Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Auditoría de Salesforce: The Setup Audit Trail y Field History Tracking

Auditoría de Salesforce: The Setup Audit Trail y Field History Tracking

Jan 19, 2024

De manera predeterminada, Salesforce puede proporcionarte gran parte de la información que necesitas para pasar una SOX audit. Sin embargo, hay lagunas, y el proceso puede ser frustrante y llevar mucho tiempo. Antes de comenzar, es importante entender lo que puedes — y no puedes — hacer ya en tu Org.

En esta publicación, echamos un vistazo a dos de las principales herramientas de Salesforce para la preparación de la auditoría SOX audit prep — el Setup Audit Trail y el Field History Tracking.

Cumplimiento SOX: Qué está incluido

Antes de adentrarnos en las herramientas específicas que Salesforce ofrece para la preparación de auditorías, vale la pena revisar qué es exactamente lo que los auditores quieren ver. Desafortunadamente, no hay una respuesta clara para esto; solo ha sido en los últimos años que los auditores han comenzado a examinar más de cerca a Salesforce, y cada uno aportará un nivel diferente de familiaridad con la plataforma.

Con esa advertencia, lo que estamos viendo es un enfoque en tres cosas, y cómo pueden impactar potencialmente en el reconocimiento de ingresos:

  • Acceso: Sus políticas sobre provisión, contraseñas, autenticación multifactor y cambios en usuarios, perfiles y conjuntos de permisos.
  • Cambios en metadatos/configuración: Cómo sus equipos revisan y aprueban las solicitudes de cambio, y cómo esas aprobaciones se concilian con los cambios reales en el sistema.
  • Cambios en los datos de configuración: Cómo rastrear los cambios de configuración en Objetos críticos vinculados a ingresos (generalmente en las aplicaciones de CPQ y Facturación)

Contenido relacionado seleccionado:

El Registro de Auditoría de Configuración

Por qué nos gusta

El Setup Audit Trail de Salesforce es simple y directo: registra modificaciones en una amplia gama de tipos de cambios y los recopila en un archivo exportable que muestra qué cambio se realizó, quién hizo el cambio y cuándo se hizo. Realiza un seguimiento de los cambios en todo, desde la información de la empresa y la moneda hasta los detalles de perfiles y conjuntos de permisos; consulta la Salesforce Security Guide para ver la lista completa.

Una vez que haya generado su informe, puede filtrar los datos por Tipo y profundizar en los cambios que más preocupan a sus auditores.

Dónde está disponible

Salesforce Classic y Lightning Experience; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer y Database.com Editions

Dónde se queda corto

El Registro de Auditoría de Configuración le proporciona una cantidad bastante voluminosa de información, pero solo almacena esos datos durante 180 días. Esto significa que cualquier cambio que sus auditores quieran ver más allá de ese plazo sería inalcanzable. Esto deja a los equipos almacenando los datos en otro lugar, lo que a menudo plantea preguntas sobre su precisión por parte de los auditores.

El otro problema principal con el Setup Audit Trail es que, aunque muestra los cambios que ocurrieron en su Org, no muestra si fueron revisados o aprobados — detalles críticos para los auditores que querrán ver que los cambios sensibles siguieron un proceso apropiado.

Como resultado, los equipos de Salesforce tienen que reconciliar manualmente el Registro de Auditoría con las solicitudes y aprobaciones relevantes (que podrían estar en un sistema de tickets externo como Jira, en un correo electrónico, en un documento compartido, etc.) Es un proceso extremadamente laborioso que requiere recursos considerables en la preparación para una auditoría.

¿Qué más?

El Registro de Auditoría de Configuración hace un buen trabajo al capturar los cambios de configuración, pero aún así se pierde algunas cosas. Por ejemplo, no puede rastrear:

  • Cambios en la vista de lista personalizada
  • Cambios en los tipos de informe o criterios de filtro
  • Creación de nuevo informe

En última instancia, estos no son necesariamente grandes brechas, pero si tus auditores quieren verlas, tendrás que confiar en algo más que el Setup Audit Trail.

Contenido relacionado seleccionado:

Seguimiento del Historial de Campo

Por qué nos gusta

El seguimiento del historial de campos le permite seleccionar campos individuales en un objeto estándar o personalizado y rastrear automáticamente cualquier cambio dentro de ellos.

Una vez que haya seleccionado ciertos campos para rastrear, un registro de cualquier cambio se agregará a la lista relacionada de Historial, capturando la fecha y hora del cambio, quién lo hizo y otros detalles importantes. Y a menos que compre el complemento Field Audit Trail, esta información solo se conserva durante 18 meses a través de su Org, y hasta 24 meses si exporta a través de la API.

Dónde está disponible

Salesforce Classic (no disponible en todas las Orgs), Lightning Experience y la aplicación de Salesforce; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer y Database.com Editions (los objetos estándar no están disponibles en Database.com)

Dónde se queda corto

Similar al Registro de Auditoría de Configuración, los datos recopilados por el Seguimiento del Historial de Campos son tanto excesivos como insuficientes. Obtendrás mucha información, pero solo hasta cierto punto — un máximo de 20 campos pueden ser seleccionados por Objeto, y solo se recopilan 18 meses de datos (24 utilizando la API).

Además, el seguimiento del historial de campos solo registra los cambios desde el momento en que se activa en adelante, lo que puede ser un problema si no se toma el tiempo para determinar qué está dentro del alcance con anticipación.

¿Qué más?

El seguimiento del historial de campo no está disponible en todas las Organizaciones, ni en todos los Objetos. Además:

  • Si un campo tiene más de 255 caracteres, los valores antiguos y nuevos no se registrarán
  • Los cambios en los campos de tiempo tampoco se rastrean

La conclusión

Es completamente posible pasar una auditoría SOX utilizando las herramientas integradas de Salesforce. Pero dependiendo de las expectativas de tus Auditores, el proceso puede ser más difícil y llevar más tiempo del necesario. Las expectativas y demandas de los Auditores también están aumentando para la plataforma Salesforce. Cada vez más, estamos viendo que se requieren herramientas adicionales.

Hemos diseñado Netwrix Strongpoint para cerrar las brechas dejadas por el seguimiento del historial de campo y el registro de auditoría de configuración. Nuestros productos ofrecen un conjunto integral de compliance tools que rastrean e informan los cambios en el acceso de usuarios, metadatos y datos de configuración relacionados con ingresos en un registro detallado e inmutable. También contamos con integraciones desarrolladas para los principales sistemas de tickets para ayudar a automatizar la reconciliación de nuestros registros con las solicitudes de cambio originales donde comenzaron los cambios. Te proporcionamos varias herramientas para trabajar con estos datos y producir informes listos para auditoría que reducirán significativamente tanto tus costos como tus niveles de estrés.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Paul Staz

VP de Ventas y Marketing

Como VP de Ventas y Marketing, Paul es responsable de impulsar el crecimiento de los productos de Infraestructura y Aplicaciones en el portafolio de Netwrix. Sus principales áreas de enfoque son la seguridad y el cumplimiento para NetSuite, Salesforce e Infraestructura de Red. Está apasionado por las Estrategias de Ir al Mercado y generar resultados positivos para los clientes. Anteriormente, Paul fue VP de Ventas y Marketing en Strongpoint donde dirigió las funciones de Ir al Mercado antes de que fuera adquirido por Netwrix. Paul tiene un título de Licenciado en Artes y una Maestría en Administración de Empresas de la Universidad McMaster en Hamilton, Ontario, Canadá.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad