nlen

Gaat u aan de slag met RPA? Vergeet uw IT-security niet!

Door Brian de Vries, consultant bij Traxion ConsultancyVandaag de dag zijn er vele “buzzwoorden” die gebruikt worden in de wereld van IT. De buzzwoorden die ik vaak tegenkom zijn Robotic Process Automation (RPA) of Robotics. Volgens Wikipedia is de betekenis van een buzzwoord als volgt: “Een buzzwoord of zoemwoord is een modewoord dat geen duidelijke betekenis heeft (..). De volgende kenmerken maken een woord geschikt om een ‘buzzwoord’ te worden:

  • Het gaat om een nieuwe uitvinding, methodiek, of trend;
  • Het is niet één specifiek product, zoals “breedbeeld-tv”, maar het gaat om iets wat heel breed toepasbaar is (..);
  • Velen verwachten dat het een groot succes wordt.

De reden dat RPA vaak te horen is, heeft te maken met het feit dat bedrijven steeds verder willen automatiseren. Het doel van het automatiseren met behulp van RPA is om betrouwbaarheid te verhogen, medewerkers effectiever in te zetten en kostenbesparing op de uitvoering van intensieve handmatige processen. RPA doet dit door de herhaalbare menselijke handelingen te automatiseren.

Implementaties van RPA zijn voornamelijk projecten die vanuit de bedrijfsvoering binnen een organisatie uitgevoerd worden, omdat RPA de bedrijfsprocessen raakt. Tijdens deze projecten speelt de IT-afdeling vaak een kleine rol, behalve in het leveren van infrastructuur. De implementaties worden gerealiseerd door middel van het inrichten van processen waarbij beveiligingsvraagstukken vaak achterwege worden gelaten.

Het gaat om een nieuwe uitvinding, methodiek, of trend”

Ik ben jaren actief geweest als technisch consultant en architect op het gebied van Content management systemen en Input management systemen (ook misschien wel bekend als “de digitale postkamer”). Hierin stond het digitaliseren van processen centraal. Natuurlijk hebben de hedendaagse RPA’s nieuwe ontwikkelingen doorgemaakt, maar de basis is gelijk. Ook toen was het belangrijk om de Input management systemen zo snel en goedkoop mogelijk te implementeren met dezelfde doelen als die van RPA. Ik was daar zelf ook onderdeel van. Tijdens de implementaties stond ik te weinig stil bij security vraagstukken; “Geef mij maar inlognamen en wachtwoorden die makkelijk zijn en waarmee ik alles kan in de te koppelen systemen.”. En die kreeg ik vervolgens.

Vandaag de dag vervul ik een andere rol, die van de IT Security specialist op het gebied van Identity & Access management en Privileged Account Management. Met de kennis van nu sta ik daarmee aan de andere kant van de tafel; “Hoezo wil je inlognamen en wachtwoorden die makkelijk zijn en alles mogen in applicaties?”. Ik ben kritische vragen gaan stellen als we het hebben over een implementatie van RPA. Vragen die elke organisatie eigenlijk zou moeten stellen bij een dergelijke implementatie. Denk daarbij aan:

  • Met welk account moet de RPA connecties leggen naar de verschillende applicaties? Die van een mens of een eigen RPA account?
  • Welke handelingen moet de RPA binnen applicaties kunnen doen?
  • Welke wachtwoord standaarden (lengte, complexiteit, maximale geldigheid) moeten er toegepast worden voor de accounts die gebruikt worden door RPA?
  • Hoe moet een RPA omgaan met multi-factor authenticaties die applicaties verwachten?
  • Wie is de eigenaar van eventuele RPA accounts voor het geval er wijzigingen gewenst zijn?

Naast accounts gerelateerde vragen is er nog een aantal zaken waar u in het belang van uw cybersecurity op moet letten, zoals:

  • Waar moet ik mijn RPA componenten binnen mijn organisatie plaatsen om deze voldoende te kunnen beschermen tegen bedreigingen?
  • Is mijn RPA wel veilig, zijn er pentesten nodig om te controleren dat hackers mijn RPA niet gaan misbruiken?
  • Welke monitoring kan en wil ik op mijn RPA oplossing loslaten om vast te kunnen stellen dat deze wel doen wat ze moeten doen en niets anders?
  • Hoe sluit het gebruik van RPA aan op wet- en regelgeving en organisatie policies die opgesteld zijn?

Het gaat om iets wat heel breed toepasbaar is”

RPA is natuurlijk zeer breed toepasbaar, want RPA kan op vele manieren binnen een organisatie ingezet worden. Nu voornamelijk als software oplossing voor gestructureerde processen, maar in de toekomst misschien wel voor dynamischere processen in combinatie met Artifical Intelligence. Of bijvoorbeeld hardware robot(ic)s die misschien identiteiten gaan gebruiken in de toekomst. Of om juist een aantal beveiligingsvraagstukken binnen uw organisatie op te lossen zoals logs verzamelen en rapporteren als vorm van monitoring. Verlies alleen als organisatie niet het zicht op de Security vraagstukken die er bij de implementaties van RPA moeten spelen.

Velen verwachten dat het een groot succes wordt”

Ik denk dat het veilig is om te stellen dat de woorden RPA en Robotics alsmede de daadwerkelijk techniek een groot succes worden, of misschien zelfs al zijn. Om de implementaties van RPA een nog groter succes te laten worden, wil ik graag nog een ander buzzwoord introduceren; RPA Security, waarin de beveiliging van uw van en rondom uw RPA centraal staan.

En voldoet het buzzwoord RPA Security dan aan de beschreven kenmerken? Ja, want het is een nieuwe methodiek van beveiliging toepassen, zeer breed toepasbaar – van Identity & Access management tot aan pentesting van een RPA – en wij kunnen er gezamenlijk voor zorgen dat zowel het woord als de methodiek een groot succes worden!