Esclarecer seus usuários para ajudar a proteger sua organização

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

• Explicar uma política de senha forte.
  
• Descrever como evitar ser vítima de emails de phishing.
  
• Definir a abordagem de menor privilégio para as permissões de usuários.
  

Os usuários têm acesso a dados valiosos

Como abordamos na unidade anterior, o alvo atual do cibercrime é, na maioria das vezes, um funcionário. Os funcionários que têm acesso a dados confidenciais, como registros financeiros ou dados de saúde, são alvos valiosos para os hackers. É por isso que esclarecer seus usuários do Salesforce sobre um comportamento seguro pode ser muito eficaz para proteger sua implementação e manter os dados dos seus clientes protegidos.

Um usuário individual desempenha um papel fundamental para manter seus dados seguros. Educar os usuários sobre sua função em manter os dados do Salesforce seguros renderá dividendos a longo prazo. O ativo mais valioso que uma empresa tem é a confiança do cliente. É sua responsabilidade manter os dados seguros para que a confiança seja conquistada todos os dias. 

Converse com seus colegas ou com outros Administradores do Salesforce sobre formas criativas que eles usaram com seus usuários para torná-los mais conscientes e motivados a fazer sua parte para manter os dados protegidos. Encontrar formas divertidas de esclarecer os usuários sobre segurança, como organizar competições ou jogos para ver quem consegue se registrar na autenticação multifator (MFA) mais depressa, tornará os usuários mais abertos para a adoção de comportamentos seguros. Você também pode adotar uma abordagem mais sistemática e fazer parcerias com suas equipes de TI ou de cibersegurança para realizar testes regulares de phishing que treinam os usuários a permanecerem vigilantes contra emails de phishing de hackers.

Cuidado com as senhas

As senhas são sua primeira linha de defesa contra o acesso não autorizado à implantação do Salesforce. Defina, pelo menos, o histórico, a duração e os requisitos de complexidade da senha para aprimorar a segurança e especificar o que fazer se os usuários esquecerem a senha.

Para aumentar a proteção das contas de usuários, solicitamos também aos clientes que utilizem a MFA para acessar o Salesforce. MFA significa que você deve ter várias formas de autenticação para obter acesso, geralmente algo que você sabe, como uma senha, e algo que você tem, como um código em um aplicativo autenticador móvel.

O National Institute of Standards and Technology (NIST) publica regularmente diretrizes para autenticação da identidade digital e gerenciamento do ciclo de vida. Essas melhores práticas simples ajudam a reduzir as ameaças às senhas, independentemente de você estar usando tecnologias adicionais, como autenticação multifator (MFA) e login único (SSO) para proteção extra.

Usar senhas únicas

Todos nós já fizemos isso. Usamos a mesma senha para vários sites (Rover123. Quem nunca?). Enquanto isso garante uma senha fácil de ser lembrada, como esse esquema é tão comum, adicionar pequenas variações é a primeira coisa que invasores tentam para descobrir uma senha. O uso de senhas que não são seguras como esta é uma forma comum dos invasores acessarem informações importantes quando um site ou plataforma fica comprometido (hackeado) e as credenciais dos usuários são disponibilizadas publicamente ou vendidas online. Se a senha usada no site comprometido também for usada para algo importante, como seu banco online ou acesso ao banco de dados corporativo, isso pode causar problemas sérios. Se você usar a mesma senha com variações mínimas, para obter acesso a vários sites, os invasores podem simplesmente experimentar variações. 

Usar senhas complexas 

As senhas devem ter no mínimo 10 caracteres. Entretanto, senhas maiores são ainda melhores. Incentive os usuários a criar uma frase secreta (um conjunto de palavras reais agrupadas) para torná-la mais fácil de lembrar, combinada com pelo menos um número e um caractere. Um exemplo de uma senha forte seria: "CouchEagle$Window9783Fan."

Alterar senhas com frequência

Exija que os usuários redefinam suas senhas anualmente.

Não divulgar senhas

Lembre seus usuários de nunca compartilharem uma senha, incluindo a senha do Salesforce, com qualquer pessoa, seja online ou pelo telefone. 

Usar um Gerenciador de senhas

Usar um gerenciador de senhas, como LastPass ou 1Password, é uma das melhores maneiras de manter suas senhas fortes e seguras. Sua organização pode fornecer um gerenciador de senhas para você, mas, se não fornecerem, você ainda pode escolher um. Os gerenciadores de senhas permitem que você salve informações de login para qualquer site, gere senhas seguras e as armazene em um banco de dados seguro sem exigir que você memorize senhas complexas e fortes para cada serviço utilizado. Também recomendamos habilitar a MFA para seu gerenciador de senhas para torná-lo mais seguro. 

A Salesforce nunca entrará em contato com você ou seus usuários por email ou telefone solicitando sua senha. Se alguém entrar em contato com você fazendo-se passar pela Salesforce e solicitar uma senha ou qualquer outra informação confidencial (por exemplo, número do CPF), informe imediatamente o incidente a security@salesforce.com.

Não seja enganado por phishing

A maioria dos ataques de phishing usa malware (software malicioso) para infectar um computador com código criado para roubar senhas ou dados ou para interromper um computador ou uma rede inteira. Felizmente, você e seus usuários não precisam ser especialistas em segurança para detectar um email de phishing.

Pesquise o assunto ou o email do remetente usando um mecanismo de pesquisa

Lembre-se que os emails de phishing são projetados para explorar o comportamento humano normal e atrair você para clicar em um link malicioso ou baixar um anexo. Eles podem ser muito fundamentados e baseados em uma premissa legítima, como afirmar que um pacote está sendo entregue a você ou que seu contracheque está pronto. Muitas vezes, o endereço de email do remetente pode dar sinais de perigo porque não corresponde ao nome da empresa real do remetente.  Se não tiver certeza que um email é legítimo, tente digitar o assunto ou o endereço de email do remetente em um mecanismo de pesquisa e veja se alguma outra fonte relatou que se trata de uma tentativa de phishing.

Considerar a origem e verificar os links antes de clicar

Nunca clique em um link ou abra anexos de um email de aparência suspeita, ou um email de um remetente desconhecido. Instrua seus usuários a parar e realmente avaliar um email de um remetente desconhecido antes de clicarem em qualquer coisa. Outro bom truque para verificar se os links dentro do email são legítimos é passar o cursor do mouse sobre eles para validar para onde estão sendo direcionados. Por exemplo, se um email solicitar que você clique em um link para ler um artigo de marketing do Salesforce, passe o cursor do mouse sobre o link para ver se a URL termina em salesforce.com.

Verificar com a Salesforce

Se você não tiver certeza se um email é da Salesforce, alerte a equipe de TI ou de cibersegurança da sua empresa. Como a equipe de segurança precisará dos cabeçalhos do email, é importante que você encaminhe uma cópia anexada do email suspeito para security@salesforce.com. Inclua as palavras "phish" ou "malware" na linha de assunto para indicar que o email é um email suspeito de phishing. 

A equipe de segurança da empresa trabalha em conjunto com a equipe de Segurança do Salesforce para identificar emails maliciosos. Você também pode verificar security.salesforce.com para obter uma lista de ameaças de email recentes das quais a equipe de Segurança do Salesforce está ciente.

Envolver seus usuários na segurança

Pequenas alterações no comportamento do usuário podem ter um grande impacto. Quando a própria equipe de Segurança do Salesforce envia emails de phishing para nossos funcionários, descobrimos que as pessoas que fizeram nosso treinamento de segurança têm apenas metade da probabilidade de clicar em links de phishing e quase o dobro de probabilidade de relatá-los em comparação com funcionários que não foram treinados. Considere realizar testes de phishing em sua própria empresa e lembre regularmente os usuários de seguir as melhores práticas de segurança

Distribuir direitos com moderação

Uma prática de segurança essencial é fornecer aos usuários o acesso mínimo necessário para que façam seu trabalho, também conhecido como o princípio do menor privilégio. 

Por exemplo, um analista de negócios não precisa ver informações de cobrança dos clientes. Uma boa prática recomendada é limitar o número de usuários com direitos de administrador (geralmente recomendamos não mais do que cinco) e verificar periodicamente para ter certeza de que esses mesmos indivíduos precisam continuar a ter permissões de administrador. Você também pode limitar a visibilidade e as permissões em nível de campo. Com o tempo, quem precisa do acesso pode mudar, por isso é importante ter um mecanismo para verificar os privilégios de acesso regularmente.

Recursos

• Salesforce Blog: Seja um administrador com foco na segurança
• Site externo: Publicação especial do NIST 800-63B: Diretrizes de identidade digital
• Trailhead Live: Amor pelo código baixo - Mantenha a organização segura e dimensione com confiança
• Trailhead Live: Melhores práticas de administradores: Elimine os riscos de segurança da sua organização com uma auditoria do usuário
• Trailhead: Autenticação do usuário
• Segurança do Salesforce: Guia da Segurança do Salesforce