使用Salesforce?以下是5个安全性和合规性考虑因素

今天涉及关键任务云应用程序时’S安全团队有一个完善的不同焦点区域的洗衣书。从确保云提供商提供足够的保护和分析基线活动,以检查互联系统并理解数据流动,团队稀疏。有这么多竞争优先事项,它’难怪他们有一个困难的时间回答标准 云安全 和合规性问题。

 Salesforce安全

销售队伍 , 例如。每天超过150,000名企业依赖Salesforce,以满足客户关系管理服务,营销自动化,分析等。对于这些组织,Salesforce是支持关键业务功能和销售和服务流程的应用程序。

但它’安全假设并非每个组织都可以回答共同的安全问题,包括哪些用户有过多的特权,有多少合法用户暂停或危险地行事,以及如果用户离开公司,但他们的帐户仍然存在?

原因?虽然很多 关键任务云应用程序 与Salesforce一样具有安全功能,他们不会考虑组织在实施这些解决方案时介绍的定制和复杂程度。

因此,内置安全性并未提供分析和满足可能影响其他流程,应用程序和智能企业的风险所需的深度和广度的深度和广度。虽然SaaS,IAAS和PaaS业务应用程序提供更快的时间来达到价值,而不是本地解决方案的可扩展性,但它们也损失了关键安全和合规区域的可见性。

为确保所有Salesforce实例的保护和合规性,企业需要专注于五个具体领域,提出一些难题,并了解这些不利结果可能对其业务的影响。

五个Salesforce安全陷阱(以及如何避免它们)

虽然有Myriad检查每个Salesforce实例需要通过以确保完全保护和合规性,但是五个经常忽略了。这些检查包括安全配置,过度授权,职责分离,用户冒充和系统集成。

1.安全配置:Salesforce Security的最关键的焦点领域之一是正确的配置。如果团队误解了实例,则可能允许攻击者劫持用户’会话和上传恶意内容,甚至可以利用默认设置和加密密钥的弱点,并最终访问后端服务器和客户数据。

为了打击错误配置,必须根据最佳实践配置安全框架,包括适当的用户权限,共享默认值,HTTPS加密,多因素身份验证,最小密码长度等。

2.过度授权:Salesforce授权中的失效可能导致安全或系统管理员在任何时候都有权限修改访问权限,编辑安全配置,甚至大众出口敏感数据。这可能导致重要的合规性问题( 萨班斯 - 奥克斯利 , PCI-DSS. , GDP. CCPA ),运营中断,品牌损坏。

为防止这种情况发生,安全团队必须确保用户可能具有最少的特权授权 - 不仅仅是执行日常运营。

3.职责分离:具有太多功率的员工可以创建一个新用户,并分配其提升的权限,或故意吹扫信息甚至运行和访问包含敏感客户信息的报告。

要停止发生这种情况,安全团队必须防止单个用户从端到端拥有进程。

4.用户冒充 : 它’黑客或流氓员工明显更容易弥补云中的人。成功的模拟可以提供一个糟糕的演员,具有代表安全管理员行事的能力,委托对其他用户的访问,甚至可以访问代理管理设置。

凭借这一股权的权力,安全人员必须确保用户只能代表其他用户行事,以获得合法的商业原因。

5.系统集成:通过云应用程序,组织往往牺牲灵活性的可见度,所以它’s hard to know what’s going on “in the background.” That’赋予适当的系统集成是如此重要。第三方系统之间的不良集成可以允许黑客劫持或拦截通信,甚至最多可打开Salesforce实例到未知系统。

安全团队必须根据安全最佳实践建立第三方集成,以降低利用受损第三方申请的攻击者的风险,以便进入Salesforce。正确管理连接的第三方申请将包括 确保API是安全的 和授权和访问已安全配置。还将推荐持续监测异常行为和滥用。

对于这么多相互冲突的优先事项,这五项考虑因素为安全团队提供了一个具体焦点清单,以确保Salesforce实现是安全兼规的。但是,手动确保配置,授权,职责分离,用户特权和比例的集成可能变得复杂,尤其是在不断发展和不断增长的业务中。

为了帮助最大化效率,安全团队应考虑支持工具,可以帮助自动化这些进程,监控和标志异常行为,识别潜在的错误配置以及如何修复它们等等。这些支持资产可以释放延伸薄的安全团队的时间,因此他们可以继续支持其他 战略数字转型举措 同时确保足够的保护。

最广泛使用的客户关系管理平台之一’T是您最大的安全目标。通过解决这些问题,警告具有安全最佳实践和先进技术,安全团队可以确保未来几年的Salesforce成功。

分享这个