Customer case: CROP registeraccountants & belastingadviseurs over het gebruik van SecureLogin
We hebben Sigurd Felix van CROP registeraccountants & belastingadviseurs gevraagd om kort uiteen te zetten hoe en waarom hij tot de keuze van SecureLogin is gekomen. CROP behoort met zo’n 275 medewerkers, verdeeld over 5 vestigingen, tot de top 25 in Nederland. “Misschien hield iedereen de wachtwoorden geheim en uniek, maar daar was geen controle over. Veel medewerkers sloegen hun wachtwoord op in Google Chrome, anderen in een tekstbestand of in een papieren agenda.
Waarom ben je met SecureLogin begonnen?
Steeds meer applicaties in de accountancy gaan naar de cloud, en daar zit een enorm beveiligingsrisico in ten aanzien van het gebruikersbeheer. Het risico bestaat namelijk dat accounts niet worden gesloten wanneer gebruikers uit dienst gaan.
In sommige applicaties, zoals de pensioenfondsen, hebben gebruikers geen persoonlijk profiel. Wanneer een gebruiker uitdienst treedt moet voor al deze applicaties het wachtwoord worden gewijzigd voor iedereen. Met SecureLogin is dit probleem opgelost. De beheerder kan de wachtwoorden op het hoogste niveau vastleggen, en daarmee kennis van het wachtwoord bij de gebruiker wegnemen. Op deze manier hoeven de wachtwoorden niet meer aangepast te worden bij uitdiensttreding. Verder voorkomen we zo dat iemand overal hetzelfde wachtwoord gebruikt.
Hoe was de situatie voordat je SecureLogin gebruikte?
Het was niet beheersbaar. Misschien hield iedereen de wachtwoorden geheim en uniek, maar daar was geen controle over. Veel medewerkers sloegen hun wachtwoord op in Google Chrome, anderen in een tekstbestand of in een papieren agenda.
Hoe heb je de interne organisatie overtuigd van het gebruik van SecureLogin?
Ik ben begonnen met een paar afdelingen. Sommige collega’s die het snapten waren enthousiast, maar het had geen effect over onze vestigingen heen. Toen migreerden we van werkplekomgeving, en heb ik in één keer SecureLogin geïntroduceerd alsof het een onderdeel van de werkplekomgeving was. SecureLogin werd een startpagina en door de Azure AD-integratie hoefden ze ook niet meer op SecureLogin in te loggen. Ik heb een webinar gegeven waarin ik SecureLogin uitlegde en de MFA (Multi-Factor Authenticatie) koppeling met Exact Online liet zien.
Het webinar werkte goed, maar persoonlijke gesprekken werken veel beter. Uiteraard kost het meer tijd om medewerkers persoonlijk te overtuigen maar het werkt het best. De meeste weerstand die wij van gebruikers ervaren gaat over ontbrekende koppelingen, hoewel er veel meer koppelingen beschikbaar zijn dan de meeste medewerkers weten.
Bij de inrichting wisten wij niet welke portalen allemaal relevant waren, en er zijn gaandeweg ook enkele koppelingen speciaal voor ons aangemaakt. Dat heeft veel geholpen. Momenteel plaats ik bij iedere nieuwe update vanuit SecureLogin een bericht op ons intranet om medewerkers te enthousiasmeren de nieuwe koppelingen te gaan gebruiken.
Verder hebben wij onlangs een Security Awareness project gedaan met phishing mail en een mystery guest. Dat heeft de medewerkers echt geholpen anders te gaan denken over beveiliging. Dan is SecureLogin direct een quick win. Ondanks dat de voordelen van SecureLogin evident zijn, moet een gebruiker even de tijd nemen om zijn wachtwoorden in te vullen en de ‘MFA’ van Exact Online goed te koppelen. Als de adoptie boven de 50% komt, gaan medewerkers elkaar er ook op aanspreken.
Hoeveel tijd heeft het opzetten en de gehele implementatie jou gekost?
De technische implementatie is heel simpel. Het moeilijkste is het overtuigen van de gebruiker. Ondanks dat de voordelen van SecureLogin evident zijn, moet een gebruiker even de tijd nemen om zijn wachtwoorden in te vullen en de ‘MFA’ van Exact Online goed te koppelen. Als de adoptie boven de 50% komt, gaan medewerkers elkaar er ook op aanspreken.
Wat zijn de reacties van de gebruikers?
Ondertussen is de overgrote meerderheid van de gebruikers enthousiast. Dat er steeds nieuwe koppelingen bijkomen helpt de weerstand te verminderen van medewerkers die vinden dat het te weinig toegevoegde waarde heeft. Wij geven medewerkers het vertrouwen dat ze professioneel met hun accounts omgaan, maar verwachten ook dat ze altijd SecureLogin gebruiken wanneer een widget beschikbaar is.
Heb je het gebruik van SecureLogin verplicht gesteld of is het vrijblijvend? En kan je dat toelichten?
Het is (nog) vrijblijvend. Maar we monitoren het gebruik wel. Afdwingen is moeilijk. Dan zouden we voor iedereen en voor alle systemen het wachtwoord van de medewerkers en het e-mailadres voor een password reset moeten wijzigen. De portalen zijn daar nog niet echt op ingesteld.
Wij geven medewerkers het vertrouwen dat ze professioneel met hun accounts omgaan, maar verwachten ook dat ze altijd SecureLogin gebruiken wanneer een widget beschikbaar is. Ik weet ook niet of we ooit echt helemaal om Google Chrome heen kunnen. Het liefst zet ik daar de wachtwoordfunctie uit.
Wat is je advies voor andere kantoren die SecureLogin gaan gebruiken?
Probeer te achterhalen welke systemen worden gebruikt. Misschien schrik je wel van de dropboxen en andere schaduw-it maar dan weet je het maar. Zet veel widgets aan, maar zet ze niet allemaal op het dashboard.
Groepen voor verschillende functiegebieden voegen bij ons weinig toe, alleen voor pensioenfondsen is een loongroep wel logisch omdat daar meerdere gebruikers inloggen met hetzelfde wachtwoord. Beheer de beveiligingsinstellingen (maximale levensduur sessie) centraal. Wil je meer weten over hoe SecureLogin jouw organisatie kan helpen? Probeer het eens uit, nu 14 dagen gratis.
