Salesforce ospita enormi quantità di dati dei clienti e la protezione di tali dati è al centro delle migliori pratiche aziendali. Poiché in Salesforce sono archiviati informazioni di identificazione personale (PII), informazioni personali sul credito (PCI), elenchi di clienti e altro ancora, non è mai stato così importante proteggere e classificare i dati sensibili.
Ben McCarthy, fondatore di Salesforce Ben, e David Gibson, vice presidente senior dei programmi strategici di Varonis, hanno tenuto una sessione dedicata alla protezione dell'ambiente Salesforce. Hanno discusso delle migliori pratiche per la gestione dei dati sensibili su più organizzazioni Salesforce, di come impostare la classificazione dei dati tramite la funzionalità nativa di Salesforce e di come Varonis può aiutare a trovare i dati sensibili e identificare chi può accedervi, il tutto con pochi clic.
Data risk assessment gratuito
Aspetti chiave da ricordare
Non è scontato prevedere il tipo di dati individuati in Salesforce. Quando si naviga nell'organizzazione di Salesforce, si possono notare alcuni tipi di dati sensibili: informazioni di identificazione personale, informazioni di credito personali, elenchi di clienti, informazioni sui prezzi e così via.
Tuttavia, sorprendentemente, c'è molto di più di quanto appaia in superficie. "Ogni volta che si coinvolgono gli utenti finali occorre allacciare la cintura di sicurezza, perché i dati sensibili si trovano anche in posizioni insospettabili", spiega David.
Normalmente queste informazioni finiscono in Salesforce tramite le integrazioni, afferma Ben.
"Se disponi della funzionalità di invio degli allegati, anche questo elemento sarà allegato al record del caso", spiega Ben. "Qualsiasi documento sarà inviato e archiviato in Salesforce."
Ciò potrebbe includere informazioni sensibili come cartelle cliniche, allegati contrattuali, documentazione legale o persino chiavi API.
"Se si usa Salesforce in modo corretto, è un fattore cruciale dell'attività". "Le informazioni provenienti da diversi sistemi sono destinate a finire in Salesforce."
Protezione e localizzazione dei dati
Prima di poter proteggere i dati sensibili, occorre individuarli. Alla fine del 2020 Salesforce ha implementato una funzione di classificazione dei dati che consente di configurare i livelli di sensibilità, personalizzare le categorie di conformità e creare rapporti, determinando le informazioni che vengono archiviate e se sono sensibili o meno.
Tuttavia, questo processo può essere laborioso e richiedere molto tempo. "È piuttosto faticoso", spiega Ben, "ma purtroppo necessario".
Adotta l'automazione.
"Data la quantità di campi e di dati non inseriti nei campi di Salesforce, ne consegue che prima o poi sarà necessario automatizzare", spiega David. Ma quando si tenta di automatizzare la classificazione, consigliamo di evitare il punto di vista tradizionale secondo cui Salesforce ospita solo dati strutturati.
"Molte persone considerano Salesforce un archivio di dati strutturati e certamente lo è, poiché dispone di tabelle, colonne, righe, e dal punto di vista della classificazione i dati strutturati sono più semplici da domare", ha affermato.
Tuttavia, David ha sottolineato che nel corso degli anni, Salesforce si è evoluta. Pur essendo ancora molto strutturato, lo strumento CRM è diventato anche molto collaborativo e questo può rendere l'individuazione dei PII lievemente più complessa.
"Un numero di telefono individuale potrebbe non essere considerato di per sé un PII per alcune di queste normative, ma se lo si unisce ad altre informazioni come un indirizzo o un nome, lo diventa", afferma. E se si sta cercando di automatizzare la classificazione in Salesforce e ci si lavora con un approccio strutturato, campo per campo, si potrebbero perdere dati sensibili collocati dove non dovrebbero essere.
Riduci la portata dei danni.
Dopo aver individuato quali sono le informazioni archiviate in Salesforce e verificato se tali informazioni sono effettivamente sensibili, è possibile adottare le misure necessarie per ridurre il rischio.
Se si trovano dati sovraesposti, afferma David, è possibile:
- Bloccare i dati. Correggere le impostazioni predefinite a livello di organizzazione e le regole di condivisione generali come "leggi tutto", "modifica tutto" ed "esporta rapporti".
- Bloccare l'accesso ai dati. Crittografare, offuscare o tokenizzare le informazioni.
- Spostare i dati. Limitare i diritti di esportazione su questi tipi di dati.
Quando si riesce a visualizzare il raggio d'azione, dove risiedono i dati sensibili, dove sono esposti, chi li sta usando, si può iniziare a ridurlo e a gestirlo in futuro.
Proteggi i dati sensibili di Salesforce con Varonis.
Con ruoli complessi, set di autorizzazioni e configurazioni a livello di organizzazione, è praticamente impossibile capire quali utenti possono fare più danni in Salesforce. Varonis offre una visione completa dell'accesso effettivo per tutti gli utenti Salesforce, in modo da poter facilmente ridimensionare in modo corretto le autorizzazioni e adottare un modello di privilegi minimi: si potrà così garantire conformità consentendo di accedere ai dati sensibili solo alle persone che ne hanno bisogno.
Scopri di più.
Leggi la discussione completa per conoscere tutti i modi in cui puoi proteggere i dati sensibili in Salesforce. Già che ci sei, iscriviti per ricevere un avviso sui prossimi webcast.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
