Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Auditoria do Salesforce: O Setup Audit Trail e o Field History Tracking

Auditoria do Salesforce: O Setup Audit Trail e o Field History Tracking

Jan 19, 2024

De imediato, o Salesforce pode fornecer grande parte das informações que você precisa para passar em uma auditoria SOX. No entanto, existem lacunas, e o processo pode ser frustrante e demorado. Antes de começar, é importante entender o que você pode — e não pode — fazer na sua Org já.

Neste post, estamos analisando duas das principais ferramentas do Salesforce para preparação de auditoria SOX audit prep — o Setup Audit Trail e o Field History Tracking.

Conformidade SOX: O Que Está Incluído

Antes de entrarmos nas ferramentas específicas que a Salesforce oferece para preparação de auditoria, vale a pena revisar o que, exatamente, os auditores querem ver. Infelizmente, não há uma resposta clara para isso; só nos últimos anos é que os auditores começaram a olhar mais de perto para a Salesforce, e cada um trará um nível diferente de familiaridade com a plataforma.

Com essa ressalva, o que estamos observando é um foco em três coisas e como elas podem impactar potencialmente o reconhecimento de receita:

  • Acesso: Suas políticas de provisionamento, senhas, autenticação multifator e alterações em usuários, perfis e conjuntos de permissões.
  • Alterações de metadados/configuração: Como suas equipes revisam e aprovam solicitações de mudança, e como essas aprovações são reconciliadas com as mudanças reais no sistema.
  • Alterações nos dados de configuração: Como você acompanha as alterações de configuração em Objetos críticos vinculados à receita (geralmente nos aplicativos CPQ e Billing)

Conteúdo relacionado selecionado:

O Histórico de Configuração

Por que gostamos disso

O Setup Audit Trail da Salesforce é simples e direto — ele registra modificações em uma ampla gama de tipos de alterações e as coleta em um arquivo exportável mostrando qual foi a mudança, quem fez e quando foi feita. Ele rastreia alterações em tudo, desde informações da empresa e moeda até detalhes de perfil e conjunto de permissões — confira o Salesforce Security Guide para a lista completa.

Depois de gerar o seu relatório, você pode filtrar os dados por Tipo e detalhar as alterações que mais preocupam seus auditores.

Onde está disponível

Salesforce Classic e Lightning Experience; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer e Database.com Editions

Onde Deixa a Desejar

O Registro de Auditoria de Configuração fornece uma quantidade bastante volumosa de informações, mas armazena esses dados apenas por 180 dias. Isso significa que quaisquer alterações que seus auditores queiram ver além desse período seriam inalcançáveis. Isso deixa as equipes armazenando os dados em outro lugar – o que frequentemente levanta questões sobre sua precisão por parte dos auditores.

O outro grande problema com o Setup Audit Trail é que, embora mostre as alterações realizadas na sua Organização, não mostra se foram revisadas ou aprovadas — detalhes críticos para auditores que vão querer verificar se as mudanças sensíveis seguiram um processo apropriado.

Como resultado, as equipes da Salesforce precisam reconciliar manualmente o Audit Trail com as solicitações e aprovações relevantes (que podem estar em um sistema de tickets externo como Jira, em um e-mail, em um documento compartilhado, etc.) É um processo extremamente demorado que exige recursos consideráveis na preparação para uma auditoria.

O que mais?

O Setup Audit Trail faz um bom trabalho ao capturar mudanças de configuração, mas ainda deixa passar algumas coisas. Por exemplo, ele não consegue rastrear:

  • Alterações na visualização de lista personalizada
  • Alterações nos tipos de relatório ou critérios de filtro
  • Criação de novo relatório

No final das contas, essas não são necessariamente grandes lacunas, mas se os seus auditores quiserem vê-las, você precisará contar com algo além do Setup Audit Trail.

Conteúdo relacionado selecionado:

Rastreamento do Histórico de Campo

Por que gostamos disso

O rastreamento do histórico de campo permite que você selecione campos individuais em um Objeto Padrão ou Personalizado e acompanhe automaticamente quaisquer alterações dentro deles.

Uma vez que você tenha selecionado certos campos para rastrear, um registro de quaisquer alterações será adicionado à lista relacionada Histórico, capturando a data e hora da mudança, quem a fez e outros detalhes importantes. E a menos que você adquira o complemento Field Audit Trail, essas informações são retidas apenas por 18 meses através do seu Org, e até 24 meses se você exportar via API.

Onde está disponível

Salesforce Classic (não disponível em todas as Orgs), Lightning Experience e o aplicativo Salesforce; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer e Database.com Editions (Objetos Padrão não estão disponíveis no Database.com)

Onde Deixa a Desejar

Semelhante ao Registro de Auditoria de Configuração, os dados coletados pelo Rastreamento do Histórico de Campo são ao mesmo tempo excessivos e insuficientes. Você obterá muitas informações, mas apenas até certo ponto — um máximo de 20 campos pode ser selecionado por Objeto, e apenas 18 meses de dados (24 usando a API) são coletados.

Além disso, o Field History Tracking só registra alterações a partir do momento em que é ativado — o que pode ser um problema se você não dedicar tempo para determinar o que está dentro do escopo com antecedência.

O que mais?

O rastreamento do histórico de campo não está disponível em todas as Orgs ou em todos os Objetos. Além disso:

  • Se um campo tiver mais de 255 caracteres, os valores antigos e novos não serão registrados
  • Alterações nos campos de tempo também não são rastreadas

A Conclusão

É totalmente possível passar numa auditoria SOX utilizando as ferramentas integradas do Salesforce. No entanto, dependendo das expectativas dos Auditores, o processo pode ser mais difícil e demorado do que o necessário. As expectativas e exigências dos Auditores também estão aumentando para a plataforma Salesforce. Cada vez mais, estamos vendo que ferramentas adicionais são necessárias.

Nós projetamos o Netwrix Strongpoint para fechar as lacunas deixadas pelo Field History Tracking e pelo Setup Audit Trail. Nossos produtos oferecem um conjunto abrangente de ferramentas de conformidade que rastreiam e relatam alterações no acesso de usuários, metadados e dados de configuração relacionados à receita em um log detalhado e imutável. Também temos integrações construídas para os principais sistemas de tickets para ajudar a automatizar a reconciliação de nossos logs de volta às solicitações de mudança originais onde as alterações começaram. Nós fornecemos várias ferramentas para trabalhar com esses dados e produzir relatórios prontos para auditoria que reduzirão significativamente tanto seus custos quanto seus níveis de estresse.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Paul Staz

VP de Vendas e Marketing

Como VP de Vendas e Marketing, Paul é responsável por impulsionar o crescimento dos produtos de Infraestrutura e Aplicações no portfólio da Netwrix. Suas principais áreas de foco são segurança e conformidade para NetSuite, Salesforce e Infraestrutura de Rede. Ele é apaixonado por Estratégias de Ir para o Mercado e em gerar resultados positivos para os clientes. Anteriormente, Paul atuou como VP de Vendas e Marketing na Strongpoint, onde liderou as funções de Ir para o Mercado antes de ser adquirida pela Netwrix. Paul possui um Bacharelado em Artes e um Mestrado em Administração de Empresas pela Universidade McMaster em Hamilton, Ontário, Canadá.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança