Monitoramento contínuo no Salesforce

Com a Salesforce Government Cloud, nosso compromisso com a confiança é ampliado por meio de controles elevados de conformidade personalizados para os mercados do setor público. Saiba como o Salesforce simplifica o relatório, o rastreamento e o monitoramento contínuo do FedRAMP enquanto economiza tempo e dinheiro.
Monitoramento contínuo no Salesforce

De políticas de alto nível a práticas do cotidiano, a confiança é reforçada em tudo o que fazemos na Salesforce. Com a Salesforce Government Cloud, nosso compromisso com a confiança é ampliado por meio de controles elevados de conformidade personalizados para os mercados do setor público. Por meio de padrões, como o High Impact Baseline do FedRAMP e o Impact Level 4 Baseline do Departamento de Defesa, garantimos que nossos produtos tenham a segurança necessária para proteger dados confidenciais do governo.

Obter uma autorização do FedRAMP para um sistema de TI não é fácil. Normalmente, é preciso de um ano ou mais, exigindo recursos substanciais financeiros e de engenharia para implementar os controles necessários de segurança, concluir uma auditoria com uma Organização de avaliação de terceiros (3PAO) e obter uma Autorização de operação (ATO) do Oficial de autorização (AO). Como com todos os sistemas de TI, a manutenção regular da postura de segurança do sistema é um ciclo constante. O FedRAMP exige que os usuários façam manutenção regularmente de seus sistemas por meio de um processo conhecido como Monitoramento contínuo.

O que é o Monitoramento contínuo?

O Monitoramento contínuo é o processo de monitorar ativamente um sistema de informações autorizado pelo FedRAMP para postura e risco de segurança. Os provedores de serviço de nuvem (CSPs), como a Salesforce, não precisam apenas monitorar os sistemas de informação quanto a vulnerabilidades novas e conhecidas, mas também devem rastrear e corrigir essas vulnerabilidades em um período específico. Por exemplo, as vulnerabilidades de gravidade "alta" devem ser corrigidas em 30 dias. Além disso, fornecemos o Plano de ação e relatórios de marco (POA&M) à 3PAO, que não apenas ajuda a nos deixar em uma boa posição com nossos auditores, mas também informa nossas recomendações e estratégia de solução para evitar problemas similares no futuro.

O uso do Louper

Há muitas características que definem um ambiente GovCloud, uma delas é uma barreira que cerca e limita o acesso ao conteúdo, chamada de limite de autorização. Esse limite impõe um desafio aos provedores de serviço de nuvem que monitoram esses sistemas quanto a vulnerabilidades, pois ferramentas padrão, como as que são usadas para ofertas clássicas do Customer 360, não têm acesso nem visibilidade no ambiente. Embora seja relativamente simples de configurar as ferramentas de verificação para operação dentro do limite, é mais difícil rastrear, reportar e corrigir as descobertas quando elas são consideradas confidenciais e não podem ser exportadas para fora do limite de autorização.

A Salesforce desenvolveu um serviço personalizado chamado Louper para abordar essas dificuldades no monitoramento dentro de um limite de autorização. O Louper trabalha automatizando dois processos de monitoramento contínuo primário para aumentar a capacidade de rastrear e corrigir vulnerabilidades. Em primeiro lugar, o serviço consome os resultados da verificação de vulnerabilidade no ambiente. O Louper inspeciona esses relatórios para identificar todas as vulnerabilidades descobertas, que, em seguida, são analisadas com base em um banco de dados com as vulnerabilidades já descobertas. Se uma nova vulnerabilidade for encontrada, o Louper notificará a equipe de trabalho apropriada necessária para corrigir a vulnerabilidade.

Em segundo lugar, ao manter um registro do histórico de todas as vulnerabilidades no sistema, o Louper pode gerar automaticamente o relatório de POA&M para a 3PAO. Esse relatório contém uma lista detalhada de todas as vulnerabilidades, que o Louper pode manter dinamicamente usando os dados mais recentes. Como um relatório da POA&M pode conter milhares de entradas, usar a automação para gerar o relatório economiza tempo e dinheiro significativos em comparação com a criação manual.

O importante é a confiança

O Monitoramento contínuo é apenas uma das maneiras pelas quais projetamos segurança em nossa nuvem complacente. Essa extensão da postura de segurança robusta para toda a empresa da Salesforce existe para atender o principal valor de nossa empresa, a confiança. Com a Salesforce Government Cloud Plus, nossos clientes têm acesso ao CRM líder do setor, bem como a serviço, plataforma, análise, aplicativos do setor público e outras soluções do setor que ajudam os consultores e clientes governamentais a ter êxito em seus projetos e a obter uma transformação digital no setor. 

Saiba mais sobre as ofertas da Salesforce Government Cloud, entre em contato com um especialista em soluções governamentais: 1-844-807-8829.

Histórias recomendadas