Hướng dẫn bảo mật email của doanh nghiệp nhỏ

Có lẽ không có gì đáng ngạc nhiên với hầu hết các chủ doanh nghiệp khi biết rằng email là cách chính để tin tặc có thể truy nhập vào dữ liệu và thông tin nhạy cảm của công ty. Tuy nhiên, điều đó có thể cảnh báo cho bạn biết rằng các doanh nghiệp nhỏ dễ bị tấn công nhất. Cụ thể là các cuộc tấn công trên mạng nói chung vào các công ty có dưới 250 nhân viên đã tăng gấp đôi trong sáu tháng đầu năm ngoái — và tổn thất trung bình mỗi lần tấn công là hơn $188.000. Theo Trung tâm Nghiên cứu Chiến lược và Quốc tế, tác động của các cuộc tấn công trên mạng vào nền kinh tế Hoa Kỳ nói chung gây tổn thất rất lớn với $100 tỷ/năm.

Đó chính là lý do tại sao sự cố xâm nhập email Sony vào năm 2014 lại trở thành vấn đề lớn đến vậy — điều này khiến mọi doanh nghiệp đều phải tự hỏi họ có thể tránh được số phận tương tự bằng cách nào. Điều hợp lý là nếu một công ty lớn như vậy, với nhiều lớp bảo mật, có thể bị xâm nhập thì các doanh nghiệp nhỏ có ít tài nguyên hơn sẽ không có hy vọng, phải không?

Có thể là không. Có nhiều cách để đảm bảo doanh nghiệp của bạn được bảo vệ thông qua email bảo mật. Vì bảo mật doanh nghiệp của bạn chỉ mạnh tương tự như liên kết yếu nhất của bạn nên bí quyết là để nhân viên được tham gia và đầu tư vào sự thành công của bảo mật. Dưới đây là bảy mẹo để giúp bạn bắt đầu.

1. Ưu tiên hàng đầu là tạo và thực hiện kế hoạch an ninh mạng. Tất nhiên, điều này đòi hỏi nhiều hơn là chỉ đơn giản cân nhắc cách để đảm bảo dịch vụ email bảo mật — điều đó cũng cần bao gồm các chiến lược nhằm giữ cho website, thông tin thanh toán và các thông tin khác luôn an toàn — tuy nhiên, việc xử lý bảo mật email phải là phần chính trong kế hoạch của bạn. Ủy ban Truyền thông Liên bang đã tạo ra một công cụ hữu ích, Small Biz Cyber Planner 2.0, hỗ trợ bạn trong quá trình tạo kế hoạch tùy chỉnh.
2. Cân nhắc mã hóa email. Mã hóa email giúp bảo vệ thông tin cá nhân khỏi tin tặc bằng cách chỉ cho phép một số người dùng truy nhập và đọc email của bạn. Có một số phương pháp mã hóa email tùy theo mức độ bảo mật—và thuận tiện—mà bạn yêu cầu. Ví dụ: bạn có thể tải xuống hoặc mua thêm phần mềm bổ trợ cho ứng dụng email khách của mình. Hoặc bạn có thể cài đặt chứng chỉ email như PGP (Pretty Good Privacy), cho phép nhân viên của bạn chia sẻ khóa công khai với bất kỳ ai muốn gửi cho họ email và sử dụng khóa riêng tư để giải mã mọi email họ nhận được. Giải pháp đơn giản khác là sử dụng dịch vụ email được mã hóa của bên thứ ba.
3. Đảm bảo mật khẩu bảo mật. Tất cả nhân viên cần phải có mật khẩu riêng cho máy tính làm việc và hệ thống email của họ. Các mật khẩu này cần phải được đặt lại ba tháng một lần; ngoài ra, hãy cân nhắc việc yêu cầu xác thực đa yếu tố khi nhân viên thay đổi mật khẩu. Mật khẩu mạnh nhất gồm có tối thiểu 12 ký tự và kết hợp các số, ký hiệu, chữ viết thường cùng chữ viết hoa. Mật khẩu không nên chứa nội dung rõ ràng (ví dụ: ngày sinh, tên con cái, v.v.) nhưng cần dễ nhớ. Nói cách khác, nhân viên cần tránh hai mật khẩu phổ biến nhất — và yếu nhất — trong năm 2014: “password” và “123456”. Ngoài ra, nhân viên không nên sử dụng cùng một mật khẩu cho nhiều tài khoản hoặc website. Hãy cân nhắc việc cho phép sử dụng trình quản lý mật khẩu hoặc chức năng đăng nhập một lần. Một số giải pháp tuyệt vời dành cho các doanh nghiệp nhỏ đang tìm kiếm công cụ để lưu trữ mã, tài khoản ngân hàng, tài khoản email, số PIN cùng các thông tin tài khoản khác vào một nơi bao gồm CommonKey, LastPass và Password Genie. Làm cách nào để biết liệu mật khẩu của bạn có bị xâm phạm không? Đăng ký các dịch vụ cảnh giới như PwnedList hoặc Breach Alarm, giám sát mật khẩu bị rò rỉ và sẽ tự động báo cáo cho bạn nếu có bất kỳ địa chỉ email nào của bạn trở nên dễ bị tấn công.
4. Phát triển chính sách lưu trữ email hữu ích. Yêu cầu nhân viên dọn sạch những email không hỗ trợ nỗ lực doanh nghiệp và triển khai chính sách để đảm bảo tuân thủ. Nhiều công ty thiết lập tiêu chuẩn 60 – 90 ngày có các bước để tự động lưu trữ và loại bỏ vĩnh viễn sau một khoảng thời gian nhất định. Một số nhân viên có thể cảm thấy khó khăn khi phải nhớ việc xóa các email không tuân thủ tiêu chuẩn này, vì vậy, những lời nhắc thường xuyên này sẽ trở nên thiết yếu.
5. Đào tạo nhân viên về bảo mật email. Nhân viên đóng vai trò quan trọng trong việc duy trì dữ liệu bảo mật thông qua email. Họ cần được đào tạo về các loại hành vi không được phép và các loại email cần tránh. Rất tiếc, theo InfoSight, gần như một nửa trong tất cả các công ty sử dụng chưa đến 1 phần trăm ngân sách bảo mật của mình cho các chương trình đào tạo nhân viên về cách nhận biết các mối đe dọa bảo mật. Tuy nhiên, có 64 phần trăm các tổ chức đã gặp phải một số mức độ tổn thất tài chính do xâm nhập máy tính và 85 phần trăm các tổ chức phát hiện vi-rút máy tính. Việc bỏ ra một chút chi phí đào tạo giúp giảm chi phí lớn có thể gặp phải do xâm nhập là không đáng giá sao?

   Cụ thể là nhân viên cần được đào tạo tuân thủ các quy tắc sau đây:

   • Không bao giờ mở những liên kết hoặc tệp đính kèm từ những người không quen biết.
   • Không phản hồi email yêu cầu thay đổi mật khẩu và yêu cầu bạn tiết lộ thông tin cá nhân — bất kể nguồn chính thức ra sao.
   • Đảm bảo phần mềm chống vi-rút và chống gián điệp được cập nhật trên máy tính.
   • Mã hóa mọi email có chứa dữ liệu nhạy cảm trước khi gửi.
   • Không sử dụng địa chỉ email công ty của bạn để gửi và nhận email cá nhân.
   • Không tự động chuyển tiếp email công ty đến hệ thống email của bên thứ ba.

   Ngoài ra, một số công ty đã thành công khi thiết lập các chương trình kiểm tra chiến dịch lừa đảo qua mạng, email lừa đảo qua mạng và các mối đe dọa an ninh mạng khác với nhân viên, rồi trao thưởng cho họ khi họ vượt qua các cuộc kiểm tra này.

6. Duy trì các tiêu chuẩn nghiêm ngặt đối với việc sử dụng thiết bị di động liên quan đến công ty. Khi sử dụng thiết bị di động do công ty cấp hoặc thiết bị di động cá nhân để gửi và nhận email công ty, nhân viên cần mã hóa dữ liệu, duy trì bảo vệ thiết bị bằng mật khẩu và cài đặt các ứng dụng bảo mật được chấp thuận để tin tặc không thể truy nhập thiết bị thông qua mạng WiFi dùng chung. Tìm các giải pháp có chức năng quản lý thiết bị di động tích hợp sẵn, cung cấp các tùy chọn để giúp bạn bảo vệ dữ liệu bằng quyền truy nhập có điều kiện, quản lý thiết bị và xóa sạch dữ liệu công ty một cách chọn lọc.
7. Tránh các cạm bẫy phổ biến khi bảo mật email. Ngoài tất cả những điều chúng ta đã thảo luận, email cũng vẫn có thể không được bảo mật theo những cách khác. Đảm bảo rằng bạn cân nhắc những điều sau đây:
   • Tất cả các máy tính — chứ không phải chỉ vài máy tính — cần sử dụng mã hóa email. Mã hóa email cũng không có ý nghĩa gì trừ khi các tiêu chuẩn được áp dụng toàn diện.
   • Luôn giám sát các máy tính đã mở khóa. Yêu cầu nhân viên khóa máy tính (cần được bảo vệ bằng mật khẩu khi đăng nhập) trước khi rời khỏi bàn làm việc như một chính sách của công ty. Luôn chủ tâm khi tạo các chính sách liên quan đến email doanh nghiệp nhỏ của bạn, bạn sẽ tránh được rất nhiều sự cố thậm chí trước khi sự cố xảy ra. Khen thưởng các nhân viên đã giúp phát triển môi trường nơi thông tin được bảo mật. Cộng tác cùng nhau sẽ có thể duy trì dữ liệu nhân viên, khách hàng và doanh nghiệp luôn an toàn — mỗi lúc một email.

Xem chi tiết Zshield – Email Server cao cấp dành cho doanh nghiệp tại đây.