Bezpieczeństwo danych w Salesforce zaczyna się od administratora
- 21 grudnia 2025
Bezpieczeństwo danych w systemach CRM to temat, który często pojawia się dopiero wtedy, gdy coś pójdzie nie tak. A wtedy bywa już za późno. W najnowszym odcinku podcastu Coffee and Force rozmawiamy o security na platformie Salesforce z perspektywy osoby, która na co dzień stoi na pierwszej linii obrony – Salesforce Administratora.
Gościem rozmowy jest Justyna Krajewska – Salesforce MVP, Community Group Leader i ekspertka z wieloletnim doświadczeniem w pracy z platformą. To rozmowa bez straszenia, za to z dużą dawką praktyki i realnych przykładów z projektów, w których bezpieczeństwo danych było (lub powinno być) priorytetem.
Profile, permission sety i najmniejszy możliwy dostęp
W pierwszej części rozmowy skupiamy się na fundamentach. Rozmawiamy o tym:
- dlaczego bezpieczeństwo danych w Salesforce to nie tylko kwestia technologii, ale też ludzi i procesów,
- jakie zagrożenia czyhają na dane – zarówno z zewnątrz, jak i wewnątrz organizacji,
- jaka odpowiedzialność spoczywa na administratorze w kontekście dostępu do danych.
Justyna tłumaczy, dlaczego Salesforce coraz wyraźniej odchodzi od rozbudowanych, customowych profili na rzecz permission setów i permission set groups oraz jak zasada „least privilege” wygląda w praktyce, a nie tylko w dokumentacji. To szczególnie cenna perspektywa dla osób, które przejmują istniejące orgi i muszą szybko ocenić, czy bezpieczeństwo jest tam faktycznie pod kontrolą.
Narzędzia, które admin powinien znać (i regularnie używać)
W rozmowie pojawiają się także konkretne narzędzia dostępne w Salesforce, które realnie wspierają administratorów w dbaniu o bezpieczeństwo:
- Health Check – jako punkt odniesienia do aktualnych rekomendacji Salesforce,
- Salesforce Optimizer – pomocny w cyklicznym przeglądzie orga,
- Audit Logi – niezbędne przy pracy zespołowej i audytach zmian.
To nie jest odcinek o „idealnym orgu na 100%”, ale o świadomym podejmowaniu decyzji, rozumieniu ryzyk i budowaniu bezpiecznego środowiska krok po kroku.
🎧 To dopiero pierwsza część rozmowy.
W kolejnym odcinku zagłębiamy się m.in. w temat backupów, odzyskiwania danych, realnych scenariuszy utraty informacji oraz przyszłości bezpieczeństwa w Salesforce.
Jeśli pracujesz jako Salesforce Administrator, właściciel systemu lub po prostu chcesz lepiej rozumieć, co dzieje się „pod maską” Twojego CRM — ten odcinek jest dla Ciebie.
👉 Posłuchaj podcastu Coffee and Force i wróć po drugą część rozmowy.
Transkrypt
Cześć, witajcie serdecznie, z tej strony Łukasz Bujło z coffee & force.
Zapraszam Was na kolejny odcinek w ramach serii Salesforce na wyciągnięcie ręki. Salesforce na wyciągnięcie ręki to porcja inspirujących rozmów i historii prosto ze świata Salesforce. Ten projekt stworzony z myślą o Tobie powstał przy współpracy z samym Salesforce, aby przybliżyć tajniki technologii chmurowej, zarządzania relacjami z klientami i nie tylko.
Przygotuj się na dawkę inspiracji i wiedzy, która może zmienić Twoje spojrzenie na technologie w biznesie. Zrelaksuj się, bądź z nami i odkrywaj nieznane zakątki Salesforce w każdym odcinku. W dzisiejszym odcinku porozmawiamy sobie o zagrożeniach związanych z danymi oraz o środkach bezpieczeństwa na platformie Salesforce i uwaga, z perspektywy Salesforce administratora.
Moim Waszym gościem jest Justyna Krajewska. Justyna Krajewska, liderka i ekspertka w świecie Salesforce. Justyna od dziewięciu lat porusza się w środowisku Salesforce, zdobywając uznanie i budując swoją pozycję jako niezastąpiona specjalistka.
Od pięciu lat pełni rolę lidera grupy użytkowników – Community Group Leader, a w tym roku otrzymała prestiżowy tytuł Salesforce MVP, co jest ogromnym wyróżnieniem za jej nieustanne zaangażowanie i wkład w rozwój społeczności Salesforce. Dodatkowo Justyna może pochwalić się imponującym dorobkiem trzynastego certyfikatu w Salesforce, co potwierdza jej wszechstronną wiedzę i umiejętności. Opinie jej współpracowników malują obraz osoby pełnej pasji, profesjonalizmu i zaangażowania.
Justyna to osoba, która nie tylko doskonale radzi sobie z wyzwaniami technicznymi, ale również zjednuje sobie ludzi swoją pozytywną energią, podejściem do problemów i uśmiechem. Jak wspomniał jeden z jej kolegów, Justyna potrafi dostosować Salesforce do każdej potrzeby, ale to jej energia, integralność i zaangażowanie sprawiają, że jest wyjątkowa. Cześć Justyna, dzięki wielkie, że poświęciłeś czas i znalazłaś.
Porozmawiamy sobie o aspekcie bezpieczeństwa z perspektywy Salesforce administratora. Może do tego zacznę od pierwszego pytania. Jakbyśmy mogli sobie ogólnie opowiedzieć, dlaczego bezpieczeństwo danych jest kluczowe w zarządzaniu systemami CRM? Dlaczego jest kluczowe? Ponieważ konsekwencje mogą być tragiczne.
Ponieważ mówimy o naruszeniu poufności, o naruszeniu dostępności, czyli przypadkowym albo nieprzypadkowym ujawnieniu dostępów do danych osobowych, albo utraty takiego dostępu, a konsekwencje mogą być bardzo duże, w znaczeniu oczywiście utrata dobrej i dobrej firmy, utrata zaufania klientów, sankcje nałożone na różne instytucje. Więc to naprawdę mogą być gigantyczne konsekwencje. Dobra, a jakbyśmy sobie teraz przeszli może bardziej z takiego aspektu, dlaczego w ogóle samo zagadnienie bezpieczeństwa jest istotne.
Troszeczkę jakie są główne zagrożenia, jeżeli chodzi o bezpieczeństwo danych w Salesforce. I ty jako administrator, jak możesz przeciwdziałać? Może na razie na poziomie takim ogólnym, zaraz wejdziemy sobie w szczegółowe elementy, ale żeby w ramach wprowadzenia opowiedzieć sobie z takiej ogólnej perspektywy. Więc ogólnie dla mnie zagrożenia możemy podzielić na dwie różne kategorie, zewnętrzne i wewnętrzne.
Czyli zewnętrzne to są wszystkie ataki hakerskie, phishingi, przesyłanie załączników, ponieważ Salesforce nie sprawdza załączników, które dodajemy do Salesforce’a. Są też różne aplikacje zewnętrzne, czyli wszystko to, co ktoś z zewnątrz próbuje dostać się do naszej firmy, albo zaszkodzić naszej firmie przez usunięcie danych, albo zdobycie poufnych danych klienta. I wewnętrzne, czyli zagrożenia wewnętrzne to przede wszystkim wewnętrzne nadużycie przywilejów, niewłaściwe użycie danych, nieprzestrzeganie zasad bezpieczeństwa, umyślne nadużycie.
Wiemy, że pracownicy czasami postępują nie zawsze zgodnie z kodeksem, jeżeli tak mogę powiedzieć. Czyli możemy powiedzieć tak naprawdę, że tu nie ma jakichś takich, nie wiadomo, jakichś innych zagrożeń. Typowo jak każdy system jest podatny, wiadomo, że mówi się w bezpieczeństwie, że tutaj najsłabszym ogniwem jest ten czynnik ludzki.
Dobrze. Ty jesteś na co dzień Salesforce Administratorem, więc może nie będziemy opowiadać nad czym ta rola polega. Skupmy się z aspektu bezpieczeństwa i powiedz mi, jakie są główne obowiązki takiego Salesforce Administratora, jeżeli chodzi o bezpieczeństwo danych.
Więc przede wszystkim administrator to ktoś, kto zarządza dostępem do systemu, czyli osoba, która konfiguruje użytkowników, dodaje użytkowników, osoba, która decyduje jaki profil, jaką widoczność, co powinno być widoczne dla danych osób. Wszelkie nadawanie permission sets w Salesforce też musimy wziąć dużą uwagę na to. Monitorowanie aktywności, na przykład eksportowanie raportów.
To nie jest coś takiego, o czym zawsze myślimy, a jest to duże pozwolenie. Ktoś potrafi prawie wszystkie dane sobie wyeksportować raportem. I to tylko tutaj wspominamy o tym takim czystym Salesforce, jeżeli mogę tak powiedzieć.
Nie mówimy w ogóle o community, czyli community jest w ogóle oddzielny temat, którym można pędzić kolejny odcinek odnośnie bezpieczeństwa w community, ale w Salesforce jako takim jest to użytkownictwo i widoczność. Dlatego też Salesforce ma tę politykę najmniejszej dostępności, czyli jeżeli mamy jakiś profil, jakąś osobę, którą mamy dodać do Salesforce, to musimy wiedzieć, co ta osoba dokładnie robi i dostosować jej profil i widoczność do rzeczy, które tylko powinna używać i które tylko powinna widzieć. Teraz też możemy trochę wejść szerzej, bo jakby Salesforce odchodzi teraz ostatnio od profili.
Zmieniło się takie podejście? I jakbyś mogła, proszę, powiedzieć troszeczkę więcej, na czym to polega i dlaczego w ogóle Salesforce się zdecydował, żeby zmienić to podejście? Dlaczego się zdecydował? To dobre pytanie. Natomiast na pewno o wiele łatwiej będzie zarządzać widocznością dostępności, jeżeli można tak powiedzieć, ponieważ żeby zobaczyć, co dany profil, ponieważ teraz mamy i profile, i permission set, i permission set groups, które są tutaj różne, mogą być rozbudowane i dawać dużą widoczność do różnych rzeczy, nie wiedzą o tym, że to już jest dane tutaj, więc wydaje mi się, że Salesforce chce wprowadzić pewien standard, czyli profil mieć giga standardowych profili, żebyśmy nie musieli się już zastanawiać, kto to robi, który profil, nie mieć 20 profili customowych, tylko ograniczyć ilość profili, a stworzyć permission set, gdzie możemy bardziej mieć nazwy permission set czy permission set group. Możemy poprawić już z nazwami.
Nazwy permission set mogą być jaśniejsze, co ta osoba potrafi robić, co ten permission set, jaką dostępność daje na tej zasadzie. I wtedy możemy też to pogrupować, czyli na przykład jak mamy kilka permission set, które powinny być dla osób, załóżmy, pracujących w finansach, może to być profil standardowy stworzony przez nas, plus te permission set, które są pod permission set group. Czyli nie musimy się zastanawiać, nie mamy tysiąca różnych rzeczy, o których musimy pamiętać, jest to lepiej skategoryzowane.
A od czego to zależy, czy to zarządzanie security, profilami, permission setami jest efektywne, czy łatwo zarządzać? Czy masz jakieś takie doświadczenia? I to może jest ciekawy aspekt. Jak wchodzisz w nowej organizacji, gdzie zaczynasz, też musisz poznać, jak te orgi są i łatwo zweryfikować, czy to jest dobrze poukładane. Pewnie czasami w firmach jest dokumentacja, a czasami nie ma.
I jak weryfikujesz i sprawdzasz? Jak weryfikuję i sprawdzam? Pierwszym podejściem jest, oczywiście teraz cały czas firmy jeszcze mają te profile, w większości jest to bazowane na profilach i jak się okazuje, w większości to wcale nie jest jeden admin w firmie. Nawet jeżeli oficjalnie jest jedyną osobą zarządzającą platformą, okazuje się, że jakiś manager też chciał mieć dostęp, więc oczywiście zostało mu to dane. Drugie jest też wszelkie integration user, czyli jeżeli mamy aplikację, bardzo często nawet w aplikacjach, ja też się z tym spotkałam dosyć często, że jeżeli chcemy coś zainstalować, polecenie od tej aplikacji jest, że user powinien mieć profil admina, czyli dostęp do wszystkiego, co też jest jedną wielką czerwoną flagą, więc wtedy powinniśmy się dowiedzieć, co dokładnie ta osoba powinna zrobić.
Z drugiej strony profile i permission set. Permission set otwiera profil, ale my musimy też wiedzieć, co dokładnie jest w tym profilu. Jeżeli mamy stworzonych 20 profilów custom profile, musimy wiedzieć dokładnie, co jest w nich.
Musimy też pamiętać, że jeżeli zmienimy coś w profilu, to będzie to zmienione dla wszystkich osób, w których ten profil jest przypisany. Permission set możemy przepisywać na osoby, czyli jeżeli wiemy, że na przykład ten profil, tylko część osób powinna mieć dostęp do czegoś więcej, możemy im przepisać permission set. Nie musimy wymyślać kolejnego profilu, czyli stwarzać kolejnej rzeczy do sprawdzenia.
Czyli ten permission set można dokładniej przypisać do osób potrzebujących tych uprawnień. Pewnie. Wiesz co? Myślę, że tutaj moglibyśmy odczarować jeszcze profile i permission set, bo takie chyba codzienne use cases i większość osób, która też wchodzi w Salesforce, bardziej jest skojarzony ten profil czy permission set, że dodajemy uprawnienia do obiektów, do filtrów, widoczność, ale tam jeszcze jest masa innych ustawień, które można zrealizować.
I na co zwracasz uwagę? Może byś podzieliła się jakimiś fajnymi obserwacjami? Fajnymi obserwacjami? Fajne obserwacje na temat profili. W profilu masz obiekty, którym dajesz widoczność. Tak, dajesz widoczność do obiektów, musisz dać widoczność do pól, które są na tych obiektach, ale masz całą serię, na przykład dajesz osobie widoczność do klas APEX-ów, które są w twoim systemie, dajesz dostęp do Visualforce.
Jeżeli masz elementy, które są na tym zbudowane, jest tam dużo system permissions, którymi trzeba być bardzo ostrożnym, bo na przykład kliknięcie jednego checkboxa, że ta osoba potrzebuje to, czasami Salesforce klika innych, mówi ci, że to jest wymagane. Wydaje mi się, że Customize Application jest jednym z takich chybików, że nagle okazuje się, że View All albo Modify All jest też tutaj dane, ponieważ to musi być w tym zawarte. Więc to też nie jest takie, że jeden checkbox to znaczy, że tylko to dajesz, chociaż z drugiej strony teraz zawsze jest ten taki ekran pojawiający się, które permission dodajesz, które usuwasz, więc też tyle, że możemy, natomiast musimy to rzeczywiście porównać i sprawdzić, nie kliknąć OK tylko dlatego, że a, bo wiem, co dałem.
Więc jest tam dużo system permissions, jest właśnie eksportowanie raportów, możemy też wręcz sprawdzić, do której aplikacji. Jeżeli mamy kilka aplikacji stworzonych na Salesforce, możemy tam wybrać, która aplikacja powinna być widoczna dla użytkownika, czyli te dziewięć kropek w lewym górnym rogu, zwanym czasami Goprem, czy innymi rzeczami, tam, które aplikacje, już możemy samą tą widoczność też korzystać i oczywiście taby, czyli czy w ogóle, jeżeli nie ma ktoś dostępu, czy ma dostęp, czy powinien widzieć tab, czy tab powinien się pojawić na aplikacji, którą używa, czy nie. Więc jest tam wiele rzeczy, którymi możemy operować.
Myślę, że to jest ważne, istotne też jakby z perspektywy osób, które może zarządzają uprawnieniami, żeby nie tylko zwracało uwagę właśnie, czy fieldy są tak, czy dostęp do pól, czy dostęp do obiektów, bo tak jak wspomniałaś, jest bardzo dużo rzeczy, chociażby raporty, kto ma dostęp do raportów, czy może generować raporty, czy tworzyć, tak, edytować, tak samo z dashboardami, które uruchamia, a to wszystko dotyczy bezpieczeństwa danych. Dobrze, opowiedzieliśmy sobie troszeczkę o tych obowiązkach, jak to wygląda z perspektywy profili, permission setów, jakie są możliwości, a jakimi dobrymi praktykami byś mogła się podzielić dla administratorów też z perspektywy ochrony danych w Salesforce? Dobrymi praktykami, więc na pewno ograniczyć ilość adminów w systemie, wytłumaczyć biznesowi, że hierarchia w Salesforce to nie jest hierarchia w firmie, że jeżeli ktoś jest CEO, wcale nie musi mieć dostęp do wszystkiego i w Salesforce, bo to nie jest to samo. Przede wszystkim zaczyna się to od hasła, tak, czyli MFA, czyli uwierzytelnienie wielopoziomowe, sprawdziłam, jak to się po polsku mówi, czy SSO, czyli związane z tym, czy jesteś dostępny, czy możesz zalogować się do swojej firmowej platformy i stamtąd do Salesforce’a.
Możemy w Salesforce powiedzieć, jak często powinno być hasło zmieniane, jeżeli nie robimy tego przez SSO, czy jak skomplikowane musi być hasło. I to są regularne audyty, tak, czyli regularne audyty, a ad hoc audytów, sprawdzanie, logowanie się jako użytkownik i sprawdzanie, co on widzi i co może zrobić. B jest health check, który raz na pewien czas powinien zostać sprawdzany, ja staram się zarobić raz na kwartał, zobaczyć, czy nic się nie zmieniło, czy nadal jesteśmy na zielonym, czy wszystko jest w porządku.
Jeżeli nie jesteśmy jedynymi adminami, jest audit log, tak, jest dobrze czasami przeskanować, czy inny admin czegoś nie zmienił pod naszą nieobecność, czy nawet pod naszą, jeżeli są różne strefy czasowe, tam też możemy znaleźć, co i kiedy zostało zmienione przez kogo, tak, czyli wtedy też, jeżeli widzimy coś dziwnego, możemy zwrócić uwagę, aha, ta osoba zmieniła coś, czy ona na pewno to powinna zrobić. Jest też Salesforce Optimizer. Salesforce Optimizer jest takim, nie wszyscy go lubią, natomiast ja bardzo polecam zautomatyzowanie sobie comiesięczne, dostawanie takiego raportu, bo nie każdy o tym pamięta, tak, jesteśmy zawaleni robotą, mamy dużo rzeczy, ktoś coś od nas co chwila potrzebuje, natomiast jeżeli dostajemy taki raport, że Optimizer jest gotowy, wtedy otworzyć, zobaczyć, co tam jest, ponieważ to też nie, to pokazuje nam, czy są rzeczy, na które musimy zwrócić uwagę natychmiast, albo które Salesforce poleca nam przejrzeć, ponieważ coś jest nie tak.
Salesforce nie zablokuje Ci dostępu, natomiast to pokazuje Ci dokładnie, na których elementach powinnaś się skupić, tak, czyli nawet chodząc o dane, tam jest kto ma jaki profil, częściowo jakie permissions są też przypisane do wielu osób, czy na przykład, że jest dużo pól, które są nieużywane, a cały czas jest tam jakaś informacja, jest tam zawarta, tak, czyli stwierdzenie, czy potrzebujemy tego jeszcze, czy nie. Są też jeszcze na przykład release updates, tak, czyli co Salesforce zmienia, czy musimy coś dostosować w stosunku do naszego orga, czy wszystko będzie pod kontrolą, bo jak wiemy, Salesforce trzy razy do roku daje nam udoskonalenie platformy, natomiast to też czasami wiąże się z pewnymi ograniczeniami, czy z pewnymi zmianami z sfery bezpieczeństwa. Co bym jeszcze powiedziała, sprawdzenie dostępu użytkowników, czyli kto kiedyś się logował, tak, bo jeżeli ktoś się nie loguje przez miesiąc, to znaczy, że tego dostępu nie potrzebuje.
Przynajmniej takie jest moje widzenie, tak wprowadzamy w różnych firmach, próbuję to przekonać, że jeżeli ktoś nie ma potrzeby zalogowania się do Salesforce raz na miesiąc, przynajmniej, to jest to security jakiś alert, tak, czyli dlaczego ma ten dostęp i w ogóle po co ten ktoś jest aktywny. I tak naprawdę ostatnio też, ponieważ oczywiście zawsze wszystko robimy w sandboxie, bo to jako admin, tak, żeby nie stracić danych, bo jeżeli jest jeszcze, oczywiście jak mówimy o tej utracie danych z tego punktu widzenia, jeżeli mamy dobry backup, jesteśmy w stanie to odzyskać, natomiast musimy zwrócić uwagę też, że wszelkie, nawet partial sandbox, jeżeli nie mamy żadnych specyficznych danych stworzonych specjalnie, którym czyścimy sandbox i nadajemy, to też są nadal dane, tak, i to są dane częściowe, ale dane naszych klientów, więc jeżeli ktoś z zewnątrz potrzebuje dostępu do sandboxa, bo coś dla nas robi, tak, czyli mamy na przykład kontraktorów zewnętrznych, oczywiście oni mają z nami kontrakty dopisane, ale to jest zawsze takie, czy oni na pewno potrzebują już dostęp do partial, czy może ja im stworzę dewelopera, sandbox deweloperski i dodam kilka różnych rekordów, żeby mieli na czym popracować, a dopiero wtedy, jak to zostanie zatwierdzone, możemy o tym pomyśleć, co i jak, i jaki dostęp potrzebują. Odwiedź stronę internetową coffeeforce.pl Wszystko o ekosystemie Salesforce po polsku Zobaczyłaś fajną kwestię backupów, czy słyszałaś, jak można w ogóle w Salesforce stracić dane, jak odzyskać? Można stracić bardzo różnie i bardzo szybko.
To też zależy, czy nasi użytkownicy mają ten delete button widoczny, czy to nie jest dostawane, czyli to też jest już od samego, czy oni to powinni mieć, czy nie, natomiast stracić można bardzo szybko, bo to jest czy nadpisanie, czy jeżeli robimy jakieś mass uploady, czy to możemy nadpisać dane, które są wtedy bardzo trudne do odzyskania, tak. Wszelakich programów backupowania jest całe mnóstwo, ponieważ Salesforce daje taki podstawowy, basicowy, z Salesforce, który jak dla mnie, każdy powinien, jeżeli nie masz nic innego, to to jest obowiązek, to są te tygodniowe ekstrakty danych, tak, które są żmudne do ściągnięcia, bo to jest 30, czy 40, czy nawet 50 CSV folderów, które możemy sobie później obejrzeć, natomiast to jest cotygodniowy jakiś obraz danych, tak, natomiast żeby to później, jak się na tym zastanowisz, żeby to później zrobić recovery z tego, to po pierwsze nie zdobisz tego dokładnie tak jak było, bo już rekord ID będzie inny i to ty jako admin musisz wykminić, co pod czym leżało, co było z czymś związane, tak, czyli że na przykład najpierw musisz dodać akanty, żeby móc dodać kontakty, żeby móc te kontakty połączyć z akantami, tak, bo to się samo wszystko samo nie zrobi, więc to jest taki bardzo basicowy, niewystarczający, natomiast to też ma pewne, bo na przykład to był taki wake up call dla mnie, jeżeli ustalamy sobie teraz i tam możemy kliknąć, że weź nam wszystko, wszystko nam po prostu z backupu, tak, czyli jesteśmy zadowoleni, że mamy wszystko, chociaż jak coś się stanie, to my to znajdziemy, natomiast jeżeli w międzyczasie dodamy nowy obiekt, to on się sam nie odhaczy na weekly update’ach, na naszym weekly backup’ie, czyli mając w głowie, że o, zaznaczyliśmy wszystko, to Salesforce nam to wszystko ładnie z backup’uje, będzie nam cały czas brakowało tego najnowszego elementu, bo my musimy jeszcze raz wejść do setup’u, jeszcze raz do tego weekly export’a i tam dopiero od nowa zaznaczyć, że znowu chcemy wszystko, bo wtedy zauważymy, że ten jeden czy te dwa checkboxy nie są zahaczone, bo nowe rzeczy same się nie dodadzą, więc to też jest taka rzecz, która czasami myślimy, że o, klikniemy wszystko, to już jesteśmy złoci i możemy spać spokojnie. Natomiast jest całe mnóstwo innych programów współpracujących z Salesforce’a, żeby jednak ten backup i recovery zapewnić, z naciskiem też na recovery, tak, bo backup jest backup’em, ale też bardzo ważne jest, jak szybko jesteś w stanie dojść do utraconych danych, czy wiesz, odzyskać to, co było przed tragedią.
Fajnie, co mówisz, bo nawet ostatnio, jakbym na, czy nawet razem byliśmy na konferencji, nie wiem, czy to było na London Calling czy na World Tour w Londynie, gdzie rzeczywiście nawet osoby pytają, no okej, po co są partnerzy i proponują rozwiązania backupowe, skoro Salesforce robi backup, nie? I to jest chyba fajna odpowiedź, to, co mówisz, jakie to może być też skomplikowane, odpowiedzialne i żmudne, jakby ten proces basicowy w Salesforce wygląda, więc jest dużo różnych narzędzi, które po prostu automatyzują te procesy. Jeszcze chciałam zaznaczyć, że Salesforce ma też inny backup, Salesforce ma też swój native backup, który już nie jest za darmo, natomiast jest to ulepszenie od tego weekly darmowego, bo tutaj skupiłam się na tym, co jest dostępne, jeżeli mamy tą platformę Salesforce, natomiast to też jest, cały czas ten nacisk dla mnie jest na recovery, tak, czyli jak duża jest firma i jak dużo czasu możesz poświęcić na odzyskanie danych, na jak długo możesz zatrzymać swój biznes i nie odpowiedzieć klientom na pytania, więc to będzie ten taki czynnik, który spowoduje, czy pójdzie za jednym rozwiązaniem, czy za drugim. Fajnie, to znaczy teraz jakby rozmawiamy o narzędziach, jakby skupmy się na tych narzędziach typowych, które są w Salesforce, mamy ich kilka, o niektórych jakby wspomniałaś, teraz możemy wejść sobie troszeczkę krok dalej, może trochę szczegółowo opowiedzieć o tych wszystkich, które było i jakbyś mogła powiedzieć z perspektywy, jak tobie pomagają na co dzień te wszystkie narzędzia, chociażby mówiłaś o health checku, do czego to służy, żeby gdzieś tam uświadomić też naszych słuchaczy, dlaczego warto z tego typu narzędzi korzystać.
Jak dla mnie należy z tego korzystać, bo jako admini jesteśmy odpowiedzialni za tą, za platformę, tak, dla mnie to ma znaczenie, ponieważ ja najczęściej pracuję w małych firmach, więc mamy jedno-dwuosobowy, kilkuosobowy najwięcej team, albo jestem sama, więc tak jakby biorę odpowiedzialność dla tego orka, którego ktoś skonstruował, a ja muszę tutaj ogarnąć i w pełni być dla niego odpowiedzialna i zapewnić, że on jest bezpieczny, więc po pierwsze health check jest jakby podarkiem od Salesforce ze względu na security, on Ci dokładnie mówi, co jest zgodne z zaleceniami z Salesforce, a co nie. Czasami może się zdarzyć, że to, co Salesforce zaleca akurat w Twoim biznesie się nie sprawdzi, bo to też nie musi być, że dopiero jak masz 100%, to Ci mówią, że jesteś good, tak, czyli jesteś na zielono, natomiast możesz też, jeżeli nie jesteś w stanie wszystkiego ogarnąć, bo czasami są rzeczy bardzo techniczne, tak, czyli nie o wszystkim też pomyślimy, będąc jednoosobową, jednoosobowym zespołem, nie jesteśmy w stanie wszystkiego ogarnąć, a to jest taka podpowiedź, okej, tutaj jest coś na pomańczowo, mówią, żebyśmy zerknęli, więc wtedy możemy zerknąć, co oni rekomendują. To wiesz co, to jak już rozmawiamy o tym health checku, jakbyś mogła powiedzieć jakieś przykłady, jakie informacje możemy tam znaleźć.
No więc tam, Salesforce dzieli to dla nas na rzeczy, które są wysokiego ryzyka, mniejszego ryzyka, więc oni Ci tak jakby podpowiadają na co zwrócić uwagę, tak, czyli na przykład może być rzecz taka, że mamy za dużą liczbę obiektów, które otwarte są na zewnątrz, jeżeli mamy komuniki, tak, mówię o tym, bo to właśnie miałam ostatnio w moim orgu i musiałam sobie to szybko ogarnąć. Mamy tam dużo rzeczy technicznych, które czasami z release updates musimy przeczytać coś, żeby wiedzieć, okej, co to dokładnie jest, czy to nas dotyka, tak, czyli na przykład jak mamy jakieś tam zagrożenia zewnętrzne, czy mamy customer visual pages w naszym systemie i one są bazą do naszego ryzyka bezpieczeństwa, ale z drugiej strony mamy też inne rzeczy, takie jak na przykład, że administrator może logować się jako użytkownik, tak, to jest rzecz, którą na przykład oni polecają, żeby to było wyłączone, bo to jest jakiś security risk, no ale na przykład, no, w codziennym życiu admina, to jakbyśmy to mieli włączać i wyłączać 17 tysięcy razy, to byśmy częściej to wyłączali i wyłączali, niż to jest warte, więc tam są takie rzeczy, z którymi czasami możemy się nie zgodzić, natomiast wiemy, jesteśmy świadomi, że to jest ryzyko na jakimś poziomie. Tam mamy też informacje, czy mamy dobrze skonstruowane password, czy na przykład, że mamy, że password jest wymuszany co 90 dni, czy co 60 dni zmiana pasła, że my właśnie staramy się, żeby na przykład, jak długie musi być hasło, wszystkie te takie malutkie instrukcje, malutkie rzeczy bezpieczeństwa, możemy tam znaleźć i zobaczyć o co chodzi.
Ok, czyli taka trochę to do lista, którą trzeba zweryfikować, sprawdzić, ale Fani powiedziała, że są też poziomy ryzyka, więc to też nie muszę od razu się rzucać i za wszystkie rzeczy poprawiać, i weryfikować. I to też nie jest tak, że musisz mieć to 100%, tam jest część rzeczy, które jesteś w stanie powiedzieć, ok, to nie sprawdzi się u mnie, ale resztę rzeczy mam dobrą, więc mogę spać spokojnie nadal, tak? Ok, i wspomniałeś, że z Twojego doświadczenia raz na kwartał wystarczy gdzieś tam spojrzeć i tutaj wystarczy i wtedy jakby masz pod kontrolą. Dobra, mamy health checka, mamy jeszcze inne, takie bezpłatne narzędzia, na przykład? Mamy optimizera, tego naszego ulubionego, którego można też teraz zautomatyzować, tak? Kiedyś to trzeba było nacisnąć guzik ad hoc, kiedy chcieliśmy, to się pokaże za jakiś czas, w zależności od tego, jak jest org wielkości, a teraz możemy to sobie łatwo zautomatyzować, że raz na miesiąc nam to wyśle i to jest wtedy takie przypominajka, aha, dobra, zajrzyj, co się zmieniło, czy coś się zmieniło i co trzeba przejrzeć.
I tu też Salesforce niczego nie narzuca, natomiast zaznacza dla Ciebie, które rzeczy są do natychmiastowej reakcji, a które są do przejrzenia i oczywiście lista rzeczy, które są w porządku, tak? Więc na przykład, tutaj jak mam iść za przykładem i podać, przykład, czy ilu użytkowników nam się nie zalogowało. Tu możemy dostać listę, że uważaj, bo masz dużą liczbę osób, które się nie zalogowały albo masz dużą liczbę profili tworzonych customowych z małą ilością osób do nich przypisanych, więc czy na pewno chcemy ten profil, czy tutaj możemy też mieć właśnie, oni są bardziej też tacy do codziennego użytku, czyli na przykład, że masz dużo pól, czy na przykład, czy masz validation rule, już masz 100 na jakimś obiekcie i trzeba by to przejrzeć, bo to troszkę może się wykluczać, tak? Czy wkrótce zostaniemy zablokowani, bo jest pewien limit. Więc to są takie rzeczy, na które admin może przejrzeć raz na miesiąc.
Wydaje mi się, że to jest dobre przypomnienie, bo na część rzeczy możemy sobie pozwolić, część rzeczy zajmą nam dłużej. Tutaj na przykład nam też polecają, żeby gdzieś jeszcze workflow’y przenieść już na Migrate to Flow, tak? Że to jest lepsza automatyzacja, bezpieczniejsza, więc żeby to powoli ruszyć. Więc tu są wszystkie takie rzeczy, o których czasami nam się zapomni.
Dobra, super. Drugie fajne narzędzie, tamto kwartalne, tu raz na miesiąc sobie sprawdzasz. Mamy m.in. też audit logi.
Wszystkie systemy mają logi, Salesforce też mają logi i do czego służą i czy Ci w czymś pomagają? Jak na co dzień sobie z nimi radzisz? Więc audit log to jest bardziej metadata, tak? Czyli tam masz zapis, co ktoś zmienił, czyli nie zmienił danych jako takich, natomiast coś zmieniło się w konstrukcji systemu, ktoś zmienił jakieś permissions, zostało dodane, odjęte. Więc Salesforce pozwala Ci na, daje Ci wgląd, ostatnie wydaje mi się, 20 czy 30 zmian, natomiast możesz ściągnąć cały Excela, tak? Możesz sobie ściągnąć pliczek, który jest sześciomiesięczny. Więc ja na przykład mam w kalendarzu 3 razy do roku, ja wiem, że jest 6 miesięcy, ale ja zawsze wolę mieć backup od backupa i sobie robię 3 razy w roku, ściągam taki pliczek, nawet jeżeli nie muszę go sprawdzić, to jeżeli do czegoś coś się kiedyś stanie i trzeba będzie zobaczyć, co się zmieniło, ja mam wtedy pełny wyraz, tak, zmieniliśmy to tego dnia i wtedy można albo na przykład odpłacić do systemu ticketowego, którego używamy załóżmy w firmie i sprawdzić, ok, kto, dlaczego to zostało zmienione.
To też jest dobre, jeżeli jest więcej adminów w teamie niż jedna osoba, bo jeżeli coś działało wczoraj, a dzisiaj osoba Ci mówi, że nie działa, możemy od razu zobaczyć, czy coś zostało zmienione, tak? Czyli tam mamy potwierdzenie, bo niczego się nie da ukryć, więc jeżeli ktoś zmienił jakieś permission, czy ktoś coś, nawet schował pole, czy zmienił komuś profil, od razu tam możemy to zobaczyć i tam po prostu mamy taki pełny obraz wszystkich zmian metadata. To fajnie, bo to chyba są takie standardowe najważniejsze funkcjonalności, ale też Salesforce wprowadzi bardziej zaawansowane rzeczy. I tu postawimy sobie kropkę i zakończymy pierwszą część naszego podcastu.
A w drugiej części będziemy kontynuować naszą rozmowę. Porozmawiamy między innymi o praktycznym podejściu do zarządzania bezpieczeństwem danych. Również poruszymy temat wyzwań i przyszłości bezpieczeństwa w Salesforce oraz podsumujemy kilkoma poradami dla administratorów Salesforce albo właścicieli systemów, na co powinni zwrócić uwagę, jeśli chodzi o aspekt bezpieczeństwa w Salesforce.
Dziękuję za wysłuchanie, zapraszam na krótką przerwę, łyk kawy i do usłyszenia za chwilę.
