Tuân thủ IT và chiến lược vCIO

Trang này bao gồm hai nhu cầu liên quan. Nhu cầu thứ nhất là hỗ trợ tuân thủ, tức là giúp doanh nghiệp bạn sẵn sàng cho các yêu cầu phổ biến như HIPAA (Health Insurance Portability and Accountability Act — Đạo luật về Chuyển đổi và Trách nhiệm Giải trình Bảo hiểm Y tế), PCI (Payment Card Industry Data Security Standard — Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh Toán), SOC 2 (một khung báo cáo bảo mật và kiểm soát phổ biến), và các bảng câu hỏi bảo hiểm mạng (cyber-insurance). Yêu cầu khác nhau theo ngành và theo từng bang, vì vậy phạm vi đúng đắn sẽ phụ thuộc vào doanh nghiệp của bạn.

Nhu cầu thứ hai là chiến lược kiểu vCIO. vCIO là Virtual Chief Information Officer — Giám đốc Công nghệ Thông tin “ảo”. Nói đơn giản, đây là một vai trò lập kế hoạch công nghệ theo dạng bán thời gian. Thay vì chỉ tập trung xử lý các vấn đề hằng ngày, nhà cung cấp sẽ giúp bạn lập kế hoạch cho hệ thống, ưu tiên bảo mật, ngân sách, quyết định với nhà cung cấp (vendor), và các nâng cấp trong tương lai.

Với nhiều doanh nghiệp nhỏ và vừa, hai dịch vụ này thường đi cùng nhau. Tuân thủ tạo ra một danh sách các hạng mục cần được ghi nhận và cải thiện. Lập kế hoạch vCIO giúp quyết định nên làm gì trước, việc gì có thể để sau, và chi phí có thể ra sao trong 12–24 tháng tới.

NodeBridge IT không thực hiện phần công việc này. Chúng tôi cung cấp hướng dẫn chung, dễ hiểu và giúp bạn tìm đúng lựa chọn trong số các nhà cung cấp IT quản lý độc lập.

Một nhà cung cấp tốt thường bắt đầu bằng giai đoạn đánh giá hiện trạng (discovery). Nghĩa là họ tìm hiểu cách doanh nghiệp bạn vận hành, phần mềm bạn đang dùng, dữ liệu nằm ở đâu, bạn có bao nhiêu người và thiết bị, và những quy định nào áp dụng cho bạn. Họ có thể rà soát chính sách, hợp đồng với nhà cung cấp, mẫu bảo hiểm, các báo cáo sao lưu, và cài đặt bảo mật. Họ cũng nên giải thích rõ họ đang kiểm tra cái gì và vì sao.

Từ đó, họ thường lập danh sách “khoảng cách” (gap list). Đây là sự so sánh đơn giản giữa tình trạng hiện tại của bạn và những gì được kỳ vọng bởi ngành của bạn, khách hàng, công ty bảo hiểm, hoặc mục tiêu nội bộ. Danh sách này có thể bao gồm bảo vệ tài khoản với MFA (multi-factor authentication — xác thực đa yếu tố), tức là đăng nhập bằng mật khẩu kèm thêm một bước thứ hai; bảo mật thiết bị; quy trình sao lưu; đào tạo nhân viên; chính sách bằng văn bản; và đánh giá rủi ro của nhà cung cấp (vendor risk).

Nếu họ cũng cung cấp dịch vụ quản lý, họ có thể đề xuất các công cụ và quy trình như EDR (endpoint detection and response — phát hiện và phản hồi trên thiết bị cuối), là hệ thống theo dõi máy tính và máy chủ doanh nghiệp để phát hiện hoạt động đáng ngờ; RMM (remote monitoring and management — giám sát và quản lý từ xa), cho phép nhà cung cấp theo dõi tình trạng hệ thống và thực hiện bảo trì định kỳ; endpoint protection (bảo vệ thiết bị cuối), trong đó “endpoint” là các thiết bị của doanh nghiệp như laptop hoặc máy tính để bàn; và patching (cập nhật vá), tức là áp dụng cập nhật phần mềm và cập nhật bảo mật.

Về phía lập kế hoạch, dịch vụ theo phong cách vCIO thường bao gồm các buổi họp rà soát định kỳ, lộ trình công nghệ, hỗ trợ lập ngân sách, lập kế hoạch tài sản (asset planning), và tư vấn thời điểm thay thế phần cứng đã cũ hoặc đổi nhà cung cấp phần mềm. Mục tiêu không phải là những slide chiến lược “hoành tráng”. Mục tiêu là tạo ra một kế hoạch rõ ràng mà doanh nghiệp bạn có thể thực sự áp dụng.

Công việc tuân thủ hữu ích vì nó tạo ra trật tự. Nó giúp bạn ghi lại cách mọi thứ nên hoạt động, xác định các điểm yếu, và chuẩn bị cho các cuộc kiểm toán, bảng câu hỏi từ khách hàng, hoặc gia hạn bảo hiểm. Nó cũng có thể giảm chi tiêu lãng phí vì bạn ngừng đoán xem nhiệm vụ bảo mật hoặc IT nào thực sự quan trọng nhất.

Nhưng tuân thủ không giống với việc được bảo mật “hoàn hảo”. Một danh sách kiểm tra không khiến doanh nghiệp trở nên không thể bị tấn công, và không nhà cung cấp trung thực nào hứa hẹn không có downtime (gián đoạn), không có sự cố xâm nhập (breach), hoặc đảm bảo khôi phục dữ liệu. Nhà cung cấp tốt cần nói rõ điều này.

Điều tương tự cũng đúng với sao lưu. Bạn có thể nghe về cách tiếp cận sao lưu 3-2-1. Nghĩa là giữ 3 bản sao dữ liệu quan trọng, lưu trên 2 loại hình lưu trữ khác nhau, với 1 bản được lưu ngoài công ty (offsite). Đây là một thực hành tốt, nhưng vẫn cần kiểm tra, giám sát và quy trình khôi phục rõ ràng.

Nếu một nhà cung cấp hỗ trợ điền các biểu mẫu cho bảo hiểm mạng (cyber-insurance), hãy hỏi liệu họ chỉ giúp bạn hiểu các câu hỏi hay họ cũng kiểm tra các kiểm soát kỹ thuật nằm phía sau những câu trả lời đó. Chênh lệch này là quan trọng.

Giá cả thay đổi rất nhiều. Con số thực phụ thuộc vào số lượng nhân sự, số lượng thiết bị, các địa điểm, yêu cầu theo ngành, mức độ tài liệu đã tồn tại, và mức độ công việc cần làm trực tiếp (hands-on). Các khoảng giá này không phải là báo giá, nhưng có thể giúp bạn hình dung kỳ vọng.

Với một doanh nghiệp nhỏ chủ yếu cần rà soát tuân thủ, hỗ trợ chính sách cơ bản, và một kế hoạch cải thiện ngắn, bạn có thể thấy các dự án bắt đầu từ khoảng 2.000 đến 7.500 USD. Nếu môi trường của bạn phức tạp hơn, có nhiều văn phòng, xử lý dữ liệu thuộc diện quản lý (regulated data), hoặc cần tài liệu hóa rất chi tiết, công việc dự án có thể từ 7.500 đến 25.000 USD hoặc hơn.

Với hỗ trợ vCIO liên tục, một số nhà cung cấp gói chung vào dịch vụ IT quản lý theo tháng. MSP (managed services provider — nhà cung cấp dịch vụ quản lý) là công ty hỗ trợ và duy trì IT doanh nghiệp từ xa theo hình thức liên tục. Ở một số trường hợp khác, lập kế hoạch vCIO là dịch vụ theo tháng riêng, thường nằm trong khoảng từ vài trăm đến vài nghìn USD mỗi tháng tùy theo tần suất họp, quy mô doanh nghiệp và phạm vi công việc.

Bạn cũng có thể phải trả riêng cho các công cụ bảo mật, hệ thống sao lưu, bảo vệ email, đào tạo nhân viên, nền tảng chính sách, chuẩn bị cho kiểm toán, hoặc các công việc khắc phục (remediation). Nếu bạn muốn cái nhìn rộng hơn về chi phí IT lặp lại theo thời gian, xem hướng dẫn của chúng tôi về chi phí dịch vụ IT quản lý là bao nhiêu.

Hãy yêu cầu nhà cung cấp giải thích nhu cầu tuân thủ của bạn bằng những từ ngữ dễ hiểu. Họ nên có thể cho bạn biết những yêu cầu nào áp dụng, yêu cầu nào là tùy chọn, thường cần bằng chứng gì, và 90 ngày đầu tiên sẽ trông như thế nào. Nếu câu trả lời còn mơ hồ, hãy tiếp tục hỏi.

Hãy hỏi liệu họ cung cấp tư vấn (advice) đơn thuần, dự án một lần, hay hỗ trợ quản lý liên tục. Nếu họ nhắc đến SLA, nghĩa là thỏa thuận mức dịch vụ (Service Level Agreement) — tài liệu bằng văn bản nêu rõ các thời gian phản hồi, giờ phạm vi (coverage hours), và trách nhiệm nào được bao gồm. Hãy đọc kỹ.

Bạn cũng nên hỏi ai là người sở hữu (owns) tài liệu, tài liệu được cập nhật bao lâu một lần, việc kiểm tra sao lưu được xử lý ra sao, điều gì xảy ra khi nhân sự thay đổi, và họ hỗ trợ như thế nào cho các buổi rà soát hằng năm, gia hạn bảo hiểm, hoặc bảng câu hỏi bảo mật từ khách hàng. Với các ngành được quản lý, hãy hỏi họ cập nhật ra sao trước những kỳ vọng thay đổi; đồng thời hiểu rằng việc diễn giải pháp lý có thể vẫn cần một luật sư hoặc chuyên gia tuân thủ.

Quan trọng nhất, hãy yêu cầu ghi rõ phạm vi công việc bằng văn bản. Văn bản đó cần bao gồm các đầu ra (deliverables), mốc thời gian (timeline), lịch họp, các giả định (assumptions), hạng mục loại trừ (exclusions), chi phí công cụ (tool costs), điều khoản gia hạn (renewal terms), và ai chịu trách nhiệm khắc phục các “khoảng trống” được phát hiện. Viết rõ ràng sẽ giúp tránh nhầm lẫn về sau.

Nếu bạn đang cố gắng sắp xếp việc tuân thủ, biểu mẫu bảo hiểm, hoặc lập kế hoạch IT dài hạn, bạn không cần phải trở thành chuyên gia trước. Bạn chỉ cần một nhà cung cấp có thể giải thích rõ công việc cần làm và đối chiếu mức dịch vụ phù hợp với doanh nghiệp của bạn.

NodeBridge IT là dịch vụ ghép nối miễn phí. Chúng tôi không phải là MSP (nhà cung cấp dịch vụ quản lý), công ty IT, hoặc công ty an ninh, và chúng tôi không truy cập vào hệ thống hoặc tài khoản của bạn. Chúng tôi chỉ thu thập các thông tin cơ bản về doanh nghiệp và liên hệ để bạn có thể được ghép nối với một nhà cung cấp IT quản lý độc lập.

Nếu bạn vẫn đang so sánh các lựa chọn, bạn cũng có thể xem phần tổng quan dịch vụ rộng hơn của chúng tôi. Mục tiêu của chúng tôi rất đơn giản: Giúp bạn hiểu mình đang mua gì, có thể tốn bao nhiêu chi phí, và những câu hỏi nào cần hỏi trước khi bạn ký bất cứ điều gì.