Security In Action: praktyczne szkolenie z bezpieczeństwa
- 9 maja 2026
Bezpieczeństwo w Salesforce najczęściej psuje się nie przez jeden duży błąd, ale przez serię małych decyzji o dostępie, uprawnieniach i użytkownikach. Pierwsza sesja warsztatu Security In Action rusza 19 maja 2026 o 9:00 PT (Admin Blog), co ma znaczenie szczególnie dla adminów, którzy odpowiadają za security bez formalnego przygotowania w tym obszarze. W praktyce to właśnie oni ustawiają sharing, zarządzają użytkownikami i porządkują dostęp, gdy org rośnie szybciej niż model uprawnień. Ten warsztat jest istotny dlatego, że skupia się nie na teorii, ale na rozpoznawaniu realnych wzorców ryzyka w orgu.
Dlaczego ten warsztat trafia w realny problem adminów
W wielu zespołach bezpieczeństwo jest częścią codziennej pracy admina, ale nie zawsze staje się osobnym obszarem kompetencji. Najpierw pojawia się potrzeba zbudowania raportów, automatyzacji i obsługi użytkowników, a dopiero później wychodzą pytania o to, kto naprawdę ma dostęp do danych i czy obecna konfiguracja nadal ma sens.
To zwykle ujawnia się w konkretnych momentach – podczas przeglądu compliance, po odejściu pracownika albo wtedy, gdy organizacja szybko urosła i nikt nie ma już pełnego obrazu modelu dostępu. W takim środowisku łatwo utrwalić tymczasowe decyzje: szerokie uprawnienia nadane na czas projektu, aktywne konta, które powinny być już wyłączone, albo stare konta systemowe bez wyraźnego właściciela.
Security In Action odpowiada właśnie na ten problem. Zamiast kolejnej listy zaleceń uczestnik dostaje przygotowany trial org z fikcyjną firmą i zestawem typowych błędów bezpieczeństwa. To ważne, bo admin nie ćwiczy abstrakcyjnych zasad, tylko pracuje na scenariuszach przypominających codzienność produkcyjnych orgów.
Dla polskich zespołów pracujących w modelu lean ma to dodatkową wartość. W wielu firmach jedna osoba łączy obowiązki administracyjne, operacyjne i częściowo governance. Wtedy praktyczna umiejętność szybkiego wykrycia nadmiarowego dostępu jest często ważniejsza niż znajomość rozbudowanej teorii security. Podobny nacisk na kontrolę i governance w rosnąco złożonych orgach widać też w analizie luki bezpieczeństwa ukrytej w metadanych Salesforce.
Co uczestnik robi w orgu i jakie ryzyka ćwiczy
Warsztat działa w formule hands-on. Uczestnik przechodzi przez przygotowane środowisko Salesforce razem z ekspertem i identyfikuje problemy, które regularnie pojawiają się w realnych wdrożeniach. Chodzi między innymi o zbyt otwarte ustawienia sharing, nadmierną widoczność danych wrażliwych, użytkowników z szerszym zakresem dostępu niż faktycznie potrzebują oraz konta, które powinny być zdezaktywowane, ale nadal pozostają aktywne.
Istotne jest też to, że punkt wyjścia stanowi spojrzenie całościowe. Jednym z narzędzi używanych na początku ma być Security Health Check, który pomaga zrozumieć, skąd bierze się ryzyko i jak duża jego część wynika po prostu z konfiguracji. To cenna perspektywa dla admina, bo przesuwa uwagę z incydentów na codzienne decyzje projektowe i operacyjne.
W praktyce uczestnik ma przejść przez kilka obszarów. Pierwszy to struktura dostępu – org-wide defaults, role hierarchy i sharing rules. Dopiero zobaczenie bardzo otwartego modelu w działaniu pokazuje, jak łatwo doprowadzić do nadmiernej ekspozycji danych i jak trudno później przywrócić bardziej intencjonalny model bez zaburzenia pracy użytkowników.
Drugi obszar to field-level security, szczególnie dla danych wrażliwych. Sam dostęp do rekordu nie powinien automatycznie oznaczać dostępu do wszystkich pól. Ten rozdział między widocznością rekordu a widocznością konkretnych danych jest jednym z najważniejszych elementów do uporządkowania w orgach, które rozwijały się etapami.
Trzeci obszar dotyczy higieny użytkowników i kont technicznych – aktywnych nieaktywnych użytkowników, porzuconych kont systemowych oraz szerokich uprawnień pozostawionych po intensywnych projektach. To właśnie takie pozornie drobne zaniedbania często budują realną powierzchnię ryzyka. W podobnym kierunku idą też priorytety opisane w tekście o ochronie danych i kontroli dostępu w mniejszych orgach Salesforce.
Co z tym zrobić jako praktyk Salesforce już teraz
Najważniejsza lekcja z tego warsztatu jest prosta: security nie powinno zaczynać się dopiero wtedy, gdy pojawia się audyt, incydent albo pytanie od compliance. Sensowniejsze podejście polega na regularnym szukaniu wzorców ryzyka, zanim przerodzą się w problem operacyjny lub prawny.
Dla admina oznacza to trzy praktyczne kroki. Po pierwsze, trzeba okresowo oceniać model dostępu na poziomie ogólnym – czy org-wide defaults, role i reguły udostępniania nadal odpowiadają temu, jak naprawdę pracuje biznes. Po drugie, warto oddzielić widoczność rekordów od widoczności danych wrażliwych i sprawdzić, gdzie field-level security jest zbyt szerokie. Po trzecie, należy potraktować przegląd użytkowników i kont technicznych jako stały proces, a nie jednorazowe sprzątanie.
To nabiera jeszcze większego znaczenia w erze agentic AI, gdzie governance platformy i zdrowa postawa bezpieczeństwa stają się elementem codziennego zarządzania Salesforce. Im więcej zespołów opiera na platformie dane wrażliwe i procesy automatyczne, tym większy ciężar mają decyzje o dostępie. Presja na szybkość wdrożeń nie znika, ale wygoda nie może być domyślnym kryterium projektowym. Ten sam problem wraca przy nowych funkcjach i automatyzacjach, co dobrze pokazuje analiza zmian dla adminów w Summer ’26, gdzie uproszczenia administracyjne nadal wymagają świadomej kontroli uprawnień.
Security In Action ma dać szybkie zwycięstwa i plan działania, a nie tylko świadomość problemu. Uczestnik ma wyjść z lepszym rozumieniem, gdzie patrzeć, jak oceniać obecny stan i jak w praktyce wygląda poprawnie ustawiony model bezpieczeństwa. To sensowny kierunek dla adminów, którzy chcą zbudować pewność działania bez spowalniania zespołu.
Najciekawsze w tej inicjatywie jest to, że warsztat ma odbywać się co miesiąc, a scenariusze mają się zmieniać w ramach tych samych obszarów: danych, użytkowników i sesji. Planowo w lipcu ma też ruszyć wersja skupiona na AI i Agent Safeguards. Pytanie dla praktyków brzmi więc nie tylko, czy warto znać podstawy security, ale czy obecny model dostępu w waszym orgu przetrwałby taki warsztat bez przykrych niespodzianek.
