Sloten, alarmen en camera’s: een driedelig raamwerk voor een sterkere strategie om gegevensverlies te voorkomen

Bij Salesforce is vertrouwen het grootste goed. Het is dan ook onze topprioriteit om jouw data te beschermen. Het digitale landschap verandert echter voortdurend. Het ontwikkelen van een effectieve strategie om gegevensverlies te voorkomen (DLP, Data Loss Prevention) begint met een goed begrip van gedeelde verantwoordelijkheid. Er zijn beveiligingsmaatregelen die Salesforce biedt en acties die je zelf moet ondernemen op basis van de behoeften van je bedrijf.

Gedeelde verantwoordelijkheid is ook onderdeel van onze beveiligingsarchitectuur. Er zijn de onzichtbare aspecten (onze verantwoordelijkheid), maar ook de configureerbare aspecten enver beterpunten (jouw verantwoordelijkheid). De onzichtbare aspecten betreffen zaken zoals onze beveiligde infrastructuur en betrouwbare toegang tot je data en systemen. De configureerbare aspecten zijn ingebouwde beveiligingscontroles zoals single sign-on (SSO) en verificatie. Daar begint jouw bijdrage aan het ontwikkelen van een sterke DLP-strategie. Het is daarom belangrijk dat deze onderdelen goed zijn ingericht voor je organisatie. Herzie ze bovendien regelmatig wanneer de Salesforce-omgeving van je bedrijf verandert.

Tot slot zijn er de verbeterpunten. Dit zijn de geavanceerde beveiligings- en privacyproducten die wij aanbieden waarmee je de verantwoordelijkheden met betrekking tot databeveiliging, veerkracht en naleving kunt beheren. Denk hierbij aan onze add-ons zoals een tool om sloten, alarmen en camera’s effectiever te gebruiken, zodat je waardevolle assets kunt beveiligen (in dit geval je data).

Laten we deze verbeterpunten eens beter bekijken en hoe deze jou helpen om je strategie voor het voorkomen van dataverlies naar een hoger niveau te tillen.

Versterk je beveiliging met betere sloten

Laten we beginnen met ‘sloten’. De eerste stap in elke DLP-strategie is het versterken van de verdediging. Dit betekent dat je fundamentele beveiligingsinstellingen juist moet configureren om ongeoorloofde toegang te voorkomen.

• Ken je data: als je niet weet wat je hebt, kun je het ook niet beschermen. De hoeksteen van een sterke beveiliging is dataclassificatie. Door gevoelige data zoals persoonlijk identificeerbare (PII) of andere vertrouwelijke informatie te identificeren en labelen, kun je je beveiligingsinspanningen beter prioriteren. Met producten zoals het Beveiligingscentrum kun je snel duizenden velden classificeren, zodat je exact weet waar je meest waardevolle data zich bevindt.
• Beveilig je sandboxes: sandboxes zijn essentieel voor ontwikkeling en testen, maar bevatten vaak kopieën van productiedata. Daardoor kunnen echte PII-gegevens worden blootgesteld aan een breder publiek, waaronder externe ontwikkelaars. Met Gegevensmasker en -seed kun je gevoelige data in je sandboxes eenvoudig anonimiseren of verwijderen om een vaak over het hoofd gezien beveiligingslek te dichten.
• Vereis minimale bevoegdheden: krachtige machtigingen zoals ‘Alle gegevens wijzigen’ moeten met de nodige voorzichtigheid worden toegewezen. Met het Beveiligingscentrum controleer je eenvoudig wie toegang heeft tot gevoelige data en identificeer je overmatig tolerante profielen en machtigingssets die hersteld moeten worden.

Markeer nieuwe risico’s met slimmere alarmen 

Zodra je de sloten hebt aangebracht, heb je een alarmsysteem nodig dat je op de hoogte brengt van verdachte activiteiten. Met een proactieve waarschuwingsstrategie kun je bedreigingen detecteren en erop reageren, nog voordat deze aanzienlijke schade aanrichten.

• Automatiseer je waakhond: je kunt niet alles handmatig monitoren. Stel realtime waarschuwingen in voor gebeurtenissen met een hoog risico. Maak bijvoorbeeld een beleid waarbij het beveiligingsteam direct een melding ontvangt wanneer een nieuwe verbonden app wordt geïnstalleerd of wanneer een gebruiker een krachtige machtigingsset toegewezen krijgt.
• Blokkeer bedreigingen automatisch: ga een stap verder dan eenvoudige waarschuwingen door ongewenst gedrag actief te blokkeren. Het transactiebeveiligingsbeleid werkt als een alarm dat de deur automatisch op slot doet. Je kunt bijvoorbeeld beleid configureren om:
  • Grote data-exports te blokkeren, waardoor een gebruiker geen rapport met 100.000 klantrecords kan exporteren
  • Riskante machtigingstoewijzingen voorkomen, waardoor een beheerder geen toegang tot ‘Alle gegevens wijzigen’ kan verlenen
  • API-aanroepen van onbekende IP-bereiken blokkeren: dit is een belangrijke verdediging tegen de diefstal van inloggegevens

Onderzoek incidenten met goede camera’s voor een duidelijk totaalbeeld 

Als er zich een beveiligingsincident voordoet, dan moet je precies kunnen zien wat er is gebeurd. Deze zichtbaarheid is cruciaal om de omvang van het incident te begrijpen, de schade te herstellen en te voorkomen dat het opnieuw gebeurt.

• Zorg dat je het volledige verhaal kent: Shield Event Monitoring biedt gedetailleerde logboeken op forensisch niveau van alles wat er in je organisatie gebeurt. Als de inloggegevens van een gebruiker zijn gecompromitteerd, kun je elke stap van de aanvaller traceren: wanneer ze hebben ingelogd, welk IP-adres ze gebruikten, welke records ze hebben geopend en welke rapporten ze hebben uitgevoerd.
• Draai de klok terug: in het ergste geval, waarbij gegevens werden verwijderd of beschadigd, is het niet voldoende om een duidelijke ‘video’ van de gebeurtenis te hebben. Met Back-ups en herstel kun je je data voor en na het incident vergelijken en de getroffen gegevens met enkele klikken terugzetten naar de oorspronkelijke staat.

Zet de volgende stap

Het ontwikkelen van een DLP-strategie is een voortdurend proces. Door je sloten te versterken, slimme alarmen is te stellen en met goede camera’s te werken, kun je jouw deel van het model voor gedeelde verantwoordelijkheid in goede banen leiden.