• Início
  • Blog
  • Cinco etapas para um ambiente de automação seguro, em conformidade e protegido na nuvem
Qual é o seu nível de segurança?

À medida que as empresas passaram a automatizar processos rotineiros para reduzir custos e atenuar os desafios relacionados a recursos durante a pandemia, elas também tiveram que lidar com novos desafios de segurança devido ao trabalho remoto e ao acesso a dados confidenciais literalmente de qualquer lugar e a qualquer momento.

De acordo com o Gartner, "Atualmente, 60% dos trabalhadores do conhecimento são remotos e pelo menos 18% não retornarão ao escritório." Com o trabalho remoto, pode haver maior exposição, o que leva a um maior risco cibernético. Os invasores cibernéticos são ágeis, rápidos e persistentes. Eles estão sempre procurando vulnerabilidades que possam ser exploradas para obter acesso aos dados confidenciais das empresas. Infelizmente, eles têm sido bem-sucedidos.

"Mais de 80% das empresas dos EUA indicam que seus sistemas foram invadidos em uma tentativa de roubar, alterar ou tornar públicos dados importantes. [...] Mais de 85% das empresas da Ásia, Europa, África e América Latina afirmam que também foram invadidas." E os resultados podem ser caros. Uma violação pode custar a uma empresa milhões de dólares em esforços de correção e perda de negócios e reputação.

A migração da automação para uma arquitetura nativa da nuvem permite um dimensionamento mais rápido, maior disponibilidade, segurança granular e inovação. Para avançar na velocidade dos negócios, a plataforma de automação precisa:

  • Minimizar o risco de exposição e os incidentes de segurança.
  • Fornecer políticas sólidas e proativas de mitigação de riscos e recuperação de desastres.
  • Estar em conformidade com as principais normas do setor.
  • Oferecer autenticação e controle de acesso fortes e centralizados, bem como extensões por meio de integrações.

Além dessas considerações sobre a plataforma, aqui estão cinco etapas que você pode adotar para proteger a plataforma de automação, o ciclo de vida de desenvolvimento e os dados. 

ETAPA 1: garanta que a autenticação e o acesso sejam definidos e controlados 

Para começar, você deve ter certeza de que qualquer pessoa que acesse o sistema seja autenticada, portanto, a autenticação em várias camadas e o controle de acesso refinado são essenciais para um ambiente com controle rigoroso. Aqui estão algumas práticas recomendadas a considerar como parte da garantia de que sejam criados a autenticação e o acesso corretos:

  • Crie funções distintas, como administrador de RPA, criador de bots, testador de bots e operador de RPA, dentro da arquitetura básica e das funções primárias da plataforma de automação. Conceda aos usuários acesso restrito ao conteúdo com base na autorização para realizar as funções de suporte e solução de problemas. Esse tipo de controle possibilita separar responsabilidades e estabelecer funções de alta fidelidade com controles de acesso refinados o suficiente para atender às necessidades dos ambientes mais rigorosos, seguros e regulamentados para conformidade.
  • Certifique-se de que a plataforma de automação ofereça um cofre de credenciais incorporado ou a capacidade de se integrar a cofres de credenciais. Um cofre de credenciais armazena todas as credenciais do sistema e do usuário, bem como as necessárias para as automações no tempo de execução. Como resultado, os criadores de bots podem evitar a prática insegura de codificação rígida de credenciais e outros argumentos/dados confidenciais de forma direta dentro das automações.
  • Crie várias opções para gerenciar a autenticação de usuários. Por exemplo, funções e permissões devem estar disponíveis, como Active Directory usando LDAP, Active Directory usando Kerberos, SAML2.0 e autenticação local usando um cofre de credenciais incorporado. 

ETAPA 2: crie um ambiente de desenvolvimento que tenha alta disponibilidade com suporte robusto ao gerenciamento do ciclo de vida do desenvolvimento de software

Quando o acesso estiver seguro, você poderá passar para outras áreas para remover possíveis vulnerabilidades. Por exemplo, as práticas recomendadas a seguir podem levar ao desenvolvimento seguro e bem-sucedido de bots de software de automação:

  • Considere um protocolo/plano de segurança para desenvolvimento de código que exija uma verificação multiferramentas e multicamadas contínua para detectar e eliminar vulnerabilidades de software.
  • Certifique-se de que seu provedor de plataforma possa realizar de forma proativa testes de invasão por meio de verificações de código em busca de vulnerabilidades.
  • Garanta a postura de segurança do dispositivo que executa a automação, aproveitando as soluções de EDR (Endpoint Detection and Response, detecção e resposta de endpoint) e DLP (Data Loss Prevention, prevenção de perda de dados) para aplicar políticas, detectar anomalias e corrigir ameaças de forma proativa.
  • Avalie a arquitetura do componente. Ele deve ser capaz de se encaixar sem problemas em seus processos e infraestrutura de alta disponibilidade/recuperação de desastres (HA/DR) existentes. 

ETAPA 3: proteja os dados em repouso, em uso e em trânsito 

Você tem proteção de dados de ponta a ponta? É necessário manter a confidencialidade e a integridade dos processos críticos para os negócios e dos dados confidenciais. A plataforma de automação deve oferecer proteções não apenas para os dados em repouso e em trânsito, mas também enquanto estiverem em uso em sistemas individuais. Alguns exemplos de proteção incluem:

  • Criptografar credenciais locais e selecionar dados de tempo de execução usados por bots, usar o cofre de credenciais para fornecer armazenamento seguro para parâmetros de configuração sigilosa e detalhes com relação ao controle de versão integral e serviços de e-mail
  • Empregar a pseudonimização do procedimento de gerenciamento e desidentificação de dados. A pseudonimização transforma os dados em identificadores artificiais, de modo que não seja mais possível usar os dados para identificar uma pessoa física sem informações adicionais que são mantidas de forma separada.
  • Todos os serviços de rede devem usar a TLS (Transport Layer Security, segurança da camada de transporte) 1.2 (ou outros padrões do setor) para garantir a segurança e a integridade dos dados durante o transporte entre os componentes.
  • A plataforma de automação deve seguir as tecnologias de criptografia padrão do setor para garantir que os dados sejam criptografados. O tráfego de/para os usuários deve ser criptografado usando HTTPS + SSL/TLS 1.2 para se comunicar com o ambiente de automação. Os dados armazenados no serviço, como os dados em repouso, devem ser criptografados usando AES-256.

ETAPA 4: conformidade

Agora que o seu pessoal tem acesso às áreas apropriadas para o trabalho na empresa e está trabalhando em um ambiente seguro, você pode dar um passo para trás e analisar a conformidade.

A avaliação e o gerenciamento da conformidade se concentram na avaliação de sistemas e processos para garantir que as normas do setor e os requisitos regulatórios sejam atendidos. Essa deve ser uma prática contínua. À medida que a empresa cresce, os departamentos trazem soluções para ajudar no dimensionamento. Novos aplicativos devem ser verificados para que não coloquem em risco várias conformidades de segurança. Recursos abrangentes e contínuos de registro em log da auditoria na plataforma ajudarão a garantir a conformidade com a segurança e a qualidade em nível empresarial. Em setores altamente regulamentados, como o de ciências da saúde ou finanças, as organizações podem receber multas e outras penalidades se as normas de conformidade, incluindo HIPAA, PCI-DSS e FISMA, não forem seguidas.

ETAPA 5: monitore de forma proativa as operações de segurança

A segurança não é um evento único. Novas vulnerabilidades e técnicas de ataque cibernético podem surgir a qualquer momento. Portanto, as operações de segurança devem ser monitoradas de forma contínua e mantidas em um alto padrão. Para isso, aqui estão algumas práticas recomendadas a serem seguidas:

  • Certifique-se de que a plataforma de automação ofereça um processo de SDLC (software development life cycle, ciclo de vida de desenvolvimento de software) seguro com verificações e certificações realizadas por administradores distintos com diferentes funções e privilégios.
  • A separação rigorosa de tarefas e controles multicamadas devem ser integrados para garantir que o pipeline de desenvolvimento de software seja confiável, dimensionável, eficiente, seguro e esteja em conformidade. 
  • Ter uma equipe de engenharia de segurança especializada, responsável pela revisão do projeto, modelagem de ameaças, revisão manual do código e verificações pontuais, além de testes contínuos de invasão, garante a segurança da nuvem. 
  • Junto com as operações, a recuperação de desastres deve ser gerenciada de forma proativa para que o monitoramento e a notificação de incidentes permitam lidar com as situações em tempo hábil.

Na Automation Anywhere, podemos ajudar você a aumentar a defesa para proteger seus dados e operações com nossa plataforma nativa da nuvem Automation 360™ e nosso suporte.

 

Sobre Rinku Sarkar

user image

A Rinku é a líder de produtos de segurança na nuvem na Automation Anywhere.

Inscreva-se por e-mailVisualizar todos os posts LinkedIn
Experimente Automation Anywhere
Close

Para os negócios

Inscreva-se para ter acesso rápido a uma demonstração completa e personalizada do produto

Para estudantes e desenvolvedores

Comece sua jornada RPA instantaneamente com acesso GRATUITO ao Community Edition