Ano ang MFA at bakit mahalaga ito?

Ang MFA, maikli para sa multi-factor authentication, ay nangangahulugang ang user ay kailangang gumamit ng higit sa isang paraan para patunayang tunay na siya bago siya mag-sign in. Kadalasan, iyon ay kombinasyon ng isang bagay na alam niya, tulad ng password, at isang bagay na mayroon siya, tulad ng code sa telepono o app na kailangan aprubahan.

Kapag may nakakuha o nakahula ng password, ginagawang mas mahirap ng MFA para sa taong iyon na makapasok sa account. Hindi nito ginagawang “hindi na hihack” ang isang account, at walang tapat na provider na nangangakong mangyayari iyon. Pero isa ito sa pinakamadali at pinaka-kapaki-pakinabang na hakbang na puwedeng gawin ng negosyo para mabawasan ang pag-iwasable na sign-in risk.

Para sa isang small business, madalas na pinaka-mabigat ang MFA para sa email, cloud file storage, accounting, payroll, mga sistema ng customer, remote access tools, at anumang account na nag-iimbak ng sensitibong impormasyon. Kung araw-araw na ginagamit ng team ang iilang app lang, kadalasan ang mga iyon ang unang i-review.

Maraming problema sa negosyo ang nagsisimula sa isang sign-in na mukhang normal. Inuulit, hinuhulaan, ninanakaw ang password sa isang phishing email, o nahahayag ito sa paglabag (breach) sa ibang kumpanya. Kapag nabuksan ang account, puwedeng basahin ng tagalabas ang email, i-redirect ang mga pagbabayad, i-reset ang iba pang password, o i-access ang mga file at contact.

Kaya mahalaga ang MFA. Nagdaragdag ito ng hadlang para sa maling tao habang nagpapatuloy ang normal na trabaho para sa iyong team. Lalo itong mahalaga para sa mga may-ari, manager, finance staff, at sinumang may access sa payroll, banking, mga rekord ng customer, o admin settings.

Tumutulong din ang MFA sa pag-meet ng ilang inaasahang compliance sa ilang industriya. Nag-iiba ang mga requirement kada industriya at estado, pero ang mga business sa healthcare ay maaaring marinig ang HIPAA, maikli para sa Health Insurance Portability and Accountability Act, at ang mga negosyong humahawak ng card payments ay maaaring marinig ang PCI, maikli para sa Payment Card Industry Data Security Standard. Ang mga kumpanyang nagtatrabaho sa mas malalaking customer ay maaari ring marinig ang SOC 2, isang karaniwang framework kung paano pinangangasiwaan ng mga service organization ang security controls. Hindi ang MFA ang kabuuang sagot para sa alinman sa mga ito, pero madalas itong bahagi ng makatwirang baseline.

Ang pinakakaraniwang halimbawa ay code na ipinapadala sa pamamagitan ng text sa telepono, isang prompt sa authenticator app, isang umiikot na code mula sa app na iyon, o isang physical security key. Sa simple lang, ang physical security key ay maliit na device na tap mo o sinasaksak para kumpirmahin na tunay na ikaw.

Hindi pare-pareho ang lahat ng paraan ng MFA. Karaniwan ang text messages at madaling unawain, pero mas matibay madalas ang pag-apruba sa pamamagitan ng app o hardware key. Ang isang magandang provider ay ipapaliwanag ang mga tradeoff sa malinaw na wika at tutulungan ang isang negosyo na pumili kung ano ang akma sa budget, staff, at pang-araw-araw na workflow.

Maaari mo ring marinig ang term na endpoint, na ang ibig sabihin ay isang work device tulad ng laptop, desktop, tablet, o telepono. Pinoprotektahan ng MFA ang sign-in ng account, habang ang device protection ay nakatuon sa mismong endpoint. Pareho itong mahalaga, pero magkaibang problema ang nalulutas nila.

Ang magandang MFA ay naka-on para sa mga account na pinaka-mahalaga, lalo na ang business email, remote access, file sharing, payroll, accounting, at admin accounts. Naka-setup ito sa paraan na magagamit ng staff nang hindi palaging nagkakaproblema sa pagkalito.

Kasama rin sa magandang MFA ang plano para sa mga nawawalang telepono, bagong empleyado, mga empleyadong natanggal, at mga backup na paraan ng pag-verify. Kapag may isang tao na umalis sa kumpanya o nawala ang device, dapat pa rin kayang mabawi ng negosyo ang access nang walang gulat.

Kailangan din ng karamihan ng negosyo ng ilang kaugnay na basic. Ang patching ay pag-a-update ng software para maaayos ang mga kilalang problema. Ang EDR, maikli para sa endpoint detection and response, ay software na tumutulong na bantayan ang mga business device para sa kahina-hinalang gawi. Ang RMM, maikli para sa remote monitoring and management, ay software na ginagamit ng maraming managed service providers para subaybayan ang kalusugan ng device at mag-apply ng routine maintenance. Ito ay hiwalay sa MFA, pero madalas itong pinag-uusapan kasama bilang bahagi ng praktikal na security baseline.

Kung nakikipag-usap ka sa isang managed service provider—madalas na tinatawag na MSP—tanungin kung paano nila pinapatupad ang rollout ng MFA, training, recovery, at exceptions. Humingi ng malinaw na paliwanag, hindi jargon. Maaari mong basahin ang mas simpleng mga sagot sa aming help library o tuklasin ang managed IT service topics.

Kung hindi ka technical, hindi mo kailangang magsimula sa mga pangalan ng produkto. Magsimula sa mga tanong sa negosyo. Alin sa mga account ang pinaka-importante, sino ang may admin access, ano ang mangyayari kapag nawala ang telepono, at paano makakakuha ng tulong ang staff kapag na-lock out?

Kung naghahambing ka ng mga provider, tanungin kung kasama sa monthly service ang setup ng MFA o hiwalay itong sinisingil. Alamin kung paano gumagana ang onboarding, paano pinangangasiwaan ang training ng staff, at kung may dagdag na pansin ba sa mga executive at finance users. Kapag binanggit ng provider ang SLA, ibig sabihin nito ay service level agreement—ang dokumentong nagpapaliwanag ng mga response targets at mga tuntunin ng serbisyo.

Maaari mo ring marinig ang vCIO, maikli para sa virtual chief information officer. Kadalasan, ibig sabihin nito ay isang senior advisor na tumutulong sa pagpaplano, budgeting, at mga desisyon sa IT. Hindi lahat ng small business ay kailangan ang level ng support na iyon, pero may ilan na nakikinabang sa gabay kapag pumipili ng mga security priorities.

Kung gusto mo ng tulong sa paghahanap ng isang independent provider na makakapagpaliwanag nito nang malinaw, get matched. Ang NodeBridge IT ay libreng matching service. Hindi namin minamanage, ino-monitor, ine-secure, nire-repair, o ina-access ang iyong mga system o account.