Supervisión continua en Salesforce

Para Salesforce Government Cloud, nuestro compromiso con la confianza se amplifica a través de elevados controles de cumplimiento adaptados a los mercados del sector público. Conozca cómo Salesforce simplifica la supervisión, el seguimiento y la generación de informes continuos de FedRAMP al mismo tiempo que ahorra tiempo y dinero.
Supervisión continua en Salesforce

De políticas de alto nivel a prácticas cotidianas, la confianza se refuerza en todo lo que hacemos en Salesforce. Para Salesforce Government Cloud, nuestro compromiso con la confianza se amplifica a través de elevados controles de cumplimiento adaptados a los mercados del sector público. A través de estándares como FedRAMP High Impact Baseline y Department of Defense Impact Level 4 Baseline, nos aseguramos de que nuestros productos cuenten con la seguridad necesaria para proteger datos gubernamentales confidenciales.

Obtener una autorización FedRAMP para un sistema de TI no es tarea fácil. Por lo general, es un esfuerzo de un año o más, que requiere importantes recursos financieros y de ingeniería para implementar los controles de seguridad requeridos, completar una auditoría con una Organización de evaluación externa (3PAO) y obtener la Autorización para operar (ATO) del Oficial que otorga la autorización( AO). Al igual que con todos los sistemas de TI, el mantenimiento periódico de la postura de seguridad del sistema es un ciclo constante. FedRAMP requiere que los usuarios realicen un mantenimiento periódico de su sistema a través de un proceso conocido como Supervisión continua.

¿Qué es la Supervisión continua?

La Supervisión continua es el proceso de supervisar activamente un sistema de información autorizado por FedRAMP para detectar riesgos y posturas de seguridad. Los proveedores de servicios en la nube (CSP), como Salesforce, no solo deben supervisar los sistemas de información en busca de vulnerabilidades nuevas y anteriormente conocidas, sino que también debemos rastrear y corregir dichas vulnerabilidades dentro de un período de tiempo específico. Por ejemplo, las vulnerabilidades de gravedad "alta" deben corregirse en un plazo de 30 días. Además, proporcionamos informes de planes de acción e hitos (POA&M, por sus siglas en inglés) a la organización de evaluación externa (3PAO), lo que no solo nos ayuda a mantenernos al día con nuestros auditores, sino que también presenta nuestra estrategia de resoluciones y recomendaciones para evitar problemas similares de cara al futuro.

Introducimos Louper

Hay muchas características que definen un entorno de GovCloud, una de las cuales es una barrera que rodea y limita el acceso a su contenido, denominada límite de autorización. Este límite plantea un desafío para los proveedores de servicios en la nube que supervisan estos sistemas en busca de vulnerabilidades, porque las herramientas estándar, como las que se usan para las ofertas clásicas de Customer 360, no tienen acceso ni visibilidad en el entorno. Si bien es relativamente sencillo configurar herramientas de análisis para operar dentro del límite, es más difícil rastrear, informar y corregir sus hallazgos cuando esos hallazgos se consideran confidenciales, y no se pueden exportar fuera del límite de autorización.

Salesforce desarrolló un servicio personalizado llamado Louper para abordar las dificultades de supervisar dentro de un límite de autorización. Louper funciona mediante la automatización de dos procesos primarios de supervisión continua para aumentar la capacidad de rastrear y corregir vulnerabilidades. En primer lugar, el servicio ingiere los resultados de los análisis de vulnerabilidades dentro del entorno. Louper inspecciona estos informes para identificar todas las vulnerabilidades descubiertas, que luego se comparan con una base de datos de vulnerabilidades descubiertas anteriormente. Si se encuentra una nueva vulnerabilidad, Louper notifica al equipo correspondiente del trabajo necesario para corregir la vulnerabilidad.

En segundo lugar, al mantener un registro histórico de todas las vulnerabilidades dentro del sistema, Louper puede generar automáticamente el informe POA&M para la 3PAO. Este informe contiene una lista detallada de todas las vulnerabilidades, que Louper puede mantener de forma dinámica utilizando los datos más recientes. Dado que un informe POA&M puede contener miles de entradas, el uso de la automatización para generar el informe ahorra mucho tiempo y dinero en comparación con los procesos de creación manuales.

Se trata de confianza

Supervisión continua es solo una de las muchas formas en que diseñamos la seguridad en nuestra nube diseñada para el cumplimiento. Esta extensión de la sólida postura de seguridad de toda la empresa de Salesforce existe para servir a nuestro valor de empresa n.° 1, la confianza. Con Salesforce Government Cloud Plus, nuestros clientes tienen acceso al CRM líder del sector, servicios, plataforma, análisis, aplicaciones del sector público y otras soluciones de la industria, que ayudan a los clientes y contratistas del gobierno a lograr sus objetivos y conseguir la transformación digital en toda la industria. 

Para obtener más información sobre las ofertas de Salesforce Government Cloud, póngase en contacto con un experto en soluciones gubernamentales: 1-844-807-8829.



Historias recomendadas