10 lỗi bảo mật khi làm việc remote chủ doanh nghiệp hay quên

10 lỗi bảo mật khi làm việc remote mà chủ doanh nghiệp vừa và nhỏ hay bỏ qua, từ việc dùng máy cá nhân, chia sẻ account chung đến không có quy trình offboarding. 

Vì sao chủ doanh nghiệp cần quan tâm đến lỗi bảo mật khi làm việc remote? 

Khi đội ngũ làm việc từ xa, bạn không thể kiểm soát mọi thiết bị, mạng Wi-Fi hay cách nhân viên lưu file. Rất nhiều lỗi bảo mật khi làm việc remote xuất phát từ quyết định của chính chủ doanh nghiệp: cho dùng máy cá nhân, cho mượn chung tài khoản, không hướng dẫn rõ cách bàn giao khi nghỉ việc… 

Không cần quá kỹ thuật, bạn chỉ cần hiểu 10 lỗi dưới đây để biết mình đang “mở cửa” rủi ro ở đâu và chỉnh lại cho phù hợp với quy mô SME. 

1. Cho phép dùng máy cá nhân nhưng không có bất kỳ quy định nào 

Nhiều founder cho nhân viên dùng laptop cá nhân cho linh hoạt. Điều nguy hiểm là không hề có quy định tối thiểu: phải đặt mật khẩu, phải khóa màn hình, phải cài phần mềm diệt virus, không cho người nhà dùng chung tài khoản… 

• Máy cá nhân thường chứa đủ mọi thứ: game, phần mềm lạ, file riêng. 
• Chỉ cần một phần mềm độc hại, toàn bộ dữ liệu công việc có thể bị đọc trộm hoặc mã hóa. 

Gợi ý: cho dùng máy cá nhân vẫn được, nhưng phải có “bộ quy tắc” rõ ràng về bảo mật khi làm việc từ xa. 

2. Không phân biệt tài khoản cá nhân và tài khoản công việc 

Một lỗi bảo mật khi làm việc remote rất thường gặp là nhân viên dùng cùng một email, cùng một mật khẩu cho cả mạng xã hội, dịch vụ cá nhân và hệ thống công ty. Khi một dịch vụ bên ngoài bị lộ mật khẩu, kẻ xấu dễ dàng thử mật khẩu đó với tài khoản công việc. 

Gợi ý cho chủ doanh nghiệp: 

• Yêu cầu dùng email công ty cho công việc. 
• Bắt buộc mật khẩu khác với mật khẩu mạng xã hội, email cá nhân. 
• Khuyến khích dùng trình quản lý mật khẩu để đỡ phải nhớ nhiều. 

3. Chia sẻ tài khoản chung cho “đỡ tốn license” 

Nhiều doanh nghiệp nhỏ dùng chung một tài khoản tool marketing, CRM, cổng thanh toán… cho cả phòng. Đây là rủi ro bảo mật remote rất lớn: 

• Không biết ai đã làm gì, đổi gì, xoá gì vì mọi thứ đều ghi log dưới một tên. 
• Nếu một nhân viên nghỉ việc hoặc bị mất máy, bạn rất khó kiểm soát truy cập. 

Gợi ý: 

• Tránh dùng chung tài khoản cho công cụ quan trọng. 
• Nếu buộc phải dùng chung (vì chi phí), hãy giới hạn số người biết mật khẩu và thay đổi ngay khi có biến động nhân sự. 

4. Không có chính sách offboarding khi nhân viên nghỉ việc 

Offboarding là tất cả những việc cần làm khi nhân viên rời công ty: thu hồi quyền truy cập, khóa tài khoản, đổi mật khẩu chung… Đây lại là thứ rất hay bị bỏ qua. 

Khi làm việc từ xa, nếu bạn quên tắt tài khoản của người đã nghỉ, người đó vẫn có thể: 

• Truy cập email, tài liệu nội bộ, dữ liệu khách hàng. 
• Xuất file, sao chép danh sách khách hàng sang nơi khác. 

Gợi ý: viết một checklist đơn giản: khi ai đó nghỉ → tắt những tài khoản nào, thu hồi thiết bị gì, đổi mật khẩu nào. 

5. Cho phép lưu dữ liệu khách hàng ở bất cứ đâu 

Một lỗi bảo mật khi làm việc remote phổ biến là để nhân viên lưu file khách hàng tùy thích: trên desktop, USB, ổ cứng cá nhân, Google Drive riêng… 

Điều này khiến bạn: 

• Không biết bản mới nhất nằm ở đâu. 
• Không kiểm soát được ai đang cầm dữ liệu khách hàng, có xóa khi cần không. 

Gợi ý: 

• Chỉ định một vài nơi chính thức để lưu dữ liệu (ví dụ: ổ mạng công ty, tài khoản cloud doanh nghiệp). 
• Cấm lưu danh sách khách hàng ở USB cá nhân hoặc cloud cá nhân nếu không được phép. 

6. Không yêu cầu khóa màn hình và bảo vệ thiết bị 

Nhân viên làm từ quán cà phê, không gian làm việc chung, nhà có người ra vào… nhưng laptop không có mật khẩu hoặc không tự khóa màn hình. Ai đi ngang qua cũng có thể xem được email, hợp đồng, giá bán, kế hoạch sản phẩm. 

Đây là lỗi rất cơ bản nhưng nhiều chủ doanh nghiệp lại không nhắc tới trong chính sách bảo mật cho SME. 

Gợi ý: 

• Bắt buộc đặt mật khẩu/mã PIN cho thiết bị. 
• Cài đặt tự động khóa màn hình sau vài phút không dùng. 

7. Không quy định cách dùng Wi-Fi khi làm việc từ xa 

Nhiều người làm việc trên Wi-Fi công cộng, Wi-Fi của chung cư, quán cà phê… mà không hề được hướng dẫn. Wi-Fi kém an toàn có thể bị nghe lén, chặn kết nối, điều hướng đến trang giả mạo. 

Gợi ý cho chủ doanh nghiệp: 

• Khuyến khích dùng Wi-Fi nhà riêng đã đổi mật khẩu mạnh, tắt quản trị từ xa. 
• Nếu phải dùng Wi-Fi công cộng, nên kết nối qua VPN công ty (nếu có) hoặc hạn chế truy cập các hệ thống nhạy cảm như tài chính, quản trị người dùng. 

8. Không có quy định rõ về việc gửi và chia sẻ file 

Một lỗi bảo mật khi làm việc remote khác là nhân viên gửi file chứa thông tin nhạy cảm qua bất kỳ kênh nào: Zalo cá nhân, Facebook, Gmail riêng, WeTransfer, cloud miễn phí… 

Khi đó, dữ liệu khách hàng có thể nằm rải rác khắp nơi, rất khó thu hồi khi cần xóa hoặc khi có yêu cầu từ khách hàng. 

Gợi ý: 

• Chỉ định kênh chính thức để chia sẻ tài liệu công việc (email công ty, cloud doanh nghiệp, công cụ nội bộ). 
• Hạn chế gửi file quan trọng qua ứng dụng chat cá nhân, trừ khi đã được mã hóa hoặc link có phân quyền rõ. 

9. Không kiểm tra quyền truy cập định kỳ 

Ban đầu một nhân viên cần truy cập mọi thứ để dựng hệ thống. Vài tháng sau, họ không còn cần nhiều quyền như vậy nữa, nhưng quyền vẫn giữ nguyên. Có người chuyển phòng ban nhưng vẫn giữ quyền cũ, tạo thành “tài khoản quyền siêu rộng”. 

Đây là sai lầm lớn trong bảo mật cho SME, đặc biệt khi làm việc từ xa: nếu tài khoản đó bị lộ, kẻ xấu có thể làm rất nhiều thứ. 

Gợi ý: 

• Ít nhất mỗi 6 tháng, rà soát danh sách tài khoản và quyền truy cập. 
• Thu lại những quyền không còn phù hợp với vị trí công việc hiện tại. 

10. Không có “bộ quy tắc tối thiểu” cho bảo mật khi làm việc từ xa 

Cuối cùng, lỗi lớn nhất là không có bất kỳ văn bản nào về bảo mật khi làm việc từ xa: mọi thứ chỉ được truyền miệng. Người cũ hiểu, người mới không nắm, mỗi người làm một kiểu. 

Trong khi đó, bạn chỉ cần một tài liệu 1–2 trang, dạng checklist, giải thích ngắn gọn: 

• Dùng thiết bị gì, kết nối Wi-Fi thế nào. 
• Lưu file ở đâu, dùng tài khoản nào, ai được phép chia sẻ cho ai. 
• Làm gì khi mất máy, nghi ngờ bị lộ mật khẩu, nhận email lạ. 

Đây là nền tảng để giảm hầu hết lỗi bảo mật khi làm việc remote trong doanh nghiệp vừa và nhỏ. 

Tóm lại: Chủ doanh nghiệp nên làm gì ngay? 

Bạn không cần biến mình thành chuyên gia an ninh mạng. Nhưng với vai trò founder/CEO, bạn nên: 

1. Viết một bộ quy tắc bảo mật khi làm việc từ xa (1–2 trang là đủ). 
2. Chấm lại 10 lỗi ở trên, xem công ty mình đang dính những lỗi nào. 
3. Ưu tiên xử lý các lỗi nguy hiểm nhất: dùng máy cá nhân không quy định, chia sẻ account chung, không offboarding. 

Chỉ cần vài thay đổi nhỏ, doanh nghiệp đã giảm rất nhiều rủi ro mà vẫn giữ được sự linh hoạt của mô hình làm việc remote.