Một tổ chức phi lợi nhuận “kéo giãn” ngân sách IT eo hẹp

Tổ chức phi lợi nhuận này có một nhóm nhỏ, vài nhân sự làm bán thời gian và các tình nguyện viên ra vào theo nhu cầu. Như nhiều tổ chức cộng đồng khác, mỗi đô la đều đã có “việc của nó”. Công nghệ là quan trọng, nhưng thường chỉ được chú ý khi có sự cố xảy ra.

Họ có nhiều laptop đời cũ, dùng chung các thư mục/tệp, có tài khoản email, và một thiết lập internet cơ bản tại văn phòng. Một nhân sự IT địa phương hỗ trợ đôi lúc, nhưng không có kế hoạch duy trì rõ ràng. Ban lãnh đạo muốn sự ổn định hơn, nhưng lo rằng “IT được quản lý” sẽ quá đắt hoặc quá phức tạp.

Ngoài ra, họ cũng không muốn một quy trình bán hàng dài với nhiều thuật ngữ kỹ thuật. Họ cần câu trả lời đơn giản: mỗi tháng một nhà cung cấp thực sự sẽ làm gì, phần nào sẽ tốn thêm chi phí, và điều gì là thật sự cần thiết với quy mô của một tổ chức phi lợi nhuận như họ?

Sau một cuộc trao đổi khám phá ngắn gọn, các khoảng trống lớn nhất không phải là những thứ “hào nhoáng”. Đó là các phần cơ bản nhưng thường bị bỏ qua khi đội ngũ đang bận. Việc cập nhật phần mềm không đều. Họ có các tác vụ sao lưu, nhưng không ai kiểm tra kỹ. Nhân sự dùng các thiết bị theo những cách khác nhau, và không có quy trình bằng văn bản cho việc tiếp nhận (onboarding) hoặc tách người dùng (offboarding).

Họ cũng chưa có tiêu chuẩn rõ ràng để bảo vệ tài khoản. Một nhà cung cấp sau đó đề xuất MFA, xác thực đa yếu tố (multi-factor authentication), nghĩa là người dùng đăng nhập bằng mật khẩu và thêm một bước thứ hai như mã từ ứng dụng hoặc yêu cầu (prompt). Điều này không biến hệ thống thành không thể bị tấn công, và không nhà cung cấp trung thực nào hứa điều đó, nhưng nó có thể giảm rủi ro phổ biến liên quan đến tài khoản.

Một khoảng trống khác là bảo vệ endpoint. Endpoint là thiết bị làm việc như laptop, máy tính để bàn hoặc điện thoại. Một đề xuất có kèm EDR, endpoint detection and response (phát hiện và phản hồi trên endpoint), tức là phần mềm giúp phát hiện hoạt động đáng ngờ trên các thiết bị đó và hỗ trợ điều tra, phản hồi. Tổ chức phi lợi nhuận đã nghe các thuật ngữ kiểu này trước đây, nhưng chưa ai giải thích ý nghĩa bằng ngôn ngữ dễ hiểu.

Vấn đề khiến họ lo nhất là sao lưu. Nhóm tin rằng họ có sao lưu, nhưng không chắc sao lưu chạy thường xuyên thế nào, được lưu trong bao lâu, và việc khôi phục sẽ diễn ra ra sao. Một nhà cung cấp đã giải thích phương pháp sao lưu 3-2-1 theo cách đơn giản: ba bản sao dữ liệu quan trọng, trên hai loại hình lưu trữ khác nhau, và một bản sao được lưu ngoài văn phòng (offsite). Cách đó giúp ban lãnh đạo có cơ sở rõ ràng hơn để so sánh các lựa chọn.

NodeBridge IT không quản lý gì cho họ và cũng không yêu cầu mật khẩu, quyền truy cập mạng hay quyền truy cập hệ thống. Chúng tôi chỉ giúp họ mô tả cấu hình văn phòng, số lượng nhân sự (headcount), các điểm đau (pain points) và khoảng ngân sách, rồi kết nối họ với các nhà cung cấp IT được quản lý độc lập phù hợp với tổ chức có quy mô tương tự. Nếu bạn muốn xem quy trình đó hoạt động ra sao, hãy bắt đầu tại đây: get matched.

Phần hữu ích nhất là so sánh. Thay vì xem một đề xuất theo từng cái riêng lẻ, tổ chức phi lợi nhuận đã xem ba đề xuất. Cả ba nhà cung cấp đều cung cấp dịch vụ hỗ trợ IT được quản lý theo một hình thức nào đó. MSP là managed service provider (nhà cung cấp dịch vụ được quản lý), nghĩa là một công ty đảm nhiệm hỗ trợ IT và giám sát liên tục theo thỏa thuận. Tuy nhiên, các đề xuất không giống nhau khi nhìn kỹ ngoài “giá theo tháng”.

Một nhà cung cấp có con số theo tháng thấp nhất, nhưng chi phí sao lưu (backup storage), hỗ trợ ngoài giờ (after-hours help) và thiết lập người dùng mới là các khoản tính riêng. Nhà cung cấp khác bao gồm phạm vi hỗ trợ rộng hơn, cập nhật/hản vá (patching) và hỗ trợ tài khoản. Đề xuất thứ ba đầy đủ nhất, nhưng lại kèm theo các công cụ và lịch họp mà tổ chức phi lợi nhuận có lẽ không cần.

Cách nhìn song song đó đã thay đổi cuộc trò chuyện. Ban lãnh đạo không còn chỉ hỏi, “Cái nào rẻ nhất?” mà chuyển sang hỏi, “Thực sự được bao gồm những gì, và nó giải quyết những vấn đề gì cho chúng tôi?” Thông thường, đó là nơi quyết định tốt hơn bắt đầu.

Tổ chức phi lợi nhuận tập trung vào một danh sách ngắn các câu hỏi thực tế. Nhà cung cấp có hỗ trợ cả nhân sự tại văn phòng và người làm từ xa không? Có bao gồm giám sát sao lưu không? Các công cụ bảo mật có được bao gồm hay bán riêng? Yêu cầu hỗ trợ được xử lý như thế nào, và điều gì xảy ra sau giờ làm?

Họ cũng xem xét thỏa thuận dịch vụ. SLA là service level agreement (thỏa thuận mức độ dịch vụ). Nói theo cách đơn giản, đây là phần nêu cách nhanh nhà cung cấp đặt mục tiêu phản hồi, phạm vi nào được bao gồm và phần nào nằm ngoài phạm vi. SLA rất quan trọng, nhưng không phải là cam kết không có thời gian ngừng hoạt động, bảo mật hoàn hảo hay khôi phục tức thì trong mọi tình huống.

Một nhà cung cấp cũng cung cấp hỗ trợ vCIO. vCIO là virtual chief information officer (giám đốc công nghệ thông tin ảo). Thông thường điều này có nghĩa là hỗ trợ lập kế hoạch theo chu kỳ, hướng dẫn về ngân sách và tư vấn các quyết định công nghệ trong tương lai. Với một nhóm lớn, điều này có thể hữu ích. Với tổ chức phi lợi nhuận này, đó là điều “có thì tốt”, nhưng không phải ưu tiên số một.

Các mức theo tháng mà họ thấy là điển hình cho một tổ chức nhỏ, nhưng dao động tùy theo số lượng người dùng, thiết bị, công cụ bảo mật và phạm vi hỗ trợ. Ở nhiều thị trường tại Mỹ, một văn phòng nhỏ có thể thấy chi phí hỗ trợ được quản lý đầy đủ được tính theo từng người dùng, từng thiết bị, hoặc theo gói kế hoạch theo tháng. Hỗ trợ đơn giản có thể bắt đầu từ vài trăm đô la/tháng cho đội ngũ rất nhỏ, trong khi hỗ trợ đầy đủ hơn có giám sát sao lưu, công cụ bảo mật và phản hồi nhanh hơn có thể lên tới vài nghìn đô la ở mức thấp. Đây là các khoảng, không phải báo giá. Con số thực tế phụ thuộc vào số nhân sự, thiết bị, nhu cầu bảo mật và khu vực.

Họ không chọn phương án rẻ nhất. Họ chọn nhà cung cấp có phạm vi phù hợp với cách họ vận hành. Nhà cung cấp đó bao gồm các cập nhật/hản vá định kỳ, giám sát sao lưu, hỗ trợ help desk cho nhân sự và tiêu chuẩn bảo vệ tài khoản chặt chẽ hơn—mà không “nhồi” đề xuất bằng các hạng mục phụ trợ mà họ khó có khả năng dùng.

Quan trọng không kém, nhà cung cấp cũng giải thích giới hạn một cách rõ ràng. Họ không hứa mạng không thể bị tấn công. Họ cũng không nói rằng việc ngừng hoạt động sẽ không bao giờ xảy ra. Họ mô tả họ sẽ giám sát điều gì, hỗ trợ ra sao và tổ chức phi lợi nhuận nên nhìn rủi ro và kế hoạch khôi phục theo các cách thực tế.

Với ban lãnh đạo, sự thẳng thắn đó rất có ý nghĩa. Chi phí theo tháng vẫn là một khoản mục ngân sách nghiêm túc, nhưng việc phê duyệt cảm thấy dễ hơn vì họ nhìn thấy rõ mình đang trả tiền cho điều gì. Ít vùng xám hơn và ít khoản phụ thu ẩn hơn.

Nếu bạn đang so sánh các lựa chọn ngay bây giờ, bạn có thể xem các dịch vụ phổ biến và đọc thêm các câu chuyện đã được ẩn danh từ những tổ chức đang cố gắng đưa ra quyết định thực tế.

Ngân sách “chặt” không phải lúc nào cũng có nghĩa là bạn nên mua gói IT rẻ nhất. Thường thì điều đó có nghĩa là bạn cần cẩn thận hơn với phạm vi. Một con số theo tháng thấp hơn có thể trở nên đắt hơn nếu sao lưu, các nguyên tắc bảo mật cơ bản, onboarding hoặc hỗ trợ ngoài giờ được tính phí riêng.

Bước tiếp theo tốt nhất thường không phải là yêu cầu mọi công cụ có thể. Hãy làm rõ nhu cầu thực sự của bạn. Bạn có bao nhiêu nhân sự và thiết bị? Mọi người có làm việc từ xa không? Bạn có xử lý thông tin nhạy cảm của khách hàng, nhà tài trợ, thanh toán hoặc y tế không? Yêu cầu sẽ khác nhau theo từng ngành và từng bang, nên một cấu hình phù hợp với tổ chức phi lợi nhuận này có thể không phù hợp với tổ chức khác.

Bạn cũng không cần biết “thuật ngữ” để đặt câu hỏi tốt. Hãy hỏi mỗi tháng được bao gồm những gì. Hỏi phần nào tốn thêm chi phí. Hỏi cách kiểm tra/giám sát sao lưu. Hỏi cách thêm người dùng mới và cách loại bỏ người dùng cũ. Hỏi yêu cầu hỗ trợ được xử lý như thế nào. Câu trả lời rõ ràng thường cho bạn nhiều thông tin hơn là một đề xuất kỹ thuật dài dòng.