Aspectos de seguridad a tener en cuenta en proyectos de RPA

Aspectos de seguridad a tener en cuenta en proyectos de RPA
Aspectos de seguridad a tener en cuenta en proyectos de RPA

Hay estudios que indican que cerca del 30% de las tareas administrativas que realizan hoy en día las personas pueden ser automatizadas mediante el uso de la tecnología RPA. Llevar a cabo esta automatización vía proyectos de RPA en una industria, por ejemplo, requiere que los nuevos compañeros de trabajo digitales (robots de software) se conecten a ERP, CRM y otras aplicaciones con un usuario y contraseña para interactuar como lo hacen las personas.

En otro tipo de tecnologías y automatizaciones de más bajo nivel, como puede ser sincronizaciones de datos, cargas de ficheros, etc… la seguridad se garantiza mediante la creación de usuarios de servicio específicos, al que se le aplican unos privilegios determinados mediante los cuales pueden acceder a los recursos que requiere la tarea.

Mediante los proyectos de RPA los robots se ejecutan con usuarios que interactúan con aplicaciones tal como lo hacen los usuarios reales: las personas. Los robots acceden al ERP, herramientas ofimáticas, clientes de correos, etc., interactuando a través de la interfaz gráfica, realizando acciones como introducir usuario y contraseña para después imitar las secuencias de acciones que realizan los usuarios de negocio sobre ellas (haciendo clic en el botón “Guardar”, abrir el navegador, abrir el ERP, copiar y pegar un texto, etc.).

En este ámbito pueden surgir cuestiones como ¿quién se responsabiliza de lo que haga el robot que no tiene DNI? ¿qué permisos y privilegios se deben asignar a este usuario “virtual”? ¿cómo se pueden auditar las acciones que realiza un usuario que “no existe”? ¿qué pasa si un usuario malintencionado aprovecha los privilegios de un robot para suplantarlo?

Los robots y las personas se reparten tareas, reparto de responsabilidades

Dado que los robots reemplazan parte de las tareas que hacen las personas, es importante definir qué tareas serán responsabilidad del robot y cuáles de la persona. Esto permite a cada usuario los permisos y privilegios necesarios.

El usuario del robot debe configurarse con los permisos y privilegios que sean estrictamente necesarios en todas las aplicaciones o sistemas que utilice para realizar las tareas. De esta forma no podrá realizar acciones no deseadas. En caso de realizar tareas críticas se puede definir una estrategia de trazabilidad de las acciones realizadas. Algunos fabricantes de RPA ya incluyen esta traza por defecto en las ejecuciones desde su plataforma.

Es bastante probable que cualquier robot tenga que acceder mediante usuario y contraseña a los sistemas. Por tanto, una buena práctica que debemos seguir siempre es encriptar las contraseñas en el propio equipo donde se ejecuta o en software específico que las permita almacenar de forma más centralizada. De este modo, las contraseñas pueden ser gestionadas únicamente por el usuario de negocio que supervisará el robot evitando que desarrolladores y otros usuarios curiosos accedan a esta información privilegiada.

Seguridad específica del robot

Como he comentado, cuando se ejecuta un robot, generalmente abre las aplicaciones en modo gráfico para interactuar con ellas. Imaginemos que un usuario entre al equipo para interrumpir al robot tras autenticarse en una aplicación. En ese momento el usuario podría realizar acciones sobre las aplicaciones en nombre del robot, pasando desapercibido en la trazabilidad de las transacciones.

Un ejemplo del caso anterior puede ser un robot que accede al ERP de la compañía para realizar ciertas acciones. Si el usuario interrumpe al robot y toma el control podría llegar a realizar acciones dentro del ERP como consultar información sensible a la que el usuario del robot podría acceder o ejecutar alguna transacción imprudente.

Para evitar estos casos existen estrategias, por ejemplo los fabricantes de proyectos de RPA permiten inhabilitar el teclado y ratón mientras se ejecuta el robot con el fin de no entorpecer al robot y evitar situaciones como la anterior. Otra estrategia puede ser limitar el acceso a usuarios supervisores.

Los fabricantes RPA también suelen ofrecer métodos para automatizar tareas que no simulen la interfaz gráfica para lanzar algunas tareas sin interfaz.

No solo los usuarios comprometen la seguridad

Existen otras medidas de seguridad que no debemos descuidar y nos pueden garantizar la ejecución de los robots en un entorno seguro. Por citar algunos ejemplos:

En definitiva, los aspectos a tener en cuenta respecto a la seguridad en proyectos de  RPA no difieren mucho de la seguridad que aplicaríamos a una persona que tuviera que ejecutar una determinada tarea o proceso, pero es necesario complementarlo con otras técnicas adicionales específicas de aquello que necesitemos proteger en cada caso. Eso sí, aplicando en cada caso el sentido común respecto a la criticidad del proceso y la información sensible que gestione.

Fuente: www.interempresas.net

 

 



Salir de la versión móvil