BYOD là gì và có an toàn không?

BYOD là viết tắt của “bring your own device” (mang thiết bị của bạn). Điều đó có nghĩa là nhân viên dùng thiết bị cá nhân của mình, như điện thoại, laptop hoặc máy tính bảng, để làm việc với email, tệp tin, ứng dụng, nhắn tin hoặc các hệ thống kinh doanh.

Có an toàn không? Đôi khi. BYOD không tự động an toàn hoặc không an toàn. Câu hỏi thực sự là liệu doanh nghiệp của bạn có quy tắc rõ ràng, các biện pháp bảo vệ cơ bản và một nhà cung cấp dịch vụ CNTT được quản lý, còn gọi là MSP (Managed Service Provider), có thể giúp bạn thiết lập đúng cách hay không.

Thiết bị cá nhân có thể bị thất lạc, bị chia sẻ cho gia đình sử dụng, lỗi thời, hoặc thiếu các thiết lập bảo mật. Mặt khác, nhiều doanh nghiệp nhỏ dùng BYOD mỗi ngày mà không gặp vấn đề lớn vì họ giới hạn quyền truy cập, yêu cầu các biện pháp bảo vệ đơn giản và tách dữ liệu công việc khỏi dữ liệu cá nhân khi có thể.

Không nhà cung cấp nào nói thật lại hứa hẹn không có thời gian ngừng hoạt động hoặc một mạng không thể bị tấn công. Kế hoạch BYOD tốt là nhằm giảm rủi ro, giữ tính thực tiễn và đảm bảo đội ngũ của bạn có thể làm việc mà không tạo ra các vấn đề không cần thiết.

Với nhiều doanh nghiệp nhỏ và vừa, BYOD bắt đầu một cách “vô tình”. Một quản lý kiểm tra email trên điện thoại cá nhân. Một nhân viên bán hàng đăng nhập vào tệp tin công ty từ laptop ở nhà. Một chủ doanh nghiệp dùng tin nhắn, ứng dụng đám mây và công cụ ngân hàng từ một thiết bị suốt cả ngày.

Sự tiện lợi đó có thể giúp tiết kiệm chi phí ban đầu. Bạn có thể mua ít thiết bị của công ty hơn. Nhân viên có thể thấy thoải mái hơn khi dùng các công cụ mà họ đã quen.

Nhưng thiết bị cá nhân làm mờ ranh giới giữa công việc và gia đình. Nếu một thiết bị chứa ảnh gia đình, ứng dụng cá nhân và cả email doanh nghiệp cùng lúc, việc kiểm soát những gì xảy ra khi thiết bị bị mất, bị đánh cắp, bị bán hoặc bị người khác sử dụng sẽ khó hơn.

BYOD cũng tác động đến tuân thủ (compliance), bảo hiểm và niềm tin của khách hàng. Tùy theo ngành nghề và bang nơi bạn hoạt động, bạn có thể cần các kiểm soát chặt hơn nếu nhân viên xử lý dữ liệu thanh toán, thông tin sức khỏe, hồ sơ pháp lý hoặc các thông tin nhạy cảm khác. Nếu bạn không chắc điều gì áp dụng cho mình, hãy bắt đầu với answers rồi get matched với một nhà cung cấp độc lập có thể giải thích các lựa chọn của bạn.

Rủi ro BYOD lớn nhất không phải là việc có thiết bị cá nhân. Vấn đề nằm ở quyền truy cập không được quản lý. Nếu bất kỳ ai cũng có thể đăng nhập từ bất kỳ điện thoại hoặc laptop nào, mà không có quy tắc, không cập nhật và không có cách để gỡ quyền truy cập công việc sau này, rủi ro sẽ tăng rất nhanh.

Một vấn đề thường gặp là bảo vệ đăng nhập yếu. Xác thực đa yếu tố, hay MFA (Multi-Factor Authentication), nghĩa là đăng nhập bằng mật khẩu kèm theo bước thứ hai, như mã từ ứng dụng hoặc yêu cầu trên điện thoại. MFA là một trong những cách đơn giản nhất để giảm rủi ro cho tài khoản, đặc biệt đối với email và các ứng dụng đám mây.

Một vấn đề khác là phần mềm cũ. “Patching” là cài đặt phần mềm và các bản cập nhật bảo mật lên thiết bị và ứng dụng. Khi thiết bị cá nhân không được cập nhật trong nhiều tháng, chúng có nhiều khả năng bị phát hiện các điểm yếu đã biết.

Bạn cũng cần nghĩ về việc ai kiểm soát thiết bị. Một người trẻ dùng cùng máy tính bảng của gia đình, Wi‑Fi công cộng, tải và sao chép tệp, mật khẩu được lưu tự động và các ứng dụng chưa được phê duyệt—tất cả đều có thể tạo ra rắc rối. Khi nhân viên rời đi, bạn cũng có thể cần cách loại bỏ email và tệp công ty mà không phải chạm vào ảnh hay tin nhắn cá nhân của họ.

“Endpoint” là bất kỳ thiết bị nào kết nối vào hệ thống của doanh nghiệp bạn, như laptop, điện thoại, máy tính để bàn hoặc máy tính bảng. Bạn có càng nhiều endpoint thì việc càng quan trọng là phải biết thiết bị nào có thể truy cập dữ liệu công việc và mỗi endpoint đó phải tuân theo những quy tắc tối thiểu nào.

BYOD tốt được xây dựng dựa trên các quy tắc đơn giản, viết thành văn bản. Nhân viên cần biết thiết bị cá nhân nào được dùng cho công việc, ứng dụng nào được phê duyệt, cần các thiết lập bảo mật nào, và điều gì sẽ xảy ra nếu thiết bị bị mất hoặc người đó rời công ty.

Tối thiểu, nhiều doanh nghiệp yêu cầu khóa màn hình, MFA, cập nhật hiện hành và mã hóa thiết bị cơ bản. Khi có thể, họ cũng tách ứng dụng công việc khỏi ứng dụng cá nhân, giới hạn quyền truy cập chỉ tới các công cụ mỗi người cần và tắt quyền truy cập nhanh chóng khi thay đổi vai trò.

Một số doanh nghiệp còn dùng các công cụ giám sát và quản lý thông qua nhà cung cấp CNTT của họ. RMM (Remote Monitoring and Management) là phần mềm giúp nhà cung cấp CNTT theo dõi thiết bị, bản cập nhật và các tác vụ hỗ trợ cơ bản. EDR (Endpoint Detection and Response) là phần mềm được thiết kế để phát hiện hoạt động đáng ngờ trên một thiết bị và hỗ trợ xử lý. Các công cụ này có thể phù hợp hoặc không phù hợp với mọi thiết lập BYOD, nhưng chúng khá phổ biến ở các môi trường được tổ chức chặt chẽ.

Nếu đội ngũ của bạn phụ thuộc nhiều vào thiết bị cá nhân, có thể hữu ích nếu có một vCIO (virtual Chief Information Officer - Giám đốc Thông tin ảo). vCIO là cố vấn lập kế hoạch CNTT từ bên ngoài, giúp doanh nghiệp đưa ra quyết định về công nghệ, ngân sách, nhà cung cấp và chính sách. Không phải doanh nghiệp nhỏ nào cũng cần mức lập kế hoạch đó, nhưng có một số thì cần.

Bạn có thể tìm hiểu thêm về các lựa chọn hỗ trợ phổ biến trên trang services. NodeBridge IT không phải là nhà cung cấp dịch vụ CNTT. Chúng tôi chia sẻ thông tin chung và giúp bạn tìm một nhà cung cấp dịch vụ CNTT được quản lý độc lập nếu bạn muốn được tư vấn chuyên sâu.

Nếu bạn đang cân nhắc BYOD, hãy giữ mọi thứ đơn giản. Bắt đầu bằng việc xác định hệ thống công việc nào có thể truy cập từ thiết bị cá nhân và hệ thống nào thì không. Email có thể được cho phép. Một số hệ thống kế toán, bảng lương hoặc hệ thống quản trị có thể cần được kiểm soát chặt hơn.

Sau đó, kiểm tra xem bạn đã có các “nền tảng” cần thiết hay chưa. Nếu chưa, BYOD có thể tạo ra nhiều rủi ro hơn là sự tiện lợi.

Nếu doanh nghiệp của bạn có ít hơn 10 người và chỉ sử dụng một vài ứng dụng đám mây, chính sách BYOD cơ bản có thể đủ để bắt đầu. Nhưng nếu bạn xử lý thông tin nhạy cảm, có nhiều địa điểm, nhân sự làm việc từ xa, tỷ lệ thay nhân sự thường xuyên hoặc có yêu cầu theo ngành, thì việc tìm lời khuyên trước khi vấn đề chồng chất là điều khôn ngoan.

Ví dụ, HIPAA là Đạo luật về Trách nhiệm giải trình và Cơ động của Bảo hiểm Y tế (Health Insurance Portability and Accountability Act), là luật của Mỹ ảnh hưởng đến cách xử lý một số thông tin y tế nhất định. PCI thường đề cập đến Chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh Toán (Payment Card Industry Data Security Standard), áp dụng khi doanh nghiệp xử lý thanh toán bằng thẻ. SOC 2 là một khung báo cáo mà nhiều công ty dịch vụ sử dụng để cho thấy họ tuân theo một số kiểm soát bảo mật và quyền riêng tư nhất định. Các yêu cầu này thay đổi tùy theo ngành, hợp đồng và bang.

Sao lưu cũng quan trọng, nhưng việc lập kế hoạch sao lưu là một phần riêng so với chính sách BYOD. Bạn có thể nghe về cách tiếp cận sao lưu 3-2-1. Điều đó có nghĩa là giữ 3 bản dữ liệu, trên 2 loại hình lưu trữ khác nhau, với 1 bản được lưu ở ngoài địa điểm (offsite). Thiết lập phù hợp phụ thuộc vào hệ thống của bạn và mức độ quan trọng của dữ liệu.

Nếu bạn muốn được hỗ trợ tìm người có thể xem xét tình huống của mình, get matched. NodeBridge IT là dịch vụ ghép nối miễn phí. Chúng tôi giúp các doanh nghiệp nhỏ và vừa tại Mỹ kết nối với một nhà cung cấp dịch vụ CNTT được quản lý độc lập. Chúng tôi chỉ thu thập thông tin doanh nghiệp và thông tin liên hệ, không thu mật khẩu, thông tin xác thực mạng hay quyền truy cập hệ thống.