Quando la Robotic Process Automation (RPA) ha fatto irruzione sulla scena solo pochi anni fa, molti la consideravano la soluzione tecnologica definitiva per molti settori.
Questi robot software possono assumere i compiti più banali e ripetitivi di un’organizzazione, non solo consentendo al personale di concentrarsi su attività fondamentali per il business, cognitive e creative, ma anche aiutando a migliorare efficienza, precisione, agilità e scalabilità.
Tuttavia, mentre l’automazione dei processi offriva molti benefici, portava con sé anche la preoccupazione di cedere il controllo, proprio come accade ai team di sicurezza quando viene introdotta una nuova e potente componente – come il cloud o lo Shadow IT – che deve essere compresa, gestita e controllata. Molti dipendenti erano preoccupati di poter perdere il lavoro, ma gli analisti prevedono che il mercato RPA aumenterà di oltre il 50% nel 2022 rispetto al 2021, fino a oltre 3 miliardi di dollari. Finora la RPA è stata usata per aumentare e non sostituire le risorse umane.
In sostanza, la RPA ha permesso ai dipendenti di utilizzare la loro esperienza e capacità in modo più coinvolgente e vantaggioso, prendendo in carico alcuni dei processi più manuali e dispendiosi in termini di tempo.
L’evoluzione della RPA
I dipendenti hanno adottato la RPA come un metodo per risolvere i problemi aziendali, condividendo fondamenti e pratiche di DevOps con una comunità più ampia, e sono emerse le figure dei citizen developer – persone in tutta l’azienda che creano i propri processi automatizzati utilizzando piattaforme a basso o nessun codice.
La prima RPA consentiva l’automazione, ma richiedeva anche la supervisione umana. Le applicazioni RPA usavano bot semi-assistiti che avevano bisogno di un individuo che premesse il pulsante “avvio” per intraprendere un compito – e richiedevano anche l’identità digitale dell’utente per completarlo.
I citizen developer erano ansiosi di portare l’automazione al livello successivo e implementare robot completamente autonomi – il santo graal della RPA. Ma questo aveva serie implicazioni per la sicurezza, poiché robot non controllati richiedono l’accesso alle stesse reti, sistemi e applicazioni delle loro controparti umane, che spesso include anche sistemi aziendali critici che necessitano di un accesso privilegiato di alto livello.
Le credenziali e le identità dei robot sono a rischio quanto quelle di un individuo e, se non sono protette correttamente, offrono ai criminali informatici un modo ulteriore per rubare dati e causare caos.
È comprensibile, quindi, che l’uso di bot non presidiati abbia causato una spaccatura tra i team di sicurezza e quelli di automazione, con i primi che richiedono misure di protezione più rigorose e i secondi che faticano a realizzarle per mancanza di conoscenze o di tempo.
Applicare robuste pratiche di sicurezza si è rivelato difficile per i team di cybersecurity e le loro “severe raccomandazioni” hanno portato a una divisione tra i citizen developer. Alcuni erano scoraggiati e rassegnati a utilizzare l’automazione assistita che soffocava l’innovazione. Altri hanno proseguito e implementato applicazioni RPA non autorizzate che hanno creato falle nella sicurezza della loro organizzazione.
Come rendere sicura l’automazione non presidiata
Fortunatamente, è possibile affrontare i problemi di sicurezza in modo da supportare l’utilizzo di robot non presidiati sicuri senza richiedere lavoro extra al personale a cui invece si vorrebbe fornire tempo per altre attività.
Questo avviene con una gestione automatizzata e centralizzata delle credenziali RPA. Invece di assegnare, gestire e aggiornare manualmente le credenziali di cui un bot ha bisogno per eseguire il suo compito, tutte le credenziali privilegiate hard-coded vengono rimosse dagli script dei robot e sostituite da una chiamata via API che punta ad un archivio sicuro e centralizzato in cui le credenziali vengono gestite automaticamente (es. rotazione automatica, controllo periodico…).
Questo consente un’implementazione coerente di misure di sicurezza come la rotazione delle credenziali, l’autenticazione multi-fattore, l’unicità della password e i requisiti di complessità, e – se si verificano determinati criteri – la sospensione delle credenziali privilegiate.
Tra le migliori pratiche ci sono anche la fornitura di identità, credenziali e diritti unici ai bot, per garantire che la non-repudiation e la separazione/segregazione dei compiti siano adeguatamente controllati, oltre a limitare l’accesso ad applicazioni e database di cui hanno bisogno per svolgere il proprio lavoro. Questo significa applicare il principio del minimo privilegio ai robot, proprio come si limiterebbe un utente umano ai livelli minimi di accesso o permessi necessari per operare.
Sfruttare appieno il potenziale dell’RPA
Una soluzione di repository centralizzato automatizzato all-in-one rimuove i vecchi blocchi, ma per liberare veramente il potere del citizen developer e i benefici della RPA, è necessario adottare un approccio di tipo DevSecOps e unire automazione e sicurezza fin dall’inizio.
Impegnarsi con i team e professionisti di sicurezza in modo proattivo da subito permetterà ai responsabili RPA e ai citizen developer di superare rapidamente queste preoccupazioni e di scalare efficacemente il numero di bot RPA nella loro organizzazione senza introdurre rischi per la sicurezza o rallentare l’innovazione.
Di Massimo Carlotti, Presales Team Leader di CyberArk
