Los pecados capitales de la seguridad de Salesforce

0
6

La tecnología de marketing, o ‘martech’, se vuelve cada vez más compleja y vital para la forma en que las empresas hacen negocios. Para muchas empresas, la plataforma de gestión de relaciones con el cliente (CRM), basada en la nube de Salesforce, es una pieza central de la estrategia de martech. Salesforce es el líder del mercado de CRM por un amplio margen, con una participación de mercado del 19,8%, según la firma de investigación IDC.

Debido a que los sistemas CRM generalmente manejan grandes volúmenes de datos confidenciales de los clientes, garantizar que la implementación de Salesforce de una empresa sea segura debe ser una prioridad importante para los líderes de la ciberseguridad y TI. Las nuevas vulnerabilidades y errores comunes o descuidos pueden poner en riesgo esta información.

Las empresas «colocan datos de enorme valor en Salesforce”, afirma Jeff Pollard, vicepresidente y analista principal de Forrester Research. «Es el lugar donde las oportunidades se convierten en ingresos y los prospectos se convierten en clientes. Para un intruso, obtener acceso a Salesforce implica la posibilidad de tener acceso a muchos datos de las empresas”.

En otras palabras, Salesforce es un objetivo atractivo.

Si bien los expertos coinciden en que la plataforma en sí es razonablemente segura, «dado el sólido enfoque de defensa en profundidad que Salesforce aplica internamente”, afirma Brian Olearczyk, director de ingresos de RevCult, proveedor de seguridad y gobernanza adquirido recientemente por OwnBackup, sigue siendo una gran superficie de ataque. Las organizaciones «necesitan implementarlo, configurarlo y desarrollarlo de una manera segura para evitar vulnerabilidades de seguridad y privacidad”, sostiene Olearczyk.

Quizás la filtración de datos de Salesforce más famosa ilustró lo complicado que puede llegar a ser. En el 2019, los datos de la empresa minorista Hanna Andersson quedaron expuestos, supuestamente debido a un malware que se infiltró en Salesforce. Luego se produjeron una serie de litigios en el que ambas compañías tuvieron que asumir costos que se prolongaron hasta fines del 2020.

A continuación, siete pecados capitales, errores y puntos ciegos que se deben evitar al proteger la valiosa información almacenada y utilizada en Salesforce, con sugerencias de expertos sobre cómo abordarlos.

 – Esperar que Salesforce lo maneje todo
Los profesionales de la seguridad con experiencia no van a caer en la trampa de esperar que «ellos tomarán las medidas de seguridad”, pero sí van a caer algunas empresas más pequeñas, o usuarios de TI, que no tienen especialización en seguridad.

Esto no es exclusivo de Salesforce; es común en las aplicaciones SaaS. «De acuerdo con nuestra experiencia, la mayoría de las vulnerabilidades de las plataformas SaaS provienen de que los clientes no entienden que la ciberseguridad es una responsabilidad compartida con el proveedor de SaaS”, señala Andy Ognenoff, director gerente y tecnólogo jefe para América del Norte de Salesforce Business Group de Accenture, proveedor de servicios de TI.

«Debe haber un esfuerzo inicial y continuo para asegurar las aplicaciones en la nube por parte del cliente”, indica Ognenoff. «Las vulnerabilidades a menudo se manifiestan cuando los usuarios están abastecidos en exceso con permisos de alto riesgo, configuraciones de acceso a datos muy permisivas y aplicaciones de terceros no autorizadas que acceden a datos empresariales, entre otras”.

El 2020 State of Salesforce Security Report, realizado por RevCult, subrayó este punto. Los propios usuarios de Salesforce tienden a crear vulnerabilidades cuando los equipos de desarrollo de aplicaciones corporativas personalizan y desarrollan sus instancias de Salesforce para adaptarse a sus casos de uso únicos y flujos de trabajo de negocios, sostiene Olearczyk. Esto no es algo contra lo que Salesforce, por sí mismo, pueda protegerse por completo.

 – No especificar un programa de seguridad y un propietario
Reconocer una responsabilidad compartida es lo primero, y cualquier responsabilidad necesita un propietario. RevCult descubrió que muchas empresas carecen de programas de seguridad claros para la plataforma, de las herramientas necesarias para dar soporte al programa y de la experiencia en seguridad de Salesforce.

Esta responsabilidad puede recaer en los equipos de marketing, ventas y TI que ejecutan Salesforce. Sin embargo, existe una falta de conocimiento en los equipos de Salesforce con respecto a los detalles y requisitos de la política de seguridad de la información para cumplir con los estándares regulatorios y de cumplimiento, afirma Olearczyk. «Desafortunadamente, a menudo vemos que nadie lo posee; por lo tanto, los riesgos no se mitigan -especialmente [con] los datos confidenciales y regulados de los clientes”, afirma.

Salesforce produce una gran cantidad de información y documentación de cumplimiento relacionada con sus propias iniciativas de seguridad. Para desarrollar habilidades en seguridad específicas para Salesforce, la compañía ofrece una certificación enfocada en la gestión de la identidad y el acceso en Salesforce, «diseñada para aquellos que evalúan el ambiente y los requisitos de la arquitectura y diseñan soluciones sólidas, escalables y de alto rendimiento en la plataforma Force.com, las cuales cumplen con los requisitos de inicio de sesión único (SSO, por sus siglas en inglés)”.

Hacer que una persona o equipo -dependiendo del tamaño de la implementación- tenga como su primera responsabilidad la seguridad y cultivar el conocimiento y las habilidades puede ayudar a abordar muchos de los problemas que siguen.

 – No clasificar los datos
No todos los datos son iguales, por lo que diferentes tipos de información requieren diferentes niveles de seguridad. Este es un importante principio reconocido, por ejemplo, en el enfoque de seguridad de confianza cero aún emergente.

Entre los principales hallazgos del estudio RevCult, se encontró que pocos usuarios de Salesforce han clasificado sus datos y, por lo tanto, no saben qué proteger. Las empresas también deben tener una comprensión explícita, validada y en tiempo real de los datos que tienen en Salesforce. «Revise todos los datos que tiene y asigne un valor según la clasificación interna de las categorías de cumplimiento que se apliquen”, aconseja Olearczyk.

«Sin este valor, implementará medidas de protección y procesos que son ruidosos y generan demasiados falsos positivos o falsos negativos y no son tan procesables como cree”. El trabajo de clasificación de los datos será una primera tarea para el propietario o equipo de seguridad especificado en el paso dos anterior.

 – No comprender los flujos de trabajo y los procesos en todos los departamentos
Persisten puntos ciegos multifuncionales en torno a cómo se utiliza realmente la organización de Salesforce de una empresa. Salesforce es una plataforma personalizable, con flujos de trabajo que se convierten en configuraciones y ajustes personalizados. A menudo, quienes realizan la configuración se encuentran en las líneas de negocio o en departamentos.

«Los equipos de desarrollo generalmente se alinean con ciertas líneas de negocios -Ventas, Marketing, Finanzas, Servicio al Cliente, Soporte e incluso Recursos Humanos- y no con la seguridad de la información, por lo que desarrollan la plataforma sin considerar los controles de seguridad de los datos» indica Olearczyk.

Esta falta de comprensión de cómo se conectan todos los puntos se manifiesta, en última instancia como «demasiado acceso”. Sin tener en cuenta la seguridad, tanto los administradores como los desarrolladores a veces pueden confundir los roles básicos nominales y los conjuntos de permisos como suficientes y, sin darse cuenta, abren el acceso de los usuarios a datos confidenciales.

«Nuestros compromisos con los clientes muestran una desconexión casi universal entre la implementación y la configuración, y los requisitos del programa de seguridad corporativa”, afirma Olearczyk.

 – Configurar incorrectamente las API
También es importante tener en cuenta que algunos de los problemas de seguridad involucran interfaces de programación de aplicaciones (APIs, por sus siglas en inglés) de Salesforce. Eso es especialmente relevante considerando la cantidad de datos que entran y salen de Salesforce para soportar una multitud de procesos de negocio de un extremo a otro.

Al igual que con otras preocupaciones de seguridad, esto no es exclusivo de Salesforce. La investigación del SANS Institute descubrió que los ataques contra las API están creciendo, y los profesionales de la seguridad se preocupan de que los errores de configuración de las API puedan hacer caer a sus empresas en la exposición de sus datos.

«Los equipos de seguridad deben tratar las integraciones como cualquier otro usuario, y validar la configuración y administración adecuadas de los privilegios de acceso”, señala Olearczyk. «Es una gestión continua la que debe regirse en el momento de la implementación y luego con una cadencia regular”.

 – Configurar mal las comunidades u otros elementos
Salesforce es una gran plataforma con muchos elementos, opciones y funciones diferentes.

Cualquiera de estos puede estar sujeto a una configuración mal informada o descuidada. RevCult ve vulnerabilidades comunes en los controles de acceso, usuarios con privilegios excesivos, implementaciones de integración mal controladas y capacidades premium implementadas de manera deficiente o incompleta, como la supervisión de eventos de Salesforce Shield.

En un ejemplo reciente que apareció en las noticias, un investigador de seguridad identificó una configuración incorrecta en las comunidades de Salesforce que puede exponer inadvertidamente los datos.

 – No ampliar continuamente la iniciativa de seguridad
Designar a un propietario del programa de seguridad, como se indicó anteriormente, ayudará a evitar o remediar errores básicos. Sin embargo, a medida que se expanden las implementaciones de Salesforce, será necesario que todos participen en ampliar las iniciativas para proteger los datos de errores como la configuración de las comunidades. A medida que más y más administradores, desarrolladores y usuarios finales toquen la plataforma, será fundamental seguir creando conciencia y conocimiento de seguridad más allá del equipo principal.

Una buena forma de abordar cualquier desconexión es construir una relación sólida entre el equipo de implementación de Salesforce, los propietarios de las líneas de negocio y los equipos de seguridad, asevera Ognenoff. «La seguridad puede permitir la agilidad para el negocio, pero desbloquear ese valor puede ser un desafío si la seguridad es una ocurrencia tardía o se ve como un obstáculo”, añade.

Los equipos de seguridad deben tener visibilidad para administrar la exposición al riesgo de las aplicaciones SaaS como Salesforce, alega Ognenoff, «por lo que la integración de Salesforce en los planes de respuesta y monitoreo existentes es fundamental”. Accenture recomienda que los usuarios de Salesforce aprovechen Salesforce Shield y las diversas capacidades de registro de la plataforma, vinculadas con las herramientas de gestión de eventos e información de seguridad empresarial (SIEM, por sus siglas en inglés) y los procesos de respuesta a incidentes.

Este amplio equipo incluye al propio Salesforce. Por su parte, la compañía afirma que continuará haciendo de la seguridad una prioridad para la plataforma. La empresa «incorpora seguridad en todo lo que hacemos”, afirma Trey Ford, vicepresidente de estrategia y confianza de Salesforce. «Nada es más importante que nuestros clientes sepan que sus datos están seguros, para que puedan acceder a ellos cuándo, dónde y cómo lo deseen”.

Los clientes han descubierto que tres de los servicios de seguridad que ofrece la empresa son particularmente valiosos, comenta Ford. Uno es Security Center, que permite a los administradores simplificar la gestión de la seguridad y detectar amenazas más rápidamente. Otro es Shield, que protege a toda una empresa con herramientas que mejoran la confianza, la transparencia, el cumplimiento y la gobernanza en todas las aplicaciones de Salesforce. El tercero es Data Mask, una herramienta diseñada para ayudar a los clientes a personalizar, construir y hacer pruebas en Salesforce mientras protege los datos privados.

«Reconocemos que los ciberdelincuentes se están volviendo más sofisticados”, comenta Ford. «Nuestros equipos de seguridad y productos innovan continuamente para mantenerse a la vanguardia. Por supuesto, la seguridad sigue siendo una responsabilidad compartida entre Salesforce y nuestros clientes. Parte de la estrategia de seguridad general de cualquier empresa responsable es organizar sus exposiciones en problemas que tienen que administrar para la empresa, y decidir cuáles pueden ser transferidos para ser administrados por Salesforce”.

Bob Violino CSOonline.com

Artículo anteriorAlgunas de las certificaciones de TI mejor pagadas del mercado
Artículo siguienteCisco presenta su nuevo índice de Trabajo Híbrido