10 principios de seguridad de la Automatización Robótica de Procesos (RPA)

​Cada vez son más las organizaciones que adoptan la automatización dentro de sus procesos, derivando mayor valor sobre el RPA. Esto ha generado que se desarrollen procesos de automatización inteligente donde se utiliza inteligencia artificial y machine learning, llevando a las empresas a invertir en procesos internos, metodologías y prácticas más eficientes. 

Para crear una implementación segura del RPA existen 10 principios que se deben tener en cuenta. Debemos considerar que las plataformas RPA tienen un perfil diferente, por ello las organizaciones deben adoptar políticas de seguridad adecuadas para manejar de forma satisfactoria el despliegue de un RPA.  

En Edgverve se ha podido ver gracias a la experiencia los programas de automatización de afuera hacia adentro, notando que existe una batalla dentro de las organizaciones por entregar rápido valor de negocio antes de desplegar el programa de RPA. Esto se encuentra ligado a la excesiva burocracia en algunas empresas, por lo que nosotros creemos que, dentro de todos esos procesos, el de “Enterprise Security” (Seguridad de la organización), es uno de los pilares críticos para generar un programa de automatización sostenible y satisfactorio. 

Por lo visto anteriormente, el implementar estos 10 principios lleva a asegurar que el valor de negocio no represente riesgos injustificados en la organización y que se pueda desplegar un programa de automatización satisfactorio.  

10 principios de seguridad para la RPA:
  
1. Darles a los robots su propia identidad; ¿No reutilizar una identidad humana para la automatización del proceso?

• El fundamento de cualquier plataforma segura es un buen mecanismo de autenticación. En el caso del RPA, el bot debe ser tratado como un colaborador más, casi como un empleado humano. 
• Cada bot debe tener su propia ID y contraseña. 
• Para acceder a cualquier recurso, la plataforma requiere de unas credenciales, y todo bot debe usar una propia igual que cualquier acción humana. 
• Las credenciales del bot deben ser llevadas por un encargado que las salvaguarde. 
• Las credenciales deben ser limitadas a los recursos necesarios para el funcionamiento de la automatización.  

 
2. Nadie es un “super robot” por default; ¿Se debe controlar estrictamente el acceso al proceso de automatización por robots a través de una estricta asociación basada en ciertas reglas? 

• Aparte de una estricta autenticación, debe de haber un proceso claro para asociar al robot con los procesos automatizados.
• Por default, la plataforma debe asegurar una visibilidad nula y ningún acceso a los procesos automatizados a los robots sin una autorización. 
• El robot solo debe tener permitido acceder al proceso automatizado que tiene autorizado por configuración previa. 
• Estos límites permiten crear un área de responsabilidad bastante clara entre los bots y también asegura que el objetivo de la aplicación de la automatización sea activado solo por maquinas autorizadas. 

​3. Se debe invertir en controles para prevenir un acceso desautorizado a la infraestructura de las máquinas que ejecutan el proceso de automatización. 

• En el despliegue de un RPA clásico, el robot es puesto en un servidor de máquinas donde una vez instalado ya no requiere de intervención humana para operar.
• Para acceder a estas máquinas hay un logon, que luego es usado para dar mantenimiento periódico.
• Esto puede permitir que algún operador ingrese a la aplicación de automatización sin que sea necesario. 
• Por ejemplo, si un operador entra al aplicativo de automatización en SAP, podría ver la automatización en acción y obtener algún privilegio de ello.  

 
4. Las claves de cifrado son sagradas; ¿Se debe tener un proceso claramente definido y un usuario asignado para las funciones de administrar las claves de cifrado?

• Para cualquier plataforma de automatización la administración de las contraseñas es uno de los componentes de seguridad más críticos. 
• Es muy importante que información sensible esté debidamente protegida en todo momento.
• Se espera que la organización vaya más allá de una simple encriptación para proteger esos datos. 
• No se recomienda el uso de las claves cifradas brindadas por default por el proveedor.
• Después de la implementación debe haber una política de cambio de claves de cifrado de forma periódica. 
• El uso de “Key Encryption Keys” (Claves de cifrado de clave) es recomendado para almacenar las claves de cifrado. 
• Solo personal autorizado debe poder actualizar las claves de cifrado, debe haber un control de acceso adecuado. 

 ​
5. Grabar todas las acciones de automatización que el robot hace; Se debe presentar los inicios de sesión de actividad del robot para validación y verificación.

• Poder rastrear acciones del sistema a usuarios, tiempo y estado al punto de tomar acción, es una de las mejores herramientas para el sistema forense. 
• Permite una mejor solución de problemas en incidentes e inexactitudes reportadas.
• También permite a la organización reclamar el cumplimiento de las normas y regulaciones obligatorias.
• La plataforma de automatización debe grabar cada paso dado por los robots y subirlos a un almacenamiento al mismo tiempo que se dan dichos movimientos.
• El sistema también debe presentar esta información a usuarios autorizados para su inspección. 
• El sistema debe generar registros estandarizados para alertar sobre cualquier anomalía en el comportamiento del robot.  

6. Elegir una plataforma segura no es suficiente; Se debe tener un modelo de gobierno sólido para la aprobación y revisión del diseño de la automatización de procesos para el despliegue en producción. 

• Para asegurar que la plataforma de automatización tiene una seguridad que funciona fuertemente se debe establecer un procedimiento de gobierno y revisión sobre el diseño y el despliegue del mismo. 
• El proceso de automatización por diseño es capaz de tomar control del sistema de la empresa como un usuario humano.  
• El costo de diseñar un proceso de automatización errado puede tener consecuencias significativas, sobre todo si se encuentra en procesos sensibles como los financieros o de salud. 
• Las organizaciones deben invertir en una revisión y aprobación exhaustiva antes de poner la automatización en producción.
• Todo esto puede asegurar que no existan malas configuraciones que puedan llevar a ejecuciones de transacciones desautorizadas.  

 
7. Se debe entregar menos accesos privilegiados y configurar el acceso de usuarios con una selección clara en cuanto roles y responsabilidades. 

• Hay dos tipos de usuarios en una plataforma típica de RPA.
• Identidades humanas que se usan para administrar el RPA e Identidades robóticas que se usan para configurar los robots. 
• Se espera que la plataforma conceda un acceso nulo a los dos tipos de identidades por default. 
• Debe existir un paso previo de asociación de acceso a un nuevo usuario antes de permitir su participación.
• La identidad del robot debe tener ciertos límites como la creación de otro bot.
• Deben tener solo acceso a lo requerido para el proceso, no tiene sentido darle un acceso más privilegiado si no requiere de ese uso.  

8. Se debe habilitar el no rechazo habilitando el registro auditado de todos los procesos y acciones en la plataforma de automatización. 

• Al igual que se graba los pasos de automatización dados por robots, la plataforma debe auditar el registro de cambios en las configuraciones clave de la misma. 
• Se debe crear un flujo de auditoría.
• Usuario, marca de tiempo, mapeo de acción, incluyendo la creación, eliminación y asignación de acceso a los procesos automatizados. 
• La información de acceso debe estar disponible para inspección por parte de usuarios autorizados, los registros de auditoría también deben poder exportarse a otro sistema para un mejor análisis.
• La plataforma debe poder enviar notificaciones y alertas en caso de requerimientos inválidos en tiempo real.  

9. Se debe aplicar un cifrado fuerte para los datos en tránsito y permitir el almacenamiento cifrado de datos en desuso basado en su grado de importancia. Usando un soporte TLS, Se espera que la plataforma permita el cifrado de datos en tránsito.  

• La plataforma debe prestarse a un despliegue configurado, permitiendo una encriptación basada en TLS sea posible en todo el proceso. 
• La plataforma debe permitir la protección de datos en desuso, para prevenir la pérdida de información sensible. 
• La organización debe poder configurar el nivel de encriptación según la sensibilidad de la información y definir el acceso y visibilidad de los usuarios ante esta información en la plataforma.  

 
10. Se debe implementar una administración sobre la seguridad de sistemas y políticas de operación, en conjunto con principios y buenas prácticas. 

• Se suele decir que la seguridad es tan buena como el link más débil. 
• Un fuerte sistema de seguridad es inútil si existen brechas en la operación de procesos, y si no existe un seguimiento de buenas prácticas. Un ejemplo es compartir las contraseñas. 
• La organización debe invertir en el sistema de seguridad de IT, cubriendo tanto a las personas, procesos, activos físicos y software ante otros. 
• Se recomienda tener revisiones frecuentes para alinear la seguridad con requerimientos legales y del negocio. Implementando controles y prácticas de seguridad actualizadas.  

El  RPA permite a la empresa poder desenvolver grandes potenciales, mejorando aspectos dentro de su fuerza laboral y sus capacidades. Pero como todo programa, requiere de un proceso de dirección adecuado para evitar problemas inesperados. Se debe tener en cuenta que el RPA viene con sus propios retos de seguridad y que la organización debe actuar para crear un ambiente de operación sin riesgo. Es por ello que con AssistEdge se han incorporado controles de seguridad de nivel empresarial, con la seguridad de cumplir con los más estrictos estándares de seguridad. Al adoptar estas medidas de seguridad no solo se permite fortalecer la fuerza de trabajo digital, sino también permite a la empresa enfocarse más en generar retornos de la inversión sin preocuparse por riesgos. Por ello la seguridad del RPA es variable y se le debe dar la debida importancia.  
​
IDEGO brinda el soporte necesario para diseñar y desplegar de manera satisfactoria el programa de automatización con RPA, brindando una dirección sólida al proceso e identificando cualquier riesgo con el fin de resolverlo, brindando la mejor licencia y asesoría para la implementación de la misma.  

Contáctese con nosotros