Voortdurende bewaking bij Salesforce

Voor Salesforce Government Cloud wordt onze toewijding aan vertrouwen versterkt door verhoogde nalevingscontroles die zijn aangepast aan markten in de publieke sector. Ontdek hoe Salesforce FedRamp voortdurende bewaking, tracering en rapportage vereenvoudigt en tegelijkertijd tijd en geld bespaart.
Voortdurende bewaking bij Salesforce

Bij Salesforce wordt het vertrouwen versterkt in alles wat we doen, van een hoogwaardige beleid tot dagelijkse praktijken. Voor Salesforce Government Cloud wordt onze toewijding aan vertrouwen versterkt door verhoogde nalevingscontroles die zijn aangepast aan markten in de publieke sector. Middels standaarden zoals de FedRAMP-basis voor grote impact en de basis van het Ministerie van Defensie voor impactniveau 4 zorgen we ervoor dat onze producten zijn voorzien van de beveiliging die nodig is om gevoelige overheidsgegevens te beschermen.

Het is niet makkelijk om een FedRAMP-bevoegdheid te krijgen. Het is meestal een inspanning van een jaar of langer waarvoor aanzienlijke technische en financiële resources nodig zijn om de vereiste beveiligingscontroles te implementeren, een controle te voltooien met een externe beoordelingsorganisatie (3PAO) en Authority to Operate (ATO) te verkrijgen van de Authorizing Official (AO). Regelmatig onderhoud van de beveiliging van het systeem is, zoals bij alle IT-systemen, een voortdurende cyclus. FedRAMP eist dat gebruikers hun systeem regelmatig onderhouden middels een proces genaamd voortdurende bewaking.

Wat is voortdurende bewaking?

Voortdurende bewaking is het proces waarbij een FedRAMP-bevoegd informatiesysteem voor beveiligingsrisico's en -status actief wordt bewaakt. Cloudserviceproviders (CSP's), zoals Salesforce, zijn niet alleen verplicht om informatiesystemen te bewaken voor nieuwe en voorheen bekende kwetsbaarheden, maar we moeten deze kwetsbaarheden ook volgen en verhelpen binnen een bepaald tijdskader. 'Zeer ernstige' kwetsbaarheden moeten bijvoorbeeld binnen 30 dagen worden verholpen. Daarnaast leveren we plan van aanpak- en Milestone-rapporten (POA&M) aan de 3PAO, waardoor we niet alleen een goede verstandhouding houden met onze auditors, maar ook informatie krijgen over onze oplossingsstrategie en aanbevelingen om soortgelijke problemen in de toekomst te voorkomen.

Louper openen

Er zijn veel kenmerken die een GovCloud-omgeving definiëren, waaronder een barrière die toegang tot zijn content afschermt en beperkt, wat een autorisatiegrens wordt genoemd. Deze grens is een uitdaging voor cloudserviceproviders die deze systemen monitoren op kwetsbaarheden, omdat standaard tools, zoals die worden gebruikt voor klassieke Customer 360-producten, geen toegang hebben tot of zicht hebben op de omgeving. Hoewel het relatief simpel is om scan-tools in te stellen om binnen de grens te werken, is het moeilijker om hun bevindingen op te sporen, rapporteren en verhelpen als deze bevindingen als gevoelig worden beschouwd en niet buiten de autoriteitsgrens kunnen worden geëxporteerd.

Salesforce heeft een aangepaste service genaamd Louper ontwikkeld om de problemen bij het monitoren binnen een autorisatiegrens aan te pakken. Louper werkt door twee primaire, voortdurende bewakingsprocessen te automatiseren om kwetsbaarheden beter te kunnen opsporen en verhelpen. Eerst verwerkt de service de resultaten van de kwetsbaarheidsscan binnen de omgeving. Louper inspecteert deze rapporten om alle ontdekte kwetsbaarheden te identificeren, die vervolgens worden vergeleken met een database van eerder ontdekte kwetsbaarheden. Als er een nieuwe kwetsbaarheid wordt gevonden, brengt Louper het juiste team op de hoogte van het werk dat moet worden verricht om de kwetsbaarheid te verhelpen.

Ten tweede kan Louper, door een historisch record van alle kwetsbaarheden binnen het systeem bij te houden, automatisch het POA&M-rapport voor de 3PAO genereren. Dit rapport bevat een gespecificeerde lijst van alle kwetsbaarheden, die Louper dynamisch kan bijwerken met de meest recente gegevens. Aangezien een POA&M-rapport duizenden inzendingen kan bevatten, bespaart automatisering om het rapport te genereren veel tijd en geld ten opzichte van handmatige invoer.

Het draait allemaal om vertrouwen

Voortdurende bewaking is maar een van de manieren waarop wij beveiliging ontwerpen binnen onze conforme cloud. Deze uitbreiding van de robuuste bedrijfsbrede beveiliging van Salesforce is er ten behoeve van onze nummer één bedrijfswaarde, vertrouwen. Met Salesforce Government Cloud Plus hebben onze klanten toegang tot toonaangevende CRM, service, platform, analyses, overheidsaanvragen en andere sectoroplossingen die overheidsklanten en -aannemers helpen hun missie te laten slagen en digitale transformatie binnen de hele sector te realiseren. 

Voor meer informatie over Salesforce Government Cloud-producten, neem contact op met een oplossingsexpert voor de overheid: 1-844-807-8829.

Aanbevolen verhalen