Digamos que seu principal gerente de vendas deixe sua empresa para ingressar em um concorrente. Você espera que ele leve alguns clientes com ele, mas o os seus dados? Eles também serão levados? Infelizmente, e provavelmente você não saberá e nem sua equipe de segurança cibernética. Neste artigo, iremos explicar por que isso ocorre e o que fazer a esse respeito.
Provavelmente, seus dados de vendas estão na nuvem há algum tempo. Então, é possível presumir que eles estão seguros, certo? Essa é uma suposição perigosa, os provedores de nuvem são responsáveis pela entrega de seu aplicativo (por exemplo, o data center), mas a responsabilidade em proteger os dados contidos nesse aplicativo são seus.
Como as empresas estão lidando com sua responsabilidade para proteger os dados na nuvem? Em uma organização global, um grupo de contratados teve acesso à instância do Salesforce da empresa. Meses depois, após o término do projeto, os ex-empreiteiros ainda podiam fazer login e acessar os registros da empresa, e eles estavam fazendo isso.
Pense nos dados dentro de um sistema de CRM. Os dados de vendas não apenas contêm informações pessoais e regulamentadas que devem ser protegidas – combinações de nomes, endereços, números de telefone, e-mails – mas também contêm as chaves do seu pipeline de vendas e, no caso de perder esses dados, o prejuízo para os negócios pode ser enorme.
É difícil imaginar um conjunto de dados mais crucial, especialmente porque as organizações usam seus sistemas de CRM para todos os tipos de fluxos de trabalho críticos que incluem contratos, descontos, cotações, estudos de caso, informações de pagamentos e outros documentos confidenciais.
Ninguém quer pensar sobre o que aconteceria se os ladrões cibernéticos roubassem detalhes pessoais sobre seus clientes e os vazassem, mas é algo que temos que considerar. Além de impactarseu pipeline de vendas, a reputação da empresa pode ser prejudicada e a organização pode incorrer em multas por violações de privacidade.
Pensar em proteger os dados de CRM não é fácil – muitos aplicativos na nuvem tornaram-se tão sofisticados que exigem um alto nível de especialização para serem compreendidos, e os aplicativos de gerenciamento do relacionamento com o cliente (CRM) estão entre os mais complexos. Como eles foram projetados para facilitar a criação, o compartilhamento e a análise de vendas, a segurança fica em segundo lugar.
Os aplicativos de nuvem não facilitam a resposta a questões sobre proteção de dados de vendas. Cada um leva por um caminho diferente quando você começa a perguntar: “Quem pode acessar nossos dados confidenciais? O que nosso ex-funcionário acessou antes de sair? Nossa instância está configurada corretamente?”
Vamos pegar o Salesforce como exemplo. É essencialmente um banco de dados extenso e complexo com muitos tipos de registros, como registros de contas para organizações em potencial, registros de contatos para profissionais com os quais você deseja entrar em contato e registros de oportunidades de negócios nos quais sua empresa está trabalhando. Cada registro tem muitos campos associados, como campo de endereço, notas, custos e referências a pessoas na conta. Os controles de acesso que determinam quem tem acesso a quais tipos de registros no Salesforce são como as camadas de uma cebola – há muitas camadas sobrepostas e descascar as camadas pode começar a fazer você chorar.
Muitas equipes de segurança descrevem os aplicativos na nuvem como “caixas pretas”. Eles não sabem como funcionam ou o que está acontecendo por dentro e, quando se aprofundam, descobrem que existem amplas configurações organizacionais, recursos de acesso baseados em funções, hierarquias organizacionais, modelos de vendas (território x produto) e controles de acesso ajustados até os níveis de objeto e campo. Há também configurações de aplicativo, sistemas e compartilhamento.
Conversamos com administradores do Salesforce que criam e mantêm planilhas enormes apenas para tentar rastrear quem tem acesso a quê. Compreender as mudanças, encontrar dados confidenciais e regulamentados e rastrear atividades são igualmente desafiadores e exigem módulos e configurações adicionais e muito conhecimento.
É irreal esperar que uma equipe de segurança acompanhe todas as opções de configuração e mecânica de cada aplicativo SaaS e serviço de infraestrutura na nuvem que, sem dúvida, está capacitando seus negócios. Também não é realista esperar que os especialistas em aplicativos mantenham enormes planilhas e expliquem aos responsáveis pela conformidade e segurança uma vez por trimestre.
Invasores adorariam colocar as mãos em seus dados de vendas, portanto, seu trabalho é dificultar ao máximo seu acesso. Para proteger quaisquer dados críticos, especialmente dados de vendas, é necessário ser capaz de mapear quem pode acessá-los e onde estão esses dados. Assim, é possível triangular e priorizar o risco.
Após analisar e priorizar o risco, é necessário adotar uma mentalidade de “assumir a violação” e seguir estas etapas para começar a reduzir o dano potencial ao seu sistema de CRM:
Os sistemas de CRM são complicados – proteger dados de vendas não precisa ser. Certifique-se de que apenas as pessoas certas tenham acesso aos dados certos e tenha certeza de que estejam usando-os da maneira certa. Às vezes, proteger seus dados de vendas e CRM começa com apenas uma pergunta simples: como estamos protegendo nossos dados de vendas?
Este artigo foi publicado pela primeira vez na Forbes.
Não sabe por onde começar a proteger seus dados de vendas? Entre em contato e solicite uma demonstração gratuita da nossa plataforma. Entenda como a Varonis pode tornar seus dados mais seguros.