Carlos Rodrigues (*)
Dados comerciais é um dos conjuntos de informação mais sensíveis que existem em uma empresa – e, por incrível que pareça, são os menos protegidos. Vou dar um exemplo que ilustra bem isso: digamos que um dos gerentes de vendas da sua empresa saia para assumir um posto no concorrente. O comportamento esperado é o profissional “levar” com ele todo o relacionamento efetuado com clientes e prospects ao longo do tempo que ele trabalhou na empresa. Mas você pode garantir que esse profissional não vai conseguir levar também os seus dados?
Infelizmente, você provavelmente não saberá se ele levar as informações, muito menos sua equipe de segurança da informação. Por quê? Provavelmente, você já mantém seus dados de vendas na nuvem há algum tempo e pode presumir que eles estão seguros nesses aplicativos. Essa é uma suposição perigosa, no entanto. Os provedores de nuvem são responsáveis por tudo que entrega suas aplicações (por exemplo, seu data center). É sua responsabilidade proteger os dados contidos nele.
Como as companhias estão lidando com a responsabilidade de proteger suas informações na nuvem? Em uma corporação global, um grupo de prestadores de serviços teve acesso ao Salesforce da empresa. Meses mais tarde, após o término de seus projetos, os ex-terceiros ainda podiam fazer login e acessar os registros.
Pense nos dados dentro de um sistema CRM. Os dados de vendas não apenas contêm informações pessoais e regulamentadas que devem ser protegidas (combinações de nomes, endereços, números de telefone e e-mails), mas também contêm as chaves do seu pipeline de vendas. É difícil imaginar um conjunto de dados mais crucial, especialmente porque as organizações usam seus sistemas de CRM para todos os tipos de fluxos de trabalho críticos que incluem contratos, descontos, cotações, casos de clientes, informações de pagamento e outros documentos confidenciais.
Ninguém quer pensar no que aconteceria se ladrões cibernéticos roubassem detalhes pessoais de seus clientes e os vazassem. Mas temos que considerar isso. Além de comprometer o seu pipeline, a reputação da sua empresa pode ser prejudicada e você pode incorrer em multas por violações de privacidade.
Pensar em proteger os dados de CRM não é fácil: muitos aplicativos em nuvem se tornaram tão sofisticados que exigem um alto nível de conhecimento para serem compreendidos, e os aplicativos de gerenciamento de relacionamento com o cliente (CRM) são alguns dos mais complexos. Como foram projetados para facilitar a criação, o compartilhamento e a análise de dados de vendas, a segurança vem em segundo lugar.
Por que é difícil proteger seus dados críticos de vendas
Os aplicativos em nuvem não facilitam a resposta a perguntas sobre proteção de dados. Cada um leva por um caminho diferente quando você começa a perguntar: “Quem pode acessar nossos dados confidenciais? O que nosso ex-funcionário acessou antes de sair? Nossa instância está configurada corretamente?”
Tomemos o Salesforce como exemplo. É essencialmente um banco de dados extenso e complexo com muitos tipos de registros, como contas de organizações em potencial, contato de profissionais com os quais você deseja entrar em contato e de oportunidades de negócios nos quais você está trabalhando. Cada um deles possui vários campos associados, como de endereço, notas, custos e referências a pessoas na conta. Os controles de acesso que determinam quem tem acesso a quais tipos de registros no Salesforce são como as camadas de uma cebola: há muitas camadas sobrepostas, e retirá-las pode fazer você querer chorar.
Muitas equipes de segurança descrevem os aplicativos em nuvem como “caixas pretas”. Ninguém sabe como funciona. Ao se aprofundar, você descobrirá que existem configurações organizacionais amplas, recursos de acesso baseados em funções, hierarquias organizacionais, modelos de vendas (território versus produto) e controles de acesso ajustados até os níveis de objeto e campo. Existem também configurações de aplicativos, sistema e compartilhamento.
Conversamos com administradores do Salesforce que criam e mantêm planilhas enormes apenas para tentar rastrear quem tem acesso a quê. Compreender as mudanças, encontrar dados confidenciais e regulamentados e rastrear atividades são igualmente desafiadores e exigem módulos e configurações adicionais adicionais e toneladas de experiência.
Não é realista esperar que uma equipe de segurança acompanhe todas as opções de configuração e mecânica de cada aplicativo SaaS e serviço de infraestrutura em nuvem que, sem dúvida, viabiliza seus negócios. Também não é realista esperar que especialistas em aplicações mantenham planilhas enormes e as expliquem aos responsáveis pela conformidade e segurança uma vez por trimestre.
Como proteger seus dados de vendas
Para proteger quaisquer dados críticos, especialmente de vendas, sua empresa deve ser capaz de mapear quem pode acessá-los e onde estão suas informações mais confidenciais. Com esses ingredientes, você pode triangular e priorizar os riscos.
As avaliações de risco revelam uma grande quantidade de informações confidenciais que são amplamente acessíveis, mas raramente usados, como uma cópia completa do banco de dados de vendas que foi criada para testes, mas nunca desativada. Outro ponto é o permissionamento de dados. Se mais de 10% dos seus usuários tiverem direitos administrativos no seu sistema CRM, provavelmente esse valor é muito alto. Ou seja, uma visão holística sobre quem acessa seus dados e quais as informações acessadas é um bom ponto de partida para corrigir esse problema.
Logicamente que fazer esse trabalho manualmente não é fácil: existem soluções de mercado que hoje dão conta dessa tarefa de maneira automatizada, fornecendo uma visão completa para uma gestão assertiva das equipes de segurança.
Os sistemas de CRM são complicados – proteger os dados internos não precisa ser assim. Garanta que apenas as pessoas certas sempre tenham acesso aos dados corretos e que os utilizem da maneira correta. Às vezes, proteger o seu CRM começa com uma simples pergunta: Como estamos protegendo nossos dados de vendas?
(*) VP Latam da Varonis.
