Cách chọn nhà cung cấp managed IT

Một nhà cung cấp managed IT tốt, còn gọi là MSP (Managed Service Provider), nên giải thích những gì họ làm bằng tiếng Anh đơn giản, đưa cho bạn phạm vi công việc rõ ràng và cho bạn biết cách xử lý các yêu cầu hỗ trợ. Bạn cần nắm được phần nào được bao gồm, phần nào tính thêm chi phí, và các sự cố khẩn cấp được ưu tiên ra sao.

Bạn không chỉ “mua hỗ trợ IT”. Bạn đang chọn một đối tác kinh doanh có thể tư vấn cho bạn về thiết bị, phần mềm, sao lưu, thói quen bảo mật của nhân viên và kế hoạch dài hạn. Lựa chọn tốt nhất thường là nhà cung cấp rõ ràng, có tổ chức và thực tế—không phải bên đưa ra lời hứa lớn nhất.

Không có nhà cung cấp trung thực nào hứa đảm bảo không có downtime (ngừng hoạt động) hoặc một mạng “không thể bị hack”. Dấu hiệu tốt hơn là nhà cung cấp nói rõ ràng về phòng ngừa, giám sát, phản hồi, sao lưu và các giới hạn.

Nếu bạn vẫn đang tìm hiểu những kiến thức nền tảng, phần tổng quan dịch vụ và các câu hỏi thường gặp của chúng tôi có thể giúp bạn trước khi so sánh các công ty.

Bắt đầu từ phạm vi (scope). Hãy hỏi họ quản lý những gì trong vận hành hằng ngày. Điều đó có thể bao gồm máy tính của nhân viên, máy chủ, Microsoft 365 hoặc Google Workspace, thiết bị mạng, sao lưu, cập nhật phần mềm, antivirus hoặc endpoint detection, và phối hợp với nhà cung cấp (vendor).

Hãy hỏi họ hỗ trợ như thế nào. Tìm hiểu giờ làm việc, các lựa chọn ngoài giờ hành chính, cách người dùng yêu cầu hỗ trợ và mục tiêu phản hồi sẽ ra sao cho các sự cố khẩn cấp và không khẩn cấp. Nhiều nhà cung cấp sử dụng SLA, tức thỏa thuận mức độ dịch vụ (service level agreement). Đây là phần trong hợp đồng nêu rõ thời gian phản hồi dự kiến và các điều khoản hỗ trợ.

Hỏi về các nguyên tắc bảo mật cơ bản theo cách dễ hiểu. Các chủ đề tốt bao gồm xác thực đa yếu tố, gọi là MFA (Multi-Factor Authentication), nghĩa là bước đăng nhập thứ hai; patching, nghĩa là giữ phần mềm được cập nhật để khắc phục các vấn đề đã biết; và kiểm tra sao lưu (backup testing), nghĩa là xác nhận rằng bản sao lưu có thể được khôi phục thực sự. Bạn cũng có thể hỏi họ có sử dụng EDR không—EDR (Endpoint Detection and Response) là công cụ giúp phát hiện hoạt động đáng ngờ trên các thiết bị của doanh nghiệp.

Hỏi họ dùng những công cụ nào để quản lý hệ thống, nhưng đừng bị “lạc” vào các thuật ngữ thời thượng. Một số công ty dùng RMM, tức phần mềm giám sát và quản trị từ xa (remote monitoring and management). Việc đó có thể là bình thường và hữu ích. Điều quan trọng hơn là cách họ dùng công cụ, họ giám sát gì và cách họ trao đổi với bạn.

Sự phù hợp phụ thuộc vào quy mô của bạn, ngành của bạn và mức hỗ trợ mà đội ngũ bạn cần. Một văn phòng nhỏ với các công cụ cloud cơ bản có thể chỉ cần bộ phận help desk phản hồi nhanh, thiết lập thiết bị, các nguyên tắc bảo mật cơ bản và ngân sách đơn giản. Một doanh nghiệp có nhiều chi nhánh, yêu cầu theo quy định của ngành hoặc dùng các hệ thống cũ có thể cần lập kế hoạch nhiều hơn và hỗ trợ trực tiếp nhiều hơn.

Bạn cũng nên xem xét phong cách giao tiếp. Nếu đội ngũ của bạn không quá kỹ thuật, nhà cung cấp cần kiên nhẫn và dễ hiểu. Họ nên giải thích các đánh đổi (tradeoffs), không nên ép bạn vào các gói dịch vụ gây khó hiểu. Điều này càng quan trọng hơn với doanh nghiệp gia đình, công ty đang tăng trưởng và các đội nhóm mà tiếng Anh có thể không phải ngôn ngữ đầu tiên của mọi người.

Hỏi ai sẽ hỗ trợ cho việc lập kế hoạch. Một số nhà cung cấp có thể cung cấp vCIO, tức giám đốc công nghệ thông tin ảo (virtual chief information officer). Thông thường, đó là một người giúp bạn lập kế hoạch công nghệ, dự toán ngân sách và ưu tiên—dù bạn chưa đủ lớn để thuê một lãnh đạo IT nội bộ.

Nếu bạn xử lý dữ liệu thuộc diện quản lý chặt chẽ, hãy hỏi các câu hỏi cụ thể. HIPAA là Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (Health Insurance Portability and Accountability Act), một luật về quyền riêng tư trong y tế tại Mỹ. PCI thường ám chỉ PCI DSS (Payment Card Industry Data Security Standard)—tiêu chuẩn an ninh dữ liệu cho các doanh nghiệp xử lý thanh toán thẻ. SOC 2 là một khung báo cáo mà nhiều nhà cung cấp phần mềm dùng để cho thấy cách họ xử lý bảo mật và kiểm soát. Yêu cầu khác nhau theo ngành và theo bang, vì vậy hãy hỏi nhà cung cấp về kinh nghiệm của họ với loại hình doanh nghiệp của bạn.

Với nhiều doanh nghiệp nhỏ và vừa tại Mỹ, chi phí managed IT thường được tính theo người dùng (per user), theo thiết bị (per device) hoặc theo gói hàng tháng. Một khoảng giá phổ biến mang tính tham khảo là khoảng 100 đến 250 USD mỗi người dùng mỗi tháng cho hỗ trợ liên tục, tùy thuộc vào số lượng nhân sự (headcount), số thiết bị, nhu cầu bảo mật, giờ hỗ trợ và khu vực của bạn. Một số công ty có thể báo giá thấp hơn cho hỗ trợ cơ bản, trong khi dịch vụ tập trung nhiều hơn vào bảo mật hoặc nặng về tuân thủ có thể cao hơn.

Hạng mục dự án thường được tính riêng. Ví dụ gồm chuyển văn phòng, nâng cấp mạng lớn, di chuyển lên cloud, thay thế máy chủ hoặc cải thiện bảo mật. Những hạng mục này có thể được lập giá theo mức cố định cho dự án hoặc theo giờ. Phí onboarding cũng khá phổ biến, đặc biệt nếu hệ thống của bạn lộn xộn, không có tài liệu hoặc đã lỗi thời.

Hãy cẩn trọng với các báo giá trông có vẻ rẻ cho đến khi bạn đọc chi tiết. Hỏi liệu phí hằng tháng có bao gồm onboarding, thiết lập cho nhân viên mới, hỗ trợ cho nhà cung cấp (vendor support), đào tạo nhận thức bảo mật (security awareness training), giám sát sao lưu, hỗ trợ ngoài giờ, và các lượt đến trực tiếp (onsite visits) hay không. Các khoảng giá không phải là báo giá cố định, và con số thực tế phụ thuộc vào môi trường của bạn.

Sao lưu là một ví dụ tốt khác. Bạn có thể nghe về phương pháp sao lưu 3-2-1. Điều đó có nghĩa là giữ 3 bản sao của dữ liệu quan trọng, trên 2 loại hình lưu trữ khác nhau, với 1 bản lưu ở ngoài địa điểm (offsite). Không phải doanh nghiệp nào cũng cần cấu hình giống nhau, nhưng nhà cung cấp nên giải thích rõ ràng các lựa chọn của bạn.

Hãy đọc hợp đồng chậm rãi. Tập trung vào thời hạn hợp đồng, quy tắc hủy, ngôn ngữ tự gia hạn (auto-renewal) và điều gì xảy ra nếu bạn rời đi. Một hợp đồng một năm có thể là hợp lý, nhưng bạn cần hiểu rõ thời gian thông báo, các khoản phí offboarding và liệu tài liệu của bạn có được trả lại dưới dạng có thể sử dụng hay không.

Xem phần nào được bao gồm so với phần nào bị loại trừ. Việc mua phần cứng, giấy phép phần mềm, dịch vụ internet, gói đăng ký cloud và các công việc theo dự án thường được tính riêng với phí hỗ trợ hằng tháng. Hãy yêu cầu ví dụ về các khoản “phát sinh” phổ biến để sau này bạn không bị bất ngờ.

Ngoài ra, hãy hỏi về quyền sở hữu và quyền truy cập. Doanh nghiệp của bạn cần biết ai là người sở hữu các tài khoản quan trọng, giấy phép và tài liệu. Bạn không cần chia sẻ mật khẩu hoặc quyền truy cập hệ thống với NodeBridge IT. Chúng tôi chỉ thu thập thông tin kinh doanh và liên hệ khi hỗ trợ bạn tìm một nhà cung cấp độc lập.

Cuối cùng, hãy hỏi họ báo cáo công việc của mình như thế nào. Nhà cung cấp tốt thường có các buổi kiểm tra định kỳ, báo cáo đơn giản và quy trình để rà soát các vấn đề đang mở, rủi ro và nhu cầu trong tương lai.

Trước khi thực hiện các cuộc gọi, hãy lập một danh sách ngắn các điều quan trọng nhất. Ghi lại số lượng nhân sự (headcount), số lượng địa điểm, phần mềm chính, bất kỳ mối quan ngại nào liên quan đến tuân thủ, các vấn đề hiện tại và việc bạn có cần hỗ trợ nhanh, cần trợ giúp lập kế hoạch, cần các nguyên tắc bảo mật mạnh hơn hay cần cả ba. Như vậy các cuộc trao đổi với nhà cung cấp sẽ hữu ích hơn.

Sau đó, hãy so sánh các nhà cung cấp bằng cùng một bộ câu hỏi. Hỏi từng bên về phạm vi (scope), giờ hỗ trợ, điều khoản thỏa thuận mức độ dịch vụ (service level agreement), cách tiếp cận bảo mật, kỳ vọng sao lưu, độ dài hợp đồng và cấu trúc giá. Việc so sánh công bằng giữa các công ty sẽ dễ hơn rất nhiều nếu bạn giữ bộ câu hỏi nhất quán.

Nếu bạn muốn được hỗ trợ thu hẹp danh sách, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp managed IT độc lập. Dịch vụ của chúng tôi miễn phí cho doanh nghiệp. Chúng tôi cung cấp hướng dẫn mang tính giáo dục chung và kết nối bạn với các nhà cung cấp tham gia, để bạn có thể trao đổi tốt hơn và đưa ra lựa chọn sáng suốt hơn.

Nếu bạn chưa sẵn sàng ngay, bạn cũng có thể xem thêm các câu trả lời bằng tiếng Anh đơn giản trước khi bước tiếp.