Varonis announces strategic partnership with Microsoft to accelerate the secure adoption of Copilot.

Learn more

Come gestire i dati sensibili in Salesforce: una guida alla classificazione dei dati

Salesforce Ben e il team di Varonis discutono delle migliori pratiche per la classificazione dei dati di Salesforce.
Megan Garza
3 minuto di lettura
Ultimo aggiornamento 19 settembre 2023
grafica badge identificativo, con un passaporto sotto di esso, punto esclamativo rosso che mostra una violazione della sicurezza

 

Salesforce ospita enormi quantità di dati dei clienti e la protezione di tali dati è al centro delle migliori pratiche aziendali. Poiché in Salesforce sono archiviati informazioni di identificazione personale (PII), informazioni personali sul credito (PCI), elenchi di clienti e altro ancora, non è mai stato così importante proteggere e classificare i dati sensibili.

Ben McCarthy, fondatore di Salesforce Ben, e David Gibson, vice presidente senior dei programmi strategici di Varonis, hanno tenuto una sessione dedicata alla protezione dell'ambiente Salesforce. Hanno discusso delle migliori pratiche per la gestione dei dati sensibili su più organizzazioni Salesforce, di come impostare la classificazione dei dati tramite la funzionalità nativa di Salesforce e di come Varonis può aiutare a trovare i dati sensibili e identificare chi può accedervi, il tutto con pochi clic.

Data risk assessment gratuito

Aspetti chiave da ricordare

Non è scontato prevedere il tipo di dati individuati in Salesforce. Quando si naviga nell'organizzazione di Salesforce, si possono notare alcuni tipi di dati sensibili: informazioni di identificazione personale, informazioni di credito personali, elenchi di clienti, informazioni sui prezzi e così via.

Tuttavia, sorprendentemente, c'è molto di più di quanto appaia in superficie. "Ogni volta che si coinvolgono gli utenti finali occorre allacciare la cintura di sicurezza, perché i dati sensibili si trovano anche in posizioni insospettabili", spiega David.

Normalmente queste informazioni finiscono in Salesforce tramite le integrazioni, afferma Ben.

"Se disponi della funzionalità di invio degli allegati, anche questo elemento sarà allegato al record del caso", spiega Ben. "Qualsiasi documento sarà inviato e archiviato in Salesforce."

Ciò potrebbe includere informazioni sensibili come cartelle cliniche, allegati contrattuali, documentazione legale o persino chiavi API.

"Se si usa Salesforce in modo corretto, è un fattore cruciale dell'attività". "Le informazioni provenienti da diversi sistemi sono destinate a finire in Salesforce."

Protezione e localizzazione dei dati

Prima di poter proteggere i dati sensibili, occorre individuarli. Alla fine del 2020 Salesforce ha implementato una funzione di classificazione dei dati che consente di configurare i livelli di sensibilità, personalizzare le categorie di conformità e creare rapporti, determinando le informazioni che vengono archiviate e se sono sensibili o meno.

Tuttavia, questo processo può essere laborioso e richiedere molto tempo. "È piuttosto faticoso", spiega Ben, "ma purtroppo necessario".

Adotta l'automazione.

"Data la quantità di campi e di dati non inseriti nei campi di Salesforce, ne consegue che prima o poi sarà necessario automatizzare", spiega David. Ma quando si tenta di automatizzare la classificazione, consigliamo di evitare il punto di vista tradizionale secondo cui Salesforce ospita solo dati strutturati.

"Molte persone considerano Salesforce un archivio di dati strutturati e certamente lo è, poiché dispone di tabelle, colonne, righe, e dal punto di vista della classificazione i dati strutturati sono più semplici da domare", ha affermato.

Tuttavia, David ha sottolineato che nel corso degli anni, Salesforce si è evoluta. Pur essendo ancora molto strutturato, lo strumento CRM è diventato anche molto collaborativo e questo può rendere l'individuazione dei PII lievemente più complessa.

"Un numero di telefono individuale potrebbe non essere considerato di per sé un PII per alcune di queste normative, ma se lo si unisce ad altre informazioni come un indirizzo o un nome, lo diventa", afferma. E se si sta cercando di automatizzare la classificazione in Salesforce e ci si lavora con un approccio strutturato, campo per campo, si potrebbero perdere dati sensibili collocati dove non dovrebbero essere.

Riduci la portata dei danni.

Dopo aver individuato quali sono le informazioni archiviate in Salesforce e verificato se tali informazioni sono effettivamente sensibili, è possibile adottare le misure necessarie per ridurre il rischio.

Se si trovano dati sovraesposti, afferma David, è possibile:

    1. Bloccare i dati. Correggere le impostazioni predefinite a livello di organizzazione e le regole di condivisione generali come "leggi tutto", "modifica tutto" ed "esporta rapporti".
    2. Bloccare l'accesso ai dati. Crittografare, offuscare o tokenizzare le informazioni.
    3. Spostare i dati. Limitare i diritti di esportazione su questi tipi di dati.


Quando si riesce a visualizzare il raggio d'azione, dove risiedono i dati sensibili, dove sono esposti, chi li sta usando, si può iniziare a ridurlo e a gestirlo in futuro.

Proteggi i dati sensibili di Salesforce con Varonis.

Con ruoli complessi, set di autorizzazioni e configurazioni a livello di organizzazione, è praticamente impossibile capire quali utenti possono fare più danni in Salesforce. Varonis offre una visione completa dell'accesso effettivo per tutti gli utenti Salesforce, in modo da poter facilmente ridimensionare in modo corretto le autorizzazioni e adottare un modello di privilegi minimi: si potrà così garantire conformità consentendo di accedere ai dati sensibili solo alle persone che ne hanno bisogno.

Scopri di più.

Leggi la discussione completa per conoscere tutti i modi in cui puoi proteggere i dati sensibili in Salesforce. Già che ci sei, iscriviti per ricevere un avviso sui prossimi webcast.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.

Try Varonis free.

Get a detailed data risk report based on your company’s data.
Deploys in minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.