Como tornar mais segura a ascensão do RPA?
News Article -- Julho 13, 2020
Quando estamos falando de esforços de transformação, as empresas deram tudo de si no ano passado e continuarão assim ao longo de 2020. Um aspecto central de qualquer transformação de negócio de sucesso é a automação e, cada vez mais, a automação robótica de processo (RPA, na sigla em inglês). A RPA, ou bots de software, ajuda a automatizar desde processos de negócio repetitivos até funções de gestão de infraestrutura de cloud. De acordo com fontes como a Gartner e a Grand View Research, entre outras, o mercado global de RPA está entre os que crescem mais rápido no setor de software empresarial.
Cada vez mais, esses bots coletam e interagem com dados confidenciais, sensíveis, e até mesmo regulados. Por isso, é fundamental que haja uma governança apropriada. Nos próximos anos, o acesso a bots de RPA será muito explorado, e as organizações que conseguirem utilizá-los de forma segura serão as que terão mais sucesso.
Então, o que fazer para prosperar? Basicamente, é hora de começar a tratar bots como usuários humanos - ao menos quando estamos falando de gestão de identidade. Isso inclui monitorar como os bots interagem com outras contas, serviços e com as informações dentro da organização. Além disso, estas contas devem ser configuradas com o mínimo de privilégios possível para que façam seus trabalhos.
Em conversas com CISOs (Chief Information Security Officers) e equipes de identidade, uma das áreas mais comuns de preocupação são as contas de serviço (estas são contas usadas para gestão de configurações de sistema, e normalmente são as primeiras a serem automatizadas com bots de software). Para executar suas tarefas ou serviços, estas contas de serviço geralmente contam com uma rede complexa de acesso a outras contas de sistemas e serviço. É o acesso através dessa rede que precisa ser levado em conta como risco.
Isso não é algo que pode ser colocado em prática uma vez e depois esquecido; o acesso tem que ser verificado e administrado periodicamente, assim como níveis de acesso são certificados trimestralmente ou anualmente em muitas empresas.
Por exemplo, um gestor de identidade de um banco nacional entrevistado pelo nosso especialista recentemente está se assegurando de que todos os seus bots - tipicamente usados como contas de serviço ou para ajudar a programar pedidos internos de TI - são designados a um administrador humano. Dessa forma, os direitos de acesso a esses bots de software se tornam responsabilidade do dono do bot. Esse é normalmente o mesmo processo de gestão que você pode ver com acessos para a equipe, em que gestores ajudam a decidir de quais aplicativos e serviços a equipe e outros internos precisam para fazer seus trabalhos.
Tudo isso é necessário porque, de muitas formas, bots de software são como usuários da equipe - eles podem acessar dados, aplicativos e outros recursos, e agir sobre eles. É esse poder que os torna úteis, mas também alvos. E conforme as empresas continuam a acelerar seus esforços de transformação digital com bots de software, é melhor que elas coloquem o mesmo controle que põe sobre seus usuários humanos neles, ou descobrirão que seu risco de vazamento de dados aumentará substancialmente.
George V. Hulme é um escritor internacionalmente reconhecido na área de segurança da informação e tecnologia corporativa. Por mais de 20 anos, Hulme tem escrito sobre negócios, tecnologia e assuntos de segurança de TI. De Março de 2000 a Março de 2005, como editor sênior na revista InformationWeek, ele cobriu as áreas de segurança de TI e segurança nacional. Seu trabalho apareceu na CSOOnline, ComputerWorld, Network Computing, Government Computer News, Network World, San Francisco Examiner, TechWeb, VARBusiness, e dezenas de outras publicações de tecnologia.