Zo gaat u op een veilige manier om met robotic process automation

Eigenlijk kunt u geen vakgerelateerde site meer openen zonder ze tegen te komen, de termen robotic process automation (RPA) en robotics. Met deze technologie is het mogelijk om menselijke handelingen te automatiseren. En wordt het voor bedrijven dus mogelijk om de betrouwbaarheid van processen te verhogen, medewerkers effectiever in te zetten en kosten te besparen op de uitvoering van intensieve handmatige processen. Logisch dus, dat er veel aandacht is voor de technologie en dat veel bedrijven zich in RPA verdiepen. Is dat ook bij uw bedrijf het geval? Dan is het wel belangrijk dat u uw IT-security niet uit het oog verliest.

Vanwege de voordelen en de relatief lage implementatiekosten wordt RPA-software vaak op initiatief van de business uitgevoerd. Tijdens deze projecten speelt de IT-afdeling vaak een kleine rol en is die alleen betrokken bij het leveren van infrastructuur. Het voordeel van die aanpak is dat de implementatie snel kan worden gerealiseerd. Het nadeel is dat daarbij vaak processen worden ingericht, waarbij er geen aandacht is voor beveiligingsvraagstukken.

Risico’s voor identity en accessmanagement

Vanwege het gemak geeft u er bijvoorbeeld misschien wel de voorkeur aan om binnen het RPA-proces gebruik te maken van gemakkelijk te onthouden gebruikersnamen en wachtwoorden. En van accounts die zoveel mogelijk gebruikersrechten hebben. Maar hoewel dat inderdaad misschien gemakkelijker is in het gebruik, levert dat vooral op het gebied van identity & access management en privileged account management grote risico’s op.

Als IT securityspecialist ben ik dan ook erg terughoudend in het toewijzen van dergelijke accounts. In plaats daarvan stel ik eerst een aantal vragen om te bepalen wat voor soort accounts er in het RPA-proces moeten worden ingezet. Vragen die elke organisatie eigenlijk zou moeten stellen bij een dergelijke implementatie. Denk daarbij aan:

  • Met welk account moet de RPA connecties leggen naar de verschillende applicaties? Die van een mens of een eigen RPA-account?
  • Welke handelingen moet de RPA binnen applicaties kunnen doen?
  • Welke wachtwoordstandaarden (lengte, complexiteit, maximale geldigheid) moeten er toegepast worden voor de accounts die gebruikt worden door RPA’s?
  • Hoe moet een RPA omgaan met multi-factor authenticaties die applicaties verwachten?
  • Wie is de eigenaar van eventuele RPA-accounts voor het geval er wijzigingen gewenst zijn?

Beschermen tegen bedreigingen

Naast het soort accounts dat u inzet binnen uw RPA-proces is er nog een aantal zaken waar u in het belang van uw cybersecurity op moet letten. Stel daarom ook de volgende vragen:

  • Waar moet ik mijn RPA-componenten binnen mijn organisatie plaatsen om deze voldoende te kunnen beschermen tegen bedreigingen?
  • Is mijn RPA wel veilig, zijn er pentesten nodig om te voorkomen dat hackers mijn RPA misbruiken?
  • Welke monitoring kan en wil ik op mijn RPA-oplossing loslaten om vast te kunnen stellen dat deze wel doen wat ze moeten doen en niets anders?
  • Hoe sluit het gebruik van RPA aan op wet- en regelgeving en de organisatie-policy?

RPA-security

We staan eigenlijk nog maar aan het begin van wat mogelijk is met RPA en robotics. Nu wordt de technologie nog vooral ingezet als software-oplossing voor gestructureerde processen, maar in de toekomst misschien wel voor dynamischere processen – onder andere in combinatie met artificial intelligence. En wellicht dat u RPA en robotics dan zelfs kunt inzetten om de veiligheid juist te verbeteren.

Ik denk dan ook dat het veilig is om te stellen dat RPA en robotics enorm veel potentie hebben om de manier waarop organisaties werken te veranderen. Maar het succes van de techniek valt of staat wel met de veiligheid van het RPA-proces. Het is dan ook te hopen dat dat de term RPA-security net zo veelgebruikt wordt als de termen robotics en RPA zelf.

Brian de Vries is consultant bij Traxion Consultancy

One Response to Zo gaat u op een veilige manier om met robotic process automation

  1. […] Dit blog is ook gepubliceerd op Vision en Robotics. […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.