Wat kan je doen om tweefactorauthenticatie (2FA) op de juiste manier te integreren in je organisatie, zonder dat je gebruikers afschrikt of in verwarring brengt? En hoe bereik je een hoge adoptiegraad onder je medewerkers en klanten? We gaan op zoek naar een mogelijke benadering met Visma.
Het implementeren van 2FA is voor veel bedrijven een standaard om het securityniveau te verhogen. Deze extra laag beschermt tegen veelvoorkomende aanvallen, zoals diefstal van wachtwoorden. Wanneer een gebruiker zijn wachtwoord invoert, is de tweede factor, zoals een sms-code of een melding via een authenticator-app, vereist om toegang te krijgen. Deze tweede factor maakt het veel moeilijker voor aanvallers om toegang te krijgen tot gevoelige systemen, want ze beschikken vaak niet over het middel voor de extra verificatie. Zelfs als ze het wachtwoord van een gebruiker hebben bemachtigd, is de kans dat ze in een account of systeem komen geminimaliseerd.
Volgens Chief Information Security Officer Cindy Wubben van Visma is het hoe logisch de extra beschermingsstap ook klinkt, allerminst in de praktijk breed van toepassing. Ze ziet dat een aanval nagenoeg altijd begint met gelekte wachtwoorden. “Als een wachtwoord gelekt is en je hebt tweefactorauthenticatie, wordt het in ieder geval een stuk moeilijker om het te misbruiken.” Voor organisaties betekent dit dat het implementeren van 2FA een noodzakelijke stap is geworden in de richting van een moderne cybersecuritystrategie.
Fasegewijze implementatie van 2FA
Voor een succesvolle implementatie van 2FA geldt eigenlijk dat je min of meer de algemene securitystrategie-principes volgt. Niet van de een op de andere dag een gedwongen, uniforme aanpak dus, maar een goed doordachte strategie die rekening houdt met de verschillende behoeften en niveaus binnen de organisatie. Het is essentieel om het plan dat je voor 2FA hebt bedacht daadwerkelijk in de bedrijfsvoering te integreren. Dit kan je bijvoorbeeld eerst testen met een pilotproject voor een groep medewerkers of klanten. Het stelt je in staat om de processen te testen, mogelijke obstakels te identificeren en aanpassingen door te voeren voordat je het systeem in je hele organisatie uitrolt.
Bij Visma heeft men 2FA bijvoorbeeld verplicht voor alle medewerkers, wat niet alleen de interne beveiliging versterkt, maar ook het voorbeeld zet naar klanten en partners. De ervaring bij Visma leert dat wanneer je 2FA verplicht stelt voor werknemers, de acceptatie veel vlotter verloopt dan wanneer gebruikers er zelf voor mogen kiezen. Dan schuilt immers het gevaar van luiheid waarbij mensen de vervelende extra stap vermijden. Een dergelijke benadering als Visma creëert een securitycultuur die door de hele organisatie heen wordt gedeeld, waarin iedere medewerker dus ook betrokken is. Als je dat voorbeeld volgt, dan wordt het een gewoonte om bij bijna iedere applicatie 2FA toe te passen. Alleen software waar geen interessante data achter zit, kan je dat uitzonderen van 2FA-beleid.
Toch blijft het uitrollen van een 2FA-beleid en -technologie een uitdaging. In een ideale wereld krijg je alle partijen mee – dus naast medewerkers ook de klanten. Onder die laatste groep de 2FA-adoptiegraad verhogen is met name lastig, ziet Wubben. “Het verplichten in je eigen organisatie is nog wel te doen, maar het verplichten van je klanten stuit vaak op veel weerstand”, aldus Wubben. Daar probeert Visma nu verandering in te brengen. Dit doet men door bestaande klanten technisch en commercieel te helpen en door bij nieuwe klanten 2FA te verplichten.
Visma kiest er organisatiebreed wel voor om de bedrijfssituatie te bekijken. Onder het merk Visma vallen namelijk honderden dochterbedrijven. Dat aantal blijft ook nog eens groeien. Komt er een nieuw bedrijf bij, dan moet de situatie wel beoordeeld worden. “Het wordt per bedrijf besproken en afgestemd, afhankelijk van hun strategie en behoeften”, legt Wubben uit. Zonder daarbij echt een dwingende maatregel als moederbedrijf af te kondigen. Hierin moet wel de verantwoordelijkheid van Visma om de beveiliging van producten te waarborgen – voor klanten, partners en leveranciers – worden meegenomen. In sommige gevallen worden fabrikanten zelfs aansprakelijk gesteld als zij niet zorgen voor adequate bescherming tegen cyberdreigingen, zoals het verplichten van 2FA.
Tip: Cybercrisis steeds vaker realiteit: hoe het grote Visma zich voorbereidt
Het belang van gebruiksvriendelijkheid
Bij de implementatie van 2FA is het belangrijk om een balans te vinden tussen veiligheid en gebruiksvriendelijkheid. Als de gebruikersinterface te complex is, zullen medewerkers en klanten moeite hebben om de nieuwe beveiligingsmaatregel te omarmen. Dit blijkt bijvoorbeeld uit de ervaring van Idella, een Visma-dochter die 2FA implementeerde in klantportalen. “We merkten dat veel gebruikers niet bekend waren met de technologie achter authenticator-apps, en ze vonden het lastig om deze op te zetten”, laat Idella aan Techzine weten. Het leidde aanvankelijk tot negatieve feedback. Het bedrijf besloot toen om verschillende opties aan te bieden en een duidelijk stappenplan te creëren om gebruikers door het proces te begeleiden. Voor Idella had dit het gewenste effect: de klachten verdwenen en de acceptatie steeg.
Zulke trucs waarbij je als organisatie kiest voor het aanbieden van meerdere verificatiemethoden en het aanbieden van duidelijke, beknopte instructies kunnen het verschil maken tussen een geslaagde implementatie en een gefrustreerde user base. Bedrijven moeten ervoor zorgen dat de stappen om 2FA in te schakelen simpel en gemakkelijk te volgen zijn.
Tekst gaat verder na onderstaand kader
Stappenplan
Wubben deelt met ons ook een stappenplan voor bedrijven die nog geen 2FA in hun producten hebben. Dat ziet er als volgt uit.
• Implementeer de 2FA-oplossing niet zelf. Gebruik in plaats daarvan bestaande services.
• Introduceer 2FA ten minste voor nieuwe klanten.
• Het simpelweg aanbieden van 2FA zal waarschijnlijk niet leiden tot een hoge acceptatiegraad onder gebruikers (nieuw of oud), maar het is het juiste begin.
• Bied begeleiding over hoe je de acceptatie van 2FA kunt vergroten, zowel technisch als commercieel, bij de bestaande klanten.
• Stel een duidelijke tijdlijn en doelstelling op voor hoe en wanneer u een hogere acceptatiegraad van 2FA kunt bereiken.
• Overweeg om 2FA af te dwingen voor bepaalde rollen (bijv. power users) of acties (bijv. wijzigingen in kritieke gegevens).
Op weg naar bewustwording
Bij het verhogen van de adoptiegraad van 2FA is het ook handig te hameren op communicatie. Een van de eerste stappen is om zowel intern als extern helder te communiceren waarom 2FA zo belangrijk is en welke voordelen het biedt. Dit betekent dat je je medewerkers informeert over de beveiligingsrisico’s die zonder 2FA op de loer liggen, en hoe de nieuwe maatregel hen daadwerkelijk beschermt tegen cyberaanvallen.
Een voorbeeld hiervan is hoe men communiceert bij Visma-dochter Raet. Zij vinden het essentieel om duidelijk uit te leggen waarom de handhaving van 2FA noodzakelijk is en wat de risico’s zijn van het niet implementeren ervan. Deze boodschap helpt om medewerkers en klanten gerust te stellen en het zorgt ervoor dat ze de maatregelen begrijpen in plaats van ze te zien als een onnodige last. Daarnaast dien je de communicatiekanalen open te houden. Hierbij kan je feedback van gebruikers vragen, om eventueel de implementatie aan te passen waar nodig. 2FA is namelijk niet alleen afhankelijk van technologie, maar ook van de omgang van de gebruikers.
Eventueel kan je er als bedrijf voor kiezen extra ondersteuning te bieden via trainingen voor medewerkers en klanten die met de nieuwe maatregel te maken krijgen. Je kan dan denken aan simpele tutorials tot één-op-één hulp bij het instellen van 2FA. De supportafdeling moet goed voorbereid zijn op vragen, en er moet altijd een duidelijk proces zijn voor gebruikers die hulp nodig hebben. Visma koos er bij een van de software-oplossingen zelfs voor om de marketingafdeling erin te betrekken. Daar creëerde men bewustwording via LinkedIn-berichten, security-artikelen en whitepapers. Die aanpak hielp niet alleen om klanten te informeren, maar ook om hen aan te moedigen 2FA te implementeren als onderdeel van hun eigen securitystrategie.
Sleutel tot succes
Al met al vereist een succesvolle uitrol van 2FA een doordachte aanpak die gebruik maakt van duidelijke communicatie, gebruiksvriendelijke technologie en voortdurende ondersteuning. Het is belangrijk om het proces stap voor stap uit te voeren, te beginnen met een beperkte implementatie en dit vervolgens organisatiebreed uit te rollen. Door gebruikers bewust te maken van de voordelen en hen te begeleiden bij elke stap, kan de adoptiegraad van 2FA omhoog. Wubben adviseert daarbij wel om goed te kijken wat voor 2FA past bij de klant, partner of medewerker. Al is daar puur op technologisch vlak wel genoeg winst geboekt, aangezien de meeste 2FA-opties een stuk gebruiksvriendelijker zijn geworden. Daarmee is een veiligere organisatie een stap dichterbij.
Tip: Achter de schermen van cybersecurity: threat intelligence bij Visma