Sensible Daten in Salesforce kontrollieren: ein Leitfaden zur Datenklassifizierung

In Salesforce werden riesige Mengen an Kundendaten gespeichert, und der Schutz solcher Daten gehört zu den wichtigsten Best Practices in der Geschäftswelt. Da in Salesforce personenbezogene Daten (PBD), persönliche Kreditinformationen (PCI, personal credit information), Kundenlisten und mehr gespeichert werden, ist es wichtiger denn je, solche sensiblen Daten zu sichern und zu klassifizieren.

Der Salesforce-Gründer Ben McCarthy und Varonis Senior VP of Strategic Programs David Gibson haben eine Session zum Thema „Schutz von Salesforce-Umgebungen“ abgehalten. Darin ging es unter anderem um Best Practices für die Verwaltung sensibler Daten über mehrere Salesforce-Organisationen hinweg und um die Einrichtung der Datenklassifizierung mithilfe nativer Salesforce-Funktionen. Außerdem wurde besprochen, wie man mit Varonis sensible Daten auffinden und ermitteln kann, wer Zugriff darauf hat – und das alles mit nur wenigen Klicks.

Wichtige Lektionen

Die Art der Daten, die Sie dabei in Salesforce finden, entspricht möglicherweise nicht Ihren Erwartungen. Wenn Sie in Ihrer Salesforce-Organisation navigieren, sehen Sie bestimmte Arten von sensiblen Daten: personenbezogene Daten, persönliche Kreditinformationen, Kundenlisten, Preisinformationen und so weiter.

Sie wären jedoch überrascht, wie viel mehr sich dort noch unter der Haube finden lässt. „Wenn Endbenutzer involviert sind, müssen Sie sich auf Einiges gefasst machen – denn sensible Daten befinden sich nicht nur an den offensichtlichen Stellen, sondern auch dort, wo man sie vielleicht nicht erwartet“, so David.

Meist gelangen solche Daten laut Ben über Integrationen in Salesforce.

„Wenn Ihre Kunden Ihnen beispielsweise Anhänge senden können, werden diese auch an ihren Datensatz angehängt“, so Ben. „Sie können Ihnen dann alles Mögliche senden und es wird in Ihrem Salesforce-System gespeichert.“

Das können dann beispielsweise medizinische Daten, Vertragsanhänge, rechtliche Unterlagen oder sogar API-Schlüssel sein.

„Wenn Sie Salesforce richtig nutzen, wird es zum Mittelpunkt Ihres Geschäfts. Informationen aus verschiedenen Systemen landen dann natürlich in Salesforce.“

Daten schützen und finden

Bevor Sie sensible Daten schützen können, müssen Sie sie zunächst finden. Ende 2020 implementierte Salesforce eine Funktion zur Datenklassifizierung, mit der Sie Sensibilitätsstufen konfigurieren, Compliance-Kategorien anpassen und Berichte erstellen können, um sich ein Bild davon zu machen, welche Informationen gespeichert werden und ob sie sensibel sind oder nicht.

Dieser Prozess ist jedoch oft arbeitsintensiv und zeitaufwändig. „Es ist viel Arbeit“, so Ben, „aber leider muss das sein.“

Und hier kommt die Automatisierung ins Spiel.

„Bei der Vielzahl an Feldern und der Menge an Daten, die nicht in Feldern in Salesforce enthalten sind, ist es logisch, dass man irgendwann automatisieren muss“, so David. Wenn Sie die Klassifizierung automatisieren möchten, sollten Sie jedoch die traditionelle Herangehensweise vermeiden, dass Salesforce nur strukturierte Daten enthält.

„Viele halten Salesforce für einen strukturierten Datenspeicher, und das ist es auch – es gibt Tabellen, Spalten und Zeilen. Mit Blick auf die Klassifizierung sind strukturierte Daten leichter zu kontrollieren“, sagt er.

David wies jedoch darauf hin, dass sich Salesforce im Laufe der Jahre weiterentwickelt hat. Das CRM-Tool ist zwar immer noch sehr strukturiert, aber mittlerweile auch sehr kollaborativ. Das verkompliziert die Identifizierung von personenbezogenen Daten.

„Im Rahmen der gesetzlichen Vorschriften handelt es sich bei einer einzelnen Telefonnummer erst einmal nicht um personenbezogene Daten. Aber sobald sie mit anderen Informationen verknüpft wird, beispielsweise mit einer Adresse oder einem Namen, dann fällt sie plötzlich unter diese Kategorie.“ Wenn Sie die Klassifizierung in Salesforce automatisieren möchten und Sie das mit einer strukturierten Denkweise, Feld für Feld, angehen, übersehen Sie womöglich sensible Daten, die sich dort befinden, wo sie nicht sein sollten.

Reduzieren Sie den möglichen Schaden.

Sobald Sie festgestellt haben, welche Informationen in Salesforce gespeichert sind, und ob diese tatsächlich sensibel sind, können Sie die notwendigen Maßnahmen ergreifen, um das Risiko zu minimieren.

Wenn Sie übermäßig zugängliche Daten finden, haben Sie laut David mehrere Möglichkeiten:

50. Sperren Sie die Daten. Korrigieren Sie die organisationsweiten Standardeinstellungen und allgemeinen Freigaberegeln wie „Alles lesen“, „Alles ändern“ und „Berichte exportieren“.
51. Blockieren Sie den Zugriff auf die Daten. Verschlüsseln, verschleiern oder tokenisieren Sie die Informationen.
52. Verschieben Sie die Daten. Beschränken Sie die Exportrechte für solche Datensätze.
    
    
    

Sobald Sie Ihren potenziellen Schaden visualisieren können (wo Sie sensible Daten haben, wie diese offenliegen, wer sie verwendet), können Sie anfangen, den potenziellen Schaden zu reduzieren und ihn in Zukunft zu kontrollieren.

Schützen Sie Ihre vertraulichen Salesforce-Daten mit Varonis.

Mit komplexen Rollen, Berechtigungssätzen und unternehmensweiten Konfigurationen ist es praktisch unmöglich zu erkennen, welche Benutzer in Salesforce am meisten Schaden anrichten können. Varonis bietet Ihnen einen vollständigen Überblick über die effektiven Zugriffsrechte jedes beliebigen Salesforce-Benutzers. So können Sie die Berechtigungen problemlos anpassen und das Modell der geringsten Rechte umsetzen. Dadurch ist die Compliance gewährleistet, indem nur diejenigen Personen Zugriff auf sensible Daten erhalten, die ihn auch wirklich brauchen.

Mehr erfahren.

Sehen Sie sich das vollständige Gespräch an, um zu erfahren, wie Sie vertrauliche Daten in Salesforce schützen können. Dort können Sie sich auch anmelden, um über bevorstehende Webcasts informiert zu werden.