• Página Principal
  • Blog
  • 5 pasos para lograr un entorno de automatización en la nube seguro, conforme y protegido
¿Cuál es su nivel de seguridad?

A medida que las empresas han ido automatizando los procesos más monótonos para reducir costos y mitigar los desafíos de recursos durante la pandemia, también han tenido que hacer frente a nuevos retos de seguridad debido al trabajo remoto y a los datos confidenciales a los que se accede literalmente desde cualquier lugar y en cualquier momento.

Según Gartner, “Hoy en día, el 60 % de los trabajadores intelectuales son remotos y al menos el 18 % no volverá a la oficina”. El trabajo remoto puede traer consigo una mayor exposición a los riesgos cibernéticos. Los ciberatacantes son ágiles, rápidos y persistentes. Siempre están buscando vulnerabilidades de las que puedan aprovecharse para acceder a los datos confidenciales de las empresas. Por desgracia, han tenido bastante éxito.

Más del 80 % de las empresas estadounidenses indican que han accedido ilegalmente a sus sistemas con éxito en un intento de robar, cambiar o hacer públicos datos importantes. […] Más del 85 % de las empresas en Asia, Europa, África y América Latina afirman que también han sido pirateadas”. Y los resultados pueden ser costosos. Una irrupción le puede costar a una empresa millones de dólares en medidas correctivas y pérdidas de negocios y reputación.

La migración de la automatización a una arquitectura nativa de la nube permite escalar más rápido, tener mayor disponibilidad, contar con seguridad granular e innovar. Para poder moverse a la misma velocidad a la que funciona su negocio, su plataforma de automatización debe hacer lo siguiente:

  • Minimizar el riesgo de exposición y los incidentes de seguridad.
  • Proporcionar políticas preventivas y sólidas de mitigación de riesgos y recuperación en caso de catástrofe.
  • Cumplir las principales normas de la industria.
  • Ofrecer autenticación y control de acceso sólidos y centralizados, así como extensiones mediante integraciones.

Además de estas consideraciones, hay cinco pasos que puede seguir para proteger su plataforma de automatización, el ciclo de desarrollo y los datos.

PASO 1: Garantice que la autenticación y el acceso estén definidos y controlados

Para empezar, debe asegurarse de que toda persona que acceda a su sistema esté autenticada, por lo que la autenticación multicapa y el control de acceso detallado son esenciales para un entorno estrictamente controlado. A continuación, podrá ver algunas de las prácticas recomendadas a tener en cuenta para garantizar una autenticación y un acceso adecuados:

  • Cree roles diferenciados como administrador de la automatización robótica de procesos (RPA), creador de bots, probador de bots y operador de la RPA dentro de la arquitectura básica y las funciones primarias de la plataforma de automatización. Concédales a los usuarios un acceso restringido a los contenidos para desempeñar su función de asistencia y resolución de problemas según su autorización. Este tipo de control permite delimitar tareas y tener la capacidad de establecer roles de alta confiabilidad con controles de acceso lo suficientemente detallados para cumplir con las necesidades de los entornos más rigurosos, seguros y regulados en cuanto a cumplimiento.
  • Asegúrese de que su plataforma de automatización ofrezca una bóveda de credenciales integrada o la capacidad de integrarse a diferentes bóvedas. Una bóveda de credenciales almacena todas las credenciales del sistema y del usuario, así como las que se necesitan para ejecutar las automatizaciones. Como resultado, los creadores de bots pueden evitar la práctica insegura de codificar las credenciales y otros datos/argumentos confidenciales directamente en sus automatizaciones.
  • Desarrolle múltiples opciones para gestionar la autenticación del usuario. Por ejemplo, debe haber funciones y permisos disponibles como Active Directory mediante LDAP, Active Directory mediante Kerberos, SAML2.0 y la autenticación local mediante una bóveda de credenciales integrada.

PASO 2: Cree un entorno de desarrollo de alta disponibilidad con un soporte sólido compatible con la gestión del ciclo de desarrollo

Una vez que el acceso sea seguro, puede enfocarse en otras áreas para eliminar cualquier vulnerabilidad posible. Por ejemplo, las siguientes prácticas recomendadas pueden dar como resultado un desarrollo exitoso y seguro de bots del software de automatización:

  • Considere un plan o protocolo de seguridad para el desarrollo de códigos que requiere un escaneo constante de múltiples herramientas y capas para detectar y eliminar las vulnerabilidades del software.
  • Asegúrese de que el proveedor de su plataforma pueda realizar pruebas de penetración preventivas mediante análisis de código para detectar vulnerabilidades.
  • Garantice la seguridad del dispositivo que ejecuta la automatización aprovechando las soluciones de detección y respuesta de puntos finales (EDR) y prevención de pérdida de datos (DLP) para aplicar políticas, detectar anomalías y remediar amenazas de forma proactiva.
  • Evalúe la arquitectura de los componentes. Debe ser capaz de encajar sin problemas en su infraestructura y sus procesos existentes de alta disponibilidad y recuperación ante desastres (HA/DR).

PASO 3: Proteja los datos en reposo, en uso y en tránsito

¿Cuenta con protección de datos de extremo a extremo? Es fundamental mantener la confidencialidad e integridad de los procesos críticos para la empresa y de los datos sensibles. Su plataforma de automatización debe brindar un amplio conjunto de medidas de salvaguarda adicionales que no solo protegen los datos en reposo y en tránsito, sino también los datos en uso en sistemas individuales. Estos son algunos ejemplos de salvaguardia:

  • Cifrar las credenciales locales y seleccionar los datos del tiempo de ejecución que utilizan los bots, utilizar la bóveda de credenciales para almacenar de forma segura los parámetros de configuración confidencial y los detalles pertenecientes al control de versiones integral y a los servicios de correo electrónico.
  • Emplear el proceso de seudonimización para la gestión y la desidentificación de los datos. La seudonimización transforma los datos en identificadores artificiales, lo que imposibilita su utilización para identificar a una persona física sin la información adicional que se conserva por separado.
  • Todos los servicios de red deben utilizar la seguridad de la capa de transporte (TLS) 1.2 (u otros estándares de la industria) para garantizar la seguridad e integridad de los datos durante el transporte entre componentes.
  • La plataforma de automatización debe contar con las tecnologías de encriptación estándar de la industria para garantizar que sus datos estén encriptados. El tráfico hacia y desde los usuarios debe estar encriptado con HTTPS + SSL o TLS 1.2 para hablar con el entorno de automatización. Los datos almacenados en el servicio, como los datos en reposo, deben cifrarse con AES-256.

PASO 4: Cumplimiento

Ahora que sus empleados tienen acceso a las áreas de la empresa adecuadas para su puesto y trabajan en un entorno seguro, puede dar un paso atrás y analizar el cumplimiento de las normativas.

La evaluación y gestión del cumplimiento se centra en evaluar los sistemas y los procesos para garantizar que se cumplan las normas de la industria y los requisitos reglamentarios. Esto debería ser una práctica continua. A medida que la empresa crece, los departamentos deben incorporar soluciones para ayudar a escalar. Las nuevas aplicaciones deben verificarse para que no poner en peligro múltiples cumplimientos de seguridad. Las funciones de registro de auditorías integrales y continuas en su plataforma lo ayudarán a garantizar el cumplimiento de las normas de seguridad y calidad a nivel empresarial. En las industrias con regulaciones rigurosas, como las ciencias de la salud o las finanzas, las organizaciones pueden recibir multas y otras sanciones si no cumplen las normas de conformidad, como HIPAA, PCI-DSS y FISMA.

PASO 5: Supervise de manera proactiva las operaciones de seguridad

La seguridad no es un hecho aislado. En cualquier momento pueden aparecer nuevas vulnerabilidades y técnicas de ciberataque. Por lo tanto, debe supervisar sus operaciones de seguridad todo el tiempo y mantenerlas en un nivel alto. Por eso, a continuación, le presentamos prácticas recomendadas que puede seguir:

  • Asegúrese de que su plataforma de automatización ofrezca un proceso seguro del ciclo de desarrollo de un software (SDLC) con comprobaciones y certificaciones realizadas por distintos administradores con diferentes funciones y privilegios.
  • La estricta separación de tareas y los controles multicapa deberían estar integrados para garantizar que el canal de desarrollo de software sea confiable, escalable, seguro y conforme.
  • Contar con un equipo de ingeniería de seguridad especializado que se encargue de la revisión del diseño, el modelado de amenazas, la revisión manual del código y las comprobaciones aleatorias, así como de las pruebas de penetración continuas, garantiza la seguridad de la nube.
  • Junto con las operaciones, la recuperación ante desastres debe gestionarse de forma proactiva para que la supervisión y notificación de incidentes permita gestionar las situaciones a tiempo.

En Automation Anywhere, podemos brindarle ayuda para impulsar su defensa en cuanto a la protección de datos y operaciones con nuestra plataforma cloud-native Automation 360™ y soporte.

 

Información de Rinku Sarkar

user image

Rinku es líder de Productos en Productos de Seguridad en la Nube en Automation Anywhere.

Suscribirse por correo electrónicoVer todas las publicaciones LinkedIn
Probar Automation Anywhere
Close

Para empresas

Inscríbase para obtener acceso rápido a una demostración del producto personalizada

Para estudiantes y desarrolladores

Comience de inmediato su proceso hacia la RPA con acceso GRATUITO a Community Edition