Opinión Info Opinión

Aspectos de seguridad a tener en cuenta en proyectos de RPA

Gonzalo Estellés, director técnico de PfsTech, by PfsGroup

12/10/2020
Imagen

Hay estudios que indican que cerca del 30% de las tareas administrativas que realizan hoy en día las personas pueden ser automatizadas mediante el uso de la tecnología RPA. Llevar a cabo esta automatización en una industria, por ejemplo, requiere que los nuevos compañeros de trabajo digitales (robots de software) se conecten a ERP, CRM y otras aplicaciones con un usuario y contraseña para interactuar como lo hacen las personas.

En otro tipo de tecnologías y automatizaciones de más bajo nivel, como puede ser sincronizaciones de datos, cargas de ficheros, etc… la seguridad se garantiza mediante la creación de usuarios de servicio específicos, al que se le aplican unos privilegios determinados mediante los cuales pueden acceder a los recursos que requiere la tarea.

Mediante RPA los robots se ejecutan con usuarios que interactúan con aplicaciones tal como lo hacen los usuarios reales: las personas. Los robots acceden al ERP, herramientas ofimáticas, clientes de correos, etc., interactuando a través de la interfaz gráfica, realizando acciones como introducir usuario y contraseña para después imitar las secuencias de acciones que realizan los usuarios de negocio sobre ellas (haciendo clic en el botón “Guardar”, abrir el navegador, abrir el ERP, copiar y pegar un texto, etc.).

En este ámbito pueden surgir cuestiones como ¿quién se responsabiliza de lo que haga el robot que no tiene DNI? ¿qué permisos y privilegios se deben asignar a este usuario “virtual”? ¿cómo se pueden auditar las acciones que realiza un usuario que “no existe”? ¿qué pasa si un usuario malintencionado aprovecha los privilegios de un robot para suplantarlo?

Los robots y las personas se reparten tareas, reparto de responsabilidades

Dado que los robots reemplazan parte de las tareas que hacen las personas, es importante definir qué tareas serán responsabilidad del robot y cuáles de la persona. Esto permite a cada usuario los permisos y privilegios necesarios.

El usuario del robot debe configurarse con los permisos y privilegios que sean estrictamente necesarios en todas las aplicaciones o sistemas que utilice para realizar las tareas. De esta forma no podrá realizar acciones no deseadas. En caso de realizar tareas críticas se puede definir una estrategia de trazabilidad de las acciones realizadas. Algunos fabricantes de RPA ya incluyen esta traza por defecto en las ejecuciones desde su plataforma.

Es bastante probable que cualquier robot tenga que acceder mediante usuario y contraseña a los sistemas. Por tanto, una buena práctica que debemos seguir siempre es encriptar las contraseñas en el propio equipo donde se ejecuta o en software específico que las permita almacenar de forma más centralizada. De este modo, las contraseñas pueden ser gestionadas únicamente por el usuario de negocio que supervisará el robot evitando que desarrolladores y otros usuarios curiosos accedan a esta información privilegiada.

Seguridad específica del robot

Como he comentado, cuando se ejecuta un robot, generalmente abre las aplicaciones en modo gráfico para interactuar con ellas. Imaginemos que un usuario entre al equipo para interrumpir al robot tras autenticarse en una aplicación. En ese momento el usuario podría realizar acciones sobre las aplicaciones en nombre del robot, pasando desapercibido en la trazabilidad de las transacciones.

Un ejemplo del caso anterior puede ser un robot que accede al ERP de la compañía para realizar ciertas acciones. Si el usuario interrumpe al robot y toma el control podría llegar a realizar acciones dentro del ERP como consultar información sensible a la que el usuario del robot podría acceder o ejecutar alguna transacción imprudente.

Para evitar estos casos existen estrategias, por ejemplo los fabricantes de RPA permiten inhabilitar el teclado y ratón mientras se ejecuta el robot con el fin de no entorpecer al robot y evitar situaciones como la anterior. Otra estrategia puede ser limitar el acceso a usuarios supervisores.

Los fabricantes RPA también suelen ofrecer métodos para automatizar tareas que no simulen la interfaz gráfica para lanzar algunas tareas sin interfaz.

No solo los usuarios comprometen la seguridad

Existen otras medidas de seguridad que no debemos descuidar y nos pueden garantizar la ejecución de los robots en un entorno seguro. Por citar algunos ejemplos:

  • Diseñar una plataforma y arquitectura RPA segura, con controles de acceso adecuados, impidiendo el acceso directo de usuarios a los entornos de ejecución
  • Eliminar rastros de trazas de ejecución que puedan poner al descubierto datos sensibles propios del proceso, manteniendo como excepción aquellos datos básicos que permitan garantizar el seguimiento y trazabilidad de las ejecuciones
  • Respecto al código fuente también es conveniente protegerlo con técnicas de ofuscación. El código fuente describe el proceso y tareas, tener acceso al código fuente puede dar ocasión a un uso inadecuado del proceso por parte de alguna persona.

En definitiva, los aspectos a tener en cuenta respecto a la seguridad en RPA no difieren mucho de la seguridad que aplicaríamos a una persona que tuviera que ejecutar una determinada tarea o proceso, pero es necesario complementarlo con otras técnicas adicionales específicas de aquello que necesitemos proteger en cada caso. Eso sí, aplicando en cada caso el sentido común respecto a la criticidad del proceso y la información sensible que gestione.

Gonzalo Estellés, director técnico de PfsTech, by PfsGroup
Gonzalo Estellés, director técnico de PfsTech, by PfsGroup.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

NEWSLETTERS

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    14/11/2024

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    07/11/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS