GRC (Governance, Risk & Compliance) đang trở thành hướng đi hấp dẫn trong lĩnh vực an toàn thông tin. Mảng này thực ra không mới, nhưng dạo gần đây do toàn bộ ngành bảo mật, an ninh mạng được mở rộng nên nhánh GRC cũng được chú trọng hơn. Nếu các nghiệp vụ Red Team, Pentest, Forensics, SOC như khớp xương định hình hệ thống bảo mật của doanh nghiệp. Thì GRC như những bó cơ gắn kết con người với quy trình, quy trình với hệ thống, hệ thống và những sự kiện bảo mật trởn nên linh hoạt hơn.
Dù bạn là người mới bắt đầu (sắp tới thi đại học chẳng hạn), hoặc chưa có bất kỳ nền tảng CNTT hay một chuyên gia IT muốn chuyển hướng sang GRC thì mình thấy cũng đều được hết.
Vì đã trót yêu GRC, nên mình cũng mò mẫm ra được một số khoá học GRC miễn phí trên Coursera chất lượng thực sự. Lộ trình học tập chắc phải tuỳ mỗi người. Không có roadmap nào hoàn hảo cho bất kỳ ai. Cứ học đi rồi kiểu gì cũng đến.
Mục lục
Khoá Học Introduction to Cybersecurity & Risk Management
Khoá này của ĐH California Irvine. Mức cơ bản, không đòi hỏi kinh nghiệm chuyên môn. Học xong cái này bạn sẽ nắm vững khái niệm nền tảng về an ninh mạng cũng như GRC. Một nền móng vững chắc thì mới xây thêm kiến thức chuyên môn. Như kiểu:
- Quản trị an ninh mạng và tuân thủ là gì
- Thế nào là rủi ro, điểm yếu mối đe doạ
- Tam giác CIA (Confidentiality, Integrity, Availability) tác động tới tài sản như nào
- Khung năng lực bảo mật NIST Cybersecurity Framework (Cái này đặc biệt quan trọng! Làm gì cũng cần phương pháp luận, tư tưởng)
- Và học thêm các luật và quy định cơ bản, cũng như vai trò của chính sách nội bộ trong quản trị an ninh mạng.
Khoá Học Understanding ISO Security Standards for Your Organization
Khoá này kiến thức cũng ở mức độ cơ bản. Nó sẽ giúp bạn thực sự hiểu về tiêu chuẩn bảo mật thông tin phổ biến nhất trong các doanh nghiệp. Chia sẻ quan điểm cá nhân, thì NIST Cyber Security với tiêu chuẩn quốc tế ISO 27000 đểu giải quyết các thách thức trong bảo mâjt và quản lý rủi ro. Mặc dù hai thằng này có cách tiếp cận khác nhau (Bottom-up và Top-down). Vào học thì biết để linh hoạt áp dụng cho phù hợp
Khoá Học IBM Cybersecurity Analyst
Khoá này của IBM, với mức độ nâng cao hơn một tí. Tiếp tục ôn tập lý thuyết về GRC, sau đó nhồi cho bạn thêm kiến thức về các thành phần an ninh mạng trong doanh nghiệp (mạng, hệ điều hành, phản hồi sự cố,…). Với những người chưa có nền tảng thì biết sâu về những thành phần được thì tốt, còn không thì chả sao, phiên phiến thôi. Chú ý nhất trong khoá này là việc vận hành Compliance Frameworks (khung quản lý tuân thủ và quản trị hệ thống) NIST, ISO 27001 trong an ninh thực tế là gì.
Khoá Học Regulatory Compliance
Khoá học mức nâng cao của ĐH Pennsylvania, chính là thuốc bổ để bạn có thêm năng lực đào sâu hơn về chuyên môn của GRC. Nhiều người học xong bảo nó rất đáng giá để bạn hiểu vận hành tuân thủ trong thực tế. Kiểu:
- Tuân thủ là gì, vì sao mọi tổ chức đều cần tuân thủ
- Rồi cách xây dựng văn hoá tuân thủ
- Thành phần cốt lõi của một chương trình tuân thủ hiệu quả.
- Luật riêng tư và bảo vệ dữ liệu (Privacy Law and Data Protection) đang hót dần dần mấy năm gần đây cũng được đưa vào đào tạo! Đấy là với thế giới! Còn chúng ta sống ở Việt Nam thì phải liên tưởng, trích dẫn chéo sang Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân nhoé.
Khoá Học Governance, Risk and Compliance
Làm phát chứng chỉ cho đời nó tươi sáng không? Khoá học mức nâng cao sẽ là bàn đạp tốt để bạn ôn luyện và thi chứng chỉ CompTIA CASP+ nhé. Bám sát các nội dung lý thuyết của chứng chỉ. Cái này mình chưa có trải nghiệm thi cử gì nên đ’ dám nói. Chỉ thấy ae trên Coursera bảo nhau khoá này để tôi luyện mức chuyên gia. Nhưng biết đâu, hẹn bạn vài năm tới nhé!
Ngành nghề nào cũng có đảm bảo tuân thủ về bảo mật. Kiểu như quy định an ninh trong y tế thì dùng HIPAA, tiêu chuẩn trong thanh toán thẻ lại dùng PCI-DSS, hệ thống thông tin chung thì dùng ISO 27001. Đại loại vại!
What do you think?
It is nice to know your opinion. Leave a comment.