¿Son sus bots seguros? Parte II

Blog /¿Son sus bots seguros? Parte II
NTT DATA Services BPO Bot blog post

En mi post anterior, escribí sobre por qué las empresas precisan enfocarse en la seguridad cuando se crean bots. En una era en la que los delitos cibernéticos depredan con voracidad los sistemas más vulnerables, las empresas deben tomarse la seguridad de los bots con mucha seriedad.

Debido a que los bots operan en un ecosistema compuesto por operaciones, API y conectores críticos (a los que también acceden proveedores y clientes externos), todo el ecosistema (incluidas las redes de sus clientes) son vulnerables a múltiples amenazas. En el post anterior, resalté los tres pilares centrales —funciones de seguridad, evaluación de vulnerabilidades y pruebas de penetración— que permiten garantizar que sus bots incorporen los protocolos de seguridad necesarios y operen en un entorno seguro.

En la parte II de esta serie, analizo en mayor detalle estos tres pilares con elementos ejecutables que pueden aplicarse en el ciclo de desarrollo de bots:

Funciones de seguridad avanzadas

Es preciso asegurarse de utilizar códigos y principios estrictos de seguridad en todo el ciclo de desarrollo, es decir, desde la planificación, la creación y las pruebas, hasta la implementación.

  • Cifrado estándar de la industria: A lo largo del proceso de automatización, el cifrado (es decir, el proceso de cifrar datos o el hashing de contraseñas de manera tal que únicamente las partes autorizadas puedan acceder a ellos) contribuye a garantizar el máximo nivel de seguridad de acceso. SHA-2 es un ejemplo de un algoritmo de hashing aceptado y probado en la industria que podría utilizarse.
  • Seguridad de los datos a partir del cifrado y destrucción de datos persistentes delimitada por el tiempo: Deberían cifrarse los datos en tres etapas distintas, es decir, datos en reposo (disco duro), datos en uso (memoria) y datos en movimiento (red). Por ejemplo, cuando un bot manipula datos confidenciales, como información de salud protegida (PHI), se usa texto cifrado en las tres etapas, en lugar de texto simple.
  • Cortafuegos y sistema de prevención de intrusiones: Debido a que es muy probable que los bots operen en distintos cortafuegos, es preciso asegurarse de que no se los usurpe y utilice como troyanos; a tal fin, debe implementarse un cortafuegos y un sistema de prevención de intrusiones. Hay que asegurarse de que estén actualizados con la versión más reciente.
  • Políticas de implementación: Debemos asegurarnos de que todas las implementaciones de RPA se ajusten a las políticas establecidas en cuanto a la implementación, como documentación, pruebas, control de versiones y procesos de cierre de sesión.
  • Inteligencia artificial (IA)/Aprendizaje automatizado (AU) incorporados para detectar filtraciones de seguridad:  Se incorporan prácticas de aprendizaje automatizado. Con el aprendizaje automatizado, el software podría eventualmente proporcionar inteligencia en materia de seguridad mediante el análisis de actividades de procesos anteriores. De esta manera, podrían emitirse alertas de manera más rápida y precisa en comparación con un experto humano, a partir del mismo análisis.
  • Análisis del comportamiento:
    • Conservar registros de auditoría en los que se registren todas las actividades de los bots, así como aquellas que llevan a cabo los usuarios de bots dentro del marco de la automatización. Los registros contribuyen a reconstruir las actividades que preceden a la incidencia cada vez que los bots presentan un comportamiento inesperado.
    • Utilizar herramientas como Análisis de Comportamientos de Usuarios y Entidades (UEBA) en los que se utilice el aprendizaje automatizado basado en la IA para identificar cambios en el comportamiento del bot.

Evaluación de las vulnerabilidades

Debido a que los bots trabajan de manera permanente en distintas redes y cortafuegos, debemos asegurarnos de verificar la integridad de la seguridad del ecosistema en forma periódica.

  • Cumplimiento normativo: Todos los controles de cumplimiento normativo que rijan para un operador humano deberían compilarse y aplicarse a los bots. Por ejemplo, de conformidad con la regla de seguridad establecida por la HIPAA, se requiere un nombre de usuario y/o un número para identificar y llevar un registro de la actividad del usuario. Esto debería ser obligatorio para los bots que trabajan en procesos relacionados con PHI.
  • Preparación para la gestión de riesgos: El equipo de Gestión de riesgos debería participar durante la etapa de planificación de la implementación de bots para comprender, determinar y aportar soluciones para los riesgos inherentes a la implementación de bots.
  • Seguridad de redes y aplicaciones:
    • Si la red cuenta con una seguridad efectiva, esto contribuye a identificar cuándo tienen lugar ataques dentro de la red (seguridad de terminales), recopilar pruebas sobre las intrusiones en la red y defenderse contra los ataques a la red.
    • La seguridad de las aplicaciones evita ataques o amenazas procedentes de distintas fuentes, como validación de entradas, secuestro de sesión, scripting entre sitios (XSS), falsificación de solicitudes de sitios cruzados (CSRF) y denegación de servicios (DoS).
    • Es preciso cerciorarse de que los bots utilicen E2EE (Cifrado de extremo a extremo) para todas las comunicaciones que tienen lugar entre el cliente y el servidor. De esta manera, se evitan los ataques "Hombre de por medio" (MITM) en la seguridad de la red.

Pruebas de penetración (específicas para bots de procesos)

Para evaluar la seguridad del ecosistema en su totalidad, es preciso llevar a cabo una serie de ataque simulados o pruebas de penetración.

  • Configuración segura y endurecimiento de dispositivos críticos: Es necesario asegurarse de contar con una configuración segura para reducir las vulnerabilidades innecesarias en relación con servidores, estaciones de trabajo y dispositivos de red.
  • Control de acceso lógico: Debe garantizarse un control de acceso lógico, de manera tal que los bots no logren acceder en forma inadecuada a la información considerada confidencial.
  • Administración de parches de seguridad: Debe crearse un inventario del software que se utiliza para crear bots y asegurarse de contar con una propiedad adecuada a fin de monitorear y garantizar que la aplicación de parches se realice en tiempo y forma.
  • Administración de contraseñas
    • La administración de contraseñas, como la autenticación de dos factores o la bóveda de credenciales, debería ser un componente integral de una herramienta de RPA para administrar y asegurar distintas contraseñas, y los detalles de inicio de sesión asociados. Los detalles deberían protegerse a partir del uso de cifrado y protocolos de alto nivel, además de garantizarse un elevado nivel de seguridad entre los procesos durante el "saludo inicial". Al mismo tiempo, debe implementarse una lógica comercial en las aplicaciones y en la transferencia de datos entre una y otra.
  • Seguridad del código de aplicaciones, como inyección de SQL y scripting entre sitios (XSS).
    • Incorpore equipos de TI e InfoSec en el equipo de administración de RPA desde el comienzo. Los equipos de InfoSec deberían comenzar a identificar las vulnerabilidades desde la etapa de planificación.
    • Utilice herramientas de Pruebas de Seguridad de Aplicaciones Estáticas (SAST) para el análisis de códigos estáticos durante la etapa de diseño, y la herramienta de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) para los códigos dinámicos durante los tiempos de ejecución.
    • Asegúrese de complejizar el código fuente de la aplicación para evitar la ingeniería inversa antes de migrar bots al entorno de producción.

Debe abordarse la seguridad de los bots con la máxima urgencia, seriedad y disciplina. Las organizaciones deben asegurarse de que los bots estén codificados con un proceso seguro, implementados en un entorno seguro y sometidos a cadencias de pruebas regulares en cuanto a seguridad y penetración. Y, lo que es aún más importante, la seguridad de los bots debería formar parte del protocolo de administración.

Espero que esta guía detallada los ayude a crear una base segura para transitar su recorrido hacia la RPA.

Leer: Are your bots secure: Part I (¿Son seguros sus bots? Parte I)

Fecha de publicación: 14/12/2017

EXPLORAR NUESTROS BLOGS