Cómo mantener protegida la identidad de bots, robots y más

Muchos de ustedes recordarán el libro del escritor de ciencia ficción Isaac Asimov, Yo, Robot. Publicado en 1950, imagina el uso generalizado de robots en la sociedad y las implicaciones morales que crea. No hace falta decir que Asimov se adelantó a su tiempo.

La automatización robótica de procesos (RPA) es una tecnología generalizada implementada en muchas verticales. Evita que los trabajadores humanos realicen innumerables horas de tareas secuenciales y repetitivas que no agregan un valor significativo a la empresa. ¿No sería fantástico si pudiera aprovechar las oportunidades de RPA de alto valor y reemplazar las tareas, no al personal, sin los riesgos que representa un “Robby” enrojecido?

Hoy cada vez son mas usados los bots para automatizar tareas repetitivas, estos accesan la red y se conectan a servicios que pueden ser críticos para la empresa. Si bien existen desde hace algún tiempo, su uso puede introducir nuevas amenazas. Seamos realistas, un bot es solo otra cuenta o identidad, es solo una cuenta “no humana” o de máquina, con derechos de acceso y autorizaciones. Debido a esos derechos y prerrogativas, las cuentas de las máquinas deben ser gobernadas y administradas al igual que las identidades humanas. Permitiéndoles iniciar y operar otro software dentro de una pila de TI, manipulando datos entre plataformas y aplicaciones. Y si no crees que algo pueda salir mal con eso, entonces no has visto Terminator últimamente.

Para ofrecer el nivel adecuado de responsabilidad, es esencial una gobernanza sólida de las cuentas de las máquinas. Después de todo, la propiedad y las políticas y reglas en torno a las cuentas de bots y sus roles dentro de los procesos comerciales es tan crítica como administrar las identidades humanas, y tal vez incluso más, ya que un bot puede trabajar 24 horas al día, 7 días a la semana y es exponencialmente más rápido que una persona en ejecutando tareas. Por lo tanto, es importante saber qué pueden hacer las cuentas de su máquina, qué decisiones pueden tomar y qué acciones pueden tomar. Para minimizar el riesgo, vigilar las cuentas de máquinas inactivas, cuánto tiempo han estado inactivas, qué cuentas de bot se han emitido y no se han utilizado, y qué función se les asigna son factores importantes en la gestión de cuentas de máquinas y la reducción de vulnerabilidades.

La automatización del aprovisionamiento y desaprovisionamiento de cuentas de máquinas puede minimizar los riesgos que pueden resultar de las cuentas de bot. Imagine una instancia en la que existe una necesidad temporal de que los robots “contribuyan” para ejecutar un proyecto a corto plazo. ¡No hay problema! Simplemente limite el acceso del ejército de robots. Cuando se cierra el proyecto, el acceso a las aplicaciones o plataformas se revoca automáticamente y la cuenta del bot se elimina o se coloca como inactiva. (Este proceso automatizado de aprovisionamiento y desaprovisionamiento debe tener su propio conjunto de “reglas” de IAM relacionadas, para que los equipos de seguridad sepan qué se puede y qué no se puede activar y desactivar automáticamente).

 

Con información de RSA

Dejar un comentario

Tu dirección de correo electrónico no será publicada.