Security-topmannen waarschuwen voor risico’s Robotic Process Automation
Onderzoeksrapport CISO View geeft handreikingen voor betere beveiliging RPA
17 maart 2020 -
Het nieuwste CISO View rapport, een jaarlijks terugkerend onderzoek onder security-topmensen in opdracht van CyberArk, is ditmaal toegespitst op de beschermingsmaatregelen rond Robotic Process Automation. De innovatiekracht van RPA is groot, maar er moet wel aandacht zijn voor het beschermen van privileged accounts bij de invoer en toepassing ervan.
Momenteel heeft minder dan de helft van organisaties een strategisch beleid hiervoor.
Niet-menselijke accounts
De invoer van RPA gaat vaak gepaard met het gebruik van niet-menselijke gebruikersaccounts met toegangsprivileges. Het is volgens de experts cruciaal om te controleren of robots toegang hebben tot meer delen van het netwerk of functionaliteit dan strikt noodzakelijk. De CISO’s adviseren dan ook toegangsbeperking voor RPA-tools en het opleggen van security-beleid in het ontwikkelen van robot-scripts. Een nauwere samenwerking tussen RPA en bedrijfsbrede security-maatregelen is nodig om het beheer van credentials in goede banen te leiden en misbruik te voorkomen.
Praktische tips
Het CISO View rapport waarschuwt niet alleen, maar geeft ook praktische tips op basis van praktijkervaringen. De belangrijkste drie zijn het beperken van toegang voor reprogramming robots, het automatiseren van credential-management en het bouwen van een robuust proces om RPA-activiteiten te monitoren. Door een strenger beheer van credentials van RPA-tools en RPA-teams te trainen, verklein je de risico’s die optreden bij te veel RPA-privileges. Geautomatiseerd beheer van credentials zorgt voor computergestuurde wachtwoorden met automatische rotatie, het verifiëren van identiteiten en just-in-time toegang, of toegang voor een beperkte periode. Door verder snel te reageren op ongeautoriseerd of verdacht robotgedrag, least privilege toe te passen en activiteiten traceerbaar te maken, worden risico’s verder beperkt.
"Bedrijven voeren in alle lagen van de organisatie RPA door, van finance en HR tot productie. Het levert efficiencies op die de innovatiekracht richting eindgebruikers vergroot," aldus Marianne Budnik, CMO van CyberArk. "Het CISO View rapport biedt organisaties een handreiking om security hierbij op een effectieve manier toe te passen, en RPA op een veilige manier door te voeren als onderdeel van andere digitale ontwikkeling."