Product Track:**
```
Security Engineer → Product Security Lead → CISO product company
(Facebook, Google, Microsoft, hoặc startup)
```
**Entrepreneur Track:**
```
Security Expert → Startup founder
(Managed Security Services, Security Training, Bug Bounty)
```
---
### 💎 FINAL ADVICE
> *"Vị trí IS tại Techcombank là cơ hội vàng để học hỏi môi trường ngân hàng tư nhân hàng đầu VN. Tuy nhiên, hãy chuẩn bị tinh thần cho workload cao và áp lực compliance. Nếu bạn đam mê security thực sự, đây là nơi tốt để build foundation cho career dài hạn."*
**Checklist trước khi apply:**
- [ ] Có OSCP hoặc tương đương không?
- [ ] Đã thực hiện pentest cho ít nhất 10+ systems?
- [ ] Hiểu về PCI-DSS, có thể explain 12 requirements?
- [ ] Có portfolio/case studies để show không?
- [ ] Sẵn sàng cho on-call, overtime khi có incident?
**Nếu chưa đủ điều kiện:**
- Apply vào SOC tier 1, junior roles trước
- Tích lũy 1-2 năm, lấy thêm chứng chỉ
- Quay lại apply vị trí này
Câu hỏi thường gặp
Mình có 2 năm kinh nghiệm làm SOC Analyst, có CEH nhưng chưa có OSCP. Có nên ứng tuyển vị trí này không?
Có thể ứng tuyển nhưng cạnh tranh sẽ khó. JD yêu cầu 3+ năm kinh nghiệm security testing và OSCP/OSCE là preferred. Tuy nhiên, nếu bạn có strong portfolio (HTB, Bug Bounty write-ups) và có thể demonstrate practical pentest skills, vẫn có cơ hội. Recommend: Lấy OSCP trước, apply sau 6-12 tháng nữa sẽ mạnh hơn nhiều.
Mức lương thực tế cho vị trí này là bao nhiêu? JD ghi 'thỏa thuận' nên không biết kỳ vọng thế nào.
Với 3-5 năm kinh nghiệm, mức lương dao động 30-45 triệu/tháng. Nếu có OSCP + thực chiến tốt, có thể đàm phán được 40-50 triệu. Techcombank thường competitive, có thể cao hơn thị trường 10-15%. Tip: Khi đàm phán, hãy đề cập total compensation (base + bonus + benefits), không chỉ base salary.
Công việc này có phải trực đêm, on-call thường xuyên không?
Phụ thuộc vào team focus của bạn. Nếu ở IS Monitoring hoặc IS Red Team, khả năng cao phải on-call. Incident không bao giờ đến đúng giờ hành chính. Tuy nhiên, Techcombank có rotation schedule, không phải 1 người gánh hết. Bạn nên hỏi rõ về on-call policy khi phỏng vấn để đánh giá lifestyle compatibility.
Mình đang là backend developer, muốn chuyển sang Security. Vị trí này có phù hợp không?
Vị trí này hơi quá senior để chuyển ngành trực tiếp. Bạn có lợi thế là code understanding (giúp ích cho secure coding review), nhưng thiếu kiến thức network security, pentesting, incident response. Recommend: Tìm vị trí AppSec/Secure SDLC ở mức junior, build foundation 1-2 năm, sau đó nhắm đến vị trí như IS Practice ở đây.
Techcombank yêu cầu Toeic dưới 550 - tức là không cần giỏi tiếng Anh?
Con số đó là minimum requirement (rất thấp), KHÔNG phải target. Thực tế: Tài liệu kỹ thuật toàn bộ bằng tiếng Anh, security advisories là bản tiếng Anh, tool interfaces cũng tiếng Anh. Nếu chỉ đọc được 550 Toeic, bạn sẽ vất vả với technical reading/writing. Nên có Toeic 650-750+ để thoải mái làm việc. Nếu chưa đạt, hãy cải thiện song song với công việc.
Khi phỏng vấn, họ sẽ hỏi những gì về kinh nghiệm pentest cụ thể?
Chuẩn bị 2-3 câu chuyện pentest chi tiết theo format: (1) Scope - bạn test cái gì, (2) Methodology - làm sao, (3) Findings - tìm được gì, (4) Impact - nếu bị exploit thì hậu quả gì, (5) Remediation - đã fix thế nào. Quan trọng: Phải có detail technical, không chỉ nói chung chung. Ví dụ: 'Tìm được SQL injection' → phải explain được payload, database version, data exposed.
Sau 2-3 năm ở Techcombank, mình có thể nhảy sang vị trí gì khác?
Rất nhiều options: (1) Security Manager/Head tại ngân hàng khác (VPB, ACB, MB), (2) CISO tại fintech/startup, (3) Security Consultant tại Big 4 (Deloitte, PwC, EY), (4) Product Security tại tech companies (VNG, FPT, Viettel). Techcombank là brand mạnh, CV của bạn sẽ được chú ý. Lưu ý: Build network trong industry, đi conference, contribute open source để tăng visibility.