La automatización de TI (ITA) y la automatización de procesos comerciales (BPA) existen desde hace décadas, lo que permite a las empresas mejorar su eficiencia y productividad. Pero con la reciente transición de ITA/BPA a la automatización robótica de procesos (RPA) con la implementación de inteligencia artificial y aprendizaje automático para mantener los esfuerzos humanos y los errores al mínimo, surge un inconveniente, es decir, ¡riesgos en forma de ataques cibernéticos!
Entonces, ¿cómo podemos prevenir estos ataques y proteger la información confidencial (listas de inventario, números de tarjetas de crédito, direcciones, información financiera, contraseñas, etc.) de sus empleados, clientes y proveedores?
Lo primero es establecer todos los pasos correctamente y pensar en el riesgo y los controles por adelantado. Afinar su enfoque y hacer las preguntas correctas es esencial para detener los riesgos y aprovechar al máximo su RPA. Una organización debe considerar los elementos técnicos, de proceso y humanos de todo el ecosistema robótico para garantizar la implementación de RPA. Un diseño seguro debe cubrir todo el ciclo de vida del producto desde los requisitos, la selección, la arquitectura, la aplicación y las operaciones en curso.
¿Cómo puedo asegurar mi ecosistema RPA?
Gobernancia
- Cree una estrategia y requisitos de seguridad para RPA dentro de las políticas y controle el cumplimiento de las políticas de seguridad relacionadas con RPA
- Establecer un marco de gobierno con roles y responsabilidades para asegurar la robótica
- Administre los riesgos de RPA identificados a través de un programa formal de gestión de riesgos y aumente la conciencia entre los creadores de bots y los usuarios comerciales sobre los peligros de RPA
Seguridad del software y del producto
- Realice una revisión del diseño seguro, incluido el análisis del flujo de datos para verificar que los controles en torno a la seguridad estén integrados en la autenticación, autorización y validación de entrada del bot.
- Asegúrese de que el esquema para la implementación de bots tenga en cuenta las consideraciones de seguridad
- Realice un análisis de riesgos de la arquitectura de seguridad de las soluciones RPA elegidas, incluida la creación, el control y la ejecución de bots. Identifique las fallas de la arquitectura de seguridad en el producto subyacente para las conexiones en varios entornos, el uso de metodologías de virtualización y las fallas de autorización.
- Integre herramientas de escaneo de seguridad como parte del proceso de creación de bots para escanear el código creado en el back-end en busca de vulnerabilidades de seguridad.
- Bot de escaneo creado para vulnerabilidades de seguridad utilizando pruebas dinámicas o tecnología de fuzzing de seguridad para determinar fallas de seguridad
Identidad digital y acceso
- Administrar los privilegios de acceso de los usuarios/riesgo de segregación de funciones; por ejemplo, el uso de una matriz de seguridad especializada autoriza a los bots solo a realizar las tareas que se les asignan
- Mejore la auditabilidad (cada paso podría registrarse) y controle las actividades manuales propensas a errores que elevan el riesgo y el incumplimiento.
- Hacer cumplir las contraseñas de forma coherente en las sesiones robóticas y centralizar el proceso de gestión de identidades y accesos robóticos; aproveche los administradores de credenciales cifradas para evitar la fuga de credenciales
- Implemente controles de seguridad para proteger las credenciales durante el tiempo de ejecución de la sesión robótica; por ejemplo, el uso del inicio de sesión único (SSO) con el protocolo ligero de acceso a directorios (LDAP) admite el inicio de sesión seguro en la interfaz RPA
Identificación y protección de datos
- Monitoreo de datos sensibles procesados para verificar el cumplimiento de las políticas de uso
- Llevar a cabo una evaluación del cumplimiento de las normas de datos para el uso de la robótica y la automatización.
- Evaluación y validación del código de integridad
Operaciones de seguridad
- Realización de análisis de vulnerabilidades de su plataforma robótica y ejecución de ejercicios de modelado de amenazas para determinar debilidades técnicas o brechas en los procesos.
- Recopilación de datos de registro de controladores y ejecutores de bots para proporcionar un seguimiento de auditoría de actividades como el monitoreo de picos anormales de inactividad, acceso al sistema y uso de cuentas privilegiadas.