Những nguyên tắc cơ bản về cybersecurity mà mọi doanh nghiệp nhỏ cần có

Với đa số doanh nghiệp nhỏ, một nền tảng an ninh mạng vững chắc không quá phức tạp. Thường bắt đầu với xác thực đa yếu tố (MFA), nghĩa là có thêm một bước đăng nhập thứ hai như mã từ ứng dụng; cập nhật vá thường xuyên, nghĩa là cài các bản cập nhật bảo mật; sao lưu đáng tin cậy; lọc email; và đào tạo nhân sự đơn giản.

Một nhà cung cấp dịch vụ CNTT quản lý tốt, còn được gọi là MSP (Managed Service Provider), nên có thể giải thích những điều cơ bản này bằng ngôn ngữ dễ hiểu. Họ cần nói rõ họ phụ trách phần nào, đội ngũ của bạn vẫn cần làm gì, và những gì không nằm trong phạm vi.

Không nhà cung cấp chân thành nào cam kết không bao giờ downtime hoặc một mạng không thể bị tấn công. Mục tiêu thực sự là giảm các rủi ro phổ biến, phát hiện vấn đề sớm hơn và việc khôi phục sẽ ít đau đầu hơn nếu có sự cố.

Nếu bạn điều hành một văn phòng nhỏ, phòng khám, cửa hàng, kho hàng, nhóm nhà hàng hoặc công ty dịch vụ chuyên nghiệp, thì phần lớn rủi ro hằng ngày đến từ những việc rất thông thường. Một mật khẩu bị dùng lại. Một chiếc laptop cũ bỏ lỡ các bản cập nhật. Một email hóa đơn giả. Một nhân viên bấm nhầm vào liên kết sai. Một bản sao lưu trông có vẻ ổn nhưng thực tế không thể khôi phục.

Vì vậy, các hạng mục cơ bản lại quan trọng đến thế. Chúng bao phủ những vấn đề phổ biến nhất mà không khiến doanh nghiệp của bạn khó vận hành hơn. Đồng thời tạo ra thói quen vận hành: thiết bị được cập nhật; nhân sự mới được thiết lập đúng; nhân sự nghỉ việc bị thu hồi quyền nhanh chóng; email đáng ngờ được lọc hoặc gắn cờ cảnh báo; các tệp quan trọng được sao lưu và kiểm tra khôi phục.

Đây cũng là nơi các quy trình rõ ràng phát huy tác dụng. Ai duyệt phần mềm? Ai có thể mua máy tính mới? Ai có quyền quản trị? Việc xác minh thay đổi thông tin ngân hàng được thực hiện như thế nào? Những quy tắc đơn giản thường giúp tránh các sai lầm tốn kém.

Nếu bạn đang so sánh nhà cung cấp, hãy hỏi cách họ xử lý bảo mật cho đúng loại hình doanh nghiệp và quy mô của bạn. Yêu cầu của từng ngành và từng bang có thể khác nhau. Ngành y tế, thanh toán, pháp lý và các công việc chịu quy định có thể cần nhiều biện pháp kiểm soát hơn so với một văn phòng thông thường.

Bắt đầu với MFA cho email, lưu trữ tệp, công cụ truy cập từ xa và bất kỳ ứng dụng kinh doanh quan trọng nào. Email đặc biệt quan trọng vì một hộp thư thường kết nối với hóa đơn, đặt lại mật khẩu, tin nhắn khách hàng và các phê duyệt nội bộ. Nếu email yếu, nhiều hệ thống khác sẽ bị lộ.

Tiếp theo là cập nhật vá (patching). Nghĩa là giữ cho máy tính, điện thoại, thiết bị mạng và phần mềm kinh doanh luôn được cập nhật các bản vá bảo mật. Hãy hỏi họ rà soát tần suất cập nhật ra sao, xử lý các vấn đề khẩn cấp như thế nào và điều gì xảy ra với những thiết bị ít khi có mặt tại văn phòng.

Sau đó hỏi về bảo vệ endpoint. Endpoint là bất kỳ thiết bị của người dùng như laptop, máy để bàn hoặc điện thoại. Một số nhà cung cấp sử dụng EDR (Endpoint Detection and Response) là công cụ giúp phát hiện các hoạt động đáng ngờ trên thiết bị và phản hồi khi có sự cố. Bạn không cần biết tên thương hiệu. Bạn cần biết nhà cung cấp theo dõi những gì và họ làm gì khi phát hiện có vẻ “không đúng”.

Sao lưu cũng quan trọng tương tự. Hãy hỏi liệu họ có thực hiện theo mô hình sao lưu 3-2-1 hay không: giữ 3 bản sao dữ liệu quan trọng trên 2 loại hình lưu trữ khác nhau, và 1 bản sao được lưu ngoài cơ sở (offsite). Đồng thời hỏi tần suất họ kiểm tra việc khôi phục (restore). Sao lưu chỉ thực sự hữu ích khi có thể khôi phục được.

Lọc email cũng nên nằm trong cuộc trao đổi. Đây là khâu sàng lọc chặn hoặc gắn cờ spam, mã độc, trang đăng nhập giả và các nỗ lực mạo danh trước khi chúng đến tay nhân sự. Tất nhiên, nó không thể bắt được mọi thứ, nên nhận thức của nhân viên vẫn rất quan trọng.

Cuối cùng, hãy hỏi về cách thiết lập người dùng và thu hồi quyền khi rời đi, quy tắc mật khẩu, quyền quản trị và đào tạo nhận thức bảo mật. Các buổi đào tạo ngắn gọn, thực tế thường hiệu quả hơn các bài giảng dài. Nhân sự cần biết cách nhận diện email giả mạo, xác minh yêu cầu chuyển tiền và báo cáo nhanh bất kỳ điều gì bất thường.

Chi phí an ninh mạng cho doanh nghiệp nhỏ có sự chênh lệch khá lớn. Con số thực tế phụ thuộc vào số lượng nhân sự, số lượng thiết bị, nhu cầu bảo mật, vị trí và việc bạn có cần hỗ trợ ngoài giờ, hỗ trợ tuân thủ (compliance) hay làm dự án hay không. Những mức này không phải là báo giá.

Với nhiều doanh nghiệp nhỏ, khi gộp dịch vụ IT quản lý (managed IT) và bảo mật cơ bản lại với nhau, chi phí thường rơi vào khoảng 100 đến 250 USD mỗi người dùng mỗi tháng. Ở một số khu vực hoặc thiết lập nhẹ hơn, có thể thấp hơn. Trong môi trường chịu quản lý chặt hoặc yêu cầu bảo mật cao hơn, có thể cao hơn.

Một số hạng mục có thể được gộp vào một gói theo tháng. Một số khác có thể tính riêng. Ví dụ, bảo vệ email nâng cao, EDR, lưu trữ sao lưu, đào tạo nhận thức bảo mật, hoặc một giám đốc thông tin ảo, gọi là vCIO, có thể được bao gồm hoặc tính riêng. vCIO là một cố vấn CNTT cấp cao làm việc bán thời gian, giúp hỗ trợ lập kế hoạch, ngân sách và ưu tiên.

Bạn cũng có thể thấy phí thiết lập hoặc chi phí dự án một lần nếu hệ thống của bạn cũ, lộn xộn hoặc thiếu các kiểm soát cơ bản. Điều đó là bình thường. Điều quan trọng là liệu nhà cung cấp có thể giải thích công việc theo tháng, phần dọn dẹp một lần và các giới hạn của gói một cách rõ ràng hay không.

Bạn không cần trở nên kỹ thuật. Bạn cần vài câu hỏi thẳng. Hỏi những gì được bao gồm, những gì tính thêm, họ phản hồi nhanh đến mức nào và cách họ báo cáo về công việc bảo mật. Hỏi liệu họ có dùng RMM (Remote Monitoring and Management) hay không—đây là phần mềm mà nhà cung cấp dùng để theo dõi tình trạng thiết bị và thực hiện bảo trì định kỳ từ xa. Sau đó hỏi họ có thể nhìn thấy gì thông qua công cụ đó và họ không thể nhìn thấy gì.

Hãy yêu cầu thỏa thuận mức dịch vụ (SLA - Service Level Agreement). Đây là tài liệu nêu mục tiêu phản hồi, giờ phạm vi hỗ trợ và phạm vi dịch vụ. SLA không phải là lời hứa rằng sẽ không bao giờ xảy ra lỗi. SLA là mô tả bằng văn bản về điều gì sẽ diễn ra khi bạn cần hỗ trợ.

Nếu bạn xử lý thông tin sức khỏe, thẻ thanh toán hoặc làm việc với các công ty lớn hơn, hãy hỏi họ hỗ trợ các yêu cầu phổ biến như thế nào. HIPAA là viết tắt của Đạo luật về Trách nhiệm giải trình và Cung cấp bảo hiểm y tế (Health Insurance Portability and Accountability Act) đối với thông tin trong lĩnh vực y tế. PCI thường là viết tắt của Chuẩn bảo mật dữ liệu ngành thẻ thanh toán (Payment Card Industry Data Security Standard) dành cho doanh nghiệp xử lý thanh toán bằng thẻ. SOC 2 là một khung báo cáo bảo mật phổ biến mà nhiều nhà cung cấp và đối tác lớn thường được yêu cầu tìm hiểu. Yêu cầu thay đổi theo ngành và theo bang, nên câu trả lời đúng phụ thuộc vào tình huống của bạn.

Nếu bạn muốn được hỗ trợ so sánh các lựa chọn, NodeBridge IT có thể giúp bạn hiểu các điều cơ bản và kết nối bạn với một nhà cung cấp IT quản lý độc lập. Dịch vụ của chúng tôi miễn phí cho doanh nghiệp. Chúng tôi chỉ thu thập thông tin doanh nghiệp và liên hệ, không thu mật khẩu hoặc quyền truy cập hệ thống.

Trước tiên, hãy lập danh sách ngắn những gì bạn đang có. Đếm số lượng người, máy tính, địa điểm, phần mềm quan trọng và bất kỳ nhu cầu đặc thù theo ngành nào. Ghi chú các điểm đau như email giả mạo, phần cứng cũ, Wi‑Fi kém, lo lắng về sao lưu hoặc không có ai chịu trách nhiệm về IT.

Thứ hai, xác định thế nào là “đủ tốt” trong 12 tháng tới. Hầu hết doanh nghiệp muốn ít bất ngờ hơn, được hỗ trợ nhanh hơn, email an toàn hơn, sao lưu hoạt động được và có kế hoạch theo tháng rõ ràng. Đó là một điểm khởi đầu hợp lý.

Thứ ba, hãy tìm hiểu trước khi bạn ký bất kỳ thứ gì. Bạn có thể xem thêm các câu hỏi viết theo ngôn ngữ dễ hiểu trên trang answers page, hoặc get matched nếu bạn muốn được hỗ trợ tìm một nhà cung cấp IT quản lý độc lập phù hợp với quy mô, khu vực và nhu cầu của bạn.

Bạn không cần một mức bảo mật “hoàn hảo” ngay ngày đầu. Bạn cần một nền tảng thực tế, rõ ràng về trách nhiệm, và duy trì việc theo dõi đều đặn.