"¿Es la automatización segura para mi negocio?" La ciberseguridad es uno de los temas más debatidos entre los empresarios cuando se trata de la automatización de empresas y de la Automatización Robótica de Procesos, em particular. Faz sentido, pois está se tornando cada vez mais desafiador acompanhar todas as implicações potenciais e riscos de segurança das tecnologias em constante mudança no dia-a-dia.
En este artículo, abordaremos los posibles riesgos de seguridad de la RPA, hablaremos de las mejores prácticas para una RPA segura y le proporcionaremos un plan de acción paso a paso.
Seguridad en RPA: Áreas de riesgo
Al implementar RPA, hay cuatro áreas clave en las que su negocio puede estar en riesgo. Se correlacionan principalmente con los riesgos tradicionales de ciberseguridad:
- Abuso de acceso privilegiado;
- Vulnerabilidades del sistema;
- Riesgos de la inactividad del sistema;
- Divulgación de información confidencial.
Veamos con más detalle cada una de ellas.
1. Abuso de acceso privilegiado
Las sombrías estadísticas muestran que el 74% de las filtraciones de datos comienzan con el abuso del acceso privilegiado.
El término es aplicable a los sistemas internos y a las bases de datos de cualquier empresa, y se asocia siempre a las cuentas privilegiadas, es decir, a las cuentas con mayores derechos de acceso a los datos de la empresa. Puede tratarse de cuentas de miembros del equipo de TI (por ejemplo, funciones de administrador de sistemas y sitios) o de cuentas de empleados que trabajan con datos sensibles, por ejemplo, gestores financieros.
En cuanto a la seguridad de las RPAs, los riesgos asociados con el abuso del acceso privilegiado por parte de los bots RPA son en su mayoría los mismos que los relacionados con el abuso del acceso privilegiado por parte de los humanos. Por ejemplo:
- El acceso privilegiado otorgado a una cuenta de bot de RPA puede ser utilizado por los atacantes para irrumpir en el sistema y robar o hacer un uso indebido de su información empresarial sensible.
- Los atacantes pueden entrenar a un bot para que interrumpa operaciones comerciales importantes relacionadas con clientes, pedidos o transacciones.
2. Vulnerabilidades del Sistema
En términos sencillos, las vulnerabilidades son puntos débiles en un sistema de información que permiten a los ciberatacantes obtener acceso ilegal al sistema y realizar acciones maliciosas.
Una de las vulnerabilidades puede aparecer cuando un empleado se comporta de forma imprudente al visitar un sitio web inseguro. En este caso, el sitio web es un recurso de amenaza que desencadena una vulnerabilidad. Algunos de los ejemplos más comunes de vulnerabilidades son:
- Ausencia de encriptación de datos;
- Inyección SQL;
- Falta de autorización;
- Cruce de referencias y falsificación;
- Contraseñas débiles;
- Cargar el software infectado.
He aquí dos posibles escenarios de riesgo en caso de vulnerabilidad en el RPA:
- Las vulnerabilidades en el backend del sistema RPA pueden proporcionar a los ciberatacantes acceso a la red corporativa.
- Aunque la mayoría de los sistemas RPA avanzados de hoy en día utilizan el cifrado durante la transferencia de datos, todavía hay herramientas RPA de bajo nivel de seguridad en las que la transferencia de datos sin cifrar puede causar la fuga de datos sensibles.
3. Inactividad del Sistema
La interrupción del sistema (o tiempo de inactividad) se refiere al periodo de tiempo en el que un sistema/red no puede realizar su función principal. El tiempo de inactividad puede ocurrir por varias razones. Entre los motivos más frecuentes están:
- El error humano;
- Hardware anticuado o inestable;
- Errores en el sistema operativo del servidor
- Problemas de integración/interoperabilidad.
Por ejemplo, en 2018, en el día de Amazon Prime, millones de compradores se enfrentaron a una caída del tráfico en la página de "Ofertas" de Amazon porque sus servidores no podían manejar un pico tan grande de tráfico en línea.
En RPA, hay dos escenarios de riesgo potenciales relacionados con la interrupción del sistema:
- Un fallo inesperado de la red puede interrumpir el funcionamiento del bot, provocando una importante pérdida de productividad.
- Una secuencia rápida de actividades de los bots puede causar un fallo o una interrupción del sistema.
4. Divulgación de Información Confidencial
La información confidencial es cualquier información relacionada con los negocios y asuntos de una empresa que no está disponible para el público y que tiene valor comercial. La divulgación no autorizada de información financiera, planes de marketing, proyectos futuros y cualquier otro material marcado como confidencial de una empresa puede tener consecuencias devastadoras.
A veces, incluso una simple llamada a un socio comercial durante la hora de la comida, o alguien que envía impulsivamente un correo electrónico desde la bandeja de entrada de la empresa a un amigo para compartir alguna noticia de la compañía, puede considerarse una revelación de información confidencial. Esto se suma a una plétora de casos en los que dicha revelación se hace a propósito, con la ayuda de técnicas más sofisticadas.
En RPA, puede surgir un escenario de riesgo relacionado con la divulgación de información confidencial cuando el entrenamiento intencionado, negligente o inadecuado de un robot RPA haya provocado la filtración de datos confidenciales, como datos de pago o de tarjetas de crédito, a la web.
Gestión de riesgos de RPA y mejores prácticas de seguridad
Los ejemplos y escenarios anteriores atestiguan que los riesgos de seguridad de los RPA no son muy diferentes de los riesgos de ciberseguridad tradicionales a los que cualquier empresa tiene que enfrentarse. Además, los bots RPA no son sorprendentemente más peligrosos que los humanos.
La buena noticia es que, aunque los impactos potenciales de los riesgos de seguridad pueden pintar un cuadro bastante dramático en su mente, hay pasos claros de gestión de riesgos y mejores prácticas que permitirán a su empresa operar sin problemas.
Paso 1. Seguridad del software
Proporcionar seguridad al software es uno de los pasos esenciales en el camino para garantizar la seguridad de una empresa. No hay ninguna excepción cuando se trata de asegurar la aplicación de la RPA.
Básicamente, la seguridad del software implica cuatro medidas críticas:
- Análisis de riesgos: Realice constantes comprobaciones de seguridad en los procesos de RPA en cada etapa de la implementación, desde la creación de los bots de RPA hasta su lanzamiento y ejecución.
- Análisis de carencias: Analizar los puntos débiles de la actual arquitectura de seguridad en los ámbitos de la autenticación, los métodos de virtualización y las conexiones multientorno.
- Escaneo: Implantar el escaneo de código back-end al crear bots RPA para evitar vulnerabilidades.
- Esquema de despliegue: Asegúrese de ejecutar un despliegue seguro y bien planificado del bot RPA.
Paso 2: Gestión del acceso
- Segregación de privilegios y actividades de los bots: Implementar un conjunto de medidas para gestionar los privilegios de acceso de los usuarios y segregar las actividades según el nivel de riesgo. Puede crear un marco seguro específico que permita a los robots RPA ejecutar únicamente las tareas que se les asignen.
- SSO y LDAP: El uso del inicio de sesión único con un protocolo de acceso al directorio ligero asegurará el proceso de inicio de sesión en el sistema RPA.
- Encriptación: No descuide el uso de herramientas de gestión de contraseñas encriptadas y refuerce las contraseñas en las sesiones de actividad de los bots de RPA.
Paso 3. Seguridad de los datos
- Supervisión de los datos: Supervise constantemente los datos procesados por los bots RPA para proteger el sistema contra una posible manipulación maliciosa de los datos.
Y lo que es más importante, un sistema de RPA seguro y bien establecido cuenta con un Orquestador, una herramienta que rastrea los registros de ejecución, proporcionando seguridad y cumplimiento de RPA tanto para las acciones de los robots de RPA como para las personas involucradas.
Lea más acerca de Electroneek Orchestrator →
- Seguridad operativa: Analice los bots RPA en busca de vulnerabilidades e implemente modelos de amenazas para revelar los fallos del sistema y los riesgos de seguridad.
Paso 4. Estructura de gobierno
- Gestión de R&R: Es necesario crear y aplicar un sistema con funciones y responsabilidades claras para todos los miembros del departamento/equipo responsable del proceso de automatización.
- Estrategia y normativa: La empresa debe elaborar claramente las normas y los requisitos establecidos en su normativa de seguridad vigente y proporcionar una supervisión adecuada para garantizar su cumplimiento.
- Concienciación: Los altos directivos deben concienciar sobre los riesgos relacionados con la RPA y las posibles repercusiones a nivel interno (en los equipos responsables) y externo (entre los creadores de los bots de RPA).
RPA: Vale la pena
Es cierto que la aplicación de la TAE es un proceso laborioso para cualquier empresario. Incluye la reevaluación de los procesos empresariales y la normativa actuales, la creación de un nuevo sistema de seguridad o la renovación del antiguo, la detección de puntos débiles y la identificación de puntos de control críticos.
La pregunta razonable es: "¿Por qué necesito todo este alboroto?".
Las estadísticas frías son muy útiles en este caso:
- Según un estudio de Deloitte, la automatización inteligente ha demostrado ser una forma de reducir los costes de los procesos empresariales del 25% al 40% de media.
- Un estudio de Gartner reveló que la cantidad media de reajustes evitables en los departamentos de contabilidad puede suponer el 30% del tiempo total de un empleado a tiempo completo. Esto equivale a un ahorro de 25.000 horas al año con un coste de 878.000 dólares para una organización con un equipo de contabilidad a tiempo completo de 40 empleados.
- Una investigación de ABBYY, proveedor de Digital IQ, reveló que la mayoría de los que adoptaron la RPA vieron mejoras en la eficiencia (55%), en mantenerse por delante de la ompetencia/incrementar su cuota de mercado (52%) y en el crecimiento de los ingresos (52%), con ganancias de productividad (44%) y transformación del negocio (40%) también realizadas.
Esto significa que al implementar RPA para automatizar tareas repetitivas, está invirtiendo en la prosperidad de su negocio en términos de ROI, productividad de la fuerza de trabajo y satisfacción del cliente.
En resumen
Analizamos los principales riesgos de seguridad relacionados con la implantación de la automatización robótica de procesos y consideramos las tácticas para mitigarlos. Todo se reduce al hecho de que el abuso de información privilegiada, las vulnerabilidades, las interrupciones del sistema y la divulgación de información confidencial no son nada nuevo, aunque en el contexto de la RPA, los términos se utilizan en un contexto ligeramente diferente.
Cuando se trata de cuestiones de seguridad de RPA, la clave del éxito para cualquier CISO es tener una estrategia clara para prevenir cualquier posible amenaza. Esperamos que este artículo le haya facilitado el proceso de elaboración de dicha estrategia.
El siguiente paso sería decidirse por un sistema RPA fiable que le ayude a aplicar su estrategia. Y aquí tenemos una solución para ti también. Es sencillo: ¡pruebe Electroneek!