Tegenwoordig staat iedereen die technologie gebruikt (en dat is iedereen) voor een breed scala aan beveiligingsuitdagingen. Apparaten kunnen verloren gaan of gestolen worden. Accounts kunnen gehackt worden. Persoonlijke informatie kan online worden gelekt.

Het spreekt dus voor zich dat goede beveiliging een belangrijke vereiste is voor elke SaaS-app tegenwoordig. Maar het is niet genoeg om alleen veilig technologie te bouwen; gebruikersattitudes en -gedrag zijn ook cruciaal voor het bouwen van een succesvol en veilig SaaS-product.

Beveiligingswaarschuwingen en meldingen zijn een belangrijk onderdeel van het ontwikkelen en versterken van gebruikersvertrouwen. Om effectief te zijn, moeten productteams die beveiligingsmeldingen voor hun apps ontwikkelen overwegen hoe hun waarschuwingen twee doelen kunnen bereiken:

• Gebruikers helpen goede beslissingen te nemen over beveiligingsgerelateerde kwesties

• De informatie geven die gebruikers nodig hebben om vertrouwen te hebben in het product of de service

In dit bericht zal ik enkele voorbeelden bekijken van effectieve e-mailmeldingen over beveiliging en de lessen die productteams daaruit kunnen leren.

1. Geef gebruikers duidelijke, nuttige informatie

Deze e-mail van Apple wordt verzonden wanneer een gebruiker zijn iOS-apparaat niet kan vinden en zich tot de Zoek iPhone-app wendt voor hulp. Ze kunnen de app gebruiken om Verloren-modus in te schakelen, waarmee het vermiste apparaat de hoofdserver aanroept en de locatie doorgeeft, wat Apple snel levert in de vorm van een e-mail die er zo uitziet.

Let op hoe Apple veel nuttige informatie duidelijk vermeldt in deze e-mail. Ze bevatten zelfs een kaart die de reis van de verloren telefoon laat zien. Wanneer de gebruiker op Bekijk locatie klikt, wordt hij naar een online kaart gestuurd die de huidige locatie van hun apparaat toont, samen met verschillende opties die hen kunnen helpen het apparaat terug te vinden.

Apple vermijdt ook verstandig expliciete marketing of merkelementen. Het laatste wat een gebruiker nodig heeft, is het gevoel dat hij een advertentie ontvangt terwijl hij zich zorgen maakt dat hij een duur stuk hardware kwijt is. Het iCloud-logo is niet prominent aanwezig en dient meer als een herinnering aan de gebruiker over de service waarop ze vertrouwen, en om hen te wijzen op de nuttige links onderaan.

2. Meld gebruikers snel over ongebruikelijke accountactiviteit

Als je ooit Facebook hebt gebruikt via een nieuw apparaat of een nieuwe webbrowser, heb je waarschijnlijk extra beveiligingslagen ervaren die verder gaan dan een eenvoudig inlogscherm. Gebruikers met tweefactorauthenticatie (2FA) moeten een code invoeren die in de Facebook-app op een al vertrouwd apparaat wordt gegenereerd. En zelfs als een code met succes is ingevoerd, stuurt Facebook onmiddellijk na het inloggen e-mails naar alle adressen die aan het account zijn gekoppeld, samen met in-app-meldingen.

Net als de Find iPhone-e-mail van Apple, houden ze zich aan de noodzakelijke informatie en maken ze van het bericht geen advertentie. De eenvoudige branding stelt de ontvanger gerust dat Facebook op hen let.

Even belangrijk is dat de knoppen duidelijke, uitvoerbare volgende stappen bieden, voor het geval de gebruiker door deze melding verrast wordt en iets moet ondernemen. Let op dat Facebook hun primaire merkkleur gebruikt voor de belangrijkere van de twee oproepen tot actie.

En als deze soorten waarschuwingen vervelend zijn, bieden ze een optie aan die de gebruiker naar een plek brengt waar ze kunnen beheren hoe en wanneer ze meldingen ontvangen. Er is ook een afmeldlink onderaan voor mensen die in de toekomst helemaal niet meer lastiggevallen willen worden door dit soort berichten.

3. Wees extra voorzichtig met het resetten van wachtwoorden

Het is een goed idee om e-mail op te nemen in de workflow wanneer iemand zijn wachtwoord reset, voor het geval zijn account is benaderd door een kwaadwillende. Je zou hen een e-mailnotificatie moeten sturen en hen vereisen een webpagina te bezoeken om hun wachtwoord te resetten. Het kan een beetje gedoe zijn, maar het is een stap die een laag beveiliging toevoegt aan het proces, zoals Steam hier doet.

Zeker, je zou de platte tekststijl in twijfel kunnen trekken, maar er zijn momenten waarop een no-nonsense benadering passend is, afhankelijk van de behoeften en voorkeuren van je publiek.

Deze e-mail doet ook een goede job het stellen van verwachtingen voor de gebruiker:

• Een mens heeft dit niet verzonden, dus antwoord hier niet op – de onderstaande links helpen je hopelijk als je in de war bent.

• Klik op de link en gebruik een handmatig ingevoerde reset-sleutel voor het wachtwoord. Het is eenvoudig, en het gebruik van een willekeurige sleutel in plaats van persoonlijk identificeerbare informatie helpt mogelijke gebruikersangsten voor phishing te verminderen.

• Hier is het IP-adres van de persoon die dit verzoek heeft gedaan, zodat je het hebt ingeval je dit niet zelf hebt gedaan en actie moet ondernemen tegen de persoon die dat wel deed.

4. Wees je bewust van acties die gebruikers zenuwachtig maken

Zelfs de meest ervaren internetgebruikers kunnen aarzelen wanneer ze een verandering doorvoeren in de manier waarop ze zaken online doen. Bijvoorbeeld, als je service een nieuwe optie biedt die transacties voor klanten gemakkelijker maakt, kunnen ze nog steeds een beetje nerveus zijn over de implicaties van die verandering. Zie wat PayPal hier deed als een voorbeeld van hoe je dit soort getriggerde gebeurtenissen kunt aanpakken.

Het is een lange e-mail, maar gezien het onderwerp is het een e-mail die waarschijnlijk met meer zorg wordt gelezen dan een “Je hebt geld verzonden naar die-en-die” bericht. PayPal gebruikt het begin van de e-mail om duidelijk de aangebrachte wijziging en welk apparaat het betreft uiteen te zetten. Vervolgens leggen ze de voordelen uit, gevolgd door een verzekering dat aankoopbescherming nog steeds van toepassing is. Ze sluiten af met stapsgewijze instructies voor het uitschakelen van de functie als de gebruiker zich realiseert dat ze het apparaat met andere mensen delen.

PayPal houdt de branding tot een minimum beperkt en maakt geen gebruik van afbeeldingen of iets anders dat zegt “dit is een marketingbericht,” wat helpt de gebruiker te verzekeren dat het bedrijf het beste met hen voorheeft en dit niet ziet als een kans om ze iets te verkopen.

5. Behandel beveiliging als een doorlopend onderdeel van de gebruikerservaring

Soms is het nuttig om gebruikers gewoon te laten weten over de manieren waarop je hen kunt helpen gemoedsrust te bereiken, zelfs als het bericht niet aan een getriggerde gebeurtenis is gekoppeld. Deze e-mail van Wells Fargo, die hun nieuwe Security Center-functie introduceert, doet dat goed.

Zelfs marketingberichten zoals deze kunnen helpen het algemene vertrouwen dat een gebruiker in een dienst heeft te versterken. Dit benadrukt een nuttige nieuwe functie die klanten waarschijnlijk zullen waarderen, gezien het feit dat websitehacks en het lekken van informatie regelmatig in het nieuws komen. De iconografie helpt de e-mail op te breken zodat deze niet te tekstzwaar is, en eindigt met een duidelijke oproep tot actie. En hoewel veel mensen waarschijnlijk niet veel weten over de Nationale Bewustzijnsmaand Cyberbeveiliging, was het nog steeds slim van Wells Fargo om deze feature-roll-out daaraan te koppelen.

Ze gebruiken ook een duidelijke, directe onderwerpregel en afzender-adres, die beide helpen het bericht iets meer op te laten vallen in een overvolle inbox.