Làm thế nào để bảo mật làm việc từ xa và mô hình kết hợp?

Để đảm bảo an toàn cho làm việc từ xa và mô hình kết hợp, hãy bắt đầu từ những điều cơ bản. Dùng xác thực đa yếu tố, hay MFA, nghĩa là có thêm một bước để đăng nhập ngoài mật khẩu. Cập nhật thường xuyên máy tính xách tay và điện thoại, bảo vệ dữ liệu doanh nghiệp, và đảm bảo mọi người nắm được quy tắc làm việc tại nhà, khi di chuyển, và trong văn phòng.

An ninh tốt cho làm việc từ xa không chỉ là phần mềm. Đó còn là quy trình. Bạn cần quy tắc phân quyền truy cập rõ ràng, cách an toàn để chia sẻ tệp, kế hoạch xử lý khi thiết bị bị mất, và một người chịu trách nhiệm kiểm tra việc cập nhật, sao lưu và tài khoản người dùng được thực hiện đúng cách.

Với nhiều doanh nghiệp nhỏ, phương án thực tế là hợp tác với nhà cung cấp dịch vụ quản lý, hay MSP. MSP là một công ty bên ngoài giúp quản lý và hỗ trợ công nghệ doanh nghiệp một cách liên tục. Nếu bạn đang so sánh các lựa chọn, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp IT quản lý độc lập phù hợp với quy mô, ngân sách và nhu cầu của bạn.

Khi nhân sự làm việc ở nhiều địa điểm khác nhau, doanh nghiệp của bạn có nhiều yếu tố thay đổi hơn. Nhân viên có thể dùng laptop văn phòng tại nhà, kết nối qua internet ở nhà, in tài liệu ngoài văn phòng, hoặc đăng nhập từ điện thoại cá nhân. Điều đó không có nghĩa là làm việc từ xa tự thân đã không an toàn, nhưng có nghĩa là bạn cần sự nhất quán hơn.

Doanh nghiệp nhỏ thường gặp các vấn đề đơn giản trước tiên. Nhân viên cũ vẫn còn quyền truy cập email. Một chiếc laptop bị mất trong ô tô. Tệp được lưu ở ba nơi khác nhau. Các bản cập nhật phần mềm bị bỏ qua vì không ai “sở hữu” nhiệm vụ đó. Đây là rủi ro cho doanh nghiệp, không chỉ là vấn đề kỹ thuật.

Làm việc từ xa và mô hình kết hợp cũng ảnh hưởng đến niềm tin của khách hàng và yêu cầu tuân thủ. Điều kiện khác nhau tùy ngành và theo từng bang. Nếu doanh nghiệp của bạn xử lý thông tin nhạy cảm về sức khỏe, thanh toán, pháp lý, tài chính hoặc các lĩnh vực nhạy cảm khác, bạn có thể cần kiểm soát mạnh hơn, chính sách được lập thành văn bản, và hồ sơ rõ ràng về ai có thể truy cập cái gì.

Một thiết lập làm việc từ xa tốt đủ đơn giản để nhân viên làm theo và đủ rõ ràng để nhà cung cấp hỗ trợ. Mọi người dùng đều sử dụng thiết bị được phê duyệt, ứng dụng được phê duyệt và cách được phê duyệt để truy cập dữ liệu doanh nghiệp. Việc đăng nhập được bảo vệ bằng MFA. Thiết bị được cập nhật và có phần mềm bảo mật định kỳ. Việc truy cập được thu hồi nhanh chóng khi ai đó nghỉ việc.

Cấu hình tốt cũng tách bạch hoạt động cá nhân và hoạt động doanh nghiệp ở mức tối đa có thể. Tệp của công ty được lưu trong các hệ thống đám mây do công ty phê duyệt, thay vì trên các USB ngẫu nhiên hoặc tài khoản email cá nhân. Nếu laptop hoặc điện thoại bị mất, doanh nghiệp sẽ biết dữ liệu nào đã có trên đó và cần thực hiện bước tiếp theo gì.

Không nhà cung cấp nào làm việc nghiêm túc lại hứa “không downtime” hay một mạng “không thể bị hack”. Mục tiêu thực sự là giảm thiểu rủi ro có thể tránh, phát hiện vấn đề sớm hơn, và sẵn sàng khôi phục theo cách có tổ chức khi có sự cố xảy ra.

Bắt đầu với danh tính và quyền truy cập. Dùng mật khẩu mạnh, MFA và danh sách rõ ràng về ai cần có quyền truy cập vào từng hệ thống. Xem lại danh sách đó thường xuyên. Đừng để việc dùng chung tài khoản trở thành thông lệ nếu có thể tránh.

Tiếp theo là quản lý thiết bị. Mọi laptop, máy tính để bàn và điện thoại doanh nghiệp đều nên được theo dõi. Endpoint là bất kỳ thiết bị nào kết nối với hệ thống doanh nghiệp của bạn, như laptop, máy tính để bàn, điện thoại hoặc máy tính bảng. Patching (cập nhật vá) là việc cài đặt các bản cập nhật phần mềm và bảo mật để các vấn đề đã biết được khắc phục. Nếu không ai đảm bảo việc patching được thực hiện, rủi ro của bạn sẽ tăng lên rất nhanh.

Nhiều nhà cung cấp cũng sử dụng các công cụ gọi là EDR và RMM. EDR là endpoint detection and response (phát hiện và phản ứng trên thiết bị). Đây là phần mềm theo dõi thiết bị để phát hiện hoạt động đáng ngờ và hỗ trợ điều tra sự cố. RMM là remote monitoring and management (giám sát và quản lý từ xa). Đây là phần mềm giúp nhà cung cấp theo dõi tình trạng thiết bị, áp dụng bản cập nhật và xử lý các tác vụ hỗ trợ định kỳ.

Sao lưu cũng rất quan trọng, đặc biệt với các đội nhóm làm việc từ xa dùng ứng dụng đám mây và thiết bị cục bộ. Cách tiếp cận sao lưu 3-2-1 có nghĩa là giữ 3 bản sao dữ liệu quan trọng, trên 2 loại hình lưu trữ khác nhau, và 1 bản sao được lưu ngoài địa điểm (offsite). Cấu hình phù hợp phụ thuộc vào cách doanh nghiệp của bạn vận hành, dữ liệu của bạn nằm ở đâu và bạn cần khôi phục các tệp quan trọng nhanh đến mức nào.

Công nghệ giúp ích, nhưng con người cần các quy tắc rõ ràng. Nhóm của bạn nên biết thiết bị nào được chấp thuận, cách báo cáo khi mất laptop, dữ liệu doanh nghiệp nên được lưu ở đâu và phải làm gì nếu lời nhắc đăng nhập hoặc email trông đáng ngờ. Một chính sách ngắn gọn, dễ dùng sẽ tốt hơn một tài liệu dài mà không ai đọc.

Đào tạo không cần phải kịch tính hoặc diễn ra liên tục. Nó nên mang tính thực hành. Hướng dẫn nhân viên cách sử dụng MFA, cách nhận biết các nỗ lực phishing phổ biến, cách tránh lưu tệp doanh nghiệp trong tài khoản cá nhân và khi nào cần nhờ hỗ trợ. Nhắc lại các kiến thức cơ bản thường xuyên.

Bạn cũng nên biết ai là người sở hữu các quyết định. Nếu doanh nghiệp của bạn quá nhỏ để có một lãnh đạo CNTT làm toàn thời gian, một số MSP cung cấp hỗ trợ vCIO. vCIO nghĩa là virtual Chief Information Officer (giám đốc thông tin ảo). Đây là cố vấn chiến lược theo thời gian bán phần, giúp lập kế hoạch, dự toán ngân sách, xác định ưu tiên và đưa ra các quyết định về công nghệ.

Nếu bạn chưa chắc mình cần gì, hãy bắt đầu bằng một bản kiểm kê đơn giản. Liệt kê nhân sự, thiết bị, ứng dụng, vị trí lưu tệp và các nơi nhân viên làm việc từ đó. Sau đó hỏi điều gì sẽ xảy ra nếu một thiết bị bị mất, một nhân viên rời đi đột ngột hoặc cần khôi phục một tệp quan trọng. Những câu trả lời thường chỉ ra các lỗ hổng ở đâu.

Khi trao đổi với các nhà cung cấp, hãy yêu cầu giải thích bằng ngôn ngữ dễ hiểu. Hỏi họ xử lý việc cập nhật thiết bị như thế nào, thay đổi tài khoản cho nhân sự mới và nhân sự rời đi ra sao, kiểm tra sao lưu ra sao, đào tạo nhân viên và các bước phản hồi khi xảy ra các sự cố thường gặp. Nếu họ đề cập đến thỏa thuận mức dịch vụ, hay SLA (service level agreement), thì đó là các quy tắc bằng văn bản về thời gian phản hồi và phạm vi hỗ trợ. Hãy đảm bảo các điều khoản đó phù hợp với giờ làm việc và phong cách làm việc của bạn.

Nếu doanh nghiệp của bạn có yêu cầu tuân thủ, hãy hỏi thẳng. HIPAA là các quy tắc liên bang về quyền riêng tư và bảo mật cho y tế, áp dụng cho một số tổ chức liên quan đến chăm sóc sức khỏe và đối tác. PCI thường được hiểu là Payment Card Industry Data Security Standard (Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh Toán) cho các doanh nghiệp xử lý thanh toán bằng thẻ. SOC 2 là một khung báo cáo mà nhiều nhà cung cấp sử dụng để chứng minh cách họ quản lý bảo mật và các kiểm soát liên quan. Yêu cầu khác nhau theo ngành và theo từng bang, vì vậy nhà cung cấp phù hợp nên giải thích rõ cái gì áp dụng và cái gì không.

Nếu bạn muốn được hỗ trợ sàng lọc các lựa chọn, hãy xem thêm các câu trả lời ngôn ngữ dễ hiểu trong thư viện tài nguyên, tìm hiểu cách các dịch vụ IT quản lý thường được cấu trúc trên trang dịch vụ của chúng tôi, hoặc được ghép phù hợp với một nhà cung cấp độc lập. NodeBridge IT là dịch vụ ghép nối miễn phí. Chúng tôi không quản lý, không giám sát, không bảo mật, không sửa chữa và cũng không truy cập vào hệ thống của bạn.