An toàn thông tin cho doanh nghiệp vừa và nhỏ: 10 ưu tiên hiệu quả nhất với ngân sách hạn chế

“Công ty tôi nhỏ, có gì đâu mà hack.” Đây là câu chúng tôi nghe nhiều nhất từ các doanh nghiệp vừa và nhỏ — và là ngộ nhận khiến nhóm này trở thành nạn nhân nhiều nhất. Sự thật: phần lớn tấn công mạng ngày nay không nhắm vào ai cụ thể. Bot quét toàn bộ internet tìm VPN không có MFA, website chưa vá, email yếu — và khai thác tự động bất kể nạn nhân là tập đoàn hay cửa hàng 10 nhân viên. Với kẻ tấn công, SME thậm chí hấp dẫn hơn: dữ liệu vẫn có giá trị, khả năng phòng thủ thấp hơn, và đôi khi là bàn đạp để tấn công khách hàng lớn mà SME đang cung cấp dịch vụ.

Tin tốt: khoảng cách giữa 'không làm gì' và 'đủ an toàn để đa số kẻ tấn công bỏ qua' nhỏ hơn nhiều so với hình dung — và phần lớn nằm ở kỷ luật vận hành, không phải ngân sách. Dưới đây là 10 ưu tiên xếp theo hiệu quả trên chi phí, dựa trên những gì chúng tôi thấy thực sự tạo khác biệt khi đánh giá bảo mật các doanh nghiệp Việt Nam.

Nguyên tắc chi tiêu: vệ sinh trước, công cụ sau

Sai lầm phổ biến của doanh nghiệp bắt đầu quan tâm bảo mật là mua công cụ trước khi làm nền tảng: sắm firewall thế hệ mới trong khi tài khoản email không có MFA, mua giải pháp giám sát trong khi nhân viên nghỉ việc vẫn còn tài khoản. Công cụ tốt chỉ phát huy trên nền tảng tốt. Nguyên tắc: làm hết những việc miễn phí và gần miễn phí trước — chúng chặn được đa số tấn công cơ hội — rồi mới cân nhắc đầu tư lớn hơn dựa trên rủi ro thực tế của ngành mình.

10 ưu tiên, xếp theo hiệu quả trên chi phí

1. Bật MFA cho email, VPN và mọi hệ thống quan trọng. Miễn phí, triển khai trong vài ngày, chặn đại đa số tấn công chiếm tài khoản tự động. Nếu chỉ làm một việc trong danh sách này — hãy làm việc này.
2. Bật cập nhật tự động cho hệ điều hành và phần mềm. Phần lớn các vụ xâm nhập qua lỗ hổng khai thác những lỗi đã có bản vá từ lâu. Windows Update, trình duyệt, plugin website — tất cả để chế độ tự động.
3. Backup theo quy tắc 3-2-1 và phục hồi thử mỗi quý. Chi phí vài trăm nghìn đến vài triệu đồng mỗi tháng cho lưu trữ đám mây — rẻ hơn hàng nghìn lần so với một vụ ransomware không có đường lui. Backup chưa từng restore thử là backup chưa tồn tại.
4. Triển khai trình quản lý mật khẩu cho cả công ty. Chấm dứt mật khẩu dùng lại và file Excel tổng hợp mật khẩu. Bản business của các công cụ phổ biến có giá vài chục nghìn đồng mỗi người mỗi tháng.
5. Cấu hình SPF, DKIM, DMARC cho domain công ty. Cấu hình một lần, miễn phí, chặn kẻ xấu giả mạo email công ty bạn để lừa nhân viên, khách hàng và đối tác.
6. Đặt quy tắc xác minh cho mọi giao dịch chuyển tiền. Mọi yêu cầu thay đổi tài khoản thụ hưởng hoặc chuyển khoản bất thường phải được xác minh qua điện thoại theo số đã biết trước. Quy tắc một câu này chặn được kiểu lừa đảo gây thiệt hại tài chính trực tiếp lớn nhất hiện nay (BEC).
7. Thu hồi quyền thừa và tài khoản cũ. Rà một lượt: nhân viên đã nghỉ còn tài khoản nào hoạt động? Ai đang có quyền admin mà không cần? Việc này miễn phí và thường gây bất ngờ về số lượng phát hiện.
8. Chuẩn hóa thiết bị làm việc. Mã hóa ổ đĩa (BitLocker/FileVault có sẵn miễn phí), khóa màn hình tự động, bật phần mềm bảo vệ tích hợp (Microsoft Defender đủ tốt cho đa số SME khi được bật đúng cách).
9. Đào tạo nhận thức 30 phút mỗi quý, tập trung vào tình huống thật. Không cần khóa học đắt tiền: lấy chính các email lừa đảo công ty nhận được làm ví dụ, và xây văn hóa 'báo cáo sớm không bị trách'.
10. Viết kế hoạch ứng phó sự cố một trang. Ai là người quyết định, gọi ai theo thứ tự nào (nội bộ, đơn vị hỗ trợ, cơ quan chức năng), và ba việc đầu tiên cần làm cho từng loại sự cố phổ biến. In ra, dán nơi đội IT nhìn thấy.

Nhìn nhanh theo ngân sách

Khi nào nên thuê chuyên gia bên ngoài?

• Khi sắp ra mắt hệ thống quan trọng — website thương mại điện tử, ứng dụng có thanh toán, cổng dữ liệu khách hàng. Một đợt kiểm thử trước go-live rẻ hơn nhiều lần chi phí xử lý sự cố sau go-live.
• Khi khách hàng lớn yêu cầu bằng chứng bảo mật — báo cáo đánh giá độc lập ngày càng là điều kiện trong các vòng thẩm định nhà cung cấp của doanh nghiệp lớn.
• Khi đã làm xong các nền tảng ở trên — và muốn biết khách quan: với một kẻ tấn công thật, hệ thống của mình đứng vững đến đâu? Đó chính xác là câu hỏi mà một đợt penetration testing trả lời.
• Khi xảy ra sự cố vượt khả năng nội bộ — có sẵn đầu mối ứng cứu đã liên hệ từ trước tốt hơn nhiều việc tìm kiếm trong hoảng loạn.