"A automação é segura para o meu negócio?" A Cibersegurança é um dos tópicos mais debatidos entre os proprietários de empresas quando se trata de automação comercial e Automação Robótica de Processos, em particular. Faz sentido, pois está se tornando cada vez mais desafiador acompanhar todas as implicações potenciais e riscos de segurança das tecnologias em constante mudança no dia-a-dia.
Neste artigo, abordaremos os riscos potenciais de segurança da RPA, discutiremos as melhores práticas para um RPA seguro e lhe forneceremos um plano de ação passo a passo.
Segurança no RPA: Áreas de risco
Ao implementar RPA, há quatro áreas-chave onde seu negócio pode estar em risco. Elas se correlacionam principalmente com riscos tradicionais de ciber-segurança:
- Abuso de acesso privilegiado;
- Vulnerabilidades de Sistema;
- Riscos de Inatividade do sistema;
- Divulgação de informações confidenciais.
Vamos olhar cada um deles mais de perto.
1. Abuso de acesso privilegiado
As estatísticas sombrias mostram que 74% dos vazamentos de dados começam com abuso de acesso privilegiado.
O termo é aplicável aos sistemas e bancos de dados internos de qualquer empresa, e está sempre associado a contas privilegiadas, ou seja, contas com maiores direitos de acesso aos dados da empresa. Estas podem ser contas de membros da equipe de TI (por exemplo, funções de administrador do sistema e local) ou contas de funcionários que trabalham com dados sensíveis, por exemplo, gerentes financeiros.
Em termos de segurança da RPA, os riscos associados ao abuso de acesso privilegiado por parte dos bots da RPA são, em sua maioria, os mesmos que os relacionados ao abuso de acesso privilegiado por parte de seres humanos. Por exemplo:
- O acesso privilegiado dado a uma conta de bot RPA pode ser usado por atacantes para invadir o sistema e roubar ou usar indevidamente suas informações comerciais sensíveis.
- Os atacantes podem treinar um bot para interromper operações comerciais significativas relacionadas a clientes, pedidos ou transações.
2. Vulnerabilidades de Sistema
Em termos simples, as vulnerabilidades são fraquezas em um sistema de informação que permite aos atacantes cibernéticos obterem acesso ilegal ao sistema e executarem ações maliciosas.
Uma das vulnerabilidades pode aparecer quando um funcionário se comporta de forma imprudente ao visitar um site inseguro. Neste caso, o website é um recurso de ameaça que desencadeia uma vulnerabilidade. Alguns dos exemplos mais comuns de vulnerabilidades são:
- Ausência de criptografia de dados;
- Injeção de SQL;
- Ausência de autorização;
- Roteiro cruzado e falsificação;
- Senhas fracas;
- Upload de software infectado.
Aqui estão dois cenários de risco potencial no caso de vulnerabilidades no RPA:
- As vulnerabilidades no backend do sistema RPA podem fornecer aos atacantes cibernéticos acesso à rede corporativa.
- Mesmo que a maioria dos sistemas RPA avançados atualmente usem criptografia enquanto transferem dados, ainda existem ferramentas RPA de baixo nível de segurança onde a transferência não criptografada de dados pode causar vazamento de dados sensíveis.
3. Inatividade do Sistema
A interrupção do sistema (ou tempo de inatividade) refere-se ao período de tempo em que um sistema/rede não pode desempenhar sua função principal. Os tempos de inatividade podem acontecer por inúmeras razões. Entre as razões mais freqüentes estão:
- Erro Humano;
- Hardware ultrapassado ou instável;
- Bugs no sistema operacional do servidor
- Questões de integração/interoperabilidade.
Por exemplo, em 2018, no dia do Amazon Prime, milhões de compradores enfrentaram uma queda de tráfego na página "Deals" da Amazon porque seus servidores não conseguiram lidar com um pico de tráfego online tão grande.
No RPA, há dois cenários potenciais de risco relacionados à interrupção do sistema:
- Uma falha inesperada na rede pode perturbar a operação do bot, levando a uma perda significativa na produtividade.
- Uma sequência rápida de atividades de bot pode causar falha ou interrupção do sistema.
4. Divulgação de Informações Confidenciais
Informação confidencial é qualquer informação relacionada aos negócios e assuntos de uma empresa que não esteja disponível ao público e que tenha valor comercial. A divulgação não autorizada de informações financeiras de uma empresa, planos de marketing, projetos futuros e qualquer outro material marcado como confidencial pode ter consequências devastadoras.
Às vezes até mesmo uma simples ligação para um parceiro de negócios durante a hora do almoço, ou alguém enviando impulsivamente um e-mail de uma caixa de e-mail corporativa para um amigo para compartilhar algumas notícias da empresa, pode ser considerada uma divulgação de informações confidenciais. Isto se soma a uma infinidade de casos quando tal divulgação é feita de propósito, com a ajuda de técnicas mais sofisticadas.
No RPA, um cenário de risco relacionado à divulgação de informações confidenciais pode aparecer quando o treinamento intencional, negligente ou impróprio de um robô RPA causou vazamento de dados confidenciais, tais como dados de pagamento ou de cartão de crédito, para a web.
Gestão de risco e melhores práticas de segurança RPA
Os exemplos e cenários acima testemunham que os riscos de segurança do RPA não são muito diferentes dos tradicionais riscos de segurança cibernética com os quais qualquer empresa tem que lidar. Além disso, os bots da RPA não são surpreendentemente mais perigosos do que os humanos.
A boa notícia é que, embora os possíveis impactos dos riscos de segurança possam pintar um quadro bastante dramático em sua mente, há passos claros de gerenciamento de riscos e melhores práticas que permitirão que sua empresa opere sem problemas.
Etapa 1. Segurança do software
Fornecer segurança de software é um dos passos essenciais no caminho para garantir a segurança de uma empresa. Não há exceção quando se trata de garantir a implementação de RPA.
Basicamente, a segurança do software implica em quatro medidas críticas:
- Análise de risco: Fazer verificações constantes de segurança nos processos de RPA em cada etapa de implementação, desde a criação dos bots da RPA até o seu lançamento e execução.
- Análise de falhas: Analisar os pontos fracos da arquitetura de segurança atual nas áreas de autenticação, métodos de virtualização e conexões de vários ambientes.
- Digitalização: Implementar a varredura de código back-end ao criar bots RPA para prevenir vulnerabilidades.
- Esquema de implantação: Certifique-se de executar uma implantação segura e bem planejada de bot RPA.
Etapa 2: Gerenciamento de acesso
- Privilégios de segregação e atividades dos bots: Implementar um conjunto de medidas para administrar os privilégios de acesso dos usuários e segregar as atividades de acordo com o nível de risco. Você pode construir uma estrutura segura específica que permite aos bots de RPA executar somente as tarefas a eles atribuídas.
- SSO e LDAP: O uso de login único com um protocolo leve de acesso a diretórios garantirá o processo de login no sistema RPA.
- Criptografia: Não negligencie o uso de ferramentas de gerenciamento de senhas criptografadas e a aplicação de senhas dentro das sessões de atividades de bot de RPA.
Etapa 3. Segurança dos dados
- Monitoramento de dados: Monitorar constantemente os dados processados pelos bots de RPA para proteger o sistema contra possíveis manipulações maliciosas de dados.
Mais importante ainda, um sistema RPA seguro e bem estabelecido tem um Orquestrador, uma ferramenta que rastreia os registros de execução, fornecendo segurança e conformidade RPA tanto para as ações dos robôs RPA quanto para as pessoas envolvidas.
Leia mais sobre o Electroneek Orchestrator →
- Segurança operacional: Verificar os bots de RPA em busca de vulnerabilidades e implementar modelos de ameaças para revelar falhas do sistema e riscos de segurança.
Etapa 4. Estrutura de governança
- Gestão de R&Rs: Você precisa construir e implementar um sistema com funções e responsabilidades claras para todos no departamento/equipa responsável pelo processo de automação.
- Estratégia e regulamentos: A empresa deve elaborar claramente as regras e exigências estabelecidas em suas atuais regulamentações de segurança e fornecer supervisão adequada para garantir o cumprimento.
- Conscientização: Os gestores de topo devem aumentar a conscientização dos riscos relacionados à RPA e dos impactos potenciais internamente (dentro das equipes responsáveis) e externamente (entre os criadores dos bots da RPA).
RPA: Vale à pena
É verdade que a implementação de RPA é um processo meticuloso para qualquer empresário. Ele inclui reavaliar os processos e regulamentos comerciais atuais, construir um novo sistema de segurança ou reformular o antigo, revelar os pontos fracos e identificar os pontos críticos de controle.
A pergunta razoável é: "Por que eu preciso de todo este alvoroço?"
As estatísticas frias são muito úteis aqui:
- De acordo com uma pesquisa da Deloitte, automação inteligente se provou como uma forma de reduzir custos de processos empresariais de 25% para 40%, em média.
- Pesquisa da Gartner descobriu que a quantidade média de retrabalho evitável nos departamentos de contabilidade pode ocupar até 30% do tempo total de um funcionário em tempo integral. Isto equivale a uma economia de 25.000 horas por ano ao custo de US$ 878.000 para uma organização com uma equipe de contabilidade em tempo integral de 40 funcionários.
- Pesquisa da ABBYY, fornecedora da Digital IQ, revelou que a maioria dos adotantes de RPA viu melhorias na eficiência (55%), ficando à frente da concorrência/aumento de sua participação no mercado (52%), e crescimento da receita (52%), com ganhos de produtividade (44%) e transformação de negócios (40%) também realizados.
Isto significa que ao implementar o RPA para automatizar tarefas repetitivas, você está investindo na prosperidade de seu negócio em termos de ROI, produtividade da força de trabalho e satisfação do cliente.
Para resumir
Discutimos os principais riscos de segurança relacionados à implantação da Automação Robótica de Processos e consideramos as táticas para mitigá-los. Tudo se resume ao fato de que abuso de acesso privilegiado, vulnerabilidades, interrupções do sistema e divulgação de informações confidenciais não são nada de novo, embora no contexto do RPA, os termos sejam usados em um contexto ligeiramente diferente.
Quando se trata de questões de segurança da RPA, a chave do sucesso de qualquer CISO é ter uma estratégia clara para prevenir qualquer possível ameaça. Esperamos que este artigo tenha facilitado o processo de construção de tal estratégia para você.
A próxima etapa seria decidir sobre um sistema de RPA confiável para ajudar você a implementar sua estratégia. E aqui temos uma solução para você também. É simples: tente a Electroneek!