Product & company | 5 min read

Verbeteren van de beveiliging rond de werknemer self-service, deel 1: Logout bij inactiviteit en Hoge beveiligingsmodus.

Duizenden werknemers gebruiken onze Employee Self-Service om te communiceren met hun werkgever, essentiële HR taken op te volgen en om hun data te gaan raadplegen. Om zeker te zijn deze logins authentiek zijn, moeten we continu evalueren hoe we onze Employee Self-Service verder kunnen beveiligen. We moeten oplossingen bouwen die potentiële veiligheidsrisico's aanpakken, om zo onze gebruikers en hun gevoelige data te beschermen. In deze blogpost praten we over twee beveiligingsupdates die we gelanceerd hebben op alle Employee Self-Services. We gaan ook wat dieper in op welke soort veiligheidsrisico's deze moeten voorkomen.

Deze blogpost is het eerste deel in een serie die dieper ingaat op hoe we de beveiliging rond onze werknemer self-services verbeteren. Hier vertellen we meer over recente maatregelen die genomen werden om potentiële beveiligingsrisico's te voorkomen.

Beveiliging rond onze Employee Self-Service
Het beveiligen van de Employee Self-Service gaat verder dan alleen de app beschermen. Versleutelen van alle data items, bouwen van controles voor verschillende vormen van gebruikers authenticeren...

De Officient self-service bevat veel gevoelige informatie. De lonen van werknemers, hun extralegale voordelen, arbeidscontracten, thuisadres, telefoonnummers... Veel gevoelige informatie waarvan je niet wil dat iedereen toegang toe zou hebben, of niet?

Er zijn verschillende manieren waarop een systeem toegang kan verlenen zonder toestemming en wanneer we rekening houden met de gevoelige data die we opslaan, moeten we continu deze potentiële veiligheidsrisico's evalueren. Dit betekent dat we meerdere lagen van beveiliging moeten inbouwen om verschillende risico's te gaan bestrijden, van nalatigheid tot hackers. Recent hebben we enkele updates gelanceerd om twee potentiële risico's te gaan voorkomen. Welke veiligheidsrisico's hebben we het over en hoe zullen deze maatregelen je hier tegen beschermen?

1. Vind je het erg als ik even naar je loonbrief kijk?

Wat is één van de makkelijkste manieren dat iemand toegang tot een account kan krijgen die niet van hemzelf is? Het is eigenlijk erg simpel. Ze moeten alleen toegang hebben tot een toestel die je vaak gebruikt om in te loggen op een persoonlijke account. Je moet natuurlijk ook nog steeds ingelogd zijn, maar dat is het.
Wat als een collega plots interesse krijgt in wat je verdient? Ze zouden vlug kunnen kijken op je laptop die nog openstaat op je bureau, net op het moment dat je even weg bent en je nog steeds ingelogd bent op onze Self-Service.

In een wereld vol met apps en de mogelijkheden om makkelijk te wisselen van schermen en tabbladen, zijn we blijkbaar vergeten wat de functie is van uitloggen en waarvoor dit ontwikkeld was in de eerste plaats. Meer en meer hebben we de gewoonte om het scherm te sluiten, ervan uitgaande dat dit ons uitlogt, of we laten het open staan en starten een nieuwe activiteit in een ander tabblad of venster. Dit betekent dat we soms meerdere tabbladen hebben openstaan die nog kunnen ingelogd zijn op verschillende accounts.

Hoe zijn we van plan om dit simpel, maar vaak voorkomend veiligheidsrisico te voorkomen? We ontworpen een functie waarbij we een gebruiker automatisch uitloggen van de Employee Self-Service na een bepaalde periode van inactiviteit.
Misschien heb je al iets gelijkaardigs gezien bij mobile banking apps?

Notities nemen van mobile banking software

Door het gemak waarmee je vandaag de dag geld kan overmaken via mobiele applicaties, moesten banken grondig bekijken hoe ze hun gebruikers konden beschermen van diverse soorten aanvallen, zelfs zeer simpele. Dat is waarom ze de functie hebben ontworpen dat een mobile banking app na een bepaalde tijd gaat notificaties sturen om te controleren als je nog steeds actief bent, en ingelogd wil blijven. Antwoord je niets binnen een bepaalde tijd, zal je automatisch uitgelogd worden om te voorkomen dat iemand anders aan je account kan. Wat zou er gebeuren als je je telefoon verliest, maar die is nog steeds ingelogd op je bank app? Dan zou het niet veel werk meer zijn om een substantieel bedrag over te schrijven naar een andere bankrekening. Als je denkt dat het figuur slot op je telefoon potentiële inbrekers zal stoppen vooraleer ze aan je bank app kunnen, lees dan zeker eens dit artikel.

Verschillende veiligheidsniveau's zijn mogelijk voor onze klanten binnen de Employee Self-Service
Veiligheidsniveau's geven onze klanten de flexibiliteit om zelf in te stellen welke mate van beveiliging ze nodig achtten en ze duidelijk te informeren welke aanpassingen deze instelling met zich meebrengt.

2. Hoge-veiligheidsmodus: AAN

Niet alle mogelijke veiligheidsrisico's zijn zo eenvoudig als de vorige. Meeste potentiële risico's zijn vaak een stuk complexer en technischer in aard. Ze komen tevoorschijn bij het ontwikkelen van nieuwe features of het uitbreiden van de huidige functionaliteit voor gebruikers. Hoe gebeurt dat?

Saas bedrijven willen workflows in en rond hun producten ontwerpen, die verschillende gebruikerservaringen meer intuïtief maken. Langs de andere kant willen deze bedrijven misschien meerdere opties voorzien om dezelfde handeling te verrichten, om meer potentiële gebruikers te gaan aantrekken. Laten we eerst kijken naar de verschillende manieren hoe je kan inloggen op meeste applicaties en zien hoe deze niet altijd dezelfde mate van beveiliging met zich meedragen.

Het beste voorbeeld hiervan is de extra beveiliging die Single-Sign-On brengt (inloggen met je Google of Office 365 account). Dit is een account waar je dagelijks of wekelijks op inlogt. Je kan hiermee apparaten die je vaak gebruikt, registreren om veiliger in te loggen, maar je gebruikt het ook vaak genoeg dat je de login + paswoord combinatie niet rap zal vergeten. Niet alleen dat, maar deze accounts komen ook nog met andere veiligheidsmaatregelen. Zo wordt je verwittigd wanneer iemand je account proberen te openen van een ander apparaat.
Zoals je kan zien is Single-Sign-On een stuk veiliger. Waarom laten we dan nog steeds een normale account login toe, waarbij een paswoord of rechtstreekse logins naar je mailbox worden gestuurd? Als we dat doen, verminderen we het aantal potentiële gebruikers dat Officient kan gebruiken, alleen maar omdat ze een andere mailing provider gebruiken waar er voor ons te weinig waarde is op dit punt om mee te integreren. Hoe kunnen we de veiligheid van de self-service maximaliseren, zonder potentiële klanten af te schrikken?

Beveiligingsniveaus

We laten admins kiezen uit twee niveau's van beveiliging die ze willen hanteren, die dan automatisch actief worden op de self-services van hun werknemers. Afhankelijk van welke modus actief is, zullen de mogelijkheden om in te loggen veranderen en treden een aantal andere veiligheidsmaatregelen in werken.
Standaard veiligheidsinstellingen betekent dat werknemers toegang hebben tot alle mogelijkheden om in te loggen. Zet je echter de hoge-veiligheidsmodus aan, dan maakt de software alle mogelijkheden om in te loggen onbruikbaar, met uitzondering van inloggen met een Google of Office 365 account. Met Single-Sign-On kunnen werkgevers zelfs nog verder gaan beveiligen door Multi-Factor Authentication in te schakelen voor hun werknemers' mailing accounts. Hierbij is de self-service dan ook nog eens beveiligd met een tweede controle via sms.

Related stories