Oleh: Kodrat Wahyudi
Bersamaan dengan proses otomatisai tugas-tugas rutin, kurangilah cybersecurity exposure.
Konon, Robotic Process Automation (RPA) itu berisiko. Bot RPA menangani data sensitif, memindahkannya melintasi sistem dari satu proses ke proses lainnya. Jika data tidak diamankan, data tersebut dapat terambil pihak yang tidak berkepentingan dan dapat merugikan organisasi jutaan dolar
Menurut Naved Rashid, Associate Principal Analyst, Gartner: “Ada dua risiko utama yang terkait dengan RPA – kebocoran data dan penipuan,” ungkapnya. Beliau juga mengatakan, “Tanpa langkah-langkah security yang tepat, data sensitif, seperti credensial bot RPA atau data pelanggan yang ditangani RPA, dapat diekspos ke penyerang. Kerangka kerja tata kelola dan security yang tepat sangat penting untuk mengurangi risiko ini”.
Untuk mengatasi kegagalan security dalam proyek RPA, pemimpin security dan manajemen risiko perlu mengikuti rencana tindakan empat langkah berikut.
1. Pastikan akuntabilitas untuk tindakan bot
Selama pandemi COVID-19, ketika organisasi bergegas untuk menyebarkan proyek Robotic Process Automation untuk meminimalkan biaya dengan mengotomatiskan tugas-tugas kasar, salah satu kesalahan paling umum yang mereka lakukan adalah tidak membedakan antara operator bot dan identitas bot. Pastikan kredensial identifikasi khusus dan standar penamaan identitas dengan menetapkan identitas unik ke setiap bot dan proses RPA. Selain itu, dapat mengimplementasikan otentikasi manusia-ke-sistem dua faktor bersama dengan otentikasi nama pengguna dan kata sandi.
2. Hindari penyalahgunaan dan penipuan pada saat jeda security on demand
Penerapan RPA dapat meningkatkan hak istimewa akun, sehingga meningkatkan risiko penipuan. Pemimpin security perlu membatasi akses RPA ke apa yang benar-benar dibutuhkan oleh setiap bot untuk melakukan tugas yang ditetapkan. Misalnya, skrip RPA dengan bot yang menyalin nilai tertentu dari database dan menempelkannya ke email, seharusnya hanya memiliki akses baca ke database, bukan akses tulis. “Gunakan kemampuan manajemen sesi seperti screenshot atau pengawasan video untuk mencegah penipu dan melakukan investigasi forensik,” ungkap Rashid.
3. Lindungi log integrity Jika security Robotic Process Automation gagal, tim security perlu meninjau log. Perusahaan biasanya memasukkan logging RPA ke sistem terpisah di mana log disimpan dengan aman dan sesuai dengan forensik. Pemimpin security dan manajemen risiko perlu memastikan bahwa alat RPA menyediakan log lengkap yang dihasilkan sistem tanpa celah apa pun yang dapat memengaruhi penyelidikan.
4. Aktifkan pengembangan RPA yang aman Pengembangan RPA adalah proses yang berkelanjutan. Ini tidak bisa menjadi aktivitas satu kali dan perlu berkembang untuk mengatasi kerentanan dan ancaman. Untuk mempercepat penerapan, perusahaan cenderung menunda pertimbangan security sampai skrip RPA siap dijalankan. Buatlah dialog proaktif dan irama reguler antara tim security dan tim lini bisnis yang memimpin inisiatif RPA. Ini termasuk membuat kerangka risiko yang mengevaluasi implementasi RPA secara keseluruhan, serta skrip individual. Tinjau dan uji skrip Robotic Process Automation secara berkala dengan fokus khusus pada kerentanan logika bisnis.