¿Estás protegiendo tus datos de ventas?
Por Carlos Rodrigues, VP Latam de Varonis
Los datos comerciales son uno de los conjuntos de información más sensibles que existen en una empresa – y, por increíble que parezca, son los menos protegidos. Voy a darles un ejemplo que ilustra bien esto: digamos que uno de los gerentes de ventas de tu empresa sale para asumir un puesto en la competencia. El comportamiento esperado es que el profesional “se lleve” todo el relacionamiento efectuado con clientes y prospects a lo largo del tiempo que él trabajó en la empresa. Pero ¿tú puedes asegurar que este profesional no va a lograr llevarse también los datos?
Lamentablemente, es probable que no sepas si él se lleva las informaciones, mucho menos tu equipo de seguridad de la información. ¿Por qué? Posiblemente ya mantienes tus datos de ventas en la nube hace algún tiempo. Probablemente, puedes suponer que tus datos están seguros en esas aplicaciones en la nube. Sin embargo, esta es una presunción peligrosa. Los proveedores de nube son los responsables de todo lo que entregan tus aplicaciones (por ejemplo, tu data center). Es responsabilidad tuya proteger los datos contenidos allí.
¿Cómo están lidiando las empresas con la responsabilidad de proteger las informaciones en la nube? En una compañía global, un grupo de prestadores de servicios tuvo acceso al Salesforce de la empresa. Meses más tarde, tras el término de sus proyectos, los excontratados todavía podían hacer login y acceder a los registros de la empresa.
Imagínate los datos dentro de un sistema CRM. Los datos de ventas no solo contienen informaciones personales y reglamentadas que deben protegerse (combinaciones de nombres, direcciones, números de teléfono y emails), sino también contienen las claves de tu pipeline de ventas. Es difícil imaginarse un conjunto de datos más crucial, especialmente porque las organizaciones usan sus sistemas de CRM para todos los tipos de flujos de trabajo críticos que incluyen contratos, descuentos, cotizaciones, casos de clientes, informaciones de pagos y otros documentos confidenciales.
Nadie quiere pensar en lo que sucedería si ladrones cibernéticos se robaran detalles personales de sus clientes y los filtraran. Pero tenemos que considerar eso. Además de comprometer tu pipeline, la reputación de tu empresa puede verse perjudicada y tú puedes incurrir en multas por violaciones de privacidad.
Pensar en proteger los datos de CRM no es fácil: muchas aplicaciones en la nube se volvieron tan sofisticadas que exigen un alto nivel de conocimiento para ser comprendidas, y las aplicaciones de gestión de relaciones con el cliente (CRM) son algunas de las más complejas. Como fueron proyectadas para facilitar la creación, el intercambio y el análisis de datos de ventas, la seguridad viene en segundo lugar.
Por qué es difícil proteger tus datos críticos de ventas
Las aplicaciones en la nube no facilitan la respuesta a preguntas sobre protección de datos. Cada una te lleva por un camino diferente cuando empiezas a preguntar: “¿Quién puede acceder a nuestros datos confidenciales? ¿A qué tuvo acceso nuestro exempleado antes de irse? ¿Nuestra instancia está configurada correctamente?”
Tomemos el Salesforce como ejemplo. Es esencialmente un banco de datos extenso y complejo con muchos tipos de registros, como registros de cuentas de organizaciones en potencial, registros de contacto de profesionales con los cuales uno desea ponerse en contacto y registros de oportunidades de negocios en los que uno está trabajando. Cada registro posee varios campos asociados, como campo de dirección, notas, costos y referencias a personas en la cuenta. Los controles de acceso que determinan quién tiene acceso a qué y qué tipos de registros en el Salesforce son como las capas de una cebolla: hay muchas capas superpuestas, y retirar dichas capas puede hacerte querer llorar.
Muchos equipos de seguridad describen las aplicaciones en la nube como “cajas negras”. Nadie sabe cómo funciona. Al profundizar, uno descubrirá que existen configuraciones organizacionales amplias, recursos de acceso basados en funciones, jerarquías organizacionales, modelos de ventas (territorio versus producto) y controles de acceso ajustados a los niveles de objeto y campo. También hay configuraciones de aplicaciones, sistema e intercambio.
Conversamos con administradores del Salesforce que crean y mantienen planillas enormes apenas solo tratar de rastrear quién tiene acceso a qué. Comprender los cambios, encontrar datos confidenciales y reglamentados y rastrear actividades son igualmente desafiantes y exigen módulos adicionales, configuraciones extras y toneladas de experiencia.
No es realista esperar que un equipo de seguridad acompañe todas las opciones de configuración y mecánica de cada aplicación SaaS y servicio de infraestructura en la nube que, sin dudas, permite tus negocios. Tampoco es realista esperar que especialistas en aplicaciones mantengan planillas enormes y se las expliquen a los responsables de la conformidad y seguridad una vez por trimestre.
Cómo proteger tus datos de ventas
Para proteger cualquier dato crítico, especialmente datos de ventas, tu empresa debe ser capaz de mapear quién puede consultarlos y dónde están tus datos más confidenciales. Con estos ingredientes, puedes triangular y priorizar los riesgos.
Las evaluaciones de riesgo revelan una gran cantidad de datos confidenciales que están ampliamente accesibles, pero que raramente se usan, como una copia completa del banco de datos de ventas que fue creada para pruebas, aunque nunca fue desactivada. Otro punto es la autorización de datos. Si más de un 10% de tus usuarios tienen derechos administrativos en tu sistema CRM, probablemente ese valor es muy alto. O sea, una visión holística sobre quién tiene acceso a tus datos y a qué informaciones se accede es un buen punto de partida para corregir este problema.
Lógicamente que hacer este trabajo manualmente no es fácil: existen soluciones de mercado que hoy dan cuenta de dicha tarea de forma automatizada, suministrando una visión completa para una gestión asertiva de los equipos de seguridad.
Los sistemas de CRM son complicados – proteger los datos internos no necesita ser así. Asegúrate de que solamente las personas indicadas tengan acceso a los datos correctos y que los utilicen de la manera señalada. A veces, proteger tu CRM empieza por una simple pregunta: ¿Cómo estamos protegiendo nuestros datos de ventas? Para más información puedes visitar la Web Oficial o seguir las redes sociales oficiales como la Cuenta de Twitter.