La Automatización Robótica de Procesos (RPA) trae muchos beneficios a las organizaciones. Al crear una fuerza de trabajo virtual, mejora la eficiencia comercial, la reducción de errores, la estandarización, un tiempo más rápido para completar, la reducción de costos y mejora la experiencia del cliente. Sin embargo, cuanto más acceso y funcionalidad brindamos a los bots, más riesgos de seguridad comienzan a surgir, principalmente cuando los bots manejan una cantidad considerable de datos empresariales confidenciales en los negocios diarios. Esto puede implicar el ingreso de datos de una aplicación a otra, la transferencia de archivos, el procesamiento de pedidos, la ejecución de nóminas, el procesamiento de pólizas de seguros, etc.
Cualquier riesgo de seguridad en forma de abuso de los privilegios de administración, pérdida de datos o acceso no autorizado a información confidencial y de alto valor puede tener un impacto considerable. Desafortunadamente, abordar los riesgos de seguridad a menudo pasa a un segundo plano frente a la promesa de ahorro de costos y agilidad de la tecnología.
Los desafíos de seguridad más comunes en RPA son los resultados inmediatos de una gobernanza deficiente, una implementación ineficiente, lagunas en los controles de IAM, falta de preparación para la continuidad del negocio, gestión de vulnerabilidades inadecuada, incumplimiento normativo y protección de datos insuficiente.
Uno de esos riesgos comunes es la divulgación de datos confidenciales. Las plataformas de automatización suelen tener acceso a sistemas e información confidenciales, como listas de inventario, números de tarjetas de crédito, direcciones, datos financieros, contraseñas y otros datos personales de empleados, clientes y proveedores. Si un bot se ve comprometido, puede dar lugar a la divulgación de información confidencial.
La denegación de servicio es otro riesgo crítico. Si un ecosistema RPA se ve comprometido, puede provocar que un servicio se detenga, modifique o incluso se ejecute en una secuencia rápida para agotar todos los recursos. Una vulnerabilidad en el software de robótica es una oportunidad para que los atacantes obtengan acceso remoto a varios sistemas críticos en la red de una organización y lancen ataques desde adentro.
El abuso del acceso privilegiado es un desafío importante porque las cuentas privilegiadas son fundamentales para realizar tareas específicas en RPA. Si se compromete una cuenta de usuario robótica altamente privilegiada, un atacante obtiene acceso a datos confidenciales y se mueve lateralmente dentro de una red. Un infiltrado malicioso puede entrenar a un bot para que destruya datos de alto valor, interrumpiendo procesos comerciales clave, como la generación de pedidos de los clientes. Un creador de bots puede incluso entrenar a un bot para que cargue la información de la tarjeta de crédito en una base de datos accesible a través de la web. También es posible que el creador de un bot aproveche una cuenta genérica para robar propiedad intelectual confidencial, lo que dificulta la identificación de las fuentes reales de la filtración.
¿Cómo aseguramos el ecosistema RPA?
Gobernancia
- Establezca un marco de gobierno con funciones y responsabilidades claras para varios tipos de usuarios.
- Mantener una lista de verificación de requisitos de seguridad.
- Cree una estrategia de seguridad en línea con las políticas de seguridad y el cumplimiento. Evalúe la plataforma RPA regularmente para el cumplimiento de la seguridad.
- Cree conciencia entre los creadores de bots y los usuarios comerciales sobre los riesgos de RPA y ejecute programas formales de gestión de riesgos para los riesgos de RPA en el ecosistema.
- Personalice estrictamente el entorno RPA a través de la integración del directorio activo.
Controles de seguridad
- Mantenga controles de seguridad regulares que incluyan un diseño seguro, buen gobierno, gestión de acceso e identidad y gestión de registros de auditoría.
- Aplique controles más estrictos cuando los bots traten con información de identificación personal, datos regulados o datos de cumplimiento.
- Parche regularmente la plataforma RPA para cualquier vulnerabilidad.
- Exija siempre documentos de especificaciones funcionales, casos de prueba de unidad, lista de verificación de revisión de código, casos de prueba de integración de sistemas, UAT y documentos de transferencia comercial, antes de pasar un bot a producción.
- Gestione los riesgos de RPA solo a través de un programa formal de gestión de riesgos.
- Evite usar identificaciones genéricas para bots. Asigne ID únicos a cada bot para acceder a una aplicación o carpeta.
- Mantener un repositorio de los bots, IDs, aplicaciones, etc. como referencia para el equipo de RPA.
- Realice una revisión del diseño y un análisis de riesgos de la arquitectura de seguridad para identificar fallas.
- Escanear códigos creados en el backend en busca de vulnerabilidades de seguridad
Seguridad de datos y redes
- Almacene toda la información confidencial encriptada en una base de datos segura.
- Use una bóveda de credenciales cifrada y centralizada para administrar las credenciales de los bots.
- Revisa periódicamente el acceso a las cuentas de servicio.
- Mantenga una segregación adecuada de las máquinas de procesamiento, según la naturaleza de las tareas que realizan los bots.
- Realice evaluaciones de cumplimiento mientras segrega la red.
Roles y responsabilidades
- Defina y administre claramente los privilegios de acceso de los usuarios/segregación de funciones.
- Separe el acceso a los datos en función de los roles.
- Proporcione permisos de administrador de dominio y acceso elevado solo si es necesario.
- Cree un conjunto de usuarios comerciales para realizar pruebas.
- Cree un administrador de bots que pueda crear el flujo de trabajo y administrar los cronogramas para los BOT, monitorear su progreso, etc.
- Maneje la política de contraseñas y la solicitud de contraseñas con la ayuda de los dueños de negocios
Gestión de registros
- Registra cada actividad ejecutada por tus bots.
- Recopile datos de registro para monitorear los picos de actividad anormales, el acceso al sistema y el uso de cuentas privilegiadas.
- Realice un análisis de vulnerabilidades y ejecute ejercicios de modelado de amenazas para determinar las debilidades técnicas.
- Realizar auditorías y revisiones independientes.