Seguridad de los datos en Salesforce: un análisis técnico

La seguridad de los datos es una preocupación fundamental para cualquier organización que utilice servicios en la nube.

En este artículo, examinaremos en detalle cómo Salesforce implementa y gestiona la seguridad de los datos empresariales, analizando los diferentes componentes de la arquitectura de seguridad y las mejores prácticas para proteger la información confidencial.

Salesforce implementa una arquitectura de seguridad multinivel.

Esta expresión significa que existen varios niveles de protección, cada uno con una función específica para garantizar la seguridad.

A nivel de organización, Salesforce garantiza la seguridad general de la plataforma mediante mecanismos como las restricciones de direcciones IP (es decir, es posible limitar algunas operaciones solo a quienes se conectan desde determinados puntos de la red), la autenticación multifactorial (MFA, es decir, una segunda verificación además de la contraseña, por ejemplo, con el teléfono móvil) y la gestión de sesiones de usuario, limitando el acceso solo a quienes están autorizados.

En cuanto a la seguridad de los «objetos», el sistema establece qué usuarios pueden ver, modificar, crear o eliminar determinados objetos dentro de la plataforma.

Quizás recuerdes que, en Salesforce, un objeto es una estructura de datos que representa una entidad específica dentro del sistema, similar a una tabla en una base de datos relacional. Cada objeto contiene campos, que corresponden a las columnas de una tabla, y registros, que representan las entradas individuales almacenadas.

Este nivel de control se gestiona principalmente a través de los perfiles de usuario y los permisos asociados a los objetos. En la práctica, cada usuario solo puede trabajar con determinados tipos de objetos, los necesarios para realizar su trabajo.

Además de la gestión de objetos, Salesforce ofrece un control más granular sobre la seguridad de los registros individuales (los datos propiamente dichos). Esto significa que los usuarios solo pueden acceder a determinados registros en función de su función, la jerarquía de la empresa o las reglas de uso compartido predefinidas. De este modo, por ejemplo, un vendedor solo puede acceder a sus clientes, mientras que un gerente puede ver todos los registros de su equipo.

Un nivel adicional de seguridad se refiere a los campos individuales dentro de un objeto. Con esta configuración, se puede impedir que un usuario vea o modifique información específica, incluso si tiene acceso al registro. Por ejemplo, un agente de ventas podría ver los detalles de un cliente, pero no los datos financieros confidenciales.

Por último, Salesforce permite controlar el acceso a aplicaciones y componentes específicos de la interfaz de usuario, gestionando quién puede interactuar con determinadas páginas o funciones a través de perfiles, conjuntos de permisos y configuraciones de las interfaces Lightning.

Un ejemplo concreto de esta arquitectura se puede encontrar en una empresa que utiliza Salesforce para la gestión de ventas y atención al cliente. Quienes trabajan en la oficina de ventas solo tendrán acceso a sus propios clientes, mientras que un director del departamento podrá ver los registros de todo el equipo. Un administrador, aunque tenga un control total, podría no estar autorizado a modificar datos sensibles, como los financieros, gracias a las restricciones aplicadas a los campos.

Esta estrategia multinivel garantiza que la información solo sea accesible para las personas autorizadas, protegiendo los datos sensibles y garantizando el cumplimiento de las políticas de seguridad de la empresa.

Además, existe una seguridad de la infraestructura

La infraestructura física de Salesforce (en la práctica, los servidores con los datos) está diseñada según los más altos estándares de seguridad:

Los centros de datos cuentan con la certificación ISO 27001 (una norma global para la gestión de la seguridad de la información aplicable a cualquier organización) y SOC 2 Tipo II (una auditoría específica para empresas que prestan servicios en la nube, que demuestra su capacidad para proteger los datos de los clientes a lo largo del tiempo).

Existen sistemas redundantes de alta disponibilidad y copias de seguridad distribuidas geográficamente. En la práctica, cada componente crítico de la infraestructura tiene al menos una contraparte idéntica lista para tomar el relevo en caso de fallo.

Esto incluye servidores de aplicaciones, bases de datos, sistemas de almacenamiento y componentes de red. La redundancia también se extiende a nivel geográfico, con centros de datos «espejo» (es decir, idénticos) que funcionan en modo activo-activo (es decir, tanto el «original» como el «clon» están activos al mismo tiempo).

Esto permite la conmutación automática en caso de desastres naturales u otros eventos críticos. La conmutación significa que, en caso de fallo de un componente crítico, se activa automáticamente el de reserva.

Esta arquitectura permite mantener un tiempo de actividad del 99,99 %, con mantenimientos programados que no afectan a la disponibilidad del servicio (porque se trabaja en uno de los diversos elementos redundantes).

Salesforce también ofrece supervisión 24/7, con vigilancia continua y sistemas de detección de intrusiones.

También es interesante señalar que Salesforce ofrece cifrado a nivel de hardware. El proceso de cifrado se realiza automáticamente sobre los datos almacenados en campos específicos (los más críticos, como números de la seguridad social, información financiera o cualquier otro dato sensible configurado para ser cifrado).

Sin embargo, a diferencia del cifrado tradicional basado en soluciones de software, el cifrado de hardware reduce el riesgo de compromiso de las claves y mejora el rendimiento criptográfico, ya que las operaciones de cifrado y descifrado se realizan directamente desde el hardware. Estas herramientas funcionan como un entorno aislado, en el que las claves criptográficas se generan, almacenan y utilizan sin exponerse nunca directamente al sistema operativo o a las aplicaciones que las solicitan.

También existe una protección de la red, que incluye:

Un firewall multinivel. Este tipo de firewall analiza tanto las características básicas de los paquetes en tránsito como el contenido de las comunicaciones para detectar amenazas más avanzadas. Por ejemplo, puede bloquear intentos de acceso no autorizado a determinados servicios, filtrar paquetes sospechosos basándose en firmas conocidas e incluso analizar el comportamiento de las conexiones para detectar actividades anómalas.

Sistemas IDS/IPS (sistema de detección de intrusiones y sistema de prevención de intrusiones) para supervisar el tráfico de la red e identificar intentos de intrusión o comportamientos sospechosos en tiempo real. Un IDS se limita a detectar amenazas y avisar a los administradores, mientras que un IPS va más allá y bloquea automáticamente el tráfico malicioso antes de que pueda causar daños. Estos sistemas utilizan firmas predefinidas, análisis de comportamiento e inteligencia artificial para identificar ataques cibernéticos, como exploits de día cero o intentos de acceso no autorizados.

El protocolo SSL/TLS garantiza el cifrado de las comunicaciones entre el cliente y el servidor, protegiendo datos sensibles como credenciales de acceso e información de pago. La última versión, TLS 1.3, ofrece mayor seguridad y eficiencia que los protocolos anteriores, eliminando algoritmos débiles y reduciendo el tiempo necesario para establecer una conexión segura. Los certificados digitales utilizados permiten verificar la autenticidad de los servidores y prevenir ataques como el «man-in-the-middle», asegurando que los datos transmitidos no puedan ser interceptados o alterados por terceros.

WAF (Web Application Firewall), que protege las aplicaciones web de ataques comunes como la inyección SQL, el cross-site scripting (XSS) y los ataques DDoS. A diferencia de un firewall tradicional, que se ocupa principalmente del tráfico general de la red, un WAF analiza las solicitudes HTTP y HTTPS dirigidas a un sitio web para identificar comportamientos maliciosos. Puede filtrar, bloquear o reescribir solicitudes para impedir la ejecución de código malicioso o el acceso no autorizado a datos confidenciales, ofreciendo así una protección avanzada para las plataformas en línea.

Por último, si algo no sale bien, existen copias de seguridad automáticas, con la posibilidad de recuperar datos hasta 90 días.

Por último, la recuperación ante desastres (el plan que se aplica en caso de catástrofes) garantiza un RPO (objetivo de punto de recuperación) de 2 horas y un RTO (objetivo de tiempo de recuperación) de 4 horas.

Un RPO de 2 horas indica que, en caso de desastre, la empresa perderá como máximo dos horas de datos.

Esto significa que las copias de seguridad deben realizarse al menos cada dos horas, para que, en caso de recuperación, no se pierda un intervalo de tiempo superior.

Por otro lado, un RTO de 4 horas significa que el tiempo máximo para restaurar los sistemas y volver a estar operativos después de un desastre es de cuatro horas. Si se produce un evento crítico, el proceso de recuperación se completará dentro de este intervalo para evitar impactos significativos en las operaciones de la empresa.