Salesforce Data Protection 101 – Qual è il modello di sicurezza di Salesforce?

Oltre 150.000 aziende in tutto il mondo attualmente si affidano a Salesforce per la loro soluzione di customer relationship management (CRM). Questo dato, secondo IDC (International Data Corporation), rende Salesforce il leader di mercato per le applicazioni CRM con market share del 19,5% (1).

I suoi clienti sono distribuiti in ogni settore e vanno da alcune delle aziende più grandi e conosciute al mondo fino a piccole e medie imprese e startup. Questa popolarità significa che una grande quantità di dati preziosi viene archiviata e gestita dalle applicazioni Salesforce e sfortunatamente fornisce un ulteriore vettore di attacco ai criminali informatici per prendere di mira le organizzazioni.

Pertanto, la sicurezza dei dati è una priorità assoluta per Salesforce e i suoi utenti, sia per motivi economici sia normativi e di conformità. È importante che gli utenti di Salesforce siano consapevoli del modello di responsabilità condivisa che sottoscrivono quando acquistano soluzioni Salesforce e facciano la propria parte.

Salesforce offre ai propri clienti un'infrastruttura cloud altamente sicura con un set completo di controlli di sicurezza. Tuttavia, è responsabilità del cliente utilizzare questi controlli e anche garantire la sicurezza dei contenuti caricati sulla piattaforma (ne parleremo più avanti).

In cosa consiste la sicurezza dei dati di Salesforce?

Nel contesto di Salesforce, sicurezza dei dati significa essenzialmente impostare regole e sistemi per garantire che le persone non autorizzate non abbiano facile accesso ai tuoi dati. Potrebbe sembrare semplice, ma dato il numero di utenti di cui alcune organizzazioni hanno bisogno per consentire l'accesso, ottenere le autorizzazioni corrette richiede un'attenta pianificazione. È anche importante che gli utenti legittimamente autorizzati siano in grado di accedere facilmente ai record di cui hanno bisogno senza troppi problemi.

Salesforce ha semplificato questo processo per i propri utenti formulando un modello di sicurezza dei dati suddiviso in quattro livelli. Questi quattro livelli consentono agli amministratori di impostare regole più facilmente e valutare rapidamente il livello di accesso di un particolare utente. Sono i seguenti:

  • Sicurezza a livello di organizzazione
  • Sicurezza a livello di oggetto
  • Sicurezza a livello di record
  • Sicurezza a livello di campo
Salesforce security model view

Figura 1: grafico del modello di sicurezza di Salesforce 

Livello Organizzazione

La sicurezza a livello di organizzazione si riferisce al sistema complessivo che l'organizzazione ha in atto per proteggere il proprio ambiente Salesforce. In sostanza, ciò significa impedire del tutto agli utenti non autorizzati di accedere alla tua organizzazione. Un modo per applicare ciò consiste nell'utilizzare i controlli di sicurezza di Salesforce per limitare l'intervallo di IP affidabili da cui gli utenti possono accedere, il che significa che è possibile accedere al CRM solo da determinate posizioni. Questo può essere impostato nella sezione Intervalli IP di accesso nel profilo di un utente. Allo stesso modo è possibile limitare gli orari in cui determinati utenti possono accedere alla tua organizzazione, utilizzando la sezione Orari di accesso.

Altri aspetti della sicurezza che rientrano nel livello organizzativo sono garantire i requisiti per le password e decidere se investire in ulteriori controlli di sicurezza come Salesforce Shield e/o la soluzione F-Secure Cloud Protection for Salesforce.

Livello Oggetto

Un oggetto nel contesto di Salesforce indica un set di dati a livello di dominio. Per chi ha familiarità con Microsoft Excel o altri software per fogli di calcolo, è analogo a un foglio o a una tabella. Per accedere a un oggetto, un utente deve ricevere l'autorizzazione dall'amministratore.

Il vecchio modo per farlo era impostare l'accesso di un utente direttamente tramite il suo profilo. È ancora importante che ogni utente disponga di un profilo configurato in modo che elementi come gli intervalli IP di accesso e gli orari di accesso possano essere gestiti da lì, ma Salesforce non consiglia più di utilizzarlo per impostare le autorizzazioni a livello di oggetto.

Invece, si consiglia di creare set di autorizzazioni e gruppi di set di autorizzazioni; in questo modo è possibile garantire a tutti coloro che ricoprono un ruolo lavorativo specifico, ad esempio le figure commerciali, semplice accesso ai contatti e ai lead di cui hanno bisogno senza doverli scorrere tutti e farlo manualmente. Queste autorizzazioni possono essere facilmente modificate e aggiornate in seguito.

Livello Campo

Un campo è un elemento di un oggetto all'interno di Salesforce, è come una colonna nella nostra precedente analogia con il foglio di calcolo. L'accesso a un oggetto in Salesforce non fornisce necessariamente a un utente l'accesso a tutti i campi, quindi è importante che l'accesso sia impostato anche a livello di campo. Gli amministratori possono consentire ai singoli utenti di leggere e/o scrivere campi diversi su base individuale.

Salesforce consiglia di gestire la sicurezza a livello di campo allo stesso modo del livello oggetto, utilizzando Insiemi di autorizzazioni e Gruppi di insiemi di autorizzazioni, ma possono anche essere assegnate direttamente a livello di profilo.

Livello Record

Un record è una singola voce in un oggetto, come una riga di informazioni in un foglio di calcolo. Se a un utente viene concesso l'accesso a livello di oggetto e campo, sarà in grado di inserire record al suo interno e visualizzare i record che ha creato. Ovviamente, questo non è molto utile per la collaborazione, quindi sarà importante impostare quali altri record gli utenti possono vedere. Salesforce offre alcuni modi per farlo.

Salesforce record level view

Figura 2: grafico del livello dei record Salesforce

  1. Impostazioni predefinite a livello di organizzazione – controlla il comportamento predefinito della modalità di accesso a ogni record da parte degli utenti che non sono proprietari del record. Quindi, tutti nell'organizzazione ottengono un livello di accesso di default.
  2. Gerarchia dei ruoli – consente agli utenti in cima alla gerarchia di accedere di default a tutti i record detenuti dagli utenti posti al di sotto di loro nella catena organizzativa.
  3. Condivisione delle regole – fornisce un modo efficiente per condividere i record tramite gruppi pubblici. Pertanto, consente a un utente di condividere automaticamente un record con il proprio team.
  4. Condivisione manuale – consente al proprietario di determinati documenti di condividerli direttamente con altri utenti.

Proteggere il tuo ambiente Salesforce dall’accesso esterno

Il modello di dati sopra descritto riguarda principalmente il modo in cui si accede ai dati e come vengono impostate le autorizzazioni per gli utenti interni. Tuttavia, gli amministratori devono anche essere consapevoli di come è possibile accedere ai propri dati dall'esterno, tramite l’interazione con altre soluzioni Salesforce come Salesforce Community o soluzioni di terze parti che possono essere collegate tramite API.

Salesforce ti consente di applicare le autorizzazioni per API e app allo stesso modo illustrato sopra, ma è importante che queste siano impostate con i privilegi minimi possibili per garantire che funzionino senza consentire agli attaccanti un facile accesso.

Salesforce Shield e F-Secure Cloud Protection for Salesforce

Sfortunatamente, anche le migliori politiche di sicurezza dei dati non ti proteggeranno da tutti gli attacchi. Se la tua organizzazione è presa di mira da criminali sofisticati, probabilmente sembrerà che abbiano un accesso legittimo.

Salesforce Shield aiuta in questo fornendo miglioramenti che rafforzano la crittografia di base dei file. Ciò significa un ulteriore livello di protezione per i file che i tuoi dipendenti caricano nel cloud, in modo che se questi dati finiscono nelle mani sbagliate, sarà più difficile utilizzarli.

La soluzione F-Secure Cloud Protection for Salesforce va oltre, fornendo protezione in tempo reale da virus, trojan e ransomware e scansionando tutti i contenuti caricati nel cloud.

Se vuoi saperne di più su F-Secure’s Cloud Protection for Salesforce, puoi scaricare il documento descrittivo della soluzione. Puoi anche iniziare una prova gratuita per testare la nostra soluzione in un ambiente reale.

Referenze

[1] IDC, Worldwide Semiannual Software Tracker, 26 April 2021.