La automatización robótica de procesos (RPA) está siendo ampliamente adoptada por todo tipo de empresas con el objetivo de aumentar los niveles de eficiencia y mejorar la competitividad. Esta tecnología ayuda a reducir el tiempo de ejecución y los costes asociados, así como a mejorar la calidad de los procesos y de la experiencia del cliente. Sin embargo, a más funcionalidades, más riesgos de seguridad, especialmente cuando se manejan datos confidenciales.

A lo largo del ciclo de vida de un proyecto de RPA es vital tener en cuenta los desafíos de seguridad que pueden surgir, así como los relacionados con los errores de gobierno, la falta de control en la gestión de accesos e identidades, la continuidad del negocio, la gestión inadecuada de las vulnerabilidades, el incumplimiento de la normativa o lo relacionado con la protección de los datos.

Cuando hablamos del ciclo de vida de un robot nos referimos a todas las etapas que intervienen en su puesta en marcha, desde la identificación inicial de la necesidad y la elección de la arquitectura y el diseño hasta su posterior implementación, la realización de pruebas de calidad o la aceptación e integración final. Por supuesto, también hay que considerar todo lo relacionado con la instalación, la operación y el mantenimiento.

Seguramente es en la etapa de implementación en la que hay que tener un especial cuidado

En cada una de estas etapas es posible identificar una serie de riesgos asociados en cuanto al control de excepciones, la integración, el control de salidas o incluso la capacitación suficiente de los usuarios. En cualquier caso, seguramente es en la etapa de implementación en la que hay que tener un especial cuidado, definiendo el acceso a los datos sensibles de forma segura o, por ejemplo, evitando el uso de variables hard coded.

Teniendo en cuenta este escenario, es importante observar un conjunto de buenas prácticas que permitan asegurar tanto el funcionamiento de la automatización como la adecuada integración en el contexto de cumplimiento y seguridad corporativos. Estas buenas prácticas están agrupadas en tres importantes factores: el gobierno, la arquitectura y la seguridad de la información.

El gobierno

Indudablemente la punta del iceberg para un proyecto de RPA es el establecimiento de un marco de gobierno con funcionalidades y responsabilidades. Teniendo en cuenta que el comportamiento del robot es similar al del humano, se debe regir por unas políticas de gobierno claramente establecidas, e incluso con un mayor nivel de restricción, para mitigar fugas de información o accesos no autorizados a los datos. A partir de aquí es importante:

  • Mantener una lista de verificación de los requisitos de seguridad y evaluar regularmente la plataforma para comprobar su cumplimiento.
  • Personalizar estrictamente el entorno RPA a través de la integración de directorios activos, listas de control de acceso (ACL) o patrones seguros de autenticación, como el inicio de sesión unificado (SSO).
  • Construir la estrategia y los requisitos de seguridad para la RPA y supervisar el cumplimiento de estas políticas.
  • Crear un grupo de usuarios de dominio específicamente para las pruebas, así como un usuario administrador de robots que pueda crear el flujo de trabajo y gestionar los horarios de la fuerza virtual, controlar su progreso, etc.

Antes la instalación en producción, es importante exigir documentos de especificaciones funcionales

La arquitectura

En este ámbito, es importante realizar una revisión segura del diseño, en el que se incluya el análisis del flujo de datos para verificar que los controles de seguridad están integrados en la autenticación, autorización y validación de entrada de los robots. Además, hay que considerar otras cuestiones:

  • Analizar los riesgos de la arquitectura de seguridad para las tecnologías de RPA seleccionadas, incluyendo la implementación, el control y la ejecución de los robots, además de las conexiones entre diferentes entornos.
  • Las herramientas de análisis de seguridad, para buscar vulnerabilidades en el código fuente, deben formar parte del proceso de implementación.
  • Verificar la limpieza de variables y la eliminación de archivos temporales al final de la ejecución del robot.
  • Controlar que el registro de auditoría no contenga información confidencial.
  • Antes de realizar la instalación en el entorno de producción, es importante exigir documentos de especificaciones funcionales, listas de comprobación de revisión de código y casos de pruebas unitarias, de integración de sistemas y de aceptación de usuario.
  • Hay que asignar identificadores únicos a cada robot para acceder a una aplicación o archivo de sistema.
  • Mantener un repositorio de los robots, identificadores y aplicaciones, con el objetivo de mejorar la auditoría y el control durante todo el ciclo de vida de un proyecto de RPA.

Seguridad de la información

Este ámbito se refiere a lo relacionado con la gestión de los privilegios de acceso a los usuarios, la segregación de responsabilidades y la necesaria auditoría del robot, registrando cada paso ejecutado con la información más relevante en tiempo de ejecución. Otros puntos que hay que tener en cuenta son:

  • Definir estrategias coherentes de asignación de contraseñas y gestionar el acceso a las mismas a través de administradores de credenciales cifrados. Por ejemplo, Windows Credential Manager, CyberArk Password Vault, etc.
  • Implementar controles de seguridad para proteger las credenciales durante el tiempo de ejecución de cada sesión.
  • Supervisar los datos confidenciales procesados para verificar el cumplimiento de las políticas de uso de datos y realizar una evaluación del cumplimiento de las normativas para su uso en procesos de RPA.
  • Analizar las posibles vulnerabilidades de la plataforma de RPA y ejecutar ejercicios de modelado de amenazas para determinar debilidades técnicas.
  • Recopilar datos de registro de agentes de robots con el fin de identificar tiempo de inactividad anormal, el acceso al sistema y el uso de cuentas privilegiadas.
  • Aplicar controles de información más estrictos cuando los robots manejen información sensible o confidencial.

Conclusión

En todo proyecto RPA existe la necesidad de establecer un entorno tecnológico responsable, sostenible y seguro, que abarque todo el ciclo de vida. Los medios más importantes para mitigar estos riesgos consisten en la elección de un producto de RPA estable, respaldado con una definición coherente y estricta de políticas de gobierno, además del uso de buenas prácticas para un diseño y un desarrollo seguro.