MỤC TIÊU
Thực hiện đánh giá/kiểm thử xâm nhập định kỳ cho các hệ thống/ứng dụng hiện hữu và sắp đưa vào vận hành chính thức nhằm phát hiện kịp thời các điểm yếu/lỗ hổng an ninh thông tin tiềm ẩn, từ đó đưa ra các biện pháp khắc phục.
MÔ TẢ CÔNG VIỆC
Phối hợp với bộ phận giám sát an ninh thông tin phân tích đánh giá và phát hiện các nguy cơ tấn công, truy cập bất hợp pháp, rò rỉ thông tin ảnh hưởng đến hoạt động của ngân hàng. Áp dụng các biện pháp, giải pháp bảo mật nhằm loại trừ/ngăn chặn các nguy cơ một cách hiệu quả và triệt để.
Tham gia thiết kế và triển khai các chương trình đào tạo nâng cao nhận thức về an ninh thông tin cho toàn hàng, thực hiện các chiến dịch giả lập đánh giá nhận thức an ninh thông tin của người dùng nội bộ.
Thực hiện các công tác dò tìm lỗ hổng bảo mật (vulnerability assessment) và kiểm thử tấn công (penetration testing) các hệ thống ứng dụng (web, mobile, winform), hệ thống máy chủ (Windows, Linux,…), các hệ thống mạng.
Rà soát cấu hình chính sách bảo mật cho hệ thống máy chủ, máy trạm, thiết bị mạng, thiết bị bảo mật, lưu trữ, ..
Định kỳ thực hiện dò quét lỗ hổng bảo mật hệ thống và theo dõi tiến độ khắc phục.
Xây dựng các kịch bản giải quyết sự cố an ninh thông tin cũng như tổ chức phản ứng, quản lý nhằm ngăn ngừa các sự cố này. Tham gia xử lý khi xảy ra các sự cố an ninh thông tin.
YÊU CẦU
Trình độ chuyên môn: Tốt nghiệp Đại học chuyên nghành Công nghệ thông tin, An toàn thông tin, Bảo mật công nghệ thông tin, Mật mã, Điện tử viễn thông hoặc Toán Tin.
Am hiểu về hệ thống mạng, bảo mật, hệ thống máy chủ, Middleware và cơ sở dữ liệu.
Thành thạo ít nhất 1 ngôn ngữ lập trình (PHP/Hack, Python, C/C++, Java), hiểu về SDLC
Am hiểu và sử dụng thành thạo các phần mềm kiểm thử bảo mật hệ thống CNTT, bao gồm các công cụ thu thập thông tin, các công cụ rà quét điểm yếu kỹ thuật, các công cụ khai thác tấn công hệ thống CNTT.
Sử dụng thành thạo các phần mềm tin học văn phòng (Word, Excel, Power Point, Visio, Project).
Ưu tiên các ứng viên có chứng chỉ GPEN, LPT, CEH, OSCP, chứng chỉ liên quan đến kiểm thử bảo mật hoặc tương đương, hoặc có các CVE.
Tiêu chuẩn bảo mật dữ liệu thẻ PCI DSS, Chuẩn OWASP.
Dò tìm điểm yếu bảo mật trên các hệ thống CNTT.
Các kỹ thuật tấn công mạng (hacking).
Có tối thiểu 02 năm kinh nghiệm về kiểm thử bảo mật ứng dụng web, ứng dụng mobile, hệ thống máy chủ, thiết bị mạng.
Kiểm thử tấn công các hệ thống CNTT (web, API, Mobile, Winform App, network, Infrastructure, OS).
