Digamos que seu principal gerente de vendas deixe sua empresa para ingressar em um concorrente. Você espera que ele leve alguns clientes com ele, mas o os seus dados? Eles também serão levados? Infelizmente, e provavelmente você não saberá e nem sua equipe de segurança cibernética. Neste artigo, iremos explicar por que isso ocorre e o que fazer a esse respeito.
Provavelmente, seus dados de vendas estão na nuvem há algum tempo. Então, é possível presumir que eles estão seguros, certo? Essa é uma suposição perigosa, os provedores de nuvem são responsáveis pela entrega de seu aplicativo (por exemplo, o data center), mas a responsabilidade em proteger os dados contidos nesse aplicativo são seus.
Como as empresas estão lidando com sua responsabilidade para proteger os dados na nuvem? Em uma organização global, um grupo de contratados teve acesso à instância do Salesforce da empresa. Meses depois, após o término do projeto, os ex-empreiteiros ainda podiam fazer login e acessar os registros da empresa, e eles estavam fazendo isso.
Pense nos dados dentro de um sistema de CRM. Os dados de vendas não apenas contêm informações pessoais e regulamentadas que devem ser protegidas – combinações de nomes, endereços, números de telefone, e-mails – mas também contêm as chaves do seu pipeline de vendas e, no caso de perder esses dados, o prejuízo para os negócios pode ser enorme.
É difícil imaginar um conjunto de dados mais crucial, especialmente porque as organizações usam seus sistemas de CRM para todos os tipos de fluxos de trabalho críticos que incluem contratos, descontos, cotações, estudos de caso, informações de pagamentos e outros documentos confidenciais.
Ninguém quer pensar sobre o que aconteceria se os ladrões cibernéticos roubassem detalhes pessoais sobre seus clientes e os vazassem, mas é algo que temos que considerar. Além de impactarseu pipeline de vendas, a reputação da empresa pode ser prejudicada e a organização pode incorrer em multas por violações de privacidade.
Pensar em proteger os dados de CRM não é fácil – muitos aplicativos na nuvem tornaram-se tão sofisticados que exigem um alto nível de especialização para serem compreendidos, e os aplicativos de gerenciamento do relacionamento com o cliente (CRM) estão entre os mais complexos. Como eles foram projetados para facilitar a criação, o compartilhamento e a análise de vendas, a segurança fica em segundo lugar.
Por que proteger dados de vendas é difícil
Os aplicativos de nuvem não facilitam a resposta a questões sobre proteção de dados de vendas. Cada um leva por um caminho diferente quando você começa a perguntar: “Quem pode acessar nossos dados confidenciais? O que nosso ex-funcionário acessou antes de sair? Nossa instância está configurada corretamente?”
Vamos pegar o Salesforce como exemplo. É essencialmente um banco de dados extenso e complexo com muitos tipos de registros, como registros de contas para organizações em potencial, registros de contatos para profissionais com os quais você deseja entrar em contato e registros de oportunidades de negócios nos quais sua empresa está trabalhando. Cada registro tem muitos campos associados, como campo de endereço, notas, custos e referências a pessoas na conta. Os controles de acesso que determinam quem tem acesso a quais tipos de registros no Salesforce são como as camadas de uma cebola – há muitas camadas sobrepostas e descascar as camadas pode começar a fazer você chorar.
Muitas equipes de segurança descrevem os aplicativos na nuvem como “caixas pretas”. Eles não sabem como funcionam ou o que está acontecendo por dentro e, quando se aprofundam, descobrem que existem amplas configurações organizacionais, recursos de acesso baseados em funções, hierarquias organizacionais, modelos de vendas (território x produto) e controles de acesso ajustados até os níveis de objeto e campo. Há também configurações de aplicativo, sistemas e compartilhamento.
Conversamos com administradores do Salesforce que criam e mantêm planilhas enormes apenas para tentar rastrear quem tem acesso a quê. Compreender as mudanças, encontrar dados confidenciais e regulamentados e rastrear atividades são igualmente desafiadores e exigem módulos e configurações adicionais e muito conhecimento.
É irreal esperar que uma equipe de segurança acompanhe todas as opções de configuração e mecânica de cada aplicativo SaaS e serviço de infraestrutura na nuvem que, sem dúvida, está capacitando seus negócios. Também não é realista esperar que os especialistas em aplicativos mantenham enormes planilhas e expliquem aos responsáveis pela conformidade e segurança uma vez por trimestre.
Como proteger seus dados de vendas
Invasores adorariam colocar as mãos em seus dados de vendas, portanto, seu trabalho é dificultar ao máximo seu acesso. Para proteger quaisquer dados críticos, especialmente dados de vendas, é necessário ser capaz de mapear quem pode acessá-los e onde estão esses dados. Assim, é possível triangular e priorizar o risco.
Após analisar e priorizar o risco, é necessário adotar uma mentalidade de “assumir a violação” e seguir estas etapas para começar a reduzir o dano potencial ao seu sistema de CRM:
- Comece onde a vantagem é alta e a desvantagem é baixa. As avaliações de risco de dados revelam tesouros de dados confidenciais que são amplamente acessados, mas raramente usados – como uma cópia completa do banco de dados de vendas que foi ativado para teste, mas nunca foi encerrado.
- Nossas avaliações de risco revelam que muitos usuários têm permissões poderosas que nunca usaram ou não deveriam ter. Se mais de 10% dos usuários tiverem direitos administrativos em seu sistema de CRM, isso provavelmente é muito alto.
- Tente um exercício de mesa que se concentre em seus dados de vendas. Finja que um gerente de vendas de nível médio saia e faça uma revisão de acesso para ver o que ele poderia ter levado. Quantos registros ele pode acessar? Quais foram acessados? Alguma coisa notificaria se o gerente estivesse acessando um grande número de registros?
Os sistemas de CRM são complicados – proteger dados de vendas não precisa ser. Certifique-se de que apenas as pessoas certas tenham acesso aos dados certos e tenha certeza de que estejam usando-os da maneira certa. Às vezes, proteger seus dados de vendas e CRM começa com apenas uma pergunta simples: como estamos protegendo nossos dados de vendas?
Este artigo foi publicado pela primeira vez na Forbes.
Não sabe por onde começar a proteger seus dados de vendas? Entre em contato e solicite uma demonstração gratuita da nossa plataforma. Entenda como a Varonis pode tornar seus dados mais seguros.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.