Hay estudios que indican que cerca del 30% de las tareas administrativas que realizan hoy en día las personas pueden ser automatizadas mediante el uso de la tecnología RPA. Llevar a cabo esta automatización vía proyectos de RPA en una industria, por ejemplo, requiere que los nuevos compañeros de trabajo digitales (robots de software) se conecten a ERP, CRM y otras aplicaciones con un usuario y contraseña para interactuar como lo hacen las personas.
En otro tipo de tecnologías y automatizaciones de más bajo nivel, como puede ser sincronizaciones de datos, cargas de ficheros, etc… la seguridad se garantiza mediante la creación de usuarios de servicio específicos, al que se le aplican unos privilegios determinados mediante los cuales pueden acceder a los recursos que requiere la tarea.
Mediante los proyectos de RPA los robots se ejecutan con usuarios que interactúan con aplicaciones tal como lo hacen los usuarios reales: las personas. Los robots acceden al ERP, herramientas ofimáticas, clientes de correos, etc., interactuando a través de la interfaz gráfica, realizando acciones como introducir usuario y contraseña para después imitar las secuencias de acciones que realizan los usuarios de negocio sobre ellas (haciendo clic en el botón “Guardar”, abrir el navegador, abrir el ERP, copiar y pegar un texto, etc.).
En este ámbito pueden surgir cuestiones como ¿quién se responsabiliza de lo que haga el robot que no tiene DNI? ¿qué permisos y privilegios se deben asignar a este usuario “virtual”? ¿cómo se pueden auditar las acciones que realiza un usuario que “no existe”? ¿qué pasa si un usuario malintencionado aprovecha los privilegios de un robot para suplantarlo?
Los robots y las personas se reparten tareas, reparto de responsabilidades
Dado que los robots reemplazan parte de las tareas que hacen las personas, es importante definir qué tareas serán responsabilidad del robot y cuáles de la persona. Esto permite a cada usuario los permisos y privilegios necesarios.
El usuario del robot debe configurarse con los permisos y privilegios que sean estrictamente necesarios en todas las aplicaciones o sistemas que utilice para realizar las tareas. De esta forma no podrá realizar acciones no deseadas. En caso de realizar tareas críticas se puede definir una estrategia de trazabilidad de las acciones realizadas. Algunos fabricantes de RPA ya incluyen esta traza por defecto en las ejecuciones desde su plataforma.
Es bastante probable que cualquier robot tenga que acceder mediante usuario y contraseña a los sistemas. Por tanto, una buena práctica que debemos seguir siempre es encriptar las contraseñas en el propio equipo donde se ejecuta o en software específico que las permita almacenar de forma más centralizada. De este modo, las contraseñas pueden ser gestionadas únicamente por el usuario de negocio que supervisará el robot evitando que desarrolladores y otros usuarios curiosos accedan a esta información privilegiada.
Seguridad específica del robot
Como he comentado, cuando se ejecuta un robot, generalmente abre las aplicaciones en modo gráfico para interactuar con ellas. Imaginemos que un usuario entre al equipo para interrumpir al robot tras autenticarse en una aplicación. En ese momento el usuario podría realizar acciones sobre las aplicaciones en nombre del robot, pasando desapercibido en la trazabilidad de las transacciones.
Un ejemplo del caso anterior puede ser un robot que accede al ERP de la compañía para realizar ciertas acciones. Si el usuario interrumpe al robot y toma el control podría llegar a realizar acciones dentro del ERP como consultar información sensible a la que el usuario del robot podría acceder o ejecutar alguna transacción imprudente.
Para evitar estos casos existen estrategias, por ejemplo los fabricantes de proyectos de RPA permiten inhabilitar el teclado y ratón mientras se ejecuta el robot con el fin de no entorpecer al robot y evitar situaciones como la anterior. Otra estrategia puede ser limitar el acceso a usuarios supervisores.
Los fabricantes RPA también suelen ofrecer métodos para automatizar tareas que no simulen la interfaz gráfica para lanzar algunas tareas sin interfaz.
No solo los usuarios comprometen la seguridad
Existen otras medidas de seguridad que no debemos descuidar y nos pueden garantizar la ejecución de los robots en un entorno seguro. Por citar algunos ejemplos:
- Diseñar una plataforma y arquitectura RPA segura, con controles de acceso adecuados, impidiendo el acceso directo de usuarios a los entornos de ejecución
- Eliminar rastros de trazas de ejecución que puedan poner al descubierto datos sensibles propios del proceso, manteniendo como excepción aquellos datos básicos que permitan garantizar el seguimiento y trazabilidad de las ejecuciones
- Respecto al código fuente en un proyecto de RPA también es conveniente protegerlo con técnicas de ofuscación. El código fuente describe el proceso y tareas, tener acceso al código fuente puede dar ocasión a un uso inadecuado del proceso por parte de alguna persona.
En definitiva, los aspectos a tener en cuenta respecto a la seguridad en proyectos de RPA no difieren mucho de la seguridad que aplicaríamos a una persona que tuviera que ejecutar una determinada tarea o proceso, pero es necesario complementarlo con otras técnicas adicionales específicas de aquello que necesitemos proteger en cada caso. Eso sí, aplicando en cada caso el sentido común respecto a la criticidad del proceso y la información sensible que gestione.
Fuente: www.interempresas.net