Hệ Thống Của Bạn Đang An Toàn — Hay Chỉ Đang May Mắn?

Một câu hỏi đơn giản mà phần lớn ông chủ né trả lời

Hãy thử trả lời thật lòng, ngay bây giờ, không cần nói ra: nếu tuần sau người am hiểu hệ thống nhất công ty bạn xin nghỉ — ai biết mật khẩu firewall? Con server nào ở datacenter đang chạy dịch vụ nào? Lịch backup đặt ra sao? Và câu khó nhất: đã có ai từng thử khôi phục một bản backup ra để chắc chắn nó dùng được chưa, hay bạn chỉ đang tin vào dòng chữ 'Backup thành công' hiện lên mỗi đêm?

Nếu vài câu trong số đó khiến bạn khựng lại — bạn không phải người duy nhất. Phần lớn doanh nghiệp 60 người vận hành toàn bộ hạ tầng (cloud thuê AWS/GCP/Azure, server + NAS + firewall ở datacenter, mạng LAN văn phòng) bằng đúng một hoặc hai con người. Khi họ đi làm, mọi thứ chạy êm, nên không ai thấy cần đặt câu hỏi.

Nhưng nếu cả công ty — doanh thu, dữ liệu khách hàng, uy tín — đang lặng lẽ tựa vào trí nhớ và sự có mặt của một người, thì đó không phải một hệ thống an toàn. Đó là một hệ thống đang may mắn. Và bài này nói về khoảng cách giữa hai điều đó — khoảng cách bạn chỉ nhìn thấy rõ vào đúng ngày bạn không muốn thấy nó nhất.

'Nó vẫn chạy mà' — câu nói nguy hiểm nhất trong doanh nghiệp bạn

Hãy thành thật một chút. Nếu bây giờ tôi hỏi: 'Hệ thống IT của anh ổn không?', phản xạ đầu tiên của bạn sẽ là gật đầu. Ổn chứ. Mấy năm nay có sao đâu. Và đó chính là cái bẫy.

Vì 'mấy năm nay có sao đâu' không phải bằng chứng của an toàn. Nó chỉ là bằng chứng của may mắn chưa hết hạn. Hai thứ này trông giống hệt nhau từ bên ngoài — cho đến cái đêm chúng không còn giống nhau nữa. Một hệ thống chưa sập và một hệ thống an toàn nhìn y như nhau — cho tới đúng giây phút chúng khác nhau. Và giây phút đó luôn chọn đúng lúc tệ nhất để xuất hiện.

Con người chúng ta có một thói quen tư duy rất đáng yêu mà cũng rất nguy hiểm: ta đánh giá rủi ro bằng những gì đã xảy ra, chứ không phải bằng những gì có thể xảy ra. Ổ cứng trong con NAS dưới phòng kỹ thuật đã quay đều suốt bốn năm. Trong đầu bạn, bốn năm chạy tốt nghĩa là 'nó bền'. Nhưng với một kỹ sư từng dựng lại nhiều hệ thống đổ vỡ, bốn năm chỉ có một nghĩa: nó đã rất gần ngày phải thay, và bạn thì chưa có ổ dự phòng.

Đây là ảo tưởng kiểm soát. Ta tin rằng vì hệ thống của ta, đặt trong phòng của ta, do người của ta quản — nên nó nằm trong tầm kiểm soát. Nhưng kiểm soát thật sự không phải là cảm giác yên tâm. Nó là khả năng trả lời ngay ba câu hỏi: Nếu cái này hỏng bây giờ, mất bao lâu để chạy lại? Ai làm được việc đó? Và nếu người đó vắng mặt thì sao? Nếu một trong ba câu khiến bạn khựng lại, thì thứ bạn đang có không phải là kiểm soát — đó là một chuỗi may mắn bạn đã quen đến mức tưởng là nền móng.

Vì sao ta cứ trì hoãn nhìn vào chỗ đáng sợ nhất

Điều kỳ lạ là: phần lớn các ông chủ SME đều mơ hồ biết mình đang phụ thuộc quá nhiều vào một người. Cái cảm giác cấn cấn ấy có thật. Nó xuất hiện mỗi lần người ấy xin nghỉ phép, mỗi lần bạn nghe câu 'cái này chỉ em làm được', mỗi lần đọc tin một công ty khác lao đao vì anh IT duy nhất nghỉ việc và mang theo cả mớ mật khẩu trong đầu. Nhưng rồi ta gạt nó đi. Vì sao?

Vì đối mặt với nó đòi hỏi ta phải thừa nhận một điều khó chịu: ta đã để nó kéo dài quá lâu. Nhìn thẳng vào rủi ro cũng có nghĩa là nhìn thẳng vào việc lẽ ra mình phải xử lý nó từ năm ngoái. Tâm lý con người ghét cảm giác đó đến mức ta thà không nhìn còn hơn.

Thế là ta tự ru mình bằng những liều thuốc an thần quen thuộc. 'Cậu ấy gắn bó lắm, không bỏ mình đâu.' — có thể đúng, nhưng lòng trung thành không chống lại được một tai nạn, một cơn bạo bệnh, hay một lời mời lương gấp đôi. 'Có gì gọi điện là xử được.' — trừ đúng lúc người đó đang ở chỗ không có sóng, hoặc đã nghỉ việc từ tháng trước. 'Backup chạy đều mà.' — bạn có chắc không, hay bạn chỉ mong là thế?

Bản sao lưu chưa từng được khôi phục thử không phải là bản sao lưu. Nó là một lời cầu nguyện được lưu dưới định dạng file. Sự trì hoãn này không phải vì bạn lười — ngược lại, bạn là người gánh tất cả. Chính vì gánh tất cả nên bạn mới sợ mở cái hộp đó ra, vì bạn linh cảm bên trong là một danh sách việc dài không biết bắt đầu từ đâu. Nên bạn đóng nắp lại, tự nhủ: để khi nào rảnh. Nhưng hệ thống không bao giờ chờ đến khi bạn rảnh mới hỏng.

Cái giá thật sự: bạn không bao giờ thực sự được nghỉ

Có một chi phí của tình trạng này mà không bảng kế toán nào ghi lại được. Nó không nằm ở hóa đơn. Nó nằm trong đầu bạn, mỗi đêm. Đó là lý do bạn liếc điện thoại trong bữa cơm gia đình, là cái cảm giác mơ hồ không yên khi cả nhà đi du lịch và bạn nhận ra mình đang ở chỗ sóng yếu, là việc bạn — người chủ — lại lo về uptime hệ thống nhiều hơn cả anh kỹ thuật được trả lương để lo điều đó.

Bạn khởi nghiệp để làm chủ cuộc đời mình. Nhưng nếu cả cơ nghiệp có thể sụp xuống vào lúc 2 giờ sáng khi đúng một người không nghe máy, thì bạn không thực sự làm chủ. Bạn chỉ đang trực ca không lương, vĩnh viễn, cho chính hệ thống của mình. Và gánh nặng đó âm thầm bào mòn cả những quyết định kinh doanh: bạn ngại nhận dự án lớn vì sợ hệ thống không gánh nổi, trì hoãn mở chi nhánh vì 'để hạ tầng ổn đã'. Cái lo âu ngầm về IT đang lặng lẽ kìm hãm chính tham vọng đã khiến bạn dựng nên công ty này.

Vấn đề không phải con người đó. Là việc chỉ có một người

Hãy nói cho rõ, vì điều này quan trọng: vấn đề chưa bao giờ là năng lực của người phụ trách IT. Rất có thể họ giỏi, tận tâm, và là tài sản quý của công ty bạn. Vấn đề nằm ở kiến trúc: bạn có đúng một người, ở đúng một vị trí, nắm đúng những thứ không ai khác nắm.

Trong ngôn ngữ kỹ thuật, đó gọi là single point of failure — điểm chết. Một mắt xích mà khi nó đứt, cả dây chuyền dừng lại. Trớ trêu thay, người ta bỏ rất nhiều tiền mua hai nguồn điện, hai đường mạng, hai ổ cứng RAID để tránh điểm chết phần cứng — rồi lại để toàn bộ tri thức vận hành nằm trong một bộ não duy nhất, thứ dễ tổn thương nhất trong cả hệ thống.

Một con người cần ngủ, cần nghỉ phép, có thể ốm, có thể nghỉ việc, có thể đơn giản là ở chỗ không có sóng. Bạn không nên trách họ vì những điều rất con người đó. Điều bạn có thể làm là đừng đặt cả công ty lên vai một người vốn dĩ sẽ có lúc vắng mặt. Cách sửa không phải tuyển thêm hai người như vậy nữa — quá tốn kém, lại thêm hai bộ não để lo. Cách sửa là đặt phía sau hạ tầng của bạn một đội, chứ không phải một cá nhân.

'Dịch vụ CIO' của STEP: thay một con người bằng một hệ thống con người

Đây là lúc tôi nói về điều STEP làm — không phải để bán cho bạn thêm một món đồ công nghệ (bạn đã có đủ máy móc rồi), mà để thay cái nền móng may rủi bằng một nền móng được đảm bảo. Dịch vụ CIO của STEP, nói đơn giản, là đặt sau hạ tầng của bạn cả một đội vận hành — như thể bạn vừa tuyển nguyên một phòng IT trưởng thành, nhưng không phải tự xây, tự trả lương, tự lo người này nghỉ thì ai thay. Cụ thể, nó gỡ từng nỗi sợ ở trên:

• Giám sát 24/7. Hệ thống được theo dõi liên tục bằng cảnh báo tự động. Sự cố lúc 2 giờ sáng được một người đang trực phát hiện trước khi khách hàng của bạn nhắn tin. Bạn ngủ. Có người khác thức.
• Có người dự phòng ở mọi vị trí. Đây là điều xóa sổ điểm chết mang tên một con người. Một người nghỉ phép, người khác tiếp quản liền mạch, vì mọi thứ đều được ghi chép, bàn giao và chia sẻ trong đội — không có mật khẩu nào sống trong đầu đúng một người, không có tri thức nào biến mất khi ai đó rời đi.
• Bảo trì và vá bảo mật định kỳ. Những lỗ hổng được vá trước khi bị khai thác, theo lịch, chứ không phải sau khi đã có chuyện. Phòng bệnh thay vì chữa cháy.
• Sao lưu và kiểm thử khôi phục thật. Backup không chỉ được tạo — nó được khôi phục thử định kỳ để chứng minh rằng vào cái ngày bạn thực sự cần, nó sẽ thực sự chạy. Lời cầu nguyện được thay bằng một quy trình đã kiểm chứng.
• Cam kết bằng SLA. Không phải lời hứa miệng 'có gì gọi em'. Là một con số trên giấy: bao nhiêu phút thì phản hồi, bao nhiêu phần trăm thời gian hệ thống phải sống. Trách nhiệm được viết ra, đo được, và có người chịu.

Và phía sau cả đội đó luôn có một CIO tầm cỡ — một người đủ kinh nghiệm để nhìn hạ tầng của bạn như một bác sĩ giỏi nhìn bệnh án: thấy được vấn đề trước khi nó thành triệu chứng. Bạn không thay một nhân viên giỏi bằng một nhân viên giỏi hơn. Bạn thay một-con-người bằng một-hệ-thống-con-người — thứ không ngủ, không nghỉ phép cùng lúc, và không bao giờ mang theo mật khẩu rời đi cùng mình.

Ba mức cam kết, chọn theo mức độ bạn cần ngủ yên

Không phải doanh nghiệp nào cũng cần mức cao nhất. Vì thế cam kết vận hành (SLA) chia làm ba mức, để bạn chọn đúng mức độ yên tâm mình cần — đây là cam kết về vận hành, không phải bảng giá:

Hãy đọc bảng này bằng cảm giác chứ không chỉ bằng con số. Bronze dành cho doanh nghiệp mà ban đêm hệ thống có thể ngủ cùng bạn. Silver là khi bạn cần ai đó thức cả đêm thay mình, một sự cố lớn sẽ có người bắt tay xử lý trong khoảng hai giờ. Gold dành cho những công ty mà nửa giờ ngừng trệ đã là chuyện lớn — ở đây luôn có người trực và quy trình leo thang ngay lập tức, để một sự cố giữa đêm không bao giờ phải chờ đúng một người tỉnh dậy và nghe máy.

Vậy rốt cuộc bạn nhận được gì? Bốn câu trả lời thẳng

• Bạn được gì? Một phòng IT hoàn chỉnh — giám sát, bảo trì, sao lưu, ứng cứu, và một CIO đứng sau — mà không phải tự tuyển, tự đào tạo, tự gánh khi có người nghỉ. Bạn được lại một thứ tưởng nhỏ mà vô giá: những đêm ngủ không liếc điện thoại.
• Lợi ích là gì? Bạn lấy lại sự tập trung. Thay vì làm anh trực ca bất đắc dĩ cho chính hệ thống của mình, bạn quay về làm đúng việc của ông chủ: nghĩ về khách hàng, về tăng trưởng, về những dự án lớn trước đây bạn ngại nhận vì sợ hạ tầng không kham nổi.
• Giảm rủi ro thế nào? Bằng cách xóa điểm chết. Không còn 'chỉ một người làm được', không còn backup chưa ai dám thử khôi phục, không còn lỗ hổng bảo mật chờ đến lúc bị khai thác mới biết. Mỗi rủi ro mơ hồ giờ được gọi tên, có người chịu trách nhiệm, và ràng buộc bằng SLA viết trên giấy.
• Giảm chi phí thế nào? Một đội IT nội bộ trưởng thành — đủ người để có dự phòng, trực 24/7, lại có cả tầm CIO — là khoản lương khổng lồ phần lớn SME không kham nổi. Dịch vụ CIO chia sẻ chi phí đó cho nhiều doanh nghiệp, nên bạn có năng lực của cả một phòng ban với chi phí của một dịch vụ. Và khoản tiết kiệm lớn nhất là khoản bạn không bao giờ phải trả: cái giá của một lần sập kéo dài, mất dữ liệu, hay mất một khách hàng lớn vì cái đêm không ai nghe máy.

Bạn không cần đợi đến lúc nó xảy ra với mình

Những sự cố kiểu này đều có một điểm chung đáng sợ: trước thời điểm xảy ra, mọi thứ trông vẫn hoàn toàn bình thường. Hệ thống vẫn chạy. Đèn vẫn xanh. Bạn vẫn ngủ ngon. Cho đến khi không. Bạn không cần phải tự mình trải qua một lần như thế để biết mình đang đứng ở đâu — bạn chỉ cần một người ngoài cuộc, điềm tĩnh và có kinh nghiệm, nhìn vào hạ tầng của bạn và nói thật: chỗ nào đang thực sự an toàn, và chỗ nào bạn chỉ đang may mắn.

Mọi cơ nghiệp lớn đều xứng đáng đứng trên một nền móng được đảm bảo, chứ không phải trên trí nhớ của một người và một chuỗi may mắn chưa biết khi nào hết hạn. Câu hỏi không phải là 'hệ thống của tôi có chạy không' — nó vẫn đang chạy. Câu hỏi là: nếu ngày mai người giữ nó vắng mặt, bạn có còn ngủ ngon không?