أنظمة التشغيل

“جارتنر”: 4 خطوات لأتمتة العمليات بطريقة آمنة

استعرضت شركة جارتنر اليوم مجموعة من الخطوات التي تتيح للمؤسسات أمتمة عملياتها بصورة آمنة، وتجنّب المخاطر الأمية التي ترافق تلك العملية.

وتحظى فكرة أتمتة العمليات الآلية (PRA) باهتمام متزايد بين أوساط قادة تقنية المعلومات. إذ يمكن الاعتماد عليها لأتمتة العمليات المتكررة بسهولة، لتوفر الكثير من الوقت والمال على المؤسسات. 

وقال نافيد راشد، المحلل الرئيسي المشارك، لدى جارتنر: “أن أتمتة العمليات الآلية يبقى أمرا محفوفا بالمخاطر، إذ تتولى البرامج الألية في منظومة الأتمتة هذه مهمة التعامل مع بعض البيانات الحساسة، فتقوم بتمريرها عبر مختلف الأنظمة من عملية إلى أخرى. وإذا لم يتم تأمين هذه البيانات بالصورة اللازمة، فإنها قد تكون عرضة للاختراق، وهو ما قد يكلّف المؤسسات ملايين الدولارات”.

وأضاف نافيد: “هناك نوعان من المخاطر المرتبطة بأتمتة العمليات الآلية، وهما تسريب البيانات وتعرضها للسرقة. ودون اتخاذ التدابير الأمنية المناسبة، فإن البيانات الحساسة – مثل بيانات اعتماد البرامج الآلية أو بيانات العملاء التي تتعامل معها منظومة أتمتة العمليات – يمكن أن تكون عرضة لهجمات الاختراق. ولذا، فإن اعتماد أكر ومعايير الحوكمة والأمن يعدّ مطلبا ضروريا للحدّ من هذه المخاطر”.

ولمعالجة أية إخفاقات أمنية في مشاريع أتمتة العمليات الآلية، يمكن لقادة أمن المعلومات وإدارة المخاطر اتباع خطة عمل من أربع خطوات:

1- ضمان المساءلة عن إجراءات البرامج الآلية

سارعت المؤسسات خلال جائحة كوفيد-19 إلى تنفيذ مشاريع أتمتة العمليات الآلية RPA لخفض التكاليف من خلال أتمتة بعض العمليات البسيطة، فكان من بين الأخطاء التي ارتكبتها أنها لم تفرّق ما بين المسؤولين عن تشغيل البرامج الآلية وبين هوية تعريف هذه البرامج بحد ذاتها.

يجب التأكد من تخصيص بيانات التعريف المخصصة واعتماد معايير تسمية قياسية من خلال تعيين هوية فريدة لكل برنامج آلي في منظومة أتمتة العمليات الآلية RPA وكل عملية على حدَة. إضافة لذلك، يمكن اعتماد المصادقة الثنائية للتحقق من هوية مستخدم النظام إضافة إلى مصادقة اسم المستخدم وكلمة المرور.

2- تجنب عمليات الاحتيال وسوء الاستخدام بسبب إخفاقات أمنية عند الطلب

يمكن أن تؤدي مشاريع أتمتة العمليات الآلية إلى زيادة في امتيازات الحسابات، وبالتالي زيادة في مخاطر التعرّض للاحتيال. إذ يحتاج قادة أمن المعلومات إلى تقييد وصول أتمتة العمليات لما قد يحتاجه كل برنامج آلي بشكل صارم من أجل إتمام المهام الموكلة إليها فحسب. فعلى سبيل المثال، يمكن لأمر أتمتة العمليات من خلال برنامج آلي أن يقوم بنسخ قيمة معينة من قاعدة بيانات ولصقها في رسالة بريد إلكتروني أن يمتلك صلاحيات القراءة فقط من قاعدة البيانات، بدلا من منحه صلاحيات القراءة والكتابة.

يمكن أيضا الاعتماد على مزايا إدارة جلسات الموظفين مثل أخذ لقطات عن الشاشة أو مراقبة الفيديو لردع محاولات الاحتيال وإجراء التحريات الجنائية الرقمية.

3- تأمين سلامة السجل

في حال إخفاق عملية تأمين أتمتة العمليات الآلية، سيكون الفريق الأمني بحاجة إلى مراجعة ملفات السجل.

وتُعد الشركات الكبرى عادة إلى حفظ سجل أتمتة العمليات الآلية في نظام مستقبل يتيح تخزين وتأمين هذه السجلات يمكن إخضاعها لأية تحريات جنائية عند الحاجة.

يحتاج قادة الأمن وإدارة المخاطر إلى التأكد من أن أداة أتمتة العمليات الآلية توفّر سجلا كاملا يتم توليده عبر النظام دون وجود أي ثغرات يمكن أن تؤثر على مجريات أي تحقيق.

4- تمكين التطوير الآمن لأتمتة العمليات الآلية

يعدّ تطوير أتمتة العمليات الآلية عملية مستمرة. ولا يمكن اعتبارها إجراء لمرة واحدة فحسب، إذ لا بدّ من تطويرها لمعالجة أية نقاط ضعف أو ثغرات يتم الكشف عنها.

ومن أجل تسريع عمليات تنفيذ مشاريعها، تميل بعض المؤسسات إلى تأجيل العامل مع القضايا الأمنية إلى حين تصبح برامج أتمتة العمليات الآلية جاهرة للتشغيل.

ومن المهم أن تكون الحوارات استباقية ومنتظمة ما بين الفريق الأمني وبين فريق ضبط العمليات المشرف على أتمتة العمليات الآلية.

ويتضمن ذلك إنشاء إطار عمل للمخاطر يعمل على تقييم إجراءات أتمتة العمليات الآلية إجمالا، إلى جانب النظر في تفاصيل كل برنامج على حدة. كما يمكن إجراء اختبارات ومراجعات دورية لبرامج أتمتة العمليات الآلية مع التركيز بشكل خاص على أية نقاط ضعف محتملة في منطق الأعمال.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.

زر الذهاب إلى الأعلى