对您组织的安全风险评估作用’s use of Salesforce

销售队伍 不是火箭科学,但该软件有一个令人难以置信的工具,这就是为什么保护它需要一个唯一(有时复杂的)方法。如果您希望减轻与您公司相关的风险’■使用Salesforce,您必须从对服务的基本理解和优先考虑风险的战略计划开始。从那里,由于您的组织随着时间的推移演变,这一切都是关于运营实施和该计划的持续管理。

 Salesforce使用

在2020年,Revcult通过一系列客户经历了同样的安全风险评估(SRA)进程。尽管这些客户代表了各种各样的行业,但在与他们使用Salesforce的使用相关的安全和治理挑战中存在显着重叠。

这些常见表明,几乎所有使用Salesforce以大量的公司都会经历相同的斗争,主要源于对云平台的误解和用于保护它的共同责任模型。

销售队伍 负责其平台的安全性,而组织已经做出了巨大的作用,可以排斥持续的外部威胁。然而,这种成功并不意味着您自己的公司已从钩子中脱离。 Salesforce不对您的未能妥善分类和保护您在平台内的数据。

换句话说,如果您的访问控制被配置错误,并且您提供公司的访问权限敏感信息,则当一个不满的员工离开贵公司并将Rolodex与他们带来Rolodex时,Salesforce并不出现故障。这是一个简单的例子,但由于行政特权的广泛错误配置,内部泄露越来越普遍。此问题强调了适当的治理框架的重要性,这将确保员工只能获得他们需要履行职责的信息(而且没有更多)。

由于平台的不断变化的功能,您的Salesforce ORGS中包含的信息也不断变化。大型企业可能每隔几个月增加多达500个田地,如果这些变化也没有在您的安全姿势中反映出来,这可能会产生重大风险。您需要知道存在的信息,以便采取措施充分保护它,这就是为什么准确的数据识别和分类是如此重要的原因。

SRA有助于在安全策略中指出漏洞和差距,但它只是开始。在您确定改进区域后,以下四个步骤将使您的安全性带到下一级。

1.建立大教堂

大量的组织奠定了个人安全性“砖块”创建墙壁,无论是这意味着实现用于配置文件的访问控制还是打开加密以保护某些信息。然而,当在临时基础上建造安全措施时,您最终会占用一个脱节的墙壁,其中一些相交,而其他人则完全独立。

构建大教堂是关于看大局,并确保您的安全措施以逻辑,有效,甚至优雅的方式合适,以便您的团队成员渴望拥抱它们。

2.定义清除所有者

责任是我们在安全中看到的最大差距之一。你可以谈谈所有你想要的安全性,但直到一个人或一群人直接负责它,它就不会发生。有人需要拥有风险,他们应该有责任和问责制向拥有风险的独立方向漏洞报告。

在我们的工作中 保护Salesforce实施,明确的所有者通常是Salesforce产品所有者,拥有风险控制措施的实施和收到经常性状态报告的个人,并且对风险独立负责。

3.创建评估过程

如果安全是一个盒子,你可以检查并抛在你身后,但是在你的组织中发展的技术以及新兴的威胁流是安全的,卑鄙的安全将永远是一个持续的旅程。通过考虑到这条路径,重要的是创建一个旨在评估您的安全姿势的经常性过程,并确定有效管理风险所需的变更。

此过程可能涉及定期占用用户及其权限或重新定义分配给您的安全团队的职责。无论如何,确保定期评估是您的总体安全战略的一部分。

4.将安全性嵌入开发中

大多数公司将安全视为事后的事后。他们已经确定了他们如何做生意,然后他们努力保护允许它们适合该模具的流程,工具和技术。通过这种方法,开发和安全团队正在孤岛上运行。

另一方面,一流的组织正在将安全性嵌入到开发过程中,以确保他们创建的工具设置为安全成功。通过删除开发人员与其同事之间的差距,组织可以在占用生产之前消除风险。

令人难以置信和不断发展的能力 销售队伍 平台 是一个组织的(和开发人员)的梦想,但他们也使安全成为一个复杂的事业。为确保您自己的公司保留存储在平台上的数据紧密锁定,请从评估有哪些信息以及谁可以访问。一旦您拍摄了持有量,遵循上述四种策略,定期解决许多最常见的安全风险和面对像素所面临的配置差距。

分享这个