0
0
A tecnologia de marketing, ou ‘martech’, continua ficando mais complexa e mais vital para a maneira como as empresas fazem negócios. Para muitas empresas, a plataforma Salesforce Cloud-based customer relationship management (CRM) é uma peça central da estratégia martech. A Salesforce é líder de mercado em CRM por uma ampla margem, com 19,8% de participação de mercado, de acordo com a empresa de pesquisa IDC.
Garantir que a implementação da Salesforce de uma empresa seja segura deve ser uma grande prioridade para os líderes de segurança cibernética e TI, porque os sistemas de CRM normalmente lidam com grandes volumes de dados confidenciais do cliente. Novas vulnerabilidades e erros ou descuidos comuns podem colocar essas informações em risco.
As empresas “colocaram dados extremamente valiosos na Salesforce”, diz Jeff Pollard, vice-presidente e analista principal da Forrester Research. “É o lugar onde as oportunidades se tornam receita e os clientes em potencial se tornam clientes. Para um intruso, obter acesso à Salesforce significa possivelmente obter acesso aos dados de muitas empresas.”
Talvez a violação de dados mais famosa da Salesforce tenha ilustrado o quão bagunça pode ficar. Em 2019, a varejista Hanna Andersson teve dados expostos, supostamente devido a malware que se infiltrou na própria Salesforce. Seguiu-se uma série de ações judiciais, com ambas as empresas arcando com custos que se espalharam no final de 2020.
Aqui estão sete pecados capitais, erros e pontos cegos a serem evitados na proteção das informações valiosas armazenadas e usadas na Salesforce, com sugestões de especialistas sobre como resolvê-las.
1. Contando com a Salesforce para lidar com tudo
Profissionais de segurança experientes não vão cair na armadilha “eles vão garantir”, mas algumas empresas menores ou lojas de TI sem especialização em segurança o fazem.
Isso não é exclusivo da Salesforce; é comum em aplicativos SaaS. “Em nossa experiência, a maioria das vulnerabilidades da plataforma SaaS decorre do fato de os clientes não entenderem que a segurança cibernética é uma responsabilidade compartilhada com o provedor de SaaS”, diz Andy Ognenoff, diretor administrativo e tecnólogo-chefe da América do Norte do Salesforce Business Group da Accenture, um provedor de serviços de TI.
“Precisa haver um esforço inicial e contínuo para proteger os aplicativos em nuvem pelo cliente”, diz Ognenoff. “As vulnerabilidades geralmente se manifestam como usuários sendo provisionados em excesso com permissões de alto risco, configuração de acesso a dados altamente permissiva e aplicativos de terceiros não sancionados acessando dados corporativos, entre outros.”
A pesquisa do Relatório de Segurança do Estado da Salesforce de 2020, conduzida pela RevCult, ressaltou esse ponto. Os próprios usuários da Salesforce tendem a criar vulnerabilidades quando as equipes de desenvolvimento de aplicativos corporativos personalizam e desenvolvem suas instâncias da Salesforce para se adequarem aos seus casos de uso exclusivos e fluxos de trabalho de negócios, diz Olearczyk. Isso não é algo contra o qual a Salesforce, por si só, possa proteger totalmente.
2. Não especificando um programa de segurança e proprietário
Reconhecer uma responsabilidade compartilhada é o primeiro, e qualquer responsabilidade precisa de um proprietário. A RevCult descobriu que muitas empresas persistentemente carecem de programas de segurança claros para a plataforma, as ferramentas necessárias para suportar o programa e a experiência em segurança da Salesforce.
Este trabalho pode ser padrão para as equipes de marketing, vendas e TI que executam a Salesforce. No entanto, há uma falta de conhecimento sobre as equipes da Salesforce em relação aos detalhes e requisitos da política de segurança da informação para atender aos padrões regulatórios e de conformidade, diz Olearczyk. “Infelizmente, muitas vezes vemos que ninguém é dono; portanto, os riscos são deixados absolutos – especialmente [com] dados confidenciais e regulamentados do cliente”, diz ele.
A Salesforce produz uma grande quantidade de informações e documentação de conformidade relacionadas aos seus próprios esforços de segurança. Em termos de criação de habilidades de segurança específicas da Salesforce, a empresa oferece uma certificação especificamente focada no gerenciamento de identidade e acesso na Salesforce, “projetada para aqueles que avaliam o ambiente e os requisitos da arquitetura e projetam soluções sólidas, escaláveis e de alto desempenho na plataforma Force.com que atendem aos requisitos de Single Sign-on (SSO)”.
Ter um indivíduo e/ou equipe, dependendo da escala da implantação, para possuir segurança como primeira responsabilidade e cultivar conhecimentos e habilidades pode ajudar a resolver muitos dos problemas que se seguem.
3. Não classificando dados
Nem todos os dados são iguais, portanto, diferentes tipos de informações exigem diferentes níveis de segurança. Este é um princípio fundamental reconhecido, por exemplo, na ainda emergente abordagem de segurança de confiança zero.
Entre as principais descobertas do estudo RevCult estão que poucos usuários da Salesforce classificaram seus dados e, portanto, não sabem o que proteger. As empresas também devem ter uma compreensão em tempo real, explícita e validada dos dados que possuem no Salesforce. “Reveja todos os dados que você possui e atribua valor com base na classificação interna das categorias de conformidade que se aplicam”, diz Olearczyk.
“Sem esse valor, você implementará medidas e processos de proteção que são barulhentos e entregam muitos falsos positivos ou falsos negativos e não são tão acionáveis quanto você pensa.” Este trabalho de classificação de dados será uma primeira tarefa para o proprietário ou equipe de segurança especificada na etapa dois acima.
4. Não entender fluxos de trabalho e processos entre departamentos
Pontos cegos multifuncionais persistem em torno de como a organização Salesforce de uma empresa é realmente usada. Salesforce é uma plataforma personalizável, com fluxos de trabalho sendo transformados em configurações e configurações personalizadas. Muitas vezes, aqueles que fazem a configuração residem em linhas de negócios ou departamentos.
“As equipes de desenvolvimento geralmente se alinham com certas linhas de negócios – vendas, marketing, finanças, atendimento ao cliente, suporte, até mesmo RH [recursos humanos] – e não com segurança da informação, então desenvolvem a plataforma sem considerar os controles de segurança de dados, diz Olearczyk.
Essa falta de compreensão de como todos os pontos se conectam acaba se manifestando como “muito acesso”. Sem ter a segurança em mente, administradores e desenvolvedores às vezes podem confundir as funções básicas nominais e os conjuntos de permissões com o suficiente e abrir inadvertidamente o acesso do usuário a dados confidenciais.
“Nossos compromissos com clientes mostram uma desconexão quase universal entre implementação e configuração e requisitos do programa de segurança corporativa”, diz Olearczyk.
5. Configuração incorreta de APIs
Também é importante ter em mente que alguns dos problemas de segurança envolvem interfaces de programação de aplicativos (APIs) da Salesforce. Isso é especialmente relevante considerando a quantidade de dados que entram e saem da Salesforce para suportar uma infinidade de processos de negócios de ponta a ponta.
Tal como acontece com outras preocupações de segurança, isso não é exclusivo da Salesforce. Pesquisas do SANS Institute descobriram que os ataques contra APIs estão crescendo, e os profissionais de segurança temem que erros de configuração de API possam expor suas empresas à exposição de dados.
“As equipes de segurança precisam tratar integrações como qualquer outro usuário e validar a configuração e o gerenciamento apropriados dos privilégios de acesso”, diz Olearczyk. “É a gestão contínua que precisa ser governada no momento da implantação e depois em uma cadência regular.”
6. Comunidades mal configuradas ou outros elementos
Salesforce é uma grande plataforma com muitos elementos, opções e funções diferentes.
Qualquer um deles pode estar sujeito a uma configuração mal informada ou descuidada. O RevCult vê vulnerabilidades comuns em controles de acesso, usuários superprivilegiados, implementações de integração mal controladas e recursos premium mal ou incompletamente implementados, como o monitoramento de eventos do Salesforce Shield.
Em um exemplo recente para chegar às notícias, um pesquisador de segurança identificou uma configuração incorreta nas comunidades Salesforce que pode inadvertidamente expor dados confidenciais.
7. Não ampliando continuamente o esforço de segurança
A propriedade do programa de segurança, como observado acima, ajudará a prevenir ou corrigir erros básicos. À medida que as implementações da Salesforce se expandem, no entanto, será necessária a proverbial aldeia para expandir os esforços para proteger os dados contra erros, como a configuração das comunidades. À medida que mais e mais administradores, desenvolvedores e usuários finais tocam na plataforma, será fundamental continuar construindo conscientização e conhecimento de segurança fora da equipe principal.
Uma boa maneira de lidar com qualquer desconexão é construir um forte relacionamento entre a equipe de implementação da Salesforce, os proprietários da linha de negócios e as equipes de segurança, diz Ognenoff. “A segurança pode permitir agilidade para os negócios, mas pode ser desafiador desbloquear esse valor se a segurança for uma reflexão tardia ou vista como um obstáculo”, diz ele.
As equipes de segurança precisam ter visibilidade para gerenciar a exposição ao risco de aplicativos SaaS, como a Salesforce, diz Ognenoff, “portanto, integrar a Salesforce aos planos de monitoramento e resposta existentes é fundamental”. A Accenture recomenda que os usuários da Salesforce aproveitem o Salesforce Shield e os vários recursos de registro da plataforma, vinculados às ferramentas de gerenciamento de informações e eventos (SIEM) de segurança corporativa e processos de resposta a incidentes.
Essa ampla equipe inclui a própria Salesforce. Por sua vez, a empresa diz que continuará a fazer da segurança uma prioridade para a plataforma. A empresa “construi segurança em tudo o que fazemos”, diz Trey Ford, vice-presidente de estratégia e confiança da Salesforce. “Nada é mais importante do que nossos clientes saber que seus dados estão seguros – para serem acessados quando, onde e como pretendem.”
Os clientes descobriram que três dos serviços de segurança que a empresa oferece são particularmente valiosos, diz Ford. Um deles é o Security Center, que permite que os administradores simplifiquem o gerenciamento de segurança enquanto detectam ameaças mais rapidamente. Outro é o Shield, que protege toda uma empresa com ferramentas que melhoram a confiança, transparência, conformidade e governança em todos os aplicativos Salesforce. O terceiro é o Data Mask, uma ferramenta projetada para ajudar os clientes a personalizar, criar e testar no Salesforce enquanto protegem dados privados.
“Reconhecemos que os criminosos cibernéticos estão ficando mais sofisticados”, diz Ford. “Nossas equipes de produtos e segurança inovam continuamente para ficar à frente da curva. Claro, a segurança continua sendo uma responsabilidade compartilhada entre a Salesforce e nossos clientes. Parte da estratégia abrangente de segurança de qualquer empresa responsável é organizar suas exposições em problemas que eles precisam gerenciar para a empresa e decidir quais podem ser entregues para serem gerenciados pela Salesforce.”
FONTE: CSO ONLINE