Operaciones de Seguridad

10 riesgos de seguridad en Robotics Process Automation (RPA)

Robotic Process Automation (RPA) es una tecnología emergente utilizada para realizar operaciones rutinarias a través del Interfaz Gráfica de Usuario (GUI) de una manera similar a como lo haría un trabajador humano.

En la forma más básica, los RPA representan un paso más en el desarrollo de scripts "incrustados" en las aplicaciones, con la salvedad de que los RPA, se ejecutan en su propia plataforma y permiten actividades entre aplicaciones. Por supuesto, el mismo resultado se puede lograr mediante el uso de interfaces de programación de aplicaciones (API), sin embargo, en la mayoría de los casos, el software legacy utilizado en gran parte de las empresas, no dispone de APIs. Los RPA permiten abordar dicha necesidad de una forma más rápida y a un menor coste en comparación con la migración de dichos sistemas legacy a nuevos sistemas. Todo ello, teniendo en cuenta, que el principal beneficio de la implementación de RPA es la reducción de los gastos operativos debido al reemplazo de trabajos humanos, normalmente de un carácter repetitivo y tedioso.

Mercado Global de Robotic Process Automation 2016-2021

Los RPA están en una etapa temprana de adopción, por lo que es crucial para las empresas establecer un marco adecuado para la implementación de RPA , gestionando por adelantado lo riesgos en los que podría derivar. De no gestionar dichos riesgos, podrían producirse incidentes de seguridad, interrupciones en la continuidad del negocio o la imposibilidad de introducir controles adecuados en una etapa posterior debido a la complejidad de los entornos  RPA.

En general, los RPA son bastante similares a la computación final, siendo el enfoque más razonable la reutilización de un framework de control. Alternativamente, podemos usar controles diseñados para aplicaciones desarrolladas internamente. La principal diferencia entre los RPA y las aplicaciones en la administración de la gestión de identidad (IAM), es que las instancias de RPA se deben comportan como un usuario individual. Si se tienen controles eficientes desarrollados e implementados, tanto para componentes de software como para Gestión de Identidad, también es relativamente fácil crear un entorno bien controlado para la tecnología RPA.

Por otro lado, los RPA cognitivos tienen un panorama de amenazas totalmente diferentes, cuyo problema, está mal abordado incluso desde las normas internacionales de seguridad de la información. Las compañías enfrentan problemas como la "confiabilidad" de los algoritmos de aprendizaje automático con una alta probabilidad de introducir cambios irrelevantes en los algoritmos y cambios irracionales en la lógica de toma de decisiones.Estos desafíos requieren la creación de un nuevo framework de control basado en las mejores prácticas internas, la colaboración con otras compañías y consultores expertos en la materia.

Es por ello, que se plantean varios riesgos de seguridad asociados a los RPA:

  1. Gobernabilidad deficiente de RPA
  2. Implementación ineficiente de RPA
  3. Mala implementación de la Gestión de Identidad
  4. Falta de preparación en la continuidad de negocio
  5. Gestión inadecuada de cambios
  6. Falta de gestión vulnerabilidades
  7. Inconsistencia de los resultados RPA
  8. Incumplimiento normativo
  9. Daños de reputación
  10. Protección de datos insuficiente

Gobernabilidad deficiente de RPA

La lucha contra Shadow IT en las empresas, es continua, debido a que no se pueden descubrir los activos correctamente debido a la falta de recursos. Además, hay
una gran cantidad de aplicaciones legacy, difíciles de administrar, mantener y proteger.

Los RPA se conciben de una manera que facilita su creación, incluso para el personal que no es de TI. Si no se construyen controles alrededor de dicha tecnología, la organización se enfrentará a una gran cantidad de RPAs creados en un corto período de tiempo, lo que se traducirá en riesgos operativos significativos.
Por lo tanto, las ganancias a corto plazo de la propagación inicial de RPA a lo largo de un período de tiempo más largo podrían resultar en pérdidas significativas y una mayor expansión de Shadow IT en la empresa.

Implementación ineficiente de RPA

Uno de los beneficios derivados de la introducción de RPA, es la posibilidad de reducir los gastos al disminuir la cantidad de FTE necesarios para respaldar el proceso recientemente automatizado. Obviamente, es un gran objetivo para la empresa, pero es difícil esperar que todos los empleados se alegren por ello, especialmente si su puesto de trabajo pudiese eliminarse.

Es por ello que se puede crear un conflicto de intereses si las funciones relacionadas con la implementación de RPA no se asigna correctamente. Tambien pueden aparecer problemas adicionalessi no hay priorizaciones
para los proyectos RPA existe, o si el personal involucrado en el proyecto no tiene los conocimientos relevantes sobre la tecnología y sus beneficiosos.

Mala implementación de la Gestión de Identidad

Hay algunas formas sencillas de administrar las credenciales RPA, como hacer que los robots trabajen con las cuentas de los empleados o mediante un usuario técnico compartido (que personalmente no recomendaría para ciertos procesos automatizados). Dejando claro que alguna de estas prácticas están lejos de ser la mejor opción desde el punto de vista de la ciberseguridad.

La incapacidad de establecer prácticas IAM unificadas, seguras y eficientes para los RPA resultará en una carga operativa, brindará oportunidades para el fraude interno, provocará el incumplimiento de los requisitos de segregación de funciones (SoD) y aumentará la probabilidad de ciberataques.

Falta de preparación en la continuidad de negocio

Una vez implantados, los RPA pueden convertirse en un único punto de fallo para el proceso de negocio. Dicha tecnología, si no está cubierto adecuadamente por un programa de continuidad comercial, el fallo en  un solo robot de software podría provocar una situación de crisis en la empresa.

Una amenaza adicional para la estabilidad de la infraestructura de la empresa es la dependencia del software utilizado para RPA. Un error en una actualización del software RPA o la quiebra del proveedor puede llevar a consecuencias fatales, si la mayoría de los RPA dejan de funcionar.

Como se ha comentado anteriormente, uno de los mejores usos de RPA es abordar el diseño deficiente de los sistemas legacy, esto, podría ser un arma de doble filo, ya que podría posponer la migración de sistemas.

Gestión inadecuada de cambios

Los RPA como un "activo adicional" deben estar representados en el proceso y los  procedimientos de gestión de cambios.

El no hacerlo, junto con la ausencia de dependencias documentadas de RPA en otros componentes de software, terminará en la falta de disponibilidad del servicio y/o errores en el procesamiento. Pero esto es aún más complicado con los RPA cognitivos, ya que requieren un enfoque específico para cambiar la administración como cualquier otro algoritmo de aprendizaje automático. El propio código y los cambios de algoritmo introducidos al procesar nuevos conjuntos de datos representan en sí , un punto adicional de fallo.

Falta de gestión vulnerabilidades

Tanto el software RPA como las instancias RPA representan una superficie de amenazas adicional. Teniendo en cuenta la rápida adopción de la tecnología de robots, es fácil predecir que representará una concentración significativa de riesgos para las empresas en el futuro. Conduciendo esto, eventualmente a un aumento en la demanda de gestión de vulnerabilidades debido a que los RPA serán un objetivo muy deseado para los hackers.

La administración de contraseñas para los RPA son otro tema a discutir, tratándolo aquí, pero que podríamos alinear con la Gestión de Identidad anterior. Si las mismas no se administra adecuadamente de acuerdo con los requisitos de políticas de la empresa, esta deficiencia brindará oportunidades de fraude interno y permitiría a los piratas informáticos implementar ataques en una amplia gama de procesos una vez que se comprometiese la red.

Inconsistencia de los resultados RPA

Hay muchos problemas que pueden llevar a que se produzcan errores en los datos como resultado de la ejecución automatizada de procesos por parte de los RPA.

Éstos son algunos de ellos:

  • Errores de configuración / errores presentes en RPA
  • Cambio impredecible en el modelo RPA cognitivo
  • Incapacidad del algoritmo RPA para manejar una excepción

Por lo tanto, la falta de un entorno de preproducción adecuada y/o pruebas periódicas,  en algún momento, resultará en una pérdida de integridad de datos. También podría producirse una pérdida de integridad de los datos si las tareas que anteriormente realizaban los humanos, son asignados a RPA en su lugar.

Incumplimiento normativo

Cuando se trata de innovación, existe una gran incertidumbre en los marcos regulatorios. La incapacidad para explicar los resultados finales producidos por RPA a los reguladores, pueden dar lugar a sanciones debido a la falta de "demostrabilidad".

La provisión de evidenciar un vínculo formal entre la acción realizada por un  RPA y un empleado designado como responsable, puede dar a problemas de auditoria e incumplimientos normativos.

Daños de reputación

Los algoritmos de aprendizaje automático pueden recoger patrones o tomar decisiones que podrían ser  inaceptables desde un punto de vista ético. Este punto es especialmente crítico para empresas multinacionales. El manejo de la diversidad cultural podría ser difícil, incluso si se introducen pruebas de control para dichos problemas éticos.

Además de esto, los riesgos de reputación pueden aparecer en ciertas circunstancias. Como caso famoso de ello a hacer referencia, fue cuando el algoritmo de Uber elevó los precios de las tarifas significativamente durante actos terroristas en Londres, resultando en un gran escándalo mediático para la compañía.

Protección de datos insuficiente

La velocidad y la escalabilidad de RPA se debe considerar cuando las actividades relacionadas con el procesamiento de datos confidenciales se automatizan. En caso de ejecución manual, existe la posibilidad de que se detecten errores durante el proceso, sin embargo, con RPA no se espera que se generen alertas.
El incumplimiento de la confidencialidad en algunos casos puede tener un impacto significativo en los negocios y se deben incorporar controles adicionales en el flujo de trabajo para mitigar los riesgos.

Recomendaciones a la hora de implentar RPA

  • Establecer un grupo de trabajo dedicado para definir el alcance, procesos
    para la priorización de implementación de RPA, limitaciones regulatorias y marco de evaluación de riesgo empresarial.
  • Asegurar que los empleados asignados a la implementación de RPA no tengan conflictos de interes.
  • Decidir si el desarrollo RPA se subcontratará o si se realizará mediante recursos internos dedicados.
  • Estudiar si la empresa esta lista para introducir RPA cognitivo, o
    si el alcance de la implementación se limitará únicamente a robots de software RPA asistidos/no asistidos.
  • Establecer un servicio de arquitectura de seguridad para la tecnología RPA.
  • Ajustar las políticas del Sistema de gestión de la seguridad de la información (SGSI) para incorporar la tecnología y los procesos RPA.
  • Asegurar estándares tecnológicos alineados con los requisitos RPA.
  • Actualizar los framework de control de IS/IT y de gestión de riesgos para reflejar los cambios en las Políticas y Normas que se relacionan con RPA.
Author image

About Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!
  • Madrid
comments powered by Disqus