Cách bảo mật email doanh nghiệp?

Để bảo mật email doanh nghiệp, hãy bắt đầu bằng các cơ chế giúp ngăn chặn những vấn đề phổ biến nhất. Dùng mật khẩu mạnh và duy nhất cho từng tài khoản. Bật xác thực đa yếu tố, hoặc MFA (multi-factor authentication), nghĩa là người dùng cần thêm một bước thứ hai như mã từ ứng dụng trên điện thoại. Giữ cho thiết bị và ứng dụng email luôn được cập nhật. Huấn luyện nhân viên dừng lại trước khi bấm vào liên kết, mở tệp đính kèm hoặc chuyển tiền.

Sau đó, bổ sung các biện pháp bảo vệ theo chuẩn doanh nghiệp xung quanh hệ thống email. Thông thường sẽ bao gồm lọc spam và phishing (lừa đảo qua email), cảnh báo đăng nhập tài khoản, sao lưu hộp thư, quy tắc về việc ai được chuyển tiếp email ra ngoài công ty, và một quy trình để thu hồi quyền truy cập nhanh chóng khi ai đó nghỉ việc.

Nếu nghe có vẻ nhiều thì điều đó là bình thường. Phần lớn doanh nghiệp nhỏ không thể tự quản lý tất cả một mình. Nhiều nơi làm việc với một MSP (managed IT services provider), tức là nhà cung cấp dịch vụ IT quản lý, để giúp thiết lập, rà soát và duy trì các biện pháp bảo vệ này. NodeBridge IT không phải là MSP hoặc công ty an ninh. Chúng tôi chia sẻ thông tin chung và có thể giúp bạn tìm một managed IT provider độc lập.

Email thường là “cửa ngõ” để kết nối với các hệ thống kinh doanh khác. Nếu kẻ xấu truy cập được vào một hộp thư của một nhân viên, họ có thể cố gắng đặt lại mật khẩu, xem hóa đơn, sao chép danh bạ hoặc giả mạo là đội ngũ của bạn. Trong nhiều doanh nghiệp nhỏ, email còn gắn với lưu trữ tệp, lịch làm việc, thông báo lương và trao đổi với nhà cung cấp.

Phần lớn các cuộc tấn công qua email không đòi hỏi kỹ thuật quá cao. Chúng dựa vào con người bận rộn. Chỉ cần một hóa đơn giả, thông báo giao hàng, yêu cầu thay đổi chi tiết ngân hàng hoặc một tin nhắn trông giống như được gửi từ chủ doanh nghiệp là đã có thể đủ. Bảo mật email tốt giúp giảm khả năng một cú bấm vội vàng biến thành vấn đề lớn hơn cho doanh nghiệp.

Bảo mật email cũng giúp tăng niềm tin và lưu vết (recordkeeping). Khách hàng, nhà cung cấp và nhân viên kỳ vọng email công việc của bạn đáng tin cậy và được quản lý chuyên nghiệp. Tùy vào ngành và tiểu bang/bang của bạn, bạn cũng có thể có yêu cầu pháp lý hoặc theo hợp đồng liên quan đến việc bảo vệ thông tin. Ví dụ, HIPAA là Health Insurance Portability and Accountability Act (Đạo luật về Tính Trưởng tuân thủ và Chuyển đổi Bảo hiểm Y tế) và áp dụng cho một số loại thông tin y tế. PCI nghĩa là Payment Card Industry Data Security Standard (Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán) và áp dụng khi bạn xử lý dữ liệu thẻ thanh toán. Yêu cầu sẽ khác nhau theo ngành và tiểu bang/bang.

Bảo mật email tốt không chỉ là một công cụ. Đó là một tập hợp nhiều lớp đơn giản. Thứ nhất, mỗi hộp thư đều có mật khẩu mạnh, duy nhất và đã bật MFA. Thứ hai, các thiết lập bảo mật của nhà cung cấp email được rà soát, không để mặc định. Thứ ba, nhân viên biết cách nhận diện email đáng ngờ và cần làm gì khi chưa chắc.

“Làm đúng” cũng là có các quy tắc rõ ràng. Ai được phê duyệt thay đổi chuyển khoản (wire changes)? Ai được gửi tệp lương? Ai có thể tạo quy tắc chuyển tiếp email? Điều gì xảy ra khi bị mất điện thoại hoặc máy tính xách tay? Một quy trình viết ngắn gọn cũng có thể ngăn những sai lầm tốn kém.

Về mặt kỹ thuật, một cấu hình tốt thường bao gồm lọc spam, bảo vệ phishing, giám sát đăng nhập, chính sách cập nhật thiết bị và sao lưu cho dữ liệu email quan trọng. Một số doanh nghiệp cũng cần các kiểm soát mạnh hơn cho hộp thư dùng chung, lưu trữ theo yêu cầu pháp lý (legal retention), thiết bị di động và thông tin nhạy cảm được gửi qua email.

Không có nhà cung cấp nào nói thật rằng sẽ đảm bảo không bị gián đoạn (zero downtime) hay một mạng “không thể bị tấn công”. Mục tiêu là giảm rủi ro, phát hiện vấn đề sớm hơn và khôi phục một cách có tổ chức nếu có chuyện xảy ra.

Bắt đầu với các điều cơ bản mang lại giá trị cao nhất. Bật MFA cho mọi tài khoản email, đặc biệt là chủ doanh nghiệp, nhân sự tài chính và quản trị viên (admins). Xóa các tài khoản cũ và đăng nhập dùng chung. Kiểm tra xem mỗi người có tài khoản riêng hay không. Rà soát các quy tắc chuyển tiếp và địa chỉ email dùng để khôi phục tài khoản. Nếu một nhân viên cũ vẫn còn quyền truy cập, hãy thu hồi ngay.

Tiếp theo, xem xét thiết bị. Email chỉ an toàn khi điện thoại, máy tính bảng hoặc máy tính có thể mở email đó một cách an toàn. Giữ hệ điều hành và ứng dụng email luôn được cập nhật. Dùng khóa màn hình. Đừng để nhân viên trộn email công việc với các ứng dụng không rõ nguồn gốc hoặc máy tính công cộng. Nếu mọi người dùng điện thoại cá nhân cho công việc, hãy hỏi một nhà cung cấp IT về các mức cài đặt bảo mật tối thiểu cần bắt buộc.

Sau đó, tập trung vào thói quen nhân viên. Dạy mọi người xác minh thay đổi thanh toán qua điện thoại bằng số đã biết, không dùng số trong email. Hãy thận trọng với các tin nhắn khẩn cấp, yêu cầu thẻ quà tặng, và các liên kết để đăng nhập. Khuyến khích việc báo cáo. Sẽ tốt hơn nếu một nhân viên hỏi trước thay vì đoán.

Nếu bạn không chắc cần rà soát gì, phần câu trả lời của chúng tôi bao gồm các câu hỏi phổ biến, và trang dịch vụ giải thích những gì các managed IT providers thường hỗ trợ.

Nếu doanh nghiệp của bạn có hơn một vài người dùng, xử lý thông tin nhạy cảm hoặc đã từng có hoạt động email đáng ngờ, có thể đã đến lúc cần nhờ hỗ trợ từ bên ngoài. Một managed IT provider độc lập có thể rà soát cấu hình hiện tại của bạn, giải thích những lỗ hổng theo cách dễ hiểu và giúp bạn ưu tiên.

Họ cũng có thể hỗ trợ các công cụ và chính sách liên quan. Ví dụ, endpoint nghĩa là thiết bị như laptop, máy tính để bàn hoặc điện thoại kết nối với hệ thống công việc của bạn. Patching là việc áp dụng phần mềm và các bản cập nhật bảo mật. EDR nghĩa là endpoint detection and response (phát hiện và phản hồi trên thiết bị), một công cụ giúp phát hiện hoạt động đáng ngờ trên các thiết bị. RMM nghĩa là remote monitoring and management (giám sát và quản lý từ xa), phần mềm mà nhiều nhà cung cấp dùng để theo dõi tình trạng thiết bị và bảo trì. vCIO nghĩa là virtual Chief Information Officer (CIO ảo), người hỗ trợ lập kế hoạch và ra quyết định IT ở cấp độ doanh nghiệp.

Nếu bạn muốn, NodeBridge IT có thể kết nối bạn với một managed IT provider độc lập. Chúng tôi chỉ thu thập các thông tin cơ bản về doanh nghiệp và liên hệ để hỗ trợ ghép nối. Chúng tôi không quản lý, giám sát, bảo mật, sửa chữa hay truy cập vào hệ thống, mạng hoặc tài khoản của bạn.

Với một doanh nghiệp nhỏ, chi phí bảo mật email có thể dao động từ vài đô la mỗi người dùng mỗi tháng cho các biện pháp cơ bản, cho đến cao hơn nhiều khi bạn bổ sung các công cụ bảo mật nâng cao, kiểm soát thiết bị di động, hỗ trợ tuân thủ (compliance), đào tạo và hỗ trợ IT trực tiếp. Nếu bạn thuê MSP, chi phí hỗ trợ hằng tháng thường được tính theo người dùng, theo thiết bị, hoặc theo gói tích hợp.

Con số thực tế phụ thuộc vào số lượng nhân sự, thiết bị, nhu cầu bảo mật, khu vực của bạn, và việc bạn đã sử dụng nền tảng email doanh nghiệp nào có kèm một số biện pháp bảo vệ sẵn hay chưa. Các mức dao động này không phải báo giá. Chúng chỉ là điểm khởi đầu để lên kế hoạch.

Một nhà cung cấp tốt nên giải thích rõ phần nào được bao gồm, phần nào là tùy chọn, và phần nào vẫn phụ thuộc vào hành vi của nhân viên và quy trình vận hành của doanh nghiệp. Phạm vi công việc rõ ràng là quan trọng. Hãy hỏi họ sẽ thiết lập những gì, giám sát ra sao, xử lý cảnh báo như thế nào, và hỗ trợ gì khi người dùng có câu hỏi.