Robotic Process Automation e PAM: quando l’utente a rischio è virtuale

L'automazione promessa dalla RPA non deve andare a scapito della cyber security: ne abbiamo parlato con One Identity e Par-Tec

Sicurezza
Chi sono gli utenti "privilegiati" nella vostra infrastruttura, in particolare per quanto riguarda le attività di amministrazione IT? La risposta convenzionale rimanda a quegli utenti, o sarebbe meglio definirli "super user", che hanno le capacità - e la necessità - di intervenire spesso e direttamente sui sistemi e le applicazioni. Per i fautori della Robotic Process Automation questo scenario potrebbe essere, anche a breve, molto diverso. I compiti di amministrazione o di accessi applicativi con privilegi elevati saranno sempre più affidati a bot software - più tecnicamente, i "digital worker" - che opereranno trasversalmente all'infrastruttura. Con una capacità e velocità di intervento, spiegano gli ottimisti della RPA, ben maggiori rispetto agli umani.

Sul fatto che l'IT management possa avvantaggiarsi in larga misura di funzioni di workflow automation, anche in ottica RPA, ci sono pochi dubbi. Ma l'impressione oggi è che il fascino dell'automazione della RPA stia facendo passare in secondo piano un elemento di attenzione: anche se fanno capo a entità digitali e non fisiche, gli account privilegiati vanno comunque sottoposti a una particolare disciplina. A maggior ragione quando agiscono sull'infrastruttura e e sulle applicazioni di business con privilegi elevati. E su una infrastruttura che si parcellizza sempre più tra on-premise e cloud.

La questione per molti versi non è nuova. E non è stata nemmeno risolta completamente da una buona fetta di imprese. "È tutto il tema del Privileged Access Management - spiega Riccardo Fiano, Sales Manager della business unit romana di Par-Tec - che spesso viene visto come un peso ulteriore per la gestione IT. Anche perché gli amministratori di sistema non vogliono agire in maniera coercitiva su chi, magari per ottime ragioni, ha determinati privilegi di accesso alle risorse".
digitization 4667376 960 720Più le aziende vanno verso il cloud più la questione si complica intrinsecamente, perché si moltiplicano gli accessi che vanno gestiti e messi in sicurezza. A questo si aggiunge la volontà delle imprese di adottare le cosiddette intelligent operations, aumentando il loro grado di automatismo nella gestione. Anche grazie alla RPA applicata all'IT management. "Per molte aziende non è affatto semplice raggiungere un giusto equilibrio tra controllo e automazione - racconta Fiano - e per questo la sicurezza è stata vista come un freno per le intelligent operations. In realtà automatizzare in sicurezza è possibile, portando un approccio di security by design anche in ambito RPA".

Un rischio da non correre

"Con la RPA ci si è un po' scordati le buone pratiche di cyber security che sono invece diventate standard in altri settori più collaudati", mette in evidenza Massimiliano Micucci, Country Manager Italy di One Identity (partner tecnologico di Par-Tec in ambito PAM). Il rischio, da evitare, è che la maggiore flessibilità operativa promessa dalla RPA metta in secondo piano la sicurezza. "Nell'IT management - prosegue Micucci - si automatizza per essere più veloci, anche perché è quello che viene chiesto all'IT da tutto il resto dell'impresa. Ma questo non vuol dire dover bypassare la sicurezza, le tecnologie per gestire al meglio i digital worker adesso ci sono".
Vuoi approfondire l'integrazione tra Robotic Process Automation e gestione degli accessi privilegiati? ImpresaCity, One Identity e Par-Tec hanno organizzato un webinar sul tema. A questo link tutti i dettagli e il form di iscrizione.
Il problema della gestione degli account privilegiati in ambito IT management esiste. A provarlo in maniera significativa non è la crescita - che pure è evidente - del mercato delle soluzioni specifiche. Ma il fatto che gli account privilegiati sono costantemente il bersaglio di attacchi mirati da parte della criminalità informatica. Piuttosto che lanciare attacchi di massa, è più conveniente avviare azioni di spear phishing che colpiscano pochi utenti di elevata importanza.

Basta ad esempio violare l'account di un amministratore di directory per prendere di fatto possesso di tutta un'organizzazione. "In questo modo si può 'conquistare' una intera organizzazione senza nemmeno che gli strumenti di network security se ne accorgano", sottolinea Micucci. E il rischio aumenta con la RPA, perché nei progetti di automazione si pensa soprattutto ai workflow, ai passi da seguire, agli obiettivi da ottenere. La "blindatura" dei digital worker non è - ancora - un concetto che viene immediato.
sala server fornita dal clienteEppure, la spinta a una combinazione tra RPA e PAM è duplice. Da un lato c'è una lacuna storica: anche se di PAM si parla da anni, poche organizzazioni hanno una strategia precisa per la gestione degli accessi privilegiati. E non è raro vedere, specie tra gli staff IT, account con privilegi elevatissimi protetti da password statiche, magari replicate su più sistemi. Dall'altro lato, le normative come il GDPR impongono tutta una serie di controlli ed elementi di compliance su chi accede alle informazioni sensibili. Che questo "chi" sia una persona o una funzione di RPA, in fondo poco importa.

C'è poi un ulteriore elemento da considerare: la RPA è un mondo nuovo che non ha gli stessi limiti delle infrastrutture stratificate di una impresa. Può essere complesso applicare principi di PAM al mondo legacy, ma "Con la RPA in un certo senso tutti si parte da zero - spiega Micucci - quindi applicarvi un modello di security by design è ampiamente possibile". Oltretutto la RPA sta interessando aziende di ogni settore e dimensione, quindi potrebbe anche essere un modo in cui, indirettamente, i concetti del PAM rientrano con forza anche nelle imprese che sinora li avevano un po' trascurati.

One Identity si sente pronta per qualsiasi scenario. Le sue soluzioni di PAM si adattano perfettamente agli ambienti di RPA, anche grazie a partnership tecnologiche con i principali nomi del settore (Automation Anywhere, UiPath, Blue Prism). Ma non sono soluzioni specifiche per la protezione dei soli digital worker. Quindi chi è interessato alla parte RPA può poi estenderne l'utilizzo per implementare una strategia più trasversale di gestione delle identità privilegiate . Procedendo passo per passo, in funzione delle proprie esigenze.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori