Cómo proteger su ecosistema RPA de los riesgos de seguridad (Lista de verificación)

 

Robotics Process Automation (RPA) brinda muchos beneficios a las organizaciones. Al crear una fuerza laboral virtual, mejora la eficiencia del negocio, la reducción de errores, la estandarización, el tiempo más rápido para completar, la reducción de costos y mejorar la experiencia del cliente. Sin embargo, cuanto más acceso y funcionalidad brindamos a los bots, más riesgos de seguridad comienzan a surgir, principalmente cuando los bots manejan una cantidad considerable de datos confidenciales de la empresa en los negocios diarios. Esto puede implicar ingresar datos de una aplicación a otra, transferir archivos, procesar pedidos, ejecutar nóminas, procesar pólizas de seguro, etc.

Cualquier riesgo de seguridad en forma de abuso de los privilegios de administración, pérdida de datos o acceso no autorizado a información confidencial y de alto valor puede tener un impacto considerable. Desafortunadamente, abordar los riesgos de seguridad a menudo pasa a un segundo plano ante la promesa de la tecnología de ahorrar costos y agilidad.

 

Los desafíos de seguridad más comunes en RPA son los resultados inmediatos de una gobernanza deficiente, implementación ineficiente, brechas en los controles de IAM, falta de preparación para la Continuidad del Negocio, gestión inadecuada de vulnerabilidades, incumplimiento normativo e insuficiente protección de datos.

Uno de estos riesgos comunes es la divulgación de datos confidenciales. Las plataformas de automatización generalmente tienen acceso a sistemas e información confidenciales, como listas de inventario, números de tarjetas de crédito, direcciones, datos financieros, contraseñas y otros datos personales de empleados, clientes y proveedores. Si un bot se ve comprometido, puede conducir a la divulgación de información confidencial.

La denegación de servicio es otro riesgo crítico. Si un ecosistema RPA se ve comprometido, puede hacer que un servicio se detenga, modifique o incluso se ejecute en secuencia rápida para agotar todos los recursos. Una vulnerabilidad en el software de robótica es una oportunidad para que los atacantes obtengan acceso remoto a varios sistemas críticos en la red de una organización y lancen ataques desde dentro.

El abuso del acceso privilegiado es un desafío importante porque las cuentas privilegiadas son críticas para realizar tareas específicas en RPA. Si una cuenta de usuario robótica altamente privilegiada se ve comprometida, un atacante obtiene acceso a datos confidenciales y se mueve lateralmente dentro de una red. Una persona con información maliciosa puede entrenar a un bot para destruir datos de alto valor, interrumpiendo procesos comerciales clave, como los clientes que generan pedidos. Un creador de bots incluso puede entrenar a un bot para cargar información de tarjeta de crédito a una base de datos accesible a través de la web. También es posible que un creador de bots aproveche una cuenta genérica para robar propiedad intelectual sensible, lo que dificulta la identificación de las fuentes reales de la fuga.

¿Cómo aseguramos el ecosistema RPA?

Gobernancia

  • Establezca un marco de gobierno con funciones y responsabilidades claras para varios tipos de usuarios.
  • Mantenga una lista de verificación de requisitos de seguridad.
  • Desarrolle una estrategia de seguridad en línea con las políticas de seguridad y el cumplimiento. Evaluar la plataforma RPA regularmente para el cumplimiento de la seguridad.
  • Crear conciencia entre los creadores de bots y los usuarios comerciales sobre los riesgos de RPA y ejecutar programas formales de gestión de riesgos para los riesgos de RPA en el ecosistema.
  • Personalice estrictamente el entorno RPA a través de la integración de directorio activo.

Controles de seguridad

  • Mantenga controles de seguridad regulares que incluyan diseño seguro, buen gobierno, gestión de identidad y acceso, y gestión de registros de auditoría.
  • Aplique controles más estrictos cuando los bots manejen información de identificación personal, datos regulados o datos de cumplimiento.
  • Revise regularmente la plataforma RPA para detectar cualquier vulnerabilidad.
  • Siempre exija documentos de especificación funcional, casos de prueba de unidad, lista de verificación de revisión de código, casos de prueba de integración de sistemas, UAT y documentos de transferencia comercial, antes de pasar un bot a producción.
  • Gestione los riesgos RPA solo a través de un programa formal de gestión de riesgos.
  • Evite usar ID genéricos para bots. Asigne ID únicos a cada bot para acceder a una aplicación o carpeta.
  • Mantenga un repositorio de los bots, ID, aplicaciones, etc. como referencia para el equipo de RPA.
  • Realice una revisión del diseño y un análisis de riesgos de la arquitectura de seguridad para identificar fallas.
  • Escanee códigos creados en el back-end para detectar vulnerabilidades de seguridad

Seguridad de datos y redes.

  • Almacene toda la información confidencial encriptada en una base de datos segura.
  • Use una bóveda de credenciales centralizada y encriptada para administrar las credenciales de los bots.
  • Revise el acceso a las cuentas de servicio periódicamente.
  • Mantenga una segregación adecuada de las máquinas de procesamiento, en función de la naturaleza de las tareas que realizan los bots.
  • Realice evaluaciones de cumplimiento mientras segrega la red.

Roles y responsabilidades

  • Definir y gestionar claramente los privilegios de acceso de los usuarios / segregación de funciones.
  • Separar el acceso a los datos en función de los roles.
  • Proporcione permisos de administrador de dominio y acceso elevado solo si es necesario.
  • Cree un conjunto de usuarios comerciales para realizar pruebas.
  • Cree un administrador de bot que pueda crear el flujo de trabajo y administrar los horarios de los BOT, supervisar su progreso, etc.
  • Maneje la política de contraseña y la solicitud de contraseña con la ayuda de los dueños de negocios

Gestión de registros

  • Registre cada actividad ejecutada por sus bots.
  • Recopile datos de registro para monitorear picos de actividad anormales, acceso al sistema y el uso de cuentas privilegiadas.
  • Realice análisis de vulnerabilidades y ejecute ejercicios de modelado de amenazas para determinar las debilidades técnicas.
  • Realizar auditorías y revisiones independientes.

Leave a Comment!