Aplicar la tecnología para impulsar la transformación digital de los negocios se ha convertido en una necesidad, sin embargo, plantea importantes retos relativos a la ciberseguridad de las empresas. En este post queremos hablar de los riesgos de ciberseguridad de la tecnología RPA y de cómo se pueden solucionar.
La tecnología RPA consiste en un software que realiza tareas automáticas y repetitivas y se integra con infraestructuras que ya existen en las empresas como los ERP o los CRM. Los robots necesitarán iniciar sesión en dichas herramientas, copiar y pegar información, o mover datos. Esto supone que accederán de forma constante a datos e informaciones sensibles de las empresas.
Los robots RPA utilizan una tecnología que ya ha madurado, de manera que los proveedores de la misma, ya han incorporado elementos de seguridad avanzada. Sin embargo, es importante conocer los riesgos de ciberseguridad de las empresas cuando implantan la RPA, para poder evitarlos. En este sentido, es importante destacar que el teletrabajo, que se ha impuesto debido a la pandemia de COVID-19, ha puesto de manifiesto que muchas compañías son vulnerables frente a ciberataques.
¿Qué es la ciberseguridad en las empresas?
La ciberseguridad de las empresas supone la protección e los sistemas de la empresa que están conectados a internet, incluidos hardware, software y datos, contra ciberataques.
En general, se pueden distinguir varios tipos de ciberseguridad:
- La relativa a infraestructuras críticas como la red eléctrica, la purificación de agua, los semáforos o los hospitales.
- La relativa al acceso a la red en la que se utilizan controles de acceso en los inicios de sesión.
- La que se refiere a la nube, que requiere una buena configuración de la tecnología en la nube.
- La relacionada a las aplicaciones, que debe ser controlada con pruebas adecuadas sobre vulnerabilidad.
- La que se refiere al Internet de las Cosas, es decir dispositivos físicos que se conectan a internet.
¿Qué riesgos de ciberseguridad de las empresas supone la tecnología RPA?
En muchas ocasiones la tecnología RPA se utiliza por departamentos que no están acostumbrados a considerar la seguridad de forma transversal en los proyectos que desarrollan, esto supone varios riesgos en cada etapa de proceso de implementación de la RPA. Estos riesgos están relacionados con:
- La definición de la estrategia:
- Identificación errónea de la relación coste-beneficio.
- Elección de un proveedor de RPA poco preparado o inexperto.
- Falta de capacitación de los usuarios que van a utilizar la tecnología RPA.
- Falta de cumplimiento de los requisitos legales.
- Creación de la herramienta:
- Herramienta que no contempla elementos de seguridad.
- Evaluación incorrecta de los riesgos
- Implementación:
- Inexistencia o mala gestión del reparto de responsabilidades durante el proceso de implantación.
- Acceso de forma no segura a datos sensibles o confidenciales.
- Mala gestión de credenciales.
- Falta de un estudio de la trazabilidad.
- Incumplimiento legal, sobre todo relacionado con la protección de datos personales.
- Control:
- Pruebas insuficientes o parciales.
¿Cómo se pueden evitar los riesgos de ciberseguridad en las empresas que implican los robots RPA?
Los proveedores de softwares de RPA actuales ya incorporan medidas de seguridad avanzadas para solucionar y evitar los riesgos que hemos detallado en el apartado anterior, en particular se toman medidas como las siguientes:
- Cada persona que participa en el proyecto debe tener claras cuáles son sus responsabilidades en cuanto a la implementación y manejo de la tecnología RPA, de manera que se eviten las fugas de datos o los accesos no autorizados a los mismos. Para conseguirlo se puede realizar:
- Una verificación periódica de los requisitos de seguridad y una verificación del software para controlar que cumple esos requisitos.
- Crear un grupo de usuarios que controle el trabajo del robot.
- Utilizar listas de control de acceso o patrones seguros de autenticación.
- Los usuarios que vayan a utilizar los robots RPA deberán conocer a fondo la tecnología, la tendrán que saber manejar y aprender a evitar riesgos. Para lograrlo es fundamental la formación y que esos usuarios participen en el proceso de diseño de la herramienta de RPA que van a utilizar puesto que conocen bien los puntos de riesgo de cada proceso que se automatice.
- En cuanto a las credenciales se deben definir estrategias de asignación de contraseñas y gestionar el acceso a las mismas a través de administradores de credenciales cifrados. Además, en el caso en que haya momentos en los que los robots manejen información sensible (datos personales) o confidencial de la empresa, es fundamental que los controles de seguridad sean más estrictos.
- La trazabilidad va a permitir no solo detectar fallos en los procesos que se automaticen sino también evitar riesgos de ciberseguridad de las empresas debidos al uso de la tecnología RPA y saber dónde se produce el riesgo y por qué.
Finalmente, cabe destacar que un elemento fundamental para que la implementación y el uso de la tecnología RPA sean seguros, es la elección de un proveedor que tenga experiencia en el mercado, conozca a fondo los riesgos e implante medidas de seguridad avanzada que se actualicen para proteger la información confidencial de las empresas.