Check-list tự đánh giá rủi ro bảo mật cho SME

Vì sao SME nên tự đánh giá rủi ro bảo mật bằng check-list? 

Chủ doanh nghiệp vừa và nhỏ thường không có đội ngũ an ninh mạng riêng, nhưng lại quản lý rất nhiều dữ liệu nhạy cảm: khách hàng, doanh thu, hợp đồng, tài khoản quảng cáo… Nếu chỉ “cảm giác là ổn” mà không cócách kiểm tra, rủi ro bảo mật có khả năng âm thầm lớn dần. 

Check-list dạng Yes/No giúp bạn: 

• Nhìn nhanh những chỗ đang “hổng” trong bảo mật. 
• Biết ưu tiên xử lý ở đâu trước khi đầu tư công cụ nền tảng. 
• Dễ trao đổi với đội ngũ: ai cũng hiểu, không cần hiểu thuật ngữ kỹ thuật. 

Cách sử dụng check-list 

• Với mỗi câu, hãy trả lời “Có” hoặc “Không” đúng với tình trạng hiện tại. 
• Nếu quá nửa câu trả lời là “Không”, nghĩa là vùng đó đang có rủi ro cao. 
• Sau mỗi nhóm câu hỏi, có luôn gợi ý “nguy cơ tương ứng” và việc nên làm. 

Bạn có thể in ra, đánh dấu cho từng phòng ban: kế toán, vận hành, kinh doanh, CSKH, marketing… 

1. Backup & khôi phục dữ liệu 

Câu hỏi Yes/No 

1. Chúng tôi có ít nhất một hình thức sao lưu định kỳ cho dữ liệu quan trọng (kế toán, hợp đồng, CRM…)? 
2. Các bản sao lưu không nằm chung trên đúng một máy tính của nhân viên? 
3. Đã từng thử khôi phục từ backup trong 6 tháng gần nhất? 
4. Nếu một máy tính bị hỏng hoặc dính ransomware, chúng tôi vẫn có thể khôi phục dữ liệu quan trọng trong vòng 1–2 ngày? 

Nếu nhiều câu trả lời là “Không”, nguy cơ là gì? 

• Một sự cố ổ cứng hoặc mã độc có thể làm mất sạch dữ liệu sống còn. 
• Dù có backup nhưng chưa từng thử khôi phục, đến lúc cần mới biết “backup hỏng”. 

Việc nên làm nhanh: 

• Chọn 1–2 nơi backup chính (cloud doanh nghiệp, NAS văn phòng…). 
• Thiết lập lịch sao lưu tự động, kiểm tra thử khôi phục ít nhất 1–2 lần/năm. 

2. Phân quyền truy cập dữ liệu & tài khoản 

Câu hỏi Yes/No 

1. Mỗi nhân viên có tài khoản riêng, không dùng chung cho email, CRM, cổng thanh toán, công cụ quảng cáo? 
2. Nhân viên chỉ được truy cập đúng phần dữ liệu cần cho công việc (nguyên tắc “cần gì, cấp nấy”)? 
3. Khi ai đó đổi vị trí hoặc nghỉ việc, chúng tôi có quy trình thu hồi/giảm quyền truy cập trong vòng 24–48 giờ? 
4. Khi cần chia sẻ quyền với đối tác (agency, freelancer…), chúng tôi tạo quyền tạm / giới hạn, không đưa luôn mật khẩu chính? 

Nguy cơ nếu nhiều câu là “Không” 

• Tài khoản bị lộ → kẻ xấu thấy được toàn bộ dữ liệu, thay đổi cấu hình, rút tiền, phá quảng cáo… 
• Nhân viên cũ vẫn âm thầm truy cập hệ thống vì chưa bị tắt quyền. 

Việc nên làm nhanh: 

• Dừng ngay việc dùng chung một tài khoản cho cả phòng với hệ thống quan trọng. 
• Làm một danh sách tài khoản & quyền cơ bản, giao cho 1 người phụ trách chính. 

3. Quản lý thiết bị làm việc (laptop, PC, điện thoại) 

Câu hỏi Yes/No 

1. Tất cả thiết bị dùng cho công việc (kể cả máy cá nhân) đều có mật khẩu hoặc PIN, và tự khóa màn hình sau vài phút? 
2. Nhân viên không cho người nhà hoặc bạn bè dùng chung tài khoản làm việc trên máy tính? 
3. Công ty có quy định về phần mềm được phép cài (không dùng phần mềm crack, game lạ trên máy dùng cho công việc)? 
4. Nếu laptop/máy tính dùng cho công việc bị mất cắp, chúng tôi biết cách đổi mật khẩu và khóa tài khoản liên quan trong vòng vài giờ? 

Nguy cơ nếu nhiều câu là “Không” 

• Bị nhìn trộm, sao chép file ngay trên màn hình mà không biết. 
• Phần mềm crack đem theo malware, stealer, keylogger vào máy. 
• Mất máy = mất luôn tài khoản, vì không có bước phản ứng nhanh. 

Việc nên làm: 

• Viết 1 trang “Quy tắc dùng thiết bị làm việc”, gửi cho toàn công ty. 
• Nhắc rõ: máy cá nhân dùng cho công việc cũng phải tuân theo. 

4. Truy cập từ xa (remote access) & Wi-Fi 

Câu hỏi Yes/No 

1. Nhân viên biết chỉ nên dùng Wi-Fi tin cậy khi truy cập hệ thống quan trọng (tài chính, CRM, quản trị)? 
2. Khi dùng Wi-Fi công cộng, nhân viên tránh đăng nhập vào các hệ thống nhạy cảm? 
3. Truy cập từ xa vào hệ thống nội bộ (nếu có) luôn qua VPN hoặc kênh bảo mật do công ty cung cấp? 
4. Có hướng dẫn rõ ràng cách xử lý khi thấy Wi-Fi lạ, cảnh báo chứng chỉ, trang đăng nhập trông khác thường? 

Nguy cơ nếu nhiều câu là “Không” 

• Dữ liệu đăng nhập có thể bị nghe lén, đánh cắp trên Wi-Fi công cộng. 
• Nhân viên bấm “OK cho xong” trước mọi cảnh báo bảo mật trên trình duyệt. 

Việc nên làm: 

• Tối thiểu gửi một email/bản PDF hướng dẫn “làm việc trên Wi-Fi sao cho an toàn”. 
• Nếu công ty đã có giải pháp như VPN, ZTNA thì bắt buộc dùng khi truy cập hệ thống quan trọng. 

5. Nhận diện phishing, scam & quy trình báo cáo 

Câu hỏi Yes/No 

1. Trong 6 tháng gần đây, công ty đã tổ chức ít nhất 1 buổi hướng dẫn nhận diện email lừa đảo, tin nhắn giả mạo? 
2. Nhân viên biết không bấm vào link/file lạ trong email, chat nếu chưa xác nhận lại? 
3. Có địa chỉ email hoặc kênh chat riêng để nhân viên báo cáo email/ tin nhắn đáng ngờ? 
4. Công ty không đổ lỗi khi nhân viên báo sự cố, mà tập trung xử lý (để mọi người dám báo sớm)? 

Nguy cơ nếu nhiều câu là “Không” 

• Một người bấm nhầm link → cả công ty lãnh đủ (mã độc, lộ mật khẩu, mất dữ liệu). 
• Nhân viên ngại báo vì sợ bị mắng, đến lúc sự cố nặng mới lộ ra. 

Việc nên làm: 

• Thiết kế một buổi training 45 phút, dùng ví dụ thật (hoặc screenshot), gửi kèm check-list “phishing 101” cho mọi người. 

6. Nhật ký hệ thống & theo dõi hoạt động bất thường 

Câu hỏi Yes/No 

1. Các hệ thống chính (email, cloud, CRM, kế toán…) có ghi lại lịch sử đăng nhập, chỉnh sửa quan trọng? 
2. Có ai đó (IT/ quản lý) thỉnh thoảng xem lại log hoặc báo cáo hoạt động, chứ không để đó? 
3. Khi có đăng nhập lạ từ vị trí bất thường, hệ thống có gửi cảnh báo email/điện thoại? 

Nguy cơ nếu nhiều câu là “Không” 

• Bị tấn công mà không hề hay biết. 
• Không có bất kỳ dấu vết gì để điều tra hoặc giải thích với khách hàng/đối tác. 

7. Làm gì khi check-list cho thấy quá nhiều “lỗ hổng”? 

Nếu bạn thấy mình tick “Không” quá nhiều, đừng vội hoảng. Quan trọng là: 

1. Ưu tiên theo mức độ ảnh hưởng: 

• Xử lý ngay những chỗ có thể làm mất tiền, mất dữ liệu khách hàng, mất quyền truy cập tài khoản quan trọng. 

2. Chuẩn hóa thành quy tắc đơn giản: 

• Mỗi vùng (backup, phân quyền, thiết bị, remote access, phishing) chỉ cần 3–5 dòng quy định rõ ràng. 

3. Tìm công cụ hỗ trợ, không phải tự làm tất cả bằng tay: 

• Ví dụ: giải pháp ShieldNet Defense có thể giúp doanh nghiệp vừa và nhỏ: 
• Giám sát bất thường trên hệ thống, phát hiện sớm dấu hiệu tấn công. 
• Chuẩn hóa log, cảnh báo và báo cáo để bạn dễ kiểm tra định kỳ. 
• Hỗ trợ bảo vệ truy cập từ xa, hạn chế rủi ro khi nhân viên Work From Home hoặc đi công tác. 

ShieldNet Defense không thay thế quy tắc nội bộ, nhưng giúp biến check-list trên thành hệ thống giám sát thực tế, giảm phụ thuộc vào “nhớ – quên” của từng nhân viên. 

Kết luận 

Check-list trên không đòi hỏi kiến thức kỹ thuật cao. Chỉ cần trả lời trung thực Có/Không, bạn đã có một bức tranh rõ ràng về nguy cơ bảo mật thường gặp ở doanh nghiệp vừa và nhỏ của mình. 

Bước tiếp theo là: 

• Viết lại thành vài quy tắc ngắn cho toàn công ty. 
• Đào tạo nhanh cho nhân viên. 
• Và nếu muốn yên tâm hơn, cân nhắc sử dụng một nền tảng như ShieldNet Defense để giám sát, cảnh báo và bảo vệ hệ thống một cách bài bản, thay vì chỉ trông chờ vào “ý thức” của từng người.