Kế hoạch ứng phó sự cố là gì?

Kế hoạch ứng phó sự cố là một kế hoạch theo từng bước để doanh nghiệp bạn có thể nhận biết, báo cáo, khống chế, điều tra và khôi phục sau một sự cố liên quan đến bảo mật hoặc công nghệ. Đó có thể là mã độc tống tiền (ransomware), một lần đăng nhập đáng ngờ, máy tính xách tay bị đánh cắp, email giả mạo (ví dụ email lừa đảo hóa đơn), hoặc một hệ thống quan trọng bị ngừng hoạt động.

Hãy hình dung như một buổi “diễn tập chữa cháy” cho máy tính, tài khoản và dữ liệu doanh nghiệp. Mục tiêu không phải là dự đoán mọi vấn đề có thể xảy ra. Mục tiêu là đảm bảo nhóm của bạn biết rõ ai làm gì, gọi ai, cần ghi lại những gì, và cách để doanh nghiệp vẫn tiếp tục vận hành.

Với doanh nghiệp nhỏ, kế hoạch không cần quá dài hoặc quá kỹ thuật. Trong nhiều trường hợp, một tài liệu rõ ràng dài khoảng 2 đến 5 trang thường hiệu quả hơn nhiều so với một xấp bìa lớn mà không ai đọc.

Nếu bạn mới tìm hiểu dịch vụ quản trị CNTT (managed IT), mục các câu trả lời của chúng tôi giải thích các thuật ngữ phổ biến theo cách dễ hiểu. Nếu bạn muốn được hỗ trợ tìm một nhà cung cấp độc lập có thể giúp bạn xây dựng hoặc rà soát kế hoạch, chúng tôi có thể giúp bạn được ghép phù hợp.

Khi có chuyện xảy ra, vấn đề đầu tiên thường là sự lúng túng. Mọi người không chắc sự việc nghiêm trọng đến mức nào, ai cần được thông báo, có nên tắt ngay một máy tính hay không, hoặc liệu khách hàng có cần được thông báo không. Một kế hoạch bằng văn bản giúp giảm hoảng loạn và hỗ trợ mọi người đưa ra quyết định tốt hơn trong áp lực.

Kế hoạch tốt cũng có thể giúp giảm mức độ gián đoạn vận hành. Nếu hệ thống thanh toán, hệ thống đặt lịch, email hoặc quyền truy cập tệp bị ảnh hưởng, chỉ cần một thời gian ngừng ngắn cũng có thể dẫn đến mất doanh thu, công việc bị trễ và khách hàng bực bội. Không có nhà cung cấp trung thực nào hứa hẹn “không bao giờ dừng hoạt động” hoặc “mạng không thể bị tấn công”, nhưng việc lập kế hoạch thường cải thiện thời gian phản hồi và giảm sai sót.

Còn có phần “kinh doanh” và “pháp lý”. Tùy theo ngành và tiểu bang của bạn, có thể tồn tại các quy định về quyền riêng tư, dữ liệu thanh toán, thông tin sức khỏe, hợp đồng hoặc thông báo cho khách hàng. Ví dụ, HIPAA (Health Insurance Portability and Accountability Act) áp dụng cho một số loại thông tin liên quan đến sức khỏe. PCI (thường là Payment Card Industry Data Security Standard) ảnh hưởng đến các doanh nghiệp xử lý thanh toán bằng thẻ. Yêu cầu khác nhau theo từng ngành và từng tiểu bang, vì vậy kế hoạch phù hợp sẽ phụ thuộc vào tình huống của bạn.

Ngay cả khi công ty bạn nhỏ, khách hàng, chủ nhà, ngân hàng, công ty bảo hiểm và các khách hàng lớn hơn có thể hỏi về quy trình bảo mật của bạn. Có kế hoạch ứng phó sự cố cho thấy doanh nghiệp của bạn coi trọng việc vận hành nghiêm túc.

Một kế hoạch ứng phó sự cố hữu ích là rõ ràng, cập nhật và thực tế. Kế hoạch nêu tên các người liên quan, cách liên hệ, thế nào được xem là “một sự cố”, bước đầu tiên cần làm gì và khi nào cần mời hỗ trợ từ bên ngoài. Kế hoạch nên được viết bằng ngôn ngữ thông thường, không chỉ toàn thuật ngữ kỹ thuật.

Các kế hoạch tốt thường bao gồm: chuẩn bị (preparation), phát hiện (detection), khống chế (containment), điều tra (investigation), khôi phục (recovery) và rà soát (review). Chuẩn bị nghĩa là mức sẵn sàng cơ bản như danh sách liên hệ đã cập nhật, địa điểm/nguồn sao lưu, chi tiết bảo hiểm và một người ra quyết định có thể phê duyệt các hành động khẩn cấp. Phát hiện nghĩa là nhân viên sẽ báo cáo theo kiểu gì khi có email đáng ngờ, cửa sổ bật lên lạ, tệp bị thiếu hoặc hoạt động tài khoản bất thường.

Khống chế là giới hạn mức độ thiệt hại. Điều này có thể bao gồm việc ngắt thiết bị khỏi Wi‑Fi, khóa tạm thời một tài khoản người dùng, hoặc tách riêng (isolate) một hệ thống. Điều tra là tìm hiểu điều gì đã xảy ra và những phần nào bị ảnh hưởng. Khôi phục là khôi phục hệ thống một cách an toàn và đưa mọi người quay lại làm việc. Rà soát là rút kinh nghiệm từ sự cố để vấn đề tương tự ít có khả năng lặp lại.

Nếu bạn làm việc với MSP, tức managed service provider (nhà cung cấp dịch vụ quản trị), nhà cung cấp đó có thể hỗ trợ bạn lập tài liệu cho các bước này. Một số doanh nghiệp cũng yêu cầu SLA, tức service level agreement (thỏa thuận mức dịch vụ), mô tả phạm vi hỗ trợ và kỳ vọng về thời gian phản hồi. Bạn có thể tìm hiểu thêm về các lựa chọn của nhà cung cấp trên trang dịch vụ.

Định dạng chính xác có thể khác nhau, nhưng đa số doanh nghiệp nhỏ nên gom các nội dung cốt lõi vào một nơi. Như vậy sẽ dễ dùng hơn khi gặp tình huống căng thẳng.

Kế hoạch nên liệt kê các đầu mối liên hệ quan trọng, bao gồm chủ sở hữu nội bộ, quản lý văn phòng, liên hệ pháp lý hoặc tuân thủ nếu cần, chi tiết liên hệ với bảo hiểm an ninh mạng (cyber insurance), và mọi đối tác công nghệ bên ngoài. Kế hoạch cũng nên định nghĩa các loại sự cố phổ biến nhất mà doanh nghiệp bạn có thể gặp, ví dụ: bị xâm nhập tài khoản (account compromise), mã độc (malware), thiết bị bị mất (lost devices), gian lận email của nhà cung cấp (vendor email fraud), hoặc bị khóa truy cập các ứng dụng trên nền tảng đám mây (cloud app lockouts).

Kế hoạch thực tế cũng ghi rõ hệ thống nào là trọng yếu, chức năng kinh doanh nào quan trọng nhất và có những lựa chọn sao lưu nào. Nếu có thảo luận về sao lưu, bạn có thể nghe đến thuật ngữ sao lưu 3-2-1 (3-2-1 backup). Điều đó có nghĩa là giữ 3 bản dữ liệu, trên 2 loại hình lưu trữ khác nhau, và giữ 1 bản tách rời bên ngoài văn phòng (off-site) hoặc ở chế độ ngoại tuyến (offline). Sao lưu 3-2-1 không đảm bảo việc khôi phục, nhưng đây là một cách tiếp cận lập kế hoạch phổ biến.

Bạn cũng có thể thấy các thuật ngữ như MFA (multi-factor authentication, xác thực đa yếu tố), EDR (endpoint detection and response, phát hiện và phản hồi tại điểm cuối), RMM (remote monitoring and management, giám sát và quản lý từ xa), endpoint (một thiết bị như laptop hoặc máy tính để bàn), patching (áp dụng các bản cập nhật và sửa lỗi phần mềm), vCIO (virtual Chief Information Officer, CIO ảo), và SOC 2 (một khung phổ biến về cách các tổ chức dịch vụ xử lý bảo mật và các kiểm soát liên quan). Không phải doanh nghiệp nhỏ nào cũng cần mọi công cụ, nhưng kế hoạch của bạn nên phản ánh đúng các công cụ và nhà cung cấp bạn đang sử dụng.

Một lỗi thường gặp là làm kế hoạch quá chung chung. Dùng mẫu là được làm điểm bắt đầu, nhưng kế hoạch phải phù hợp với hệ thống thật của bạn, nhân sự thật và nhà cung cấp thật. Nếu kế hoạch ghi sẽ gọi người đã rời đi cách đây hai năm, thì sẽ không giúp ích được nhiều.

Một lỗi khác là chỉ tập trung vào công nghệ. Sự cố cũng ảnh hưởng đến con người và vận hành. Kế hoạch nên nêu rõ ai trao đổi với nhân viên, ai nói chuyện với khách hàng, ai phê duyệt chi tiêu khẩn cấp, và nhóm của bạn sẽ tiếp tục làm việc như thế nào nếu một hệ thống quan trọng không sẵn sàng.

Cũng là một sai lầm nếu viết kế hoạch một lần rồi không bao giờ thử nghiệm. Một bài tập đơn giản “diễn tập trên bàn” (tabletop exercise), nơi mọi người cùng trao đổi một kịch bản mẫu trong một cuộc họp, có thể làm lộ ra các bước còn thiếu và vai trò chưa rõ ràng. Bạn không cần kịch tính. Bạn chỉ cần thực hành nghiêm túc.

Cuối cùng, đừng cho rằng sao lưu, bảo hiểm an ninh mạng hoặc nhà cung cấp phần mềm của bạn tự động giải quyết mọi thứ. Những thứ đó có thể là một phần của phương án phản hồi, nhưng tự thân chúng không phải là một kế hoạch đầy đủ.

Bắt đầu từ nhỏ. Chọn một người chịu trách nhiệm chủ trì dự án. Ghi ra các hệ thống quan trọng nhất của bạn, các rủi ro kinh doanh hàng đầu, các đầu mối liên hệ nội bộ và bên ngoài, và 5 hành động đầu tiên mà nhóm bạn nên thực hiện nếu có điều gì đó đáng ngờ xảy ra. Sau đó, hãy rà soát với những người thực sự sẽ tham gia.

Nếu bạn đã làm việc với một nhà cung cấp công nghệ, hãy hỏi xem họ có giúp khách hàng tạo hoặc rà soát kế hoạch ứng phó sự cố hay không. Nếu bạn vẫn chưa có nhà cung cấp, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp dịch vụ CNTT quản trị độc lập để trao đổi. Chúng tôi là một dịch vụ ghép phù hợp miễn phí. Chúng tôi không quản trị, giám sát, bảo mật, sửa chữa hoặc truy cập vào hệ thống của bạn.

Khi bạn liên hệ với chúng tôi, chúng tôi chỉ thu thập thông tin kinh doanh và thông tin liên hệ để có thể giúp bạn tìm được đối tác phù hợp. Nếu bạn muốn khám phá các lựa chọn của mình, hãy được ghép phù hợp. Nếu bạn vẫn đang so sánh và tìm hiểu, bạn cũng có thể xem thêm các câu trả lời viết theo ngôn ngữ dễ hiểu.