OpiniónInfraestructuras

Gestión de la seguridad RPA en el sector financiero

Albert Barnwell, Sales Manager de Cyberark para España y Portugal.

 

La automatización robótica de procesos (RPA) permite a las entidades bancarias ser más eficientes y ágiles, al tiempo que garantiza el cumplimiento normativo y reducir el riesgo. Pero a medida que estos procesos han evolucionado, también lo han hecho los desafíos de seguridad.

Cuando la automatización robótica de procesos irrumpió en escena hace unos años, muchos consideraron que sería la solución tecnológica definitiva que las instituciones financieras estaban esperando. Estos robots de software podrían asumir las tareas más simples y repetitivas de una organización, y no solo liberarían a los empleados para trabajar en otras tareas críticas para el negocio, sino que permitirían mejorar la eficiencia, la precisión, la agilidad y la escalabilidad.

Y aunque RPA proporcionó numerosos beneficios, a muchos empleados les ha preocupado perder sus trabajos. Pero los analistas predicen que el mercado de RPA aumentará más del 50% en 2022 respecto a 2021, hasta alcanzar los 3.000 millones de dólares, de tal manera que, hasta el momento, RPA se ha utilizado para aumentar los recursos humanos, en lugar de para reemplazarlos. Asimismo, RPA ha permitido a los empleados usar su experiencia y sus capacidades de manera más beneficiosa, ya que la automatización robótica de procesos se encarga de algunos de los procesos más manuales y lentos de la industria financiera. Entre ellos, la apertura de cuentas, la incorporación de clientes, los préstamos hipotecarios, la generación de informes, la lucha contra el blanqueo de capitales o el procesamiento de préstamos.

La evolución de RPA

En el sector financiero, los empleados han adoptado RPA como una forma de resolver los problemas comerciales, llevando los fundamentos y las prácticas de DevOps a una comunidad más amplia: personas de toda la empresa creando sus propios procesos automatizados utilizando plataformas de código bajo o sin código. La automatización robótica de procesos inicial permitía la automatización, pero también requería supervisión humana, ya que las aplicaciones RPA usaban bots semiatendidos que necesitan que una persona presione el botón "ir" para realizar una tarea, así como la identidad digital de ese usuario para completarla.

En este sentido, los empleados estaban deseando poder llevar la automatización al siguiente nivel e implementar robots completamente desatendidos. Pero esto tenía serias implicaciones de seguridad, ya que los robots desatendidos requieren acceso a las mismas redes, sistemas y aplicaciones que sus homólogos humanos.  Lo cual, a menudo, incluye el acceso a sistemas empresariales críticos que requieren un acceso privilegiado de alto nivel. Por ello, cabe señalar que tanto las credenciales como las identidades de los robots corren el mismo riesgo que las de una persona de la vida real. Y si no se aseguran correctamente, proporcionan a los ciberdelincuentes otra opción para robar datos y provocar el caos. Es comprensible, pues, que el uso de bots desatendidos haya causado una ruptura entre los equipos de seguridad y de automatización, ya que los primeros requieren medidas de seguridad más estrictas y los segundos luchan por conseguirlo, debido a la falta de conocimiento o la falta de tiempo.

La aplicación de prácticas de seguridad sólidas fue complicada para los equipos de ciberseguridad y sus “rigurosas recomendaciones” llevaron a una división entre ellos. Algunos se desanimaron y se resignaron a utilizar la automatización asistida que sofocaba la innovación, mientras que otros siguieron adelante e implementaron aplicaciones RPA no autorizadas que crearon riesgos en la ciberseguridad de la organización.

Cómo asegurar la automatización desatendida

Afortunadamente, es posible abordar los problemas de seguridad de tal manera que admita el uso de robots desatendidos seguros sin que se necesite un trabajo adicional por parte de los empleados. Esto se lleva a cabo a través de una gestión automatizada y centralizada de las credenciales de RPA. En lugar de asignar, administrar y actualizar manualmente las credenciales que un bot necesita para realizar su tarea, todas las credenciales privilegiadas codificadas de forma rígida se eliminan de los scripts del robot y se reemplazan con una llamada a la API, que apunta a la rotación automática de credenciales almacenadas en un repositorio seguro y centralizado.

Esto proporciona una implementación sólida de medidas de seguridad, entre ellas, la rotación de credenciales, la autenticación multifactor, los requisitos de complejidad y la unicidad de contraseña y, según ciertos criterios, la suspensión de credenciales privilegiadas.

La mejor práctica también incluye otorgar a los bots su propia identidad, credenciales y derechos únicos para garantizar que la separación/segregación de funciones se controlen adecuadamente, además de limitar el acceso a las aplicaciones y bases de datos que necesitan para hacer su trabajo. Esto es aplicar el principio de privilegio mínimo a los robots, de la misma manera que restringiría a un usuario humano los niveles mínimos de acceso o permisos necesarios para realizar su trabajo.

Liberar el poder de RPA

Una solución de repositorio centralizada automatizada elimina los obstáculos antiguos, pero para desbloquear verdaderamente el poder del desarrollador ciudadadano y los beneficios finales de RPA, los organismos financieros deben adoptar DevSecOps, además de combinar la automatización y la seguridad desde el principio.

Involucrarse con los equipos y profesionales de la seguridad de manera proactiva y temprana permitirá a los equipos de RPA y al desarrollador ciudadano superar esas preocupaciones y escalar de manera efectiva la cantidad de bots de RPA en su organización, sin introducir riesgos de seguridad ni ralentizar la innovación.

Computing 815