|
Índice de contenidos
- Seguridad
en los sistemas informáticos. Concepto
- ¿Por qué necesitamos seguridad en nuestro sistema?
- ¿Donde encontrar
más información sobre seguridad ?
- Soluciones
de seguridad para iSeries AS400
Descargar dossier
completo en formato PDF (1,18 Mb)
¿Por qué necesitamos seguridad en nuestro
sistema?
La seguridad incorporada de los iSeries
refleja la metodología más sólida
de proceso y de diseño del desarrollo usada en
Rochester, - especialmente cuando está comparada
a Microsoft Windows -
Tom Bittman, vice presidente del grupo de Gartner
y director de la investigación
¿ Has considerado seriamente que
sucedería si algún usuario no autorizado
pudiera suprimir los fuentes de tus programas o extraer
y modificar la lista de tus clientes, la facturación,
contabilidad, o la lista de precios?. Preguntale al
gerente de tu empresa...
El escenario anterior a los cambios vividos
en las empresas, en el que el AS400 operaba de forma
aislada con conexiones a terminales "tontas"
y que nos permitía con una pólitica básica
de seguridad (menús y contraseñas) mantener
la integridad del AS400 ha sido sustituido paulatinamente
por conexiónes de redes locales, aplicaciones
cliente-servidor, nuevas herramientas y sobre todo por
la interactividad entre distintos sistemas, lo cual
nos obliga a modificar y actualizar constantemente nuestras
medidas de seguridad. Además Internet forma parte
de la infraestructura de operación de las empresas,
lo cual "abre" nuestros sistemas a millones
de usuarios, algunos de ellos demasiado curiosos.
Por suerte para nosotros el AS400 (iSeries)
partía y parte con un sistema de seguridad muy
robusto en lo que respecta a las conexiones "tontas",
todo ello gracias a que la seguridad está integrada
en el sistema operativo. Pero cuando nuestro iSeries
se integra en una red o permitimos el acceso desde aplicaciones
externas (ODBC, JDBC, DRDA ) cualquier usuario puede
modificar los datos y las antiguas estrategias de seguridad
ya no nos sirven.
Aunque el iSeries dispone de herramientas
de recolección de la información de seguridad,
su gestión es compleja. Además, en los
escenarios actuales, son necesarías herramientas
de seguridad activas y dinámicas, que nos sirvan
para prevenir riesgos antes de que sucedan.
Además de disponer de una buena
política de seguridad, la ley nos obliga a saber
quien y como utiliza los datos y a garantizar la calidad
de la misma, por lo que en algunos casos, estamos obligados
a realizar auditorias de seguridad en nuestros sistemas
y a tener logs de quien y cuando modifica un dato.
¿Que puedes hacer
para empezar?
Para determinar cual es el estado actual
de nuestra seguridad
- Comprueba el nivel de seguridad de tu sistema. Puedes
encontrar una guía para cambiar el valor QSECURITY
en formato PDF aquí
(en inglés)
| Nivel
de seguridad |
Que
hace |
| 20 |
Proporciona únicamente
seguridad por contraseña |
| 30 |
Proporciona seguridad por contraseña
y recursos. |
| 40 |
Proporciona seguridad por contraseña
y recursos; seguridad de integridad. |
| 50 |
Proporciona seguridad por contraseña
y recursos; protección de integridad
mejorada. |
- Lista los usuarios que utilizan la contraseña
por omisión con el mandato ANZDFTPWD
- Imprimir los valores de seguridad de tu sistema
(mandato PRTSYSSECA)
- Imprimir un informe detallado de los perfiles de
usuario de nuestro sistema (mandato PRTUSRPRF)
- Utiliza los valores del sistema y atributos de red
para comprobar si se permiten los trabajos remotos,
el acceso remoto a los datos o el acceso de PC remoto
en su sistema.
- Auditar las tareas de los usuarios del iSeries.
Ver
documento
¿ Que hago ahora ?
- Con los datos básicos recogidos anteriormente
deberías de empezar a confeccionar la politica
de seguridad más adecuada a tu empresa. Te
recomiendo que leas este
documento de Wayne O. Evans para diseñar
una estrategia de seguridad
- Desarrolla una politica de contraseñas (caducidad,
combinación de dígitos y letras, máximo
de intentos)
- Cambia
los mensajes de error de la pantalla de inicio
para no dar pistas a los curiosos sobre si falló
la contraseña o el usuario
- Restringe el acceso de tus usuarios a las horas
y días en las que puedan acceder con el mandato
CHGACTSCDE
- Si tienes los servidores TCP/IP levantados comprueba
cuales utilizas y desactiva los que no utilices
- Limitar los usuarios a las funciones que necesiten
Estudia cuales son las funciones que realmente necesitan
los usuarios y restringe sus autorizaciones a tan
solo esas necesidades
- Restringir las funciones del sistema
Autoriza solo las funciones críticas de seguridad
a usuarios tipo QSECOFR y las funciones de operación
a usuarios QPGMR
- Determina quién puede utilizar los archivos
y programas
Observa los grupos de usuarios y determina quien debe
observar la información de un archivo; quien
puede modificarlos y quien puede suprimirlo
Pasos del proceso de planificación de la seguridad
según IBM
| Paso
|
Qué
debes hacer en este paso |
Cómo
se relaciona este paso con otros |
| Planificación
de la seguridad física |
Describe
cómo planifica proteger la unidad del sistema,
los dispositivos y los medios de copia de seguridad.
|
La mayor
parte de esta información es independiente
del resto del proceso. No entra información
de planificación de la seguridad física
en el sistema; sin embargo, necesita alguna de esta
información para planificar los valores del
sistema y la seguridad por recursos. |
| Planificación
de la seguridad de las aplicaciones |
Describe
la finalidad, los menús principales y las
bibliotecas de todas las aplicaciones. |
Proporciona
la base para el resto del proceso de planificación
y las demás decisiones sobre seguridad que
debe tomar. Esta información no se entra
en el sistema. |
| Planificación
de la estrategia global de seguridad |
Decide cuál
será la estrategia global en relación
con la seguridad. Elige los valores del sistema
que soportan ese enfoque. |
Utiliza
la información de planificación de
las aplicaciones para ayudarte a determinar la estrategia
global. Los valores del sistema que elijas afectarán
a cómo planifiques los perfiles de usuario
y grupo. |
| Planificación
de los grupos de usuarios |
Decide cómo
repartir los usuarios en grupos. Decide las características
de cada grupo y cómo definirlas en el sistema.
|
Utiliza
la descripción de aplicación para
determinar los grupos del sistema. Los grupos de
usuarios que definas afectarán a cómo
planifiques los usuarios individuales en el sistema.
|
| Planificación
de los perfiles de usuario individuales |
Asigna cada
uno de los usuarios del sistema a un grupo. Define
cada uno de los usuarios, incluidas las características
que difieran del resto del grupo. Por ejemplo, aquellos
usuarios que necesitan un acceso distinto del resto
del grupo a una aplicación o biblioteca.
|
Utiliza
la información de planificación de
aplicaciones y planificación de grupos de
usuarios para ayudarte a definir los usuarios individuales.
|
| Planificación
de la seguridad por recursos |
Decide qué
aplicaciones deben estar disponibles para todos
los usuarios del sistema. Si necesitas restringir
determinadas aplicaciones, decide qué usuarios
o grupos deben poder utilizarlas. |
Utiliza
la información de planificación de
aplicaciones y planificación de perfiles
de grupos para ayudarte a planificar la seguridad
por recursos. |
| Planificación
de la instalación de las aplicaciones |
Decide cómo
establecer la propiedad y la autorización
de uso público para las bibliotecas de aplicaciones.
|
Utiliza
la información de planificación de
seguridad por recursos para planificar la instalación
de las aplicaciones. |
|
