Integración de la seguridad en la automatización de procesos de robots


Las herramientas de automatización de procesos robóticos (RPA) pueden manejar datos corporativos confidenciales. Esto puede incluir copiar e insertar números de cuenta y cantidades de facturas en los sistemas de pago.

Como resultado, un bot tiene acceso privilegiado a los sistemas y recursos empresariales. Los datos confidenciales pueden estar disponibles para los atacantes, y en particular para los iniciados, a menos que se hayan tomado las medidas de seguridad adecuadas.

Por ejemplo, se pueden mostrar las credenciales del bot RPA o los datos del cliente procesados ​​por el bot. En caso de fraude, los iniciados pueden usar los derechos de acceso de RPA para agregar acciones fraudulentas a los scripts de RPA en ejecución. El control adecuado, incluida la seguridad, es por lo tanto esencial.

Los oficiales de seguridad deben tratar el RPA como un enfoque para automatizar los procesos comerciales, no solo para grabar y lanzar guiones. Una vez implementado, RPA se convertirá en una parte integral de la infraestructura empresarial, y su seguridad también debería integrarse en la seguridad empresarial.

Precio y funcionalidad

Las organizaciones eligen herramientas RPA no basadas en características de seguridad, sino en precio y funcionalidad. Solo después del proceso de selección y durante la implementación, las organizaciones se aseguran de que se proporcione seguridad básica, como encriptar los datos que procesa la herramienta.

Gartner recomienda que se requiera una evaluación de la herramienta RPA por parte de un proveedor de pruebas para el proceso de selección. Las herramientas RPA a menudo aseguran que un proveedor de pruebas de seguridad de aplicaciones las ha probado para detectar vulnerabilidades.

Este informe de evaluación debe ser requerido. Si no se realiza una auditoría de seguridad adecuada de la herramienta RPA, se pueden generar vulnerabilidades de seguridad en la implementación. Si se produce un error de seguridad RPA, el equipo de seguridad debe revisar los archivos de registro.

Full Audit Trail

Ciertas características de seguridad en las implementaciones de RPA no pueden ni deben proporcionarse a través de herramientas de terceros. Idealmente, aunque se pueden usar herramientas de auditoría de terceros, la herramienta RPA debería generar el registro en sí mismo porque tiene una visibilidad completa de las acciones que ha realizado en las aplicaciones a las que accedió. No hay visibilidad ni compatibilidad con aplicaciones.

El protocolo o seguimiento de auditoría de la actividad RPA es de suma importancia para garantizar la discrepancia. Sin ellos, una investigación no es posible. La herramienta RPA debe ser capaz de proporcionar un registro completo, generado por el sistema e inmutable de su actividad.

Las empresas generalmente dirigen el registro de RPA a un sistema separado donde los registros se almacenan de forma segura y son forenses; B. una gestión central de registros. El protocolo debe estar completo, ya que las brechas podrían obstaculizar cualquier investigación o el equipo de seguridad podría perder advertencias importantes.

El registro debe ser generado por el sistema y protegido por integridad para garantizar que sea inmutable. Una forma de hacerlo es firmar el registro. Para garantizar la integridad del script, el registro también debe tener en cuenta los cambios realizados por los desarrolladores u otras partes en los scripts.

No reutilice los permisos de usuario con bots.

Los operadores de bot son empleados responsables de iniciar secuencias de comandos RPA y manejar excepciones

A veces, las empresas que tienen prisa por implementar RPA y ver resultados inmediatos no se encontrarán entre los operadores bot y los que Diferenciar identidades de bot. Los bots se ejecutan con credenciales de usuario.

Esta configuración no deja claro cuándo un bot realizó una operación de script y cuándo un usuario realizó una acción. Se hace imposible identificar inequívocamente acciones, errores y, sobre todo, ataques o acciones fraudulentas.

El otro problema que surge de la reutilización de credenciales humanas con bots es que los administradores tienden a mantener la complejidad del código de acceso y la frecuencia de rotación al mínimo.

Los administradores están limitados a lo que es apropiado para el usuario, no a lo que puede manejar un bot. Esto facilita los ataques de fuerza bruta y la pérdida de datos resultante.

En cambio, Gartner recomienda asignar a cada bot RPA una identidad única. Los bots deben, si es posible, tener credenciales dedicadas.

Los estándares de denominación de identidad deberían, si es posible, también distinguir entre la identidad de humanos y bots. No hay una sola forma correcta de ponerlo en práctica. Un ejemplo podría ser asignar B-123 como identidad para el bot operado por un empleado con la identidad E-123.

Finalmente, las pistas de auditoría (registros) deben contener la información que el usuario E-123 ha solicitado que el Bot B-123 realice la tarea X.

Una excepción a esta regla son algunos casos de uso (como el centro de llamadas). Operaciones) en el que los usuarios humanos utilizan la tecnología de automatización robótica en su computadora para automatizar ciertas operaciones que forman parte de un proceso manual más amplio. [19659007] Esto a veces se conoce como Robot Desktop Automation (RDA). En estos casos, puede ser difícil evitar la reutilización de credenciales de usuario.

Ajuste del acceso a datos RPA

Algunas organizaciones han expresado su preocupación por permitir que RPA modifique directamente las bases de datos. Esto puede conducir a la manipulación de datos, pero especialmente a la corrupción de datos.

Si hay una interfaz de usuario disponible para el acceso a la base de datos, debe usarse, incluso si ralentiza el bot. Alternativamente, herramientas como el monitoreo de la actividad de la base de datos frente a las bases de datos proporcionan monitoreo.

La mayoría de las herramientas RPA proporcionan controles de acceso basados ​​en roles y recursos para restringir el acceso a las funciones RPA. Las herramientas RPA también pueden integrarse con los servicios de directorio de la empresa, restringir el acceso a los recursos corporativos y asignar los permisos de la cuenta correctamente.

Gartner alienta a los departamentos de TI a evitar el uso de versiones gratuitas de herramientas RPA con datos de producción. Las versiones gratuitas de las herramientas RPA a menudo son solo para fines de prueba y no tienen características de seguridad. Estas versiones pueden hacer públicos todos los datos utilizados con ellos, por lo que solo deben usarse como herramientas de prueba con datos de prueba.

En general, Gartner recomienda que los oficiales de seguridad limiten el acceso RPA a lo que cada bot necesita absolutamente para realizar la tarea asignada, por ejemplo, un script RPA que copia ciertos valores de una base de datos y en un correo electrónico encaja.

El bot que ejecuta el script solo debe tener acceso de lectura a la base de datos, no acceso de escritura.

Negocios

La ​​mayoría de las iniciativas RPA son ​​lideradas por la industria. Se consulta esporádicamente a los equipos de TI y seguridad durante el desarrollo, si corresponde. Las iniciativas son lideradas por la industria y luego podrían ser entregadas a TI.

Hemos encontrado un lenguaje común y un diálogo entre el equipo de seguridad y la industria. El equipo que lidera la iniciativa RPA es esencial.

Esto puede requerir la definición de un marco de riesgo en el que se evalúa el riesgo de cada script RPA.

Este artículo se basa en un extracto de los cuatro incumplimientos de seguridad más importantes de Gartner en la automatización de procesos robóticos de los analistas Dionisio Zumerle y Cathy Tornbohm.



Software alquiler maquinaria de Cea Ordenadores