Nhiều doanh nghiệp vừa và nhỏ (SMEs) tại Việt Nam nghĩ rằng:
“Chúng tôi nhỏ quá, không phải mục tiêu tấn công của hacker.”
Thực tế hoàn toàn ngược lại.
🔍 Theo thống kê của Cisco và Kaspersky, hơn 40% vụ tấn công mạng tại Đông Nam Á nhắm vào doanh nghiệp có dưới 100 nhân viên – vì hệ thống của họ yếu, dễ xâm nhập, và ít được bảo vệ.
Cyber IT Security tổng hợp 10 lỗi bảo mật phổ biến nhất mà các công ty vừa và nhỏ hay mắc phải – cùng với cách phòng tránh hiệu quả.
Nhiều SMEs không có:
Chính sách phân quyền truy cập
Quy định về mật khẩu, thiết bị cá nhân
Chính sách xử lý dữ liệu nhạy cảm
➡️ Hậu quả: nhân viên tự do sử dụng dữ liệu / gửi thông tin ra ngoài mà không kiểm soát
✅ Giải pháp:
Tạo bộ chính sách bảo mật cơ bản gồm 3–5 tài liệu ngắn gọn, dễ hiểu, áp dụng ngay từ onboarding.
Rất nhiều doanh nghiệp:
Dùng 1 mật khẩu chung cho cả phòng
Không bật xác thực 2 lớp
Không bắt buộc thay đổi định kỳ
➡️ Chỉ cần rò rỉ một tài khoản – cả hệ thống bị lộ
✅ Giải pháp:
Bắt buộc xác thực 2 bước (2FA), đặt chính sách độ mạnh mật khẩu, không dùng chung tài khoản.
Không có backup hoặc backup thủ công 1 tháng/lần là tình trạng phổ biến.
➡️ Khi bị ransomware, lỗi hệ thống hoặc nhân viên xoá nhầm → mất toàn bộ dữ liệu
✅ Giải pháp:
Thiết lập chính sách backup tự động hàng ngày, kiểm tra khả năng khôi phục thử dữ liệu mỗi tháng.
Tất cả nhân viên có quyền truy cập mọi thứ: thư mục kế toán, hợp đồng, dữ liệu khách hàng...
➡️ Nguy cơ rò rỉ dữ liệu khi nhân viên nghỉ việc, bị tấn công hoặc sơ suất.
✅ Giải pháp:
Áp dụng mô hình phân quyền theo vai trò (Role-Based Access Control – RBAC), thu hồi quyền ngay khi nhân viên nghỉ.
Hầu hết SMEs không ghi nhận nhật ký truy cập hay hoạt động trên hệ thống:
Ai truy cập file nào?
Có gửi dữ liệu ra ngoài không?
Có đăng nhập lạ từ nước ngoài?
➡️ Khi có sự cố → không thể điều tra
✅ Giải pháp:
Cài đặt phần mềm log miễn phí (hoặc SIEM đơn giản), kiểm tra log định kỳ.
Tấn công phishing, social engineering, USB lạ… xảy ra hàng ngày, nhưng phần lớn nhân viên không biết cách xử lý.
✅ Giải pháp:
Tổ chức đào tạo nhận thức bảo mật mỗi 6–12 tháng, đặc biệt cho phòng kế toán, CSKH, kinh doanh.
Nhân viên dùng laptop cá nhân để làm việc → mang theo virus, không có mã hóa, mất laptop = mất dữ liệu.
✅ Giải pháp:
Có chính sách BYOD rõ ràng, áp dụng mã hóa ổ cứng, yêu cầu phần mềm bảo vệ trước khi kết nối hệ thống nội bộ.
Dùng Windows, phần mềm, CMS website phiên bản cũ → hacker chỉ cần vài giây để khai thác.
✅ Giải pháp:
Thiết lập quy trình kiểm tra và cập nhật bảo mật định kỳ (có thể outsource nếu không có team IT).
Sử dụng dịch vụ cloud, phần mềm CRM, email server… nhưng không biết đơn vị đó có bảo mật tốt hay không.
✅ Giải pháp:
Yêu cầu nhà cung cấp chứng minh tuân thủ ISO 27001, SOC 2 hoặc ít nhất có biện pháp bảo mật cơ bản.
Doanh nghiệp thay đổi quy trình, nhân sự, sản phẩm… nhưng không đánh giá lại các rủi ro bảo mật tương ứng.
✅ Giải pháp:
Thực hiện đánh giá rủi ro 1–2 lần/năm, ưu tiên kiểm soát các điểm yếu quan trọng.
| Lỗi thường gặp | Hậu quả |
|---|---|
| Không có chính sách bảo mật | Nhân viên không biết giới hạn |
| Mật khẩu yếu / dùng chung | Dễ bị hack |
| Không sao lưu | Mất dữ liệu vĩnh viễn |
| Không phân quyền | Dữ liệu bị rò rỉ từ nội bộ |
| Không log / giám sát | Không phát hiện tấn công |
🔒 An toàn thông tin không chỉ dành cho tập đoàn lớn. SMEs có thể bảo vệ tốt nếu có chiến lược đúng – bắt đầu từ những điều đơn giản.
Cyber IT Security cung cấp:
Gói bảo mật cơ bản cho doanh nghiệp <200 người
Đào tạo nhận thức an toàn thông tin
Tư vấn xây dựng chính sách & phân quyền
Triển khai ISO 27001 phù hợp SMEs ngân sách thấp
👉 Xem gói dịch vụ bảo mật cho SMEs
👉 Đăng ký đánh giá rủi ro miễn phí