COMENTARIO
Tecnologías como el low-code/no-code (LCNC) y la automatización robótica de procesos (RPA) se han vuelto fundamentales en la transformación digital de las empresas. Continúan evolucionando y redefiniendo el desarrollo de software, brindando nuevas posibilidades para diferentes organizaciones. Esto permite a los usuarios sin experiencia en programación (a menudo llamados desarrolladores ciudadanos) crear aplicaciones y automatizar procesos, simplificando tareas complejas y optimizando las operaciones comerciales.
Las plataformas de aplicaciones para estas tecnologías ofrecen interfaces visuales intuitivas. Esto permite que cualquier persona, desde un profesional de negocios hasta un empleado de TI, desarrolle aplicaciones personalizadas y automatice procesos repetitivos de manera rápida y eficiente.
A pesar de sus ventajas, el uso de estas tecnologías presenta desafíos, particularmente en lo que respecta a la seguridad de la información. Estas plataformas, que tienen como objetivo simplificar y acelerar el desarrollo, pueden introducir riesgos relacionados con el control y la protección de los datos de la empresa. La agilidad que ofrecen estas herramientas tiende a reducir significativamente el tiempo y los costos de desarrollo en comparación con los modelos tradicionales. Sin embargo, la falta de control centralizado, especialmente en entornos donde los equipos no técnicos tienen libertad para crear aplicaciones, puede crear vulnerabilidades y, en última instancia, generar costos más altos.
Después de realizar varios pruebas de penetración y evaluaciones de riesgos en entornos que utilizan LCNC, RPA u otras formas de automatización, pensé que era crucial proporcionar consideraciones de seguridad más detalladas para estas tecnologías. Las empresas deben comprender los riesgos y los impactos potenciales que puede traer la adopción de estas soluciones, garantizando que los beneficios de la automatización no comprometan la seguridad y el cumplimiento normativo.
Recopilación de datos mediante scraping.
Un uso común de LCNC y RPA está relacionado con la automatización de procesos de recuperación de datos, técnica conocida como scraping. En muchos casos, observé que estas herramientas obtenían datos de entornos tanto internos (como bases de datos corporativas) como externos (sitios API, entre otros). A partir de estos datos, el “robot” automatizado toma decisiones, siguiendo el flujo de trabajo configurado, como realizar nuevas búsquedas, guardar información en archivos o bases de datos, enviar correos electrónicos, generar alertas, etc. Aunque el scraping es una práctica de recopilación de datos muy utilizada, puede tener implicaciones legales, por lo que recomiendo que las empresas consulten con su departamento legal o de gestión de riesgos.
Como puedes imaginar, esta dependencia externa puede convertirse en una pesadilla, especialmente cuando la organización no tiene control directo sobre estos servicios. Si la forma en que los datos están disponibles cambia inesperadamente, el host de datos cambia la dirección, el formato o la presentación de los datos, o elimina los datos por completo, la automatización puede volverse vulnerable a interrupciones críticas. Esta dependencia externa agrava el problema si el proceso de automatización se basa en estos datos: la indisponibilidad puede generar errores y permitir que el “robot” siga ejecutando el proceso con datos incorrectos en un escenario más crítico. Esto puede llevar a acciones perjudiciales, como malas decisiones en procesos financieros u operativos sensibles, que podrían afectar gravemente a la organización. Las fallas mal gestionadas en la automatización también pueden conducir a decisiones organizacionales tomadas con datos obsoletos o a la pérdida de datos al sobrescribir registros buenos con otros malos.
Por lo tanto, las soluciones desarrolladas con automatización deben diseñarse para abordar de manera sólida la falta de disponibilidad de datos. La automatización debe poder detectar y manejar estos escenarios, incluido el uso apropiado del manejo de excepciones y errores. Esto garantizará que incluso si las fuentes de datos fallan, el sistema pueda comportarse de manera segura y predecible, evitando daños mayores.
Mejores prácticas para políticas internas
Otro punto crucial, especialmente en organizaciones donde los desarrolladores de soluciones LCNC a menudo carecen de experiencia formal en programación, es la necesidad de establecer políticas internas que garanticen la auditoría y la trazabilidad de los procesos automatizados. Una buena práctica es implementar registros detallados de todos los pasos de la automatización. El registro de esta información no sólo permitirá al equipo de TI o a los responsables de seguridad investigar y corregir posibles defectos, sino que también será fundamental para resolver problemas futuros, garantizando una mayor transparencia y control de los procesos automatizados.
De forma predeterminada, los procesos de automatización los ejecuta una cuenta de usuario específica, lo que significa que están directamente vinculados a los permisos y privilegios asociados con esa cuenta. Este es un punto crítico y debe ser monitoreado constantemente para evitar riesgos. En este contexto, la recomendación de adoptar el principio de mínimo privilegio es fundamental: otorgar al usuario sólo el nivel mínimo de permisos necesarios para realizar su tarea. Esto limita los privilegios de acceso y ayuda a mitigar el impacto si la cuenta se ve comprometida.
Estoy de acuerdo en que los procesos de automatización que implican scripting y ejecución de comandos, como CMD, Python, VBScript o PowerShell, pueden ser indispensables para las organizaciones en determinadas situaciones, pero se recomienda reconsiderar el uso de estas tecnologías siempre que sea posible, ya que aumentan significativamente el rendimiento general. riesgo. Un usuario malintencionado podría aprovechar esta capacidad para crear scripts dañinos y llevar a cabo actividades maliciosas de forma rápida y eficiente. Una mejor práctica es implementar controles de acceso estrictos en la infraestructura, limitar el acceso a estas funciones y monitorear continuamente su uso.
Como siempre, no puedo enfatizar lo suficiente la importancia de la capacitación en seguridad para usuarios y desarrolladores de plataformas LCNC y otros procesos de automatización, como RPA. Además de la formación básica en seguridad de la información, las empresas deben incluir codificación segura prácticas y enfatizar el cumplimiento de las mejores prácticas generales de seguridad. Esto garantiza que todos los involucrados en el desarrollo y operación de soluciones automatizadas comprendan los riesgos y cómo mitigar las vulnerabilidades.
Considere las plataformas LCNC como un posible vector de amenazas internas en su red. La experiencia histórica muestra que muchos ciberataques comienzan con la introducción de agentes maliciosos en las redes corporativas. Estos vectores de ataque pueden explotar vulnerabilidades en los sistemas internos, lo que sucede con tanta frecuencia que se debe tener cuidado al diseñar e implementar cualquier sistema que maneje datos confidenciales. Por lo tanto, es seguro asumir que cualquier automatización interna, especialmente la que trata con información confidencial, siempre debe considerarse con la misma precaución de seguridad que se aplica a las amenazas internas.
Como se mencionó, si bien las tecnologías LCNC y RPA permiten a muchas empresas acelerar sus procesos de desarrollo y reducir costos, es fundamental recordar que La seguridad a menudo se pasa por alto.. Cuando esto sucede, los riesgos pueden superar los beneficios. Las organizaciones deben adoptar medidas de seguridad sólidas y continuas para proteger estas soluciones, evitando que los costos de seguridad aumenten exponencialmente y los riesgos se vuelvan irremediables.