Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos. Vea este webinar grabado y obtenga información sobre: Comandos y controles de acceso a la red Controles de Seguridad a nivel de servidor Usuarios que pueden acceder a su información privilegiada Perfiles y Seguridad de contraseñas Protección anti-virus y malware Estrategias para auditorías de sistema

1. El Estado de la Seguridad
de IBM i en 2020

2. Presentadora de hoy
Amneris Teruel
Experta Senior en Monitorización, Automatización y Seguridad
Helpsystems
Amneris.Teruel@helpsystems.com

3. HelpSystems. All rights reserved.
Presentando el Estudio

4. Objetivos del Estudio
Ayudar a profesionales de IT y auditores a comprender las exposiciones en la
Seguridad de IBM i
Poner el foco en las áreas claves para el cumplimiento de regulaciones.
Ayudar a IT a desarrollar planes estratégicos dirigidos a vulnerabilidades de alto
riesgo (o para confirmarlas)

5. ¿Cómo se obtiene la información?
Security Scan
Cada año, HelpSystems realiza cientos de Security Scans gratuitos
Los Security Scans identifican las vulnerabilidades del sistema
Proporcionar información para el estudio es voluntario y anónimo
El primer Estudio sobre el Estado de la Seguridad de IBM i fue publicado en 2004
Desde su creación, participaron cientos de organizaciones
Una muy buena visión de base de referencia, la tecnología y las brechas que existen
Las compañías se postulan de forma voluntaria
¿Conscientes de la Seguridad en mayor o menor medida?

6. ¡Forme parte del Estudio!
(Proporcionar la información es opcional)

7. El resumen proporciona
indicadores visuales a
auditores y ejecutivos

8. El registro de IBM i es revisado
para ver si los eventos en la
red son auditados o
controlados

9. El permiso *PUBLIC para
aplicaciones de bibliotecas
son analizados y reportados

10. Los perfiles de usuario son
analizados para controles
adecuados y actividad
sospechosa

11. Revisión de configuraciones
críticas del sistema que
impacten en la Seguridad

12. Determinar si la actividad de
registro está activa y qué tipo
de eventos se están
registrando

13. Determinar cuántos usuarios
tienen privilegios de
administración (Permisos
Especiales)

14. ENCUESTA

15. HelpSystems. All rights reserved.
Resultados:
El Estado de la Seguridad de IBM i en 2020

16. Sistemas Power: 255
Compañías: 249

17. USA + Cánada: 81%
Europa, Medio Oriente, África: 13%
América Latina: 6%

18. Manufactura: 34%
Gobierno: 12%
Transportes: 9%

19. 1,000 – 4,999: 26%
500 – 999 : 20%
250 – 499: 9%

20. Perfiles de Usuario
Total: 274.159
Promedio: 1.075

21. Bibliotecas
Total: 141.910
Promedio: 557

22. IBM i – Sistema Operativo
OS Version
v6.1 v7.1 v7.2 v7.3 v7.4

23. Not Meeting
Recommended
Security Level
Meeting
Recommended
Security Level
Nivel de Cumplimiento de
Seguridad (QSECURITY)
75% de los sistemas
cumple o exceede el nivel
recomendado

24. Not Meeting
Recommended
Security Level
Meeting
Recommended
Security Level
Nivel de Cumplimiento de
Seguridad (QSECURITY)
Pero muchos factores influyen
en la efectividad de este control

25. QSECURITY
System Security Level

26. Analytics en Tiempo Real

27. used in the event of a catastrophic failure
80% de los sistemas IBM i tiene
su ‘flight data recorder’ activado

28. Pero entonces….. hay un 20%
que no puede ver NINGÚN evento
crítico de seguridad.

29. ¿Usted podría decir si existió un
ataque de fuerza bruta?

30. Would you know if there was a brute
force attack?Un servidor ha experimentado
99,373,027
Intentos de conexión fallidos

31. 1/2 de todos los servidores tenía por lo menos
un perfil de usuario que experimentó más de
100
Intentos fallidos de conexión

33. ¡Los datos del registro de Auditoría pueden
ser agobiantes!
Montañas de datos en bruto
Procesos de reporting manuales

34. Como resultado, IT suele ignorar estos datos
o simplemente los revisa el día antes a la
llegada de los auditores.

35. Automatización
La única forma de hacer esta
tarea manejable

36. Network Access Control

37. Control de acceso a la red
Muchas aplicaciones IBM i confían en la Seguridad por menú porque…
Es fácil de construir
Es el legado de muchas aplicaciones de negocio existentes
El diseño de la Seguridad por menús asume:
Que el acceso solo se origina a través de los menús
Ningún usuario tiene permisos de línea de comandos
Los usuarios no pueden tener acceso a las herramientas basadas en SQL
La Seguridad por menú suele estar acompañada por :
*PUBLIC concede amplio acceso a datos (*CHANGE)
Usuario con potentes privilegios de acceso a datos
Errores de configuración – ej: Usuarios que pertenecen a un Grupo que es dueño de los
objetos

38. ODBC no es ninguna ciencia

39. FTP REXEC
¿Qué servicios TCP/IP se están ejecutando?

40. ¿Qué servicios TCP/IP se están ejecutando?
Algunos servicios no pueden simplemente “apagarse”

41. ¿Una nueva función?
En los ‘90, IBM complementó el Nivel de Seguridad de Objeto con una suite de
Puntos de Salida, que son interrupciones temporales en un proceso del Sistema
Operativo, para invocar a programas de salida escritos por el usuario.

42. AUDITEN CONTROLEN
(ya que IBM i no lo hace) (ya que Seguridad de objeto es poco flexible)
La función de un Programa de Salida puede incluir cualquier cosa que el programador
codifique en él, ¡incluyendo actos no autorizados!
Por lo general, los oficiales de Seguridad quieren que los programas de salida de red:
¿Una nueva función?

43. ¿Una nueva función?
El programa de salida devuelve un indicador de aprobado/fallido a los puntos de
salida para indicar al SO si procesa o deniega la solicitud.

44. Cobertura de Puntos de Salida
Cobertura completa de
puntos de salida
Yes No
Uno o más puntos de
salida
Yes No
8%31%
Muchas organizaciones
desconocen esta
funcionalidad o
erróneamente creen que no
la necesitan.

45. Complete Exit Point Coverage
DATOS

46. What About IBM i
Definiendo un Usuario
Privilegiado…
Alguien con permisos especiales
Alguien con permisos privados
Un servidor con permisos públicos
permisivos
(¡la mayoría de ellos lo son!)
+
Una forma de ejecutar comandos o
acceder directamente a la base de datos

47. What About IBM i
*ALLOBJ
Acceso sin restricciones

48. *SECADM
Gestionar perfiles de usuario

49. What About IBM i
*IOSYSCFG
Administrar comunicaciones

50. *AUDIT
Gestionar y acceder a registros de
auditoría

51. *SPLCTL
Acceso sin restricciones a información
impresa

52. *SERVICE
Administración de Hardware

53. *JOBCTL
Operaciones de servidor

54. *SAVSYS
Guardar cualquier objeto

55. What About IBM
¿Cuantos
administradores
tiene?

56. Privilegios Administrativos
0
50
100
150
200
250
300
350
400
*ALLOBJ *SECADM *IOSYSCFG *AUDIT *SPLCTL *SERVICE *JOBCTL *SAVSYS
Promedio de Permisos Especiales

57. Amenaza Interna

58. Período medio de detección
18 meses

60. Longitud mínima de contraseña
< Débil Fuerte >

61. Tiempo de expiración de contraseña
30%
70%

62. Otras reglas de contraseñas
Contraseña debe incluir un dígito

63. Pr03lema

64. ¿Cuántos intentos?
Número máximo de intentos de inicio de sesión permitidos

65. ¿Y después qué?
Acción por defecto para el exceso de intentos de inicios de sesión fallidos

66. Verificación de credenciales e Identidad
MFA

67. Default Passwords
120 perfiles
Contraseña = nombre de perfil
(72 están habilitados)

68. Un sistema tenía 2.184 perfiles con contraseña por defecto.

69. Inactive Profiles
400 perfiles inactivos
(195 *ENABLED)
30+ días de inactividad

70. 5250 Command Line
Option or command: ______________________________255 Perfiles pueden ejecutar
commandos aquí

71. 5250 Command Line
El resto puede ejecutarlos desde aquí  C:

72. Regulaciones

73. Regulaciones

74. ¿Qué es *PUBLIC?
*PUBLIC es una referencia especial para
cualquier usuario que no tiene la autoridad
especial *ALLOBJ y no está nombrado
explícitamente.

75. Permisos de *PUBLIC sobre bibliotecas
*CHANGE
61%
*USE
22%
*ALL
9%

76. Cuando se crean nuevos objetos
Atributos
de la
biblioteca
Valor del
sistema

77. Are you AV Scanning?

78. 248,095 Reasons To Scan Your IFS!

79. Who’s Scanning?
Scan on File OPEN
14% de los servidores
Hacen SCAN antes de abrir un archivo

80. ENCUESTA

81. Consejos Expertos en Seguridad [IBM i]
Puntos
Clave

82. Consejos Expertos en Seguridad [IBM i]
Asegure el
perímetro utilizando
Exit Programs

83. Consejos Expertos en Seguridad [IBM i]
Restrinja a los usuarios
el acceso a la
información de la base
de datos

84. Consejos Expertos en Seguridad [IBM i]
Limite el acceso al IFS y
escanee el sistema de
archivos con anti-virus

85. Consejos Expertos en Seguridad [IBM i]
Revise de los valores
del sistema
relacionados a
seguridad (e.g. QSECURITY)

86. Consejos Expertos en Seguridad [IBM i]
Endurezca las
políticas de acceso
de los usuarios

87. Consejos Expertos en Seguridad [IBM i]
Hay una creciente concienciación de la
necesidad de una Buena Seguridad
Aproveche este nuevo clima para garantizar la longevidad de su tecnología
Power y la integridad de sus datos

88. Consejos Expertos en Seguridad [IBM i]
¡Póngase en
Marcha!

89. ¿Qué puede hacer?
1. Realice un Security Scan gratuito o complete una Evaluación de Riesgo.
2. Resuelva “cabos sueltos” como contraseñas por defecto o cuentas inactivas.
3. Revise las configuraciones de perfiles de usuario: reglas de contraseña, capacidades
limitadas (línea de comandos), permisos especiales, etc.
4. Ejecute pruebas de intrusión sobre FTP y ODBC para evaluar el riesgo de filtración de
datos.
5. Evalúe soluciones para automatizar la revisión de procesos y ayudar a mitigar el riesgo.

90. Evalúe su riesgo de violación
Evaluación de Riesgos
para IBM i
• Sin obligaciones
• ¡Rápido! (1 minuto aprox.)
• No intrusivo
• Incluye la revisión de un
experto
• Licencia de 7 días gratuita
• Sin coste

91. Información muy valiosa by Carol Woodbury
Aprenda:
 Terminología de Seguridad
 Qué es *PUBLIC en realidad
 Valores del Sistema de Seguridad
 Atributos de usuario
 Y mucho más
La major referencia y recurso
impreso en Seguridad de IBM i
https://bit.ly/2HRvGqA

92. El Estado de la Seguridad de IBM i
• 17 años de una valiosa visión en
profundidad de la industria
• Miles de servidores IBM i revisados y
catalogados
¡Disponible desde hoy para su
descarga!

93. Preguntas

94. Estamos llegando al final…
En breve le enviaremos:
La grabación de este webinar
Más recursos útiles sobre Seguridad de IBM i:
[Estudio] El Estado de la Seguridad de IBM i
[Video] 5 mejoras prácticas para la Seguridad de IBM i
[Guía] Cuando un malware ataca a sus servidores IBM i, AIX y Linux
[Curso] Conviértase en un experto en Seguridad IBM i
Solicite su Security Scan Gratuito
¡Gracias por asistir a nuestro webinar!

95. Solicite su Security Scan - ¡gratuito!
>> Solicite un
Security Scan gratuito
de sus servidores IBM i, AIX y Linux
www.helpsystems.com/es/cta/security-scan-gratuito

96. ¡Gracias por participar!
www.helpsystems.com/es
contacto@helpsystems.com