Ai sở hữu dữ liệu và mật khẩu của tôi?

Doanh nghiệp của bạn nên sở hữu dữ liệu kinh doanh của chính mình, các tài khoản đám mây, giấy phép phần mềm được mua dưới tên công ty của bạn, và mật khẩu hoặc bản ghi của trình quản lý mật khẩu cần thiết để kiểm soát các tài nguyên đó. Nếu bạn thuê một nhà cung cấp dịch vụ IT được quản lý, gọi tắt là MSP (Managed Service Provider), họ có thể giúp thiết lập và quản lý công việc hằng ngày, nhưng điều đó không đồng nghĩa với việc họ là chủ sở hữu.

Một nhà cung cấp tốt có thể chỉ cần quyền truy cập kỹ thuật ở mức giới hạn để hỗ trợ hệ thống của bạn, nhưng “quyền truy cập” không phải là “quyền sở hữu”. Bạn cần có khả năng thay đổi nhà cung cấp mà vẫn giữ được email, tệp, thiết bị, dịch vụ internet, bản sao lưu và quyền truy cập quản trị đối với các công cụ mà doanh nghiệp bạn trả tiền.

Vẫn có ngoại lệ. Một số công cụ có thể thuộc nền tảng riêng của nhà cung cấp hoặc là một phần trong gói dịch vụ của họ. Việc đó không phải lúc nào cũng xấu, nhưng cần được giải thích rõ ràng. Bạn nên biết phần nào thuộc về doanh nghiệp mình, phần nào thuộc về nhà cung cấp, và điều gì sẽ xảy ra nếu mối quan hệ kết thúc.

Nếu quyền sở hữu không rõ ràng, những thay đổi đơn giản cũng có thể biến thành vấn đề tốn kém. Một doanh nghiệp có thể muốn chuyển đổi nhà cung cấp và phát hiện tài khoản quản trị email đang nằm dưới tên của nhà cung cấp cũ, hoặc bản ghi sao lưu, giấy phép phần mềm, hay tài khoản internet không dễ chuyển giao. Điều đó có thể gây ra chậm trễ, bối rối và chi phí phát sinh.

Mật khẩu cũng quan trọng vì lý do tương tự. Nếu chỉ nhà cung cấp biết “khóa” mật khẩu quản trị, doanh nghiệp của bạn có thể bị kẹt trong việc chờ hỗ trợ để thực hiện các thay đổi khẩn cấp. Hỗ trợ tốt phải giúp mọi việc dễ hơn, không khiến doanh nghiệp của bạn phụ thuộc vào một công ty bên ngoài.

Đây cũng là vấn đề về kiểm soát và trách nhiệm. Chủ sở hữu và người quản lý văn phòng không nhất thiết phải tự làm phần việc kỹ thuật, nhưng ai đó trong doanh nghiệp phải biết người nắm quyền truy cập “mức cao nhất” (master access) đối với các hệ thống quan trọng. Điều này bao gồm email, lưu trữ tệp, công cụ kế toán, tên miền, dịch vụ lưu trữ website, hệ thống trả lương, hệ thống điện thoại, tài khoản tường lửa (firewall accounts) và hệ thống sao lưu.

Không có nhà cung cấp trung thực nào hứa đảm bảo “không bao giờ ngừng hoạt động” hoặc mạng “không thể bị xâm nhập”. Tuy vậy, quyền sở hữu và quy tắc truy cập được nêu rõ có thể giảm bối rối khi thay đổi nhân sự, thay đổi nhà cung cấp hoặc gặp sự cố khẩn cấp.

Một cấu hình tốt rất dễ mô tả. Doanh nghiệp của bạn là chủ sở hữu được nêu tên hoặc là người nắm tài khoản chính đối với các dịch vụ cốt lõi. Việc thanh toán cho các dịch vụ đó được thực hiện dưới tên doanh nghiệp của bạn hoặc được ghi rõ ràng trong tài liệu. Các tài khoản quản trị quan trọng phải được doanh nghiệp biết đến, được lưu an toàn và không chỉ do một người bên ngoài kiểm soát.

Nhiều doanh nghiệp sử dụng trình quản lý mật khẩu để mật khẩu công ty được lưu trữ an toàn trong một nơi duy nhất. Bạn không cần phải ghi nhớ mọi thứ, nhưng bạn nên có quy trình về ai có thể truy cập “kho dữ liệu” (vault) đó và cách thức quyền sở hữu được chuyển giao khi nhân sự hoặc nhà cung cấp thay đổi. NodeBridge IT không bao giờ yêu cầu mật khẩu, thông tin đăng nhập mạng (network credentials) hoặc quyền truy cập hệ thống. Chúng tôi chỉ thu thập thông tin cơ bản về doanh nghiệp và liên hệ khi giúp bạn tìm một nhà cung cấp độc lập.

Về bảo mật, nhiều doanh nghiệp cũng dùng xác thực đa yếu tố, gọi tắt là MFA (Multi-Factor Authentication). MFA có nghĩa là đăng nhập bằng mật khẩu kèm thêm bước thứ hai như mã từ ứng dụng hoặc yêu cầu xác nhận. Doanh nghiệp nên kiểm soát MFA cho các tài khoản cấp chủ sở hữu (owner-level) hoặc cấp quản trị (admin-level), hoặc ít nhất là phải biết rõ nó được quản lý như thế nào.

Nếu có sự tham gia của MSP, hãy yêu cầu họ lập tài liệu về tài khoản “đang nằm ở đâu”, ai là chủ sở hữu hợp pháp và những thông tin đăng nhập nào được chia sẻ cho doanh nghiệp. Đây là yêu cầu bình thường và hợp lý.

Bạn không cần dùng ngôn ngữ kỹ thuật. Những câu hỏi “nói thẳng” thường là cách tốt nhất. Hãy hỏi ai là người sở hữu các tài khoản, ai là quản trị viên chính, ai lưu giữ mật khẩu và điều gì sẽ xảy ra nếu bạn ngừng sử dụng dịch vụ.

Ngoài ra, hãy hỏi liệu có công cụ nào được gắn với các hệ thống thuộc về chính nhà cung cấp hay không. Một số nhà cung cấp dùng công cụ giám sát và quản lý từ xa, gọi tắt là RMM tools (Remote Monitoring and Management), để theo dõi tình trạng thiết bị và xử lý công việc định kỳ. Họ cũng có thể dùng EDR (Endpoint Detection and Response), là phần mềm an ninh giám sát máy tính và máy chủ để phát hiện hoạt động đáng ngờ. Những công cụ này có thể được cài đặt và quản lý bởi nhà cung cấp, nhưng bạn vẫn nên hiểu họ có thể truy cập những dữ liệu nào và liệu báo cáo hoặc cài đặt có thể được chuyển giao hay không.

Hãy yêu cầu quy trình “thoát” (exit process) bằng văn bản. Nội dung đó nên bao gồm việc hoàn trả quyền truy cập quản trị, chuyển giao tài liệu, gỡ bỏ các công cụ thuộc quyền sở hữu của nhà cung cấp và bàn giao các bản ghi hiện tại. Một danh sách đơn giản có thể ngăn ngừa nhiều vấn đề về sau.

Nếu bạn đang so sánh các lựa chọn, trang answers của chúng tôi có thể giúp bạn hiểu trước các thuật ngữ thường gặp, và trang services giải thích những gì doanh nghiệp thường yêu cầu một MSP đảm nhận.