Implementación de Estrategias y
Directrices para la seguridad del AS/400
Creado por
Wayne O. Evans
AS/400 Security Consultant
E-mail:
[email protected]
Phone: (520) 578-7785
Revisión Final.
Este es un documento en proceso y está siendo distribuído para recibir comentarios.
Tus comentarios serán bienvenidos apreciados. - Wayne O. Evans
Los sistemas AS/400 y la Aplicación de la Seguridad
Perspectiva general del Documento......................................................................................................2
PURPOSE..........................................................................................................................................2
APPROVAL .......................................................................................................................................2
Objetivos del Control.............................................................................................................................3
Estrategia de Seguridad........................................................................................................................4
Separación de Delegaciones.............................................................................................................4
Responsabilidad de los Usuarios ......................................................................................................4
División de Funciones........................................................................................................................4
Separación de Programación y Producción.......................................................................................4
Auditoría.............................................................................................................................................5
Perspectiva general de la Seguridad.....................................................................................................6
Estructura de los perfiles de usuario y grupo. ....................................................................................6
Separación de delegaciones .............................................................................................................8
Adopción en Batch...........................................................................................................................10
Detalles de la Seguridad del AS/400. ..............................................................................................12
Atributos del perfil de Usuario y Grupo......................................................................................13
Supuestos a verificar ..........................................................................................................................18
Consideraciones sobre los programas................................................................................................19
Apéndice A: Atributos de Seguridad Global del Sistema-Valores de Sistema ....................................21
Apéndice B Atributos de Seguridad Global del Sistema –Valores de Red..........................................29
Apéndice C Atributos de Seguridad Global del Sistema –Programas de Salida.................................31
Programa 1. Ejemplo Programa de Routing para Batch.................................................................31
Programa 2. Previene Comandos Remotos y Cargas de Ficheros. ................................................32
Programa 3. Alternar Programa de Salida para Restringir Transferencia de Ficheros....................33
Programa 4. FTP Logon ..................................................................................................................34
Programa 5. Programa de Validación de Peticiones para Restringir FTP .......................................36
Perfil de Usuario en Programas de Salida ......................................................................................38
Programa 6. User Profile Exit Program Shell...................................................................................38
Apéndice D: Consideraciones de Seguridad del Acceso ODBC.........................................................39
Alternativa 1: Autorizar a los usuarios a los datos.........................................................................39
Alternativa 2: Cambiar el Perfil de Usuario en el Programa de Salida..........................................40
Alternativa 3: Cambiar el Perfil de Usuario en el Programa de Salida con Autentificación..........40
Alternativa 4: Usar procediemientos alamacenados ....................................................................41
Alternativa 5 : Combinación de opción 3 y 4 ................................................................................41
Aplicación seguridad para AS/400
Wayne O.Evans , e-mail:
[email protected]
Traducción autorizada al Español realizada por http://www.recursos-as400.com
1
Los sistemas AS/400 y la Aplicación de la Seguridad
Perspectiva general del Documento.
PROPÓSITO
El propósito de este documento es establecer una política de seguridad del AS/400 para
{SU_EMPRESA} ({SUS_INICIALES}). Este documento le dará directrices en la implementación de
estándares de seguridad que pueden ser utilizadas tanto por los desarrolladores de aplicaciones
como por los responsables de seguridad.
Además de la seguridad del sistema, la protección de los datos depende de controles de la
Dirección. Estos controles de los managers a menudo suponen una revisión de acciones por parte
de personal independiente. Este documento se centra en la implementación en el AS/400 y en la
recolección de datos para hacer posibles estas revisiones independientes pero sin el detalle de los
procedimientos requeridos que aseguran su independencia.
Título
Dept xxxx
APROBACIÓN
Este documento fue aprobado ___(fecha)_______ por ______(el aprobador)___.
Para desviaciones o cambios de este documento , contactar
Este documento ha sido preparado por
Wayne O. Evans
5677 West Circle Z Street
Tucson, Arizona 85713-4416
[email protected]
Phone (520) 578-7785
Aplicación seguridad para AS/400
Wayne O.Evans , e-mail:
[email protected]
Traducción autorizada al Español realizada por http://www.recursos-as400.com
2
Los sistemas AS/400 y la Aplicación de la Seguridad
Objetivos del Control
Los estándares de control interno de {SU_EMPRESA} ({SUS_INICIALES}) han establecido los
siguientes objetivos de control. El departamento de auditoría está encargado de hacer que se
cumplan estos controles.
1. Salvaguardar los activos a través de la división de funciones y responsabilidades en la
organización y la dirección de Recursos Humanos.
2. Asegurar que los nuevos sistemas coinciden con los requerimientos del usuario, son
desarrollados acorde con las restricciones de presupuesto y tiempo, son mantenibles, contienen
controles apropiados y las transacciones procesadas están documentadas.
3. Asegurar que las modificaciones de los sistemas operativos están autorizadas , controladas y
testeadas , que la documentación relacionada está convenientemente actualizada y que se
mantiene la integridad de los datos .
4. Asegurar que los registros en todos los sistemas están soportados por transacciones
documentadas y encajan con los requisitos legales y de la Compañía {SU_EMPRESA}
5. Asegurar que la seguridad es adecuada para proteger las instalaciones , el equipamiento , el
personal ,y los programas y ficheros de datos de posible destrucción o daño , bien accidental bien
deliberada y para mantener la integridad de las operaciones de las computadoras. En caso de un
evento así, minimizar la interrupción del negocio a través de una respuesta efectiva planificada.
6. Asegurar que los procesos están planificados, controlados y autorizados para utilizar
efectivamente los recursos de procesos de datos y que encajan con los requerimientos de usuario.
7. Asegurar que el sistema y las bibliotecas de programas y los ficheros de datos están protegidos
frente a accesos y modificaciones no autorizados.
Aplicación seguridad para AS/400
Wayne O.Evans , e-mail:
[email protected]
Traducción autorizada al Español realizada por http://www.recursos-as400.com
3
Los sistemas AS/400 y la Aplicación de la Seguridad
Estrategia de Seguridad
Esta sección describe la estrategia de implantación de la seguridad basada en los objetivos de
seguridad anteriores. Esta estrategia está desarrollada con recomendaciones en detalle.
Separación de Delegaciones.
Las operaciones de ({SUS_INICIALES}) están separadas en regiones geográficas llamadas
DELEGACIONES . El mismo sistema de producción debe contener datos para múltiples
delegaciones. Cada mercado debería estar separado para que así los usuarios de una
delegación no dispongan de acceso a la otra delegación. Los datos de las delegaciones están
separados en bibliotecas separadas del AS400 ,a las que sólo están autorizados los usuarios
de esa delegación.
El acceso del usuario a los datos de la delegación debe ser determinado y aprobado por el
Coordinador de Acceso de Delegaciones (MAC) o sus ayudantes.
Responsabilidad de los Usuarios
El acceso a los sistemas de ({SUS_INICIALES}) está limitado a personal autorizado. Los
individuos a los que se ha concedido acceso a los sistemas de ({SUS_INICIALES}) son
responsables del mantenimiento de la información confidencial de ({SUS_INICIALES}) y de
no compartir sus contraseñas.Los usuarios del AS/400 serán identificados por un perfil de
usuario individual y de esta forma, sus transacciones serán atribuídas a un único individuo.
(No está permitido el uso compartido de perfiles de usuario)
División de Funciones
Comentarios de: Implementación de estrategias y directrices para la seguridad del AS/400 (0)
No hay comentarios