Checklist sẵn sàng về cybersecurity

Nhiều doanh nghiệp nhỏ hiểu rằng bảo mật rất quan trọng, nhưng chưa chắc “hiện tại cần đến mức nào là đủ”. Danh sách kiểm tra này đưa bạn một điểm khởi đầu thực tế. Nó tập trung vào các hạng mục cơ bản giúp giảm rủi ro thường gặp hằng ngày, như bảo vệ tài khoản, cập nhật phần mềm, sao lưu và thói quen của nhân viên.

Bạn không cần phải am hiểu kỹ thuật để dùng. Nếu bạn có thể trả lời “Có”, “Không” hoặc “Chưa chắc” cho từng mục là đủ. “Chưa chắc” cũng hữu ích. Thường là vì quy trình chưa rõ ràng, chưa được ghi lại, hoặc phụ thuộc vào một người.

Đây là thông tin giáo dục chung, không phải đánh giá bảo mật. Yêu cầu có thể khác nhau theo ngành và theo từng bang. Nếu bạn xử lý dữ liệu liên quan đến y tế, thanh toán, pháp lý hoặc dữ liệu nhạy cảm khác, bạn có thể phải tuân theo các quy định bổ sung.

Xem từng mục và chọn một câu trả lời: Có, Không hoặc Chưa chắc. Hãy trung thực. Mục tiêu không phải là đạt điểm tuyệt đối. Mục tiêu là hiểu bạn đang ở đâu tại thời điểm hiện tại.

Nếu bạn là chủ doanh nghiệp hoặc quản lý văn phòng, bạn có thể muốn trả lời dựa trên ý kiến của người phụ trách máy tính, phần mềm hoặc nhà cung cấp. Không gửi cho chúng tôi mật khẩu, thông tin mạng, hoặc quyền truy cập hệ thống. Chúng tôi chỉ bao giờ thu thập các thông tin cơ bản về doanh nghiệp và liên hệ nếu bạn yêu cầu chúng tôi kết nối bạn với một nhà cung cấp.

Một nguyên tắc đơn giản là: nếu bước bảo mật chỉ xảy ra “khi ai đó nhớ ra”, hãy tính là Không. Nếu nó diễn ra thường xuyên, được ghi lại, và có nhiều hơn một người biết quy trình đó, hãy tính là Có.

Chấm điểm cho từng mục theo một trong các lựa chọn: Có, Không hoặc Chưa chắc.

1. Xác thực đa yếu tố (MFA) được bật cho email, kế toán, ngân hàng, lưu trữ tệp và các hệ thống quan trọng khác. MFA nghĩa là người dùng cần một bước xác thực thứ hai để đăng nhập, như mã từ ứng dụng hoặc khóa bảo mật, chứ không chỉ dùng mật khẩu.

2. Mỗi nhân viên có tài khoản riêng. Tránh dùng chung đăng nhập, đặc biệt với email, công cụ tài chính và các công cụ quản trị.

3. Nhân viên đã nghỉ việc và nhà cung cấp cũ được gỡ bỏ khỏi tài khoản, phần mềm, Wi‑Fi và thiết bị một cách nhanh chóng.

4. Mật khẩu mạnh và duy nhất, và đội ngũ dùng trình quản lý mật khẩu thay vì tái sử dụng mật khẩu trong bảng tính hoặc sổ tay.

5. Máy tính, điện thoại, bộ định tuyến và ứng dụng kinh doanh được cập nhật thường xuyên. “Patch” là việc cài các bản cập nhật bảo mật và sửa lỗi để các lỗ hổng đã biết ít có khả năng bị khai thác.

6. Cài đặt và bật tính năng diệt virus hoặc bảo vệ thiết bị hiện đại trên máy tính dùng cho công việc. “Endpoint” là thiết bị như laptop, máy để bàn, điện thoại hoặc máy tính bảng kết nối với hệ thống của doanh nghiệp. EDR, hay endpoint detection and response (phát hiện và phản hồi trên thiết bị cuối), là một công cụ nâng cao hơn mà một số nhà cung cấp dùng để phát hiện và điều tra hoạt động đáng ngờ trên các thiết bị này.

7. Dữ liệu quan trọng được sao lưu tự động, không chỉ sao chép thủ công thỉnh thoảng.

8. Sao lưu được kiểm tra theo thời gian bằng cách khôi phục một tệp hoặc một hệ thống, để bạn biết bản sao có thể sử dụng được.

9. Cách tiếp cận sao lưu của bạn nhìn chung tuân theo quy tắc sao lưu 3-2-1. Nghĩa là giữ 3 bản sao dữ liệu quan trọng, trên 2 loại hình lưu trữ khác nhau, với 1 bản sao được lưu ngoài cơ sở hoặc trên nền tảng đám mây.

10. Nhân viên biết cách nhận diện email đáng ngờ, hóa đơn giả và thông báo đăng nhập bất ngờ, đồng thời được đào tạo bảo mật cơ bản ít nhất 1–2 lần mỗi năm.

11. Có cách rõ ràng để nhân viên báo cáo nhanh khi phát hiện điều đáng ngờ, mà không cảm thấy ngại ngùng.

12. Wi‑Fi của doanh nghiệp được bảo mật, dùng mật khẩu mạnh, và khi có thể thì Wi‑Fi khách được tách riêng với các thiết bị doanh nghiệp.

13. Quyền truy cập quản trị chỉ giới hạn cho một số ít người thật sự cần. Không phải ai cũng nên có khả năng cài phần mềm, thay đổi cài đặt bảo mật hoặc truy cập tất cả các tệp.

14. Bạn biết doanh nghiệp dựa vào những thiết bị và phần mềm quan trọng nào. Việc này không cần quá phức tạp, nhưng nên có danh sách hiện hành.

15. Làm việc từ xa được quản lý với các quy tắc cơ bản, như khóa màn hình, thiết bị được phê duyệt và truy cập an toàn vào tệp và ứng dụng.

16. Nếu bạn thu tiền bằng thẻ, thu thập thông tin y tế hoặc dữ liệu khác thuộc diện được quản lý, bạn biết những quy định nào có thể áp dụng. PCI là các yêu cầu về bảo mật thẻ thanh toán. HIPAA là Health Insurance Portability and Accountability Act (Đạo luật về tính chuyển đổi và trách nhiệm giải trình trong bảo hiểm y tế) áp dụng cho một số loại thông tin y tế tại Hoa Kỳ. SOC 2 là chuẩn báo cáo mà một số nhà cung cấp phần mềm dùng để cho thấy cách họ quản lý các biện pháp kiểm soát bảo mật.

17. Bạn biết phải gọi ai nếu có sự cố xảy ra, như đăng nhập đáng ngờ, mất laptop hoặc sự kiện mã độc tống tiền (ransomware). Ngay cả một danh sách liên hệ đơn giản cũng tốt hơn việc cố gắng tìm cách xử lý trong một ngày căng thẳng.

18. Các nhà cung cấp phần mềm chính và nhà cung cấp IT của bạn được ghi nhận, có thông tin liên hệ hỗ trợ hiện tại và ngày gia hạn.

19. Nếu có một công ty bên ngoài hỗ trợ IT, bạn hiểu họ chịu trách nhiệm cho phần nào và không chịu trách nhiệm cho phần nào. SLA, hay service level agreement (thỏa thuận mức dịch vụ), là phần trong hợp đồng nêu mục tiêu phản hồi và phạm vi dịch vụ. RMM, hay remote monitoring and management (giám sát và quản lý từ xa), là phần mềm mà nhiều nhà cung cấp quản lý dùng để theo dõi tình trạng thiết bị, áp dụng cập nhật và hỗ trợ hệ thống từ xa.

20. Các quyết định về bảo mật được rà soát ít nhất đôi khi, không chỉ thực hiện sau khi đã có sự cố. Một số nhà cung cấp quản lý cũng cung cấp hỗ trợ vCIO. vCIO nghĩa là Chief Information Officer (Giám đốc công nghệ thông tin) phiên bản ảo—một vai trò lập kế hoạch giúp doanh nghiệp suy nghĩ về ưu tiên công nghệ, ngân sách và rủi ro.

Nếu bạn trả lời “Có” cho hầu hết các mục, đó là dấu hiệu tốt. Thông thường điều đó có nghĩa là bạn đã có nền tảng hoạt động được. Tuy nhiên, điều đó không có nghĩa doanh nghiệp của bạn “đã được bảo mật đầy đủ”. Không có nhà cung cấp nào trung thực lại hứa rằng mạng của bạn sẽ không thể bị hack hoặc không bao giờ gián đoạn. Ý nghĩa thực tế là bạn có khả năng đã có các hạng mục cơ bản và có thể cải thiện từ đó.

Nếu bạn trả lời “Không” hoặc “Chưa chắc” cho nhiều mục, đừng hoảng sợ. Điều này khá phổ biến, nhất là ở các doanh nghiệp nhỏ nơi công nghệ phát triển dần theo thời gian theo cách không chính thức. Hãy bắt đầu từ những điều cơ bản thường quan trọng nhất: MFA, cập nhật (patching), sao lưu, loại bỏ quyền truy cập cũ, bảo vệ thiết bị và đào tạo bảo mật cơ bản cho nhân viên.

Nếu gần như tất cả các mục đều là “Không” hoặc “Chưa chắc”, bước tiếp theo không phải là mua mọi công cụ cùng lúc. Mà là xây dựng một kế hoạch rõ ràng, có ưu tiên. Một nhà cung cấp IT quản lý độc lập tốt có thể giúp bạn phân loại các hạng mục cần xử lý gấp so với các cải tiến dài hạn.

Chuyển kết quả của bạn thành danh sách hành động ngắn với ba nhóm: sửa ngay, sửa sớm, và xem lại sau. “Sửa ngay” thường bao gồm MFA, cập nhật phần mềm, kiểm tra sao lưu, gỡ bỏ các tài khoản cũ và đảm bảo thiết bị doanh nghiệp có bảo vệ hiện tại.

Với mỗi mục “Không” hoặc “Chưa chắc”, hãy đặt một câu hỏi đơn giản. Ai chịu trách nhiệm mục này? Việc đó được thực hiện bao lâu một lần? Có được ghi lại không? Làm sao chúng ta biết nó đã hoạt động hiệu quả? Bốn câu hỏi này sẽ cho thấy quy trình đó có thực sự được vận hành hay chỉ là giả định.

Nếu bạn muốn được hỗ trợ hiểu các lựa chọn của mình, NodeBridge IT có thể kết nối bạn với một nhà cung cấp dịch vụ IT quản lý độc lập. Chúng tôi là dịch vụ ghép nối miễn phí. Chúng tôi không quản lý hệ thống, không theo dõi mạng của bạn và không truy cập tài khoản của bạn. Bạn cũng có thể đọc thêm các hướng dẫn bằng ngôn ngữ dễ hiểu và so sánh các dịch vụ IT quản lý phổ biến.