Monitoraggio continuo in Salesforce

Per Salesforce Government Cloud, il nostro impegno nei confronti della fiducia è amplificato da controlli di conformità elevati, pensati per i mercati del settore pubblico. Scoprite come Salesforce semplifica il monitoraggio continuo, la tracciabilità e la reportistica FedRAMP, facendo risparmiare tempo e denaro.
Monitoraggio continuo in Salesforce

Dalle policy di alto livello alle procedure quotidiane, la fiducia viene rafforzata in tutto ciò che facciamo in Salesforce. Per Salesforce Government Cloud, il nostro impegno nei confronti della fiducia è amplificato da controlli di conformità elevati, pensati per i mercati del settore pubblico. Attraverso standard come il FedRAMP High Impact Baseline e il Department of Defense Impact Level 4 Baseline, garantiamo che i nostri prodotti offrano la sicurezza necessaria per proteggere i dati sensibili del governo.

Ottenere l'autorizzazione FedRAMP per un sistema IT non è facile. Di solito si tratta di un lavoro che richiede più di un anno e notevoli risorse ingegneristiche e finanziarie per implementare i controlli di sicurezza necessari, per completare un audit con un'organizzazione di valutazione di terze parti (3PAO, Third-Party Assessment Organization) e ottenere l'autorizzazione a operare (ATO, Authority to Operate) dall'ente di autorizzazione (AO, Authorizing Official). Come per tutti i sistemi IT, la manutenzione regolare della struttura di sicurezza è un ciclo costante. FedRAMP richiede agli utenti una manutenzione regolare del sistema attraverso un processo noto come “monitoraggio continuo”.

Cos'è il monitoraggio continuo?

Il monitoraggio continuo è il processo di monitoraggio attivo del rischio e della struttura di sicurezza di un sistema informatico dotato di autorizzazione FedRAMP. I provider di servizi cloud (CSP, Cloud Service Provider) come Salesforce non solo sono tenuti a monitorare i sistemi informatici alla ricerca di vulnerabilità nuove e già note, ma devono anche tenere traccia di tali vulnerabilità e porvi rimedio entro un determinato periodo di tempo. Ad esempio, le vulnerabilità di gravità "elevata" devono essere corrette entro 30 giorni. Inoltre, forniamo report sui piani d'azione e sulle tappe fondamentali (POA&M, Plan of Action and Milestone) al 3PAO, il che non solo ci aiuta a mantenere una buona reputazione con i nostri revisori, ma funge anche da base per la nostra strategia di risoluzione e le nostre raccomandazioni per evitare problemi simili in futuro.

Entra in scena Louper

Sono molte le caratteristiche che definiscono un ambiente GovCloud: è una barriera che circonda e limita l'accesso ai propri contenuti, chiamata “limite di autorizzazione”. Questo limite rappresenta una sfida per i provider di servizi cloud che devono monitorare tali sistemi per individuare eventuali vulnerabilità, perché gli strumenti standard, come quelli utilizzati per le classiche offerte Customer 360, non hanno accesso all'ambiente né visibilità su di esso. Mentre è relativamente semplice impostare gli strumenti di scansione affinché operino all'interno del limite, è più difficile tracciare, segnalare e correggere i risultati quando questi sono considerati sensibili e non possono essere esportati al di fuori del limite di autorizzazione.

Salesforce ha sviluppato un servizio personalizzato chiamato Louper, che consente di superare le difficoltà legate al monitoraggio all'interno di un limite di autorizzazione. Louper funziona automatizzando due processi principali di monitoraggio continuo per aumentare la capacità di tracciare e correggere le vulnerabilità. In primo luogo, il servizio analizza i risultati della scansione delle vulnerabilità all'interno dell'ambiente. Louper esamina questi report per identificare tutte le vulnerabilità scoperte, le quali vengono successivamente confrontate con un database delle vulnerabilità già scoperte. Se viene trovata una nuova vulnerabilità, Louper comunica al team appropriato il lavoro necessario per rimediare alla vulnerabilità.

In secondo luogo, mantenendo un record storico di tutte le vulnerabilità all'interno del sistema, Louper può generare automaticamente il report POA&M per il 3PAO. Questo report contiene un elenco dettagliato di tutte le vulnerabilità, che Louper può aggiornare dinamicamente utilizzando i dati più recenti. Poiché un report POA&M può contenere migliaia di voci, l'utilizzo dell'automazione per generare il report consente di risparmiare tempo e denaro rispetto alla creazione manuale.

È tutta una questione di fiducia

Il monitoraggio continuo è solo uno dei modi in cui progettiamo la sicurezza nel nostro cloud conforme. Questa estensione della solida struttura di sicurezza aziendale di Salesforce è al servizio del nostro valore aziendale più importante: la fiducia. Con Salesforce Government Cloud Plus i nostri clienti hanno accesso a CRM, servizi, piattaforme, analisi, applicazioni per il settore pubblico e altre soluzioni leader di settore, che aiutano i clienti e gli appaltatori governativi a ottenere il successo della mission e la trasformazione digitale in tutto il settore. 

Per maggiori informazioni sulle offerte di Salesforce Government Cloud, contattate un esperto di soluzioni governative: 1-844-807-8829.

Storie consigliate