Как избежать проблем с безопасностью при внедрении автоматизации

Автоматизация стала насущной необходимостью во всех основных отраслях, выведя обычную работу на новый уровень, где боты и другие решения позволяют повысить эффективность традиционно трудоемких задач по обслуживанию клиентов. Однако поспешные или фрагментарные бизнес-процессы могут расширить поверхность атаки и создать нежелательные киберриски. Внедрение автоматизации требует соответствующей подготовки, серьезных инвестиций и тщательно продуманной стратегии, позволяющей избежать проблем с безопасностью и ошибок, наносящих ущерб репутации, пишет на портале InformationWeek Фани Дасари, директор по информационной безопасности компании HGS.

По данным недавнего исследования, большинство проектов автоматизации не реализуются из-за их сложности. Вероятность того, что они дойдут до стадии производства, составляет 50%. Подавляющее большинство руководителей предприятий недовольны скоростью внедрения роботизации процессов (RPA).

Если компании знают и хорошо подготовлены к преодолению препятствий на пути реализации проекта автоматизации, они смогут воспользоваться всеми преимуществами, которые дает автоматизация, без проблем с безопасностью. Первым шагом на этом пути является создание прочного фундамента. Вот несколько соображений, которые помогут начать этот процесс:

Опирайтесь на существующие ресурсы. Начните со стратегии расширения ресурсов на линии соприкосновения с клиентами для обучения автоматизации и снижения когнитивной нагрузки на ценных сотрудников.

Выберите подходящего партнера. Найдите подходящего партнера для поддержки внутренних команд. Он может предложить ценный опыт разработки процессов.

Делайте маленькие шаги. Пилотируйте каждую инициативу, связанную с основным проектом, и продвигайте интеллектуальную трансформацию автоматизации через множество мелких шагов и побед.

После создания основы на первый план могут выйти проблемы безопасности во время и после развертывания. Рассмотрим эти проблемы подробнее.

Целостный подход — даже без автоматизации всего процесса

Целостный подход важен всегда, он включает в себя обучение сотрудников и формирование культуры безопасности. Процессы обеспечения безопасности и автоматизации должны совершенствоваться и постоянно улучшаться, чтобы адаптироваться к изменяющимся угрозам.

Однако автоматизация всего процесса не всегда целесообразна и может привести к появлению дыр в системе безопасности, таящих в себе множество подводных камней. Затраты также могут значительно возрасти, если сначала автоматизировать, скажем, только 80% процесса. Для дополнительной автоматизации может потребоваться более сложный код, требующий повышенной безопасности.

Рекомендуется всегда оценивать, нуждается ли весь процесс в автоматизации, и определять задачи, которые будет достаточно автоматизировать. Также можно комбинировать инструменты RPA с технологиями на основе искусственного интеллекта в тех случаях, когда RPA недостаточно для освобождения сотрудников от выполнения определенных задач.

Приоритетное внимание вопросам безопасности — даже после внедрения

Поскольку боты и средства автоматизации имеют доступ к CRM, ERP и другим критически важным бизнес-системам, они могут свободно перемещать данные по различным процессам, что создает потенциальную лазейку после развертывания, которая может быть использована злоумышленниками.

Следующие меры позволяют решить эти проблемы безопасности:

• Все боты должны иметь уникальные идентификаторы, а операторы ботов должны проходить двухфакторную идентификацию.
• Использование надежных алгоритмов шифрования является основополагающим фактором. Шифрование должно последовательно применяться к данным в состоянии покоя, при передаче и в процессе обработки. Применение одобренных отраслью методов шифрования, единообразно применяемых в различных облачных средах, обеспечивает надежную защиту от несанкционированного доступа.
• Права доступа RPA-ботов к системам должны быть ограничены теми задачами, которые им необходимо выполнять. Гранулярный контроль доступа, привязанный к конкретным ролям и обязанностям, обеспечивает доступ к конфиденциальным данным только авторизованным пользователям. Управление идентификацией и доступом должно быть синхронизировано по всем процессам, обеспечивая централизованный и согласованный подход к доступу и разрешениям пользователей.
• Средства RPA должны быть спроектированы таким образом, чтобы генерировать последовательные журналы без пробелов, которые можно просматривать в случае подозрительных действий. Мониторинг несанкционированных модификаций в режиме реального времени и тщательное протоколирование действий способствуют быстрому обнаружению угроз и реагированию на них, сохраняя целостность данных.
• Разработка, развертывание и эксплуатация RPA должны осуществляться на основе системы управления рисками. Средства автоматизации требуют всестороннего резервного копирования, механизмов версионирования и надежного плана аварийного восстановления. Наличие легкодоступных исторических версий обеспечивает быстрое восстановление в случае потери или повреждения данных. Для минимизации времени простоя и обеспечения доступности данных необходимо тщательно тестировать план аварийного восстановления.

По мере того как автоматизация продолжает удовлетворять постоянно растущие потребности в повышении эффективности и производительности, важно не упускать из виду вопросы безопасности. Если компании будут действовать небольшими шагами, не отвлекаться и правильно расставлять приоритеты, они смогут быть на шаг впереди и не только реализовать успешную стратегию автоматизации, но и добиться эффективности с меньшим количеством препятствий.