Seis riesgos ocultos de la automatización de TI
La automatización se considera cada vez más una estrategia de TI clave para obtener una ventaja competitiva, pero quienes no toman precauciones aguardan dificultades.
La automatización de los procesos de negocio sigue teniendo una alta prioridad para las empresas y las organizaciones de TI, ya que buscan formas de mejorar los servicios, reducir costes y agregar eficiencias.
Según la encuesta sobre el estado de los CIO de 2024, los líderes de TI citan los procesos de negocio y la automatización de TI como la segunda iniciativa tecnológica que impulsa la mayor inversión en TI en sus organizaciones este año, solo detrás de la gestión de seguridad. Y la automatización de los procesos empresariales y de TI es la forma número uno en que las organizaciones empujadas hacia los negocios, según los 875 líderes de TI encuestados.
Para ello, las empresas están aplicando herramientas de automatización como la automatización robótica de procesos (RPA) a áreas como administración, informes, atención al cliente y experiencia del cliente, migración de datos, análisis de datos y otras.
Se espera que el mercado mundial de RPA crezca de 13.860 millones de dólares en 2023 a 50.500 millones de dólares en 2030, con una tasa de crecimiento anual compuesta del 20% durante el período estimado, según la firma de investigación Fortune Business Insights.
El informe de mercado de octubre de 2023 de la empresa advierte que la adopción de RPA está aumentando en organizaciones de todos los tamaños, y los principales actores del mercado están lanzando nuevas plataformas basadas en inteligencia artificial (IA), aprendizaje automático y modelos cloud para ayudar a satisfacer la creciente demanda.
Cada vez más organizaciones están adoptando RPA para automatizar procesos comerciales y manejar datos cada vez más complejos, según el informe.
Sin embargo, la automatización de TI puede conllevar algunos riesgos inesperados. A continuación, se presentan las desventajas más comunes de las estrategias de automatización que los líderes de TI deben tener en cuenta.
La paradoja del acceso a los datos
Proporcionar a los empleados acceso seguro a la información necesaria para realizar su trabajo es una prioridad absoluta para las empresas. Pero a veces la automatización puede obstaculizar ese esfuerzo.
"Si bien la automatización de TI tiene como objetivo agilizar los procesos y mejorar la eficiencia, sin darse cuenta puede crear barreras para acceder a datos confiables y de alta calidad, fundamentales para tomar decisiones comerciales informadas", dice John Williams, director ejecutivo de Datos Empresariales y Análisis Avanzado de RaceTrac.
"Esta paradoja subraya la complejidad de la automatización en entornos de TI, donde los beneficios de los procesos optimizados deben equilibrarse con los riesgos de fragmentar el acceso a la información", afirma.
Un riesgo importante de la automatización de TI es la posibilidad de reforzar o crear nuevos silos de datos dentro de una organización, afirma Williams. "Estos silos se producen cuando los datos se compartimentan en diferentes departamentos o sistemas, lo que dificulta o imposibilita que otras partes de la organización accedan a esos datos o los utilicen de forma eficaz", afirma.
Estos silos pueden generar desafíos operativos, incluidas inconsistencias en el manejo de datos, ineficiencias en los procesos operativos y, en última instancia, un impacto negativo en la productividad y la gestión de costes.
RaceTrac implementó una plataforma de inteligencia de datos de Alation para centralizar los metadatos dispersos por toda la empresa y hacer que la información se pueda buscar y comprender fácilmente. "Esto nos permitió consolidar las fuentes de datos en una única y definitiva fuente de verdad", dice Williams. "Al hacerlo, podríamos garantizar la coherencia en los cálculos, mejorar la confiabilidad de los informes y, lo que es más importante, facilitar una toma de decisiones mejor informada en toda la organización".
Nuevas amenazas a la ciberseguridad
Los malos actores buscarán cualquier oportunidad para explotar las vulnerabilidades, y las iniciativas de automatización de TI pueden presentar nuevas vías de penetración.
"Los procesos automatizados son inherentemente confiables, y un actor malicioso puede abusar de esta confianza", dice Jason Kichen, CISO de Tricentis, un proveedor global de pruebas continuas y productos de ingeniería de calidad. "Por lo general, un proceso automatizado necesita contar con una cuenta confiable o privilegiada, que desafortunadamente, un actor malicioso puede aprovechar".
Cuando las cuentas objeto de abuso tienen privilegios, la actividad es inherentemente confiable, afirma Kichen. "Esto significa que probablemente no esté siendo monitoreado de cerca, y la automatización puede ser un canal para que actores maliciosos logren cosas maliciosas".
Uno de los mayores riesgos ocultos de la automatización de TI es no proteger los datos utilizados para entrenar sistemas automatizados, dice Kevin Miller, CTO, América, de la empresa de software empresarial IFS. "Yendo un paso más allá, los sistemas automatizados pueden tener vulnerabilidades que los malos actores pueden explotar; incluso la propia detección de anomalías puede ser pirateada", afirma.
Esto deja a las empresas susceptibles a la propagación automatizada de amenazas, afirma Miller. "Por ejemplo, si un atacante obtiene control sobre un proceso automatizado, puede propagar código, software o actividades maliciosas por todo el sistema mucho más rápidamente que en un entorno no automatizado", afirma.
Esto podría provocar daños más rápidos y extensos antes de que se puedan iniciar los esfuerzos de detección y remediación, afirma Miller. Las empresas deben tener visibilidad total y monitoreo constante de los sistemas para determinar si una anomalía es causada por un mal actor que puede robar datos confidenciales sobre un activo, la empresa o sus clientes.
Problemas magnificados de gestión de datos
La gestión de datos puede ser una parte crucial de la automatización de TI, pero es posible que a los equipos no se les ocurra cuando implementan herramientas para automatizar procesos. Esto puede generar problemas.
"Usar datos obsoletos (ya sean segundos, minutos, horas o días) para automatizar tecnologías de TI es muy parecido a usar datos de tráfico antiguos y no actuales para convocar a un Uber", dice Erik Gaston, CIO de la empresa de seguridad Tanium.
"No funcionará y no es una buena idea", dice Gaston. “Sin datos en tiempo real, las organizaciones están limitadas en cuanto a lo que pueden escalar. Para aumentar el factor de riesgo, cuando las organizaciones intentan automatizar más allá de lo que pueden escalar, pueden romper procesos críticos”.
Además, dice Gaston, la falta de datos en tiempo real cuando se escala la automatización puede aumentar las vulnerabilidades de ciberseguridad. “Cuando la tecnología de automatización no utiliza datos en tiempo real, puede no detectar una amenaza crítica o un día cero, lo que podría provocar que una filtración de datos pase desapercibida durante el tiempo suficiente para que los malos actores exploten las vulnerabilidades y obtengan acceso no autorizado a los sistemas o datos. ," él dice.
Para abordar estos problemas, Williams de RaceTrac dice que el operador de tiendas de conveniencia ha implementado una estrategia de gobernanza de datos federada que proporciona una metodología estructurada para la gestión de datos. "La piedra angular de este enfoque es garantizar que todos los datos que sustentan la automatización de TI sean examinados minuciosamente, cumplan con las regulaciones pertinentes y cumplan con los más altos estándares de calidad", afirma.
Una estrategia de gobernanza de datos federada logra un delicado equilibrio entre los controles de gobernanza centralizados y la flexibilidad del acceso descentralizado, afirma Williams. "Esta metodología permite una supervisión de la gobernanza de arriba hacia abajo y, al mismo tiempo, otorga a los usuarios la autonomía para autoservicio", afirma.
Esta estrategia permite a las organizaciones "aprovechar todo el potencial de la automatización de TI, asegurando que sus esfuerzos se basen en una sólida gobernanza de datos y sean resilientes frente a los cambiantes panoramas tecnológicos", afirma Williams.
Complacencia
Otro riesgo es que las tareas, una vez automatizadas, probablemente no sean revisadas por TI más adelante.
"La complacencia es un riesgo muy real cuando se trata de automatización de TI", afirma Kichen de Tricentis. “Cuando algo funciona sin mucha necesidad de intervención humana, es fácil pasarlo por alto. Los equipos de TI pueden olvidar o ignorar los pasos del proceso subyacente, y esta forma de pensar conduce a problemas y riesgos potenciales que pueden surgir fácilmente sin ser detectados ni abordados”.
Un ejemplo es la salida de recursos humanos. "El potencial de que el proceso se rompa es muy alto y los problemas que no se detectan son comunes, ya que todos tienden a asumir que todo funciona según lo previsto", dice Kichen.
Si la automatización funciona y no crea errores obvios, los equipos de TI podrían olvidarse de ella. "Esto significa que no se revisa periódicamente para ver si las suposiciones anteriores de seguridad o TI siguen siendo ciertas", afirma Kichen.
En el momento de su creación, esas decisiones probablemente eran razonables, dice Kichen. "Pero con el tiempo, los supuestos subyacentes que impulsaron esas decisiones cambian", afirma. "Si los equipos de TI no tienen un proceso correspondiente para revisar periódicamente la automatización y su implementación, pueden quedar expuestos a riesgos graves que pueden no existir cuando se creó inicialmente, pero que ahora existen y son relevantes".
La falta de monitoreo de los sistemas de automatización puede extenderse a la falta de control del mercado. "En los meses o años intermedios, pueden aparecer nuevos proveedores que realmente creen un producto que haga de manera más segura y eficiente lo que el equipo automatizó originalmente", dice Kichen. "Si los equipos no están atentos a estos avances porque su proceso funciona, entonces no será hasta que suceda algo malo que comenzarán a repensar su enfoque y se darán cuenta de que el panorama de la tecnología y los proveedores ha avanzado".
La gobernanza no es un hecho
Puede parecer una contradicción, pero TI necesita monitorear y gestionar la flexibilidad y autonomía que permite la automatización. De lo contrario, las cosas pueden salirse de control.
"La automatización es, en última instancia, un espectro, lo que significa que depende de cada organización determinar su tolerancia individual al riesgo y actuar en consecuencia", explica Gaston de Tanium. "Y si bien esta flexibilidad puede ser beneficiosa, requiere una planificación cuidadosa, un monitoreo regular y en tiempo real, y una capacitación continua para el personal de TI para garantizar que tengan las habilidades necesarias para administrar y solucionar problemas de los sistemas automatizados".
También es importante conocer las dependencias de cualquier flujo de trabajo automatizado para mantener la confiabilidad y la resiliencia. "Esto es especialmente importante cuando se trata de sistemas heredados obsoletos que a menudo no funcionan bien con los cambios y se vuelven más frágiles con la automatización", dice Gaston.
Una solución para controlar el uso de la automatización es crear un programa de gobernanza. "Al igual que con cualquier tecnología emergente, siguen surgiendo regulaciones y estándares con respecto a la automatización, y muchas organizaciones aún tienen que determinar cómo adoptar la automatización de la manera que mejor se alinee con los objetivos comerciales", insiste.
"Incluso cuando automatizamos utilizando las mejores plataformas de su clase, es imperativo observar los flujos de trabajo y los procesos y garantizar que existan las medidas de seguridad, las dependencias y las acciones adecuadas", afirma Gaston. "Esto garantiza que se pueda construir una organización moderna que reduzca el riesgo y lleve la TI de la administración a la innovación".
Dependencia excesiva de la automatización
¿Existe una dependencia excesiva de la automatización de TI? Posiblemente, si eso significa un descenso en otras áreas.
"Dependerse en gran medida de la automatización puede llevar a una atrofia de habilidades entre el personal de TI, donde las habilidades de intervención y solución de problemas manuales pueden disminuir", dice Miller de IFS. "Esto se convierte en un riesgo importante cuando los sistemas automatizados encuentran problemas inesperados que requieren resolución manual".
Una dependencia excesiva de la automatización también puede resultar en una pérdida de conocimiento institucional sobre las complejidades de las operaciones del sistema específicas del negocio, afirma Miller, lo que dificulta la adaptación o la innovación fuera de los procesos automatizados.
