La automatización robótica de procesos (RPA) es una tecnología que está siendo ampliamente adoptada por empresas de cualquier tamaño y sector con el objetivo de aumentar la eficiencia en los procesos de negocio y mejorar la competitividad.

Al crear una fuerza de trabajo digital de robots de software que automatiza tareas repetitivas se mejora la calidad, se reduce el tiempo de ejecución, se estandariza el proceso, se reducen costes y se mejora la experiencia del cliente.

Sin embargo, cuanto más acceso y funcionalidad aportemos a los robots, más riesgos de seguridad empezarán a surgir, principalmente cuando los robots manejen datos confidenciales del negocio.

En este sentido, es de vital importancia tener en cuenta los desafíos de seguridad durante todo el ciclo de vida de un proyecto de RPA, siendo algunos de ellos los siguientes: errores de gobierno, desarrollo no seguro, falta de control en gestión de accesos e identidades, falta de preparación para la continuidad del negocio, gestión inadecuada de las vulnerabilidades, incumplimiento de la normativa o la protección insuficiente de los datos.

En este artículo hablamos de algunas de las mejores prácticas que se deben llevar a cabo para garantizar una implementación segura de cualquier proyecto de RPA.

 

Consideraciones técnicas

Con el objetivo de asegurar la implementación segura de un proyecto de RPA se debe cubrir todo el ciclo de vida del robot, el cual se comprende en las siguientes etapas: la identificación de la necesidad, la arquitectura y el diseño, la implementación, las pruebas de calidad, la aceptación e integración, la instalación, la operación y el mantenimiento.

A continuación, se presentan algunos de los riesgos más comunes identificados en cada una de las etapas:

Etapa 1: La identificación de la necesidad (definición de requisitos y estrategias).

  • Identificación errada del proceso, análisis no eficiente de la relación coste – beneficio.
  • Insuficiente habilidades y capacidades del personal para definir el proceso.
  • No cumplimiento de licencias, ni de requisitos reglamentarios.

Etapa 2: Arquitectura.

  • Arquitectura ineficiente (sin contemplar aspectos de seguridad).
  • Selección inadecuada del proveedor RPA.
  • Interpretación inexacta de los requerimientos y evaluación incorrecta de riesgos e impactos.

Etapa 3: Implementación.

  • Control de excepciones, registro de auditoría y documentación del código insuficientes.
  • Acceso a datos sensibles de formas no segura (desencriptados).
  • Poca parametrización del desarrollo, uso de variables hard-coded en el código fuente.

Etapa 4: Pruebas de Calidad.

  • Pruebas (regresión, integridad y aceptación) del robot insuficientes.

Etapa 5: Instalación (entornos de pruebas y producción).

  • Errores a causa de integraciones incorrectas del robot.
  • Capacitación insuficiente de los usuarios.
  • Cambios no autorizados en producción.

Etapa 6: Operación y Mantenimiento.

  • Falta de control de acceso asignado a los robots.
  • Actualización inadecuada de robots, sin control de versiones.
  • Falta de control de salidas y archivos temporales generados por el robot.

 

Buenas prácticas

Dados los riesgos identificados en cada etapa del ciclo de vida del robot, se definen a continuación un conjunto de buenas prácticas agrupadas en tres importantes factores de RPA: El gobierno, la arquitectura y la seguridad de la información.

 

El gobierno

Indudablemente la punta del iceberg para un proyecto de RPA es el establecimiento de un buen gobierno, dado que el comportamiento del robot es similar al del humano, se debe regir por unas políticas de gobierno claramente establecidas e incluso con un mayor nivel de restricción para mitigar fugas de información o accesos no autorizados a los datos.

Recomendamos las siguientes acciones o buenas prácticas:

  • Establecer un marco de gobierno con funcionalidades y responsabilidades para asegurar el ecosistema RPA.
  • Mantener una lista de verificación (Check – List) de los requisitos de seguridad.
  • Evaluar regularmente la plataforma RPA para comprobar el cumplimiento de las normas de seguridad.
  • Personalizar estrictamente el entorno RPA a través de la integración de directorios activos, listas de control de acceso (ACL) o patrones seguros de autenticación como el inicio de sesión unificado (SSO).
  • Construir la estrategia y los requisitos de seguridad para RPA.
  • Supervisar el cumplimiento de las políticas de seguridad relacionadas con RPA.
  • Crear un grupo de usuarios de dominio específicamente para las pruebas.
  • Crear un usuario administrador de robots que pueda crear el flujo de trabajo y gestionar los horarios de la fuerza virtual, controlar su progreso, etc.

 

La arquitectura

  • Realizar una revisión segura del diseño en la cual se incluya el análisis del flujo de datos para verificar que los controles de seguridad están integrados en la autenticación, autorización y validación de entrada de los robots.
  • Verificar que el esquema de implementación del robot tiene en cuenta las consideraciones de seguridad.
  • Realizar el análisis de riesgos de la arquitectura de seguridad para las tecnologías RPA seleccionadas, en el cual se incluya la implementación, el control y la ejecución de los robots.
  • Identificar fallos en la arquitectura de seguridad del robot para las conexiones entre diferentes entornos.
  • Integrar herramientas de análisis de seguridad como parte del proceso de implementación para analizar el código fuente en busca de vulnerabilidades de seguridad.
  • Evaluar la integridad del código fuente del robot.
  • Verificar la limpieza de variables y la eliminación de archivos temporales al final de la ejecución del robot.
  • Controlar que el registro de auditoría no contenga información confidencial.
  • Exigir siempre documentos de especificaciones funcionales, casos de pruebas unitarias, lista de comprobación de revisión de código, casos de pruebas de integración de sistemas, pruebas de aceptación de usuario antes de realizar la instalación en el entorno de producción.
  • Asignar identificadores únicos a cada robot para acceder a una aplicación o archivo de sistema.
  • Mantener un repositorio de los robots, identificadores, aplicaciones que permita mejorar la auditoría y control durante todo el ciclo de vida de un proyecto de RPA.

 

La seguridad de la información

  • Gestionar los privilegios de acceso a los usuarios incluyendo la segregación de responsabilidades.
  • Mejorar la auditoría del robot registrando cada paso ejecutado con la información más relevante en tiempo de ejecución.
  • Definir estrategias coherentes de asignación de contraseñas y gestionar el acceso a las mismas a través de administradores de credenciales cifrados (Ejemplo, Windows Credential Manager, CyberArk Password Vault, etc.).
  • Implementar controles de seguridad para proteger las credenciales durante el tiempo de ejecución de cada sesión.
  • Supervisar los datos confidenciales procesados para verificar el cumplimiento de las políticas de uso de datos.
  • Realizar una evaluación del cumplimiento de las normativas de datos para el uso de los mismos en procesos de RPA.
  • Analizar vulnerabilidades de la plataforma de RPA y ejecutar ejercicios de modelado de amenazas para determinar debilidades técnicas.
  • Recopilar datos de registro de agentes de robots con el fin de identificar tiempo de inactividad anormal, el acceso al sistema y el uso de cuentas privilegiadas.
  • Aplicar controles de información más estrictos cuando los robots manejen información sensible o confidencial.

 

Con el objetivo de mitigar los riesgos de seguridad inherentes a los proyectos RPA, en PFS Tech hemos definido un marco de riesgos de seguridad abierto e inclusivo, permitiendo la retroalimentación de los estándares de seguridad de manera recurrente, ofreciendo la escalabilidad y flexibilidad requerida durante todas las fases del proyecto.

 

seguridad_en _RPA

CONCLUSIONES

  • En todo proyecto RPA existe la necesidad de establecer un entorno tecnológico responsable, sostenible y seguro que abarque todo el ciclo de vida del proyecto RPA.
  • Los medios más importantes para mitigar los riesgos de seguridad en el ámbito de RPA consisten en la elección de un producto de RPA estable, respaldado con una definición coherente y estricta de políticas de gobierno, además del uso de buenas prácticas para un diseño y un desarrollo seguro.
  • Todos los riesgos de seguridad identificados pueden ser controlados y correctamente direccionados con las prácticas definidas en este artículo, permitiendo sacar el máximo provecho a la plataforma RPA.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *