Esclarecer seus usuários para ajudar a proteger sua organização

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Descrever a diferença entre uma política de senha forte e uma política fraca.
  • Nomear algumas maneiras de evitar ser fisgado por emails de phishing.
  • Descrever uma abordagem minimalista às permissões de usuário.

Falar com seus usuários

O alvo atualmente é o usuário. O primeiro ponto de entrada de qualquer ataque, seja em uma empresa, em um governo ou em uma conta individual, é direcionado a um usuário.

Esclarecer seus usuários do Salesforce sobre um comportamento seguro pode ser muito eficaz para proteger sua implementação.

Não subestime o papel do usuário individual em manter seus dados seguros. Esclareça e ensine. Converse com seus colegas ou com outros administradores do Salesforce sobre formas criativas que eles usaram com seus usuários para torná-los mais conscientes e motivados a fazer sua parte para manter os dados protegidos.

Cuidado com as senhas

As senhas são nossa primeira linha de defesa. Às vezes, uma senha é a única coisa que está defendendo você de um desastre.

Defina os requisitos de histórico, tamanho e complexidade da senha junto com outros valores e especifique o que fazer se os usuários esquecerem a senha.

Essas melhores práticas simples ajudam a reduzir as ameaças às senhas, independentemente de você estar usando tecnologias adicionais, como autenticação multifator e login único, para proteção extra.

Alterar senhas com frequência

Exija que os usuários redefinam suas senhas a cada 90 dias ou menos.

Exigir senhas exclusivas

Lembre os usuários de nunca reutilizar senhas em várias contas, caso uma ou mais delas seja comprometida. Os hackers sabem que as pessoas reutilizam senhas e experimentam uma senha hackeada em vários sites. A reutilização de senha é o aproveitamento de uma oportunidade.

Senhas mais longas são melhores

Exigir que as senhas tenham 10 caracteres de tamanho, ou mais.

Tornar as senhas mais difíceis de decifrar

Exija uma combinação de letras e números nas senhas. Melhor ainda, peça aos usuários que prefiram senhas com várias palavras. Uma frase sem sentido é mais fácil de lembrar do que uma sequência de caracteres aleatórios, e pode ser ainda mais difícil de decifrar.

É claro que você nunca divulgaria uma senha, certo?

Lembre seus usuários de nunca compartilharem uma senha, incluindo a senha do Salesforce, com qualquer pessoa, seja online ou pessoalmente. Nem com administradores do Salesforce!

Não seja enganado por phishing

A maioria dos ataques usa malware (software malicioso) para infectar um computador com código criado para roubar senhas ou dados ou para interromper um computador ou uma rede inteira.

Felizmente, você não precisa ser um especialista em segurança para impedir o malware.

Pesquisar o assunto

Ensine os usuários a não clicar em links ou abrir anexos em emails suspeitos. Os emails de phishing exploram comportamentos humanos normais para persuadi-lo para abrir um email. Talvez eles indiquem que um pacote está sendo entregue a você ou que seu contracheque está pronto. Se você não tem certeza, pesquise o assunto do email no Google e veja se alguma outra fonte relatou que isso é uma tentativa de phishing.

Considerar a origem

Instrua os usuários a pensar antes de clicar em links de emails. Verifique sempre o endereço do remetente e passe o mouse sobre os links para validá-los. Por exemplo, se o link disser que é da Salesforce, passe o mouse sobre o link para ver se a URL termina com salesforce.com.

Verificar com a Salesforce

Se você não tem certeza se um email é da Salesforce, encaminhe-o para o pessoal de segurança da sua empresa ou para security@salesforce.com. A equipe de segurança da sua empresa trabalha em conjunto com a equipe de confiança da Salesforce para identificar emails maliciosos. Você também pode verificar o trust.salesforce.com para obter uma lista de ameaças de email recentes de que a equipe de confiança está ciente.

Ensinar bem seus usuários

Pequenas alterações no comportamento do usuário podem ter um grande impacto. Quando a própria equipe de segurança da Salesforce envia emails de phishing para nossos funcionários, descobrimos que as pessoas que fizeram nosso treinamento de segurança têm apenas metade da probabilidade de clicar em links de phishing e quase o dobro de probabilidade de relatá-los em comparação com funcionários que não foram treinados. Repita esse treinamento regularmente. Você pode até usar fluxos de login para lembrar os usuários desses princípios ou criar links para os materiais de treinamento.

Distribuir direitos com moderação

Uma prática de segurança essencial é fornecer aos usuários o acesso mínimo necessário para que façam seu trabalho. (Chamamos de “princípio do privilégio mínimo”.)

Por exemplo, um analista de negócios não precisa ver informações de cobrança dos clientes. Limite o número de usuários com direitos de administrador e verifique periodicamente para ter certeza de que eles precisam ter permissões de administrador. Os acessos necessários podem variar ao longo do tempo.