アプリのセキュリティ対策って
・攻撃手法の調査
・それに対しての要件定義
があって、初めて実装できるものだと思います。

少し古いですが、以下の資料の前半が考え方を整理するのに良いモノだと思います。
情報システムの構築等におけるセキュリティ要件及びセキュリティ機能の検討に関する解説書

日本語がちょっと小難しいかつ内容が抽象的な感はありますが、以下のドキュメントがヒントになるかもしれません。
情報システムを構築する際に求められるセキュリティの観点が網羅的にまとめられていると思います。
https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf

セキュアコーディングという観点では、以下のほうがもう少し具体的でわかりやすいです。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents2/checklist.pdf

それらがベースにあるとしたうえで、ぱっと思いつく（お金をかけて行う）対策は

事前対策（侵入を防止する 等）
・ログインを二要素認証としてなりすますを防止する（質問にある二段階認証に類する）
・IPS/IDS/WAF等のセキュリティ装置を導入し、外部からの攻撃を防止する

事後対策（侵入されたことを素早く検知する/情報漏洩をおこさせない 等）
・ホスト型侵入検知の導入（ホスト型IDS、EDR 等）
・セキュリティ装置による悪性IPアドレス等への通信の検知/遮断
・Web改ざん検知サービスの導入

いずれにしても、セキュリティ対策は検知できる仕組みを入れた後の運用が肝になる部分があるので、対策の実現だけではなく運用も含めての検討を行うのがよいかと。

セキュリティ強化の第一歩は「何を守りたいのか」を優先順位付きで列挙することですよ。（私のおすすめ）次は「誰から守りたいのか」を考えることです。

書かれている内容からすると、「不正ログインを防ぎたい」ということのように思えますが、よく分からない記述もあり。
社内システムのようなので、「どういった方法での不正ログインがありえるか」をリストアップして1つずつつぶしていくのでしょうか。

ひとまず、開発段階でのセキュリティ対策として、C#であれば
Security Code Scan for .NETのようなものを導入してみてはいかがでしょうか。

https://security-code-scan.github.io/

ソースコードを書きながら、脆弱性を指摘してくれます。

突破された後に関してですが、例えば暗号化したデータを複合するための鍵をHSMで管理しておくとか、
やり方についてはたぶんWebを探せば無数に出てくると思います。
そこからコストパフォーマンスに合ったものをピックアップすればよいと思われます。