¿ Quieres imprimir esta página ? Volver a la página principal de Recursos iSeries AS400 ¿ Necesitas ayuda ? En pruebas
System i5 iSeries AS400 Recursos. Compartiendo generamos conocimiento
Novedades en Recursos iSeries AS400
Noticias tecnológicas

Dossier Seguridad
¿Por qué necesitamos seguridad en nuestro sistema?

Índice de contenidos
  1. Seguridad en los sistemas informáticos. Concepto
  2. ¿Por qué necesitamos seguridad en nuestro sistema?
  3. ¿Donde encontrar más información sobre seguridad ?
  4. Soluciones de seguridad para iSeries AS400

Descargar dossier completo en formato PDF (1,18 Mb)

¿Por qué necesitamos seguridad en nuestro sistema?

La seguridad incorporada de los iSeries refleja la metodología más sólida de proceso y de diseño del desarrollo usada en Rochester, - especialmente cuando está comparada a Microsoft Windows -
Tom Bittman, vice presidente del grupo de Gartner y director de la investigación

¿ Has considerado seriamente que sucedería si algún usuario no autorizado pudiera suprimir los fuentes de tus programas o extraer y modificar la lista de tus clientes, la facturación, contabilidad, o la lista de precios?. Preguntale al gerente de tu empresa...

El escenario anterior a los cambios vividos en las empresas, en el que el AS400 operaba de forma aislada con conexiones a terminales "tontas" y que nos permitía con una pólitica básica de seguridad (menús y contraseñas) mantener la integridad del AS400 ha sido sustituido paulatinamente por conexiónes de redes locales, aplicaciones cliente-servidor, nuevas herramientas y sobre todo por la interactividad entre distintos sistemas, lo cual nos obliga a modificar y actualizar constantemente nuestras medidas de seguridad. Además Internet forma parte de la infraestructura de operación de las empresas, lo cual "abre" nuestros sistemas a millones de usuarios, algunos de ellos demasiado curiosos.

Por suerte para nosotros el AS400 (iSeries) partía y parte con un sistema de seguridad muy robusto en lo que respecta a las conexiones "tontas", todo ello gracias a que la seguridad está integrada en el sistema operativo. Pero cuando nuestro iSeries se integra en una red o permitimos el acceso desde aplicaciones externas (ODBC, JDBC, DRDA ) cualquier usuario puede modificar los datos y las antiguas estrategias de seguridad ya no nos sirven.

Aunque el iSeries dispone de herramientas de recolección de la información de seguridad, su gestión es compleja. Además, en los escenarios actuales, son necesarías herramientas de seguridad activas y dinámicas, que nos sirvan para prevenir riesgos antes de que sucedan.

Además de disponer de una buena política de seguridad, la ley nos obliga a saber quien y como utiliza los datos y a garantizar la calidad de la misma, por lo que en algunos casos, estamos obligados a realizar auditorias de seguridad en nuestros sistemas y a tener logs de quien y cuando modifica un dato.

¿Que puedes hacer para empezar?

Para determinar cual es el estado actual de nuestra seguridad

  • Comprueba el nivel de seguridad de tu sistema. Puedes encontrar una guía para cambiar el valor QSECURITY en formato PDF aquí (en inglés)
    Nivel de seguridad Que hace
    20 Proporciona únicamente seguridad por contraseña
    30 Proporciona seguridad por contraseña y recursos.
    40 Proporciona seguridad por contraseña y recursos; seguridad de integridad.
    50 Proporciona seguridad por contraseña y recursos; protección de integridad mejorada.
  • Lista los usuarios que utilizan la contraseña por omisión con el mandato ANZDFTPWD
  • Imprimir los valores de seguridad de tu sistema (mandato PRTSYSSECA)
  • Imprimir un informe detallado de los perfiles de usuario de nuestro sistema (mandato PRTUSRPRF)
  • Utiliza los valores del sistema y atributos de red para comprobar si se permiten los trabajos remotos, el acceso remoto a los datos o el acceso de PC remoto en su sistema.
  • Auditar las tareas de los usuarios del iSeries. Ver documento

¿ Que hago ahora ?

  • Con los datos básicos recogidos anteriormente deberías de empezar a confeccionar la politica de seguridad más adecuada a tu empresa. Te recomiendo que leas este documento de Wayne O. Evans para diseñar una estrategia de seguridad
  • Desarrolla una politica de contraseñas (caducidad, combinación de dígitos y letras, máximo de intentos)
  • Cambia los mensajes de error de la pantalla de inicio para no dar pistas a los curiosos sobre si falló la contraseña o el usuario
  • Restringe el acceso de tus usuarios a las horas y días en las que puedan acceder con el mandato CHGACTSCDE
  • Si tienes los servidores TCP/IP levantados comprueba cuales utilizas y desactiva los que no utilices
  • Limitar los usuarios a las funciones que necesiten
    Estudia cuales son las funciones que realmente necesitan los usuarios y restringe sus autorizaciones a tan solo esas necesidades
  • Restringir las funciones del sistema
    Autoriza solo las funciones críticas de seguridad a usuarios tipo QSECOFR y las funciones de operación a usuarios QPGMR
  • Determina quién puede utilizar los archivos y programas
    Observa los grupos de usuarios y determina quien debe observar la información de un archivo; quien puede modificarlos y quien puede suprimirlo

Pasos del proceso de planificación de la seguridad según IBM

Paso Qué debes hacer en este paso Cómo se relaciona este paso con otros
Planificación de la seguridad física Describe cómo planifica proteger la unidad del sistema, los dispositivos y los medios de copia de seguridad. La mayor parte de esta información es independiente del resto del proceso. No entra información de planificación de la seguridad física en el sistema; sin embargo, necesita alguna de esta información para planificar los valores del sistema y la seguridad por recursos.
Planificación de la seguridad de las aplicaciones Describe la finalidad, los menús principales y las bibliotecas de todas las aplicaciones. Proporciona la base para el resto del proceso de planificación y las demás decisiones sobre seguridad que debe tomar. Esta información no se entra en el sistema.
Planificación de la estrategia global de seguridad Decide cuál será la estrategia global en relación con la seguridad. Elige los valores del sistema que soportan ese enfoque. Utiliza la información de planificación de las aplicaciones para ayudarte a determinar la estrategia global. Los valores del sistema que elijas afectarán a cómo planifiques los perfiles de usuario y grupo.
Planificación de los grupos de usuarios Decide cómo repartir los usuarios en grupos. Decide las características de cada grupo y cómo definirlas en el sistema. Utiliza la descripción de aplicación para determinar los grupos del sistema. Los grupos de usuarios que definas afectarán a cómo planifiques los usuarios individuales en el sistema.
Planificación de los perfiles de usuario individuales Asigna cada uno de los usuarios del sistema a un grupo. Define cada uno de los usuarios, incluidas las características que difieran del resto del grupo. Por ejemplo, aquellos usuarios que necesitan un acceso distinto del resto del grupo a una aplicación o biblioteca. Utiliza la información de planificación de aplicaciones y planificación de grupos de usuarios para ayudarte a definir los usuarios individuales.
Planificación de la seguridad por recursos Decide qué aplicaciones deben estar disponibles para todos los usuarios del sistema. Si necesitas restringir determinadas aplicaciones, decide qué usuarios o grupos deben poder utilizarlas. Utiliza la información de planificación de aplicaciones y planificación de perfiles de grupos para ayudarte a planificar la seguridad por recursos.
Planificación de la instalación de las aplicaciones Decide cómo establecer la propiedad y la autorización de uso público para las bibliotecas de aplicaciones. Utiliza la información de planificación de seguridad por recursos para planificar la instalación de las aplicaciones.

 

Subir a la parte superior de la web

 

NUESTRA COMUNIDAD EN
ÚNETE Y.... ¡¡ PARTICIPA !!
Dossiers técnicos iSeries y AS400
- Seguridad
- Alta disponibilidad.
Nuestros links favoritos
- Tendencias tecnologías de la información
Expertos en tecnologías de la información, nos dan su punto de vista sobre las tendencias actuales y futuras
- Los últimos anuncios sobre hardware-software para iSeries AS400 realizados por IBM
- Freeware y shareware para el iSeries AS400
- Utilidades para el iSeries AS400 realizadas por profesionales
- Documentos. Trucos e ideas para resolver tus problemas
- Los manuales y links más interesantes del iSeries AS400

  Links patrocinados
  •  
  •  

[ Soy nuevo |   Profesionales |   AS qué |   Empresas |    Foros |   Recomiéndanos |    Productos ]
 
Recursos iSeries AS400. Es una web de: PUBLICACIONES HELP400, S.L. CIF:B-60-202827 Gran Vía de les Corts Catalanes, núm. 715, Entresuelo – 3ª - Barcelona - Tel.+34.932.310.049