RPA e IA: Nuevos riesgos y oportunidades en Ciberseguridad

Avatar

El “Institute for Robotic Process Automation” (IRPA) define RPA, o automatización robótica de procesos,  como “la aplicación de una tecnología que permite a los empleados de una empresa configurar un software informático o un robot para capturar e interpretar las aplicaciones existentes para procesar una transacción, manipular datos, generar respuestas y comunicarse con otros sistemas digitales”. RPA permite eliminar errores, un ahorro de costes y aceleración de procesos. Además las herramientas actuales ya han alcanzado un grado suficiente de madurez por lo que se está convirtiendo en una de las tecnologías de moda.  Según Gartner, RPA es el sub-segmento de software de mayor crecimiento (crecimiento continuado y previsto de más del 40% anual) y con una previsión de alcanzar los 1,3 Billones de dólares en 2019 según Gartner o los 2,9 billones de dólares en 2021 según Forrester.

RPA en la práctica son herramientas software que se integran con la infraestructura existente en las empresas. Permiten simular a un usuario en la realización tareas repetitivas basadas en reglas, y en algunas ocasiones se puede ir entrenando para mejorar con el tiempo y uso (ejemplos son los bots, los chatbots o “agentes virtuales” o los knowbots).  Es una de las diferentes tecnologías actuales que permiten la automatización de tareas y mejoras de procesos en el puesto de trabajo. Aunque no se trata de la única tecnología, si es la de más rápido crecimiento debido a su corta curva de aprendizaje, facilidad de implementación y no ser tan necesaria la inclusión de perfiles más técnicos para su implementación (lo que permite que el personal del negocio se interese por ella). Es un primer paso hacia la adopción de la IA (inteligencia artificial) en el puesto de trabajo:

rpa-ia

Aunque se tratan de tecnologías ya maduras, y los principales fabricantes ya implementan características de seguridad avanzada, se ha de tener en cuenta que este tipo de soluciones está accediendo a entornos normalmente críticos para la empresa (ERP, CRM, etc.) de manera directa en la mayoría de veces, con usuarios privilegiados y de manera automatizada, donde además suelen ser proyectos impulsados por departamentos no tecnológicos, no tan acostumbrados a la inclusión de la seguridad de manera transversal en todo el proyecto. Por ello los principales riesgos en la implantación de RPA suelen estar relacionados con la gestión de Identidades, la trazabilidad (gestión de la actividad, etc.) y el cumplimiento (por ejemplo, si se tratan datos sensibles de manera automatizada hay que tener en cuenta el cumplimiento de la GDPR). 

La gestión de las cuentas privilegiadas utilizadas por el software RPA es uno de los elementos más críticos a tener en cuenta (no olvidemos que al menos el 80% de las filtraciones de datos guarda relación con cuentas privilegiadas comprometidas, según Forrester). Es de vital importancia:

  • la gestión de su ciclo de vida
  • el almacenaje seguro de las credenciales (no en los scripts, por ejemplo,  y con cambios periódicos automatizados)
  • la utilización de cuentas diferentes a los usuarios reales y únicas para cada robot
  • el control de acceso (como se inyectan las credenciales a la aplicación, doble factor para robots, RBAC,  etc.)
  • la trazabilidad de la actividad de los mismos.

En general, si una empresa ha decidido emprender el camino de la implantación de RPA, ha de incluir en sus tres líneas de defensa  los controles y cambios necesarios teniendo en cuenta las especiales características de estas tecnologías. Por ejemplo en Auditoría interna se han de incluir los procesos modificados y la obtención de evidencias o en las políticas de seguridad. En cuanto a la gestión de riesgos se han de tener en cuenta y modificar los nuevos riesgos añadidos, tanto a nivel de integridad o confidencialidad como especialmente disponibilidad y por tanto afectación al BCP (plan de continuidad de negocio en inglés).

Debido a la rápida inclusión de estas tecnologías en las empresas, y por tanto en la industria, otro de los campos que se ve altamente afectados es el de Auditoría. RPA ha pasado a ser una de las 5 tecnologías imprescindibles a ser conocidas por los Auditores de Seguridad en corto tiempo (“ISACA – The future of IT Audit”):

rpa-ia_1

Por otro lado, RPA también se está utilizando en el campo de la ciberseguridad para mejorar los procesos en disciplinas como la recolección y gestión de eventos de seguridad, ML (Machine Learning) e IA, reporting y mejoras de tareas de Blue Team, aunque lo explicaremos en más detalle en posteriores entradas del Blog de A2Secure

Autor: Josep Bardallo

Leave a Comment

black-friday_1due-diligence