Durante 17 años, el Estudio de Seguridad de IBM i ha proporcionado información útil acerca de cómo organizaciones en todo el mundo protegen sus sistemas Power (IBM i, AS/400, iSeries, etc.). En este webinar grabado presentamos en exclusiva los resultados del estudio y analizamos qué se espera del futuro de la Seguridad de esta plataforma. Además, damos tips útiles para identificar y priorizar las vulnerabilidades y errores más frecuentes, para evitar una filtración de datos.
Vea este webinar grabado y obtenga información sobre:
Comandos y controles de acceso a la red
Controles de Seguridad a nivel de servidor
Usuarios que pueden acceder a su información privilegiada
Perfiles y Seguridad de contraseñas
Protección anti-virus y malware
Estrategias para auditorías de sistema
4. Objetivos del Estudio
Ayudar a profesionales de IT y auditores a comprender las exposiciones en la
Seguridad de IBM i
Poner el foco en las áreas claves para el cumplimiento de regulaciones.
Ayudar a IT a desarrollar planes estratégicos dirigidos a vulnerabilidades de alto
riesgo (o para confirmarlas)
5. ¿Cómo se obtiene la información?
Security Scan
Cada año, HelpSystems realiza cientos de Security Scans gratuitos
Los Security Scans identifican las vulnerabilidades del sistema
Proporcionar información para el estudio es voluntario y anónimo
El primer Estudio sobre el Estado de la Seguridad de IBM i fue publicado en 2004
Desde su creación, participaron cientos de organizaciones
Una muy buena visión de base de referencia, la tecnología y las brechas que existen
Las compañías se postulan de forma voluntaria
¿Conscientes de la Seguridad en mayor o menor medida?
6. ¡Forme parte del Estudio!
(Proporcionar la información es opcional)
37. Control de acceso a la red
Muchas aplicaciones IBM i confían en la Seguridad por menú porque…
Es fácil de construir
Es el legado de muchas aplicaciones de negocio existentes
El diseño de la Seguridad por menús asume:
Que el acceso solo se origina a través de los menús
Ningún usuario tiene permisos de línea de comandos
Los usuarios no pueden tener acceso a las herramientas basadas en SQL
La Seguridad por menú suele estar acompañada por :
*PUBLIC concede amplio acceso a datos (*CHANGE)
Usuario con potentes privilegios de acceso a datos
Errores de configuración – ej: Usuarios que pertenecen a un Grupo que es dueño de los
objetos
40. ¿Qué servicios TCP/IP se están ejecutando?
Algunos servicios no pueden simplemente “apagarse”
41. ¿Una nueva función?
En los ‘90, IBM complementó el Nivel de Seguridad de Objeto con una suite de
Puntos de Salida, que son interrupciones temporales en un proceso del Sistema
Operativo, para invocar a programas de salida escritos por el usuario.
42. AUDITEN CONTROLEN
(ya que IBM i no lo hace) (ya que Seguridad de objeto es poco flexible)
La función de un Programa de Salida puede incluir cualquier cosa que el programador
codifique en él, ¡incluyendo actos no autorizados!
Por lo general, los oficiales de Seguridad quieren que los programas de salida de red:
¿Una nueva función?
43. ¿Una nueva función?
El programa de salida devuelve un indicador de aprobado/fallido a los puntos de
salida para indicar al SO si procesa o deniega la solicitud.
44. Cobertura de Puntos de Salida
Cobertura completa de
puntos de salida
Yes No
Uno o más puntos de
salida
Yes No
8%31%
Muchas organizaciones
desconocen esta
funcionalidad o
erróneamente creen que no
la necesitan.
46. What About IBM i
Definiendo un Usuario
Privilegiado…
Alguien con permisos especiales
Alguien con permisos privados
Un servidor con permisos públicos
permisivos
(¡la mayoría de ellos lo son!)
+
Una forma de ejecutar comandos o
acceder directamente a la base de datos
74. ¿Qué es *PUBLIC?
*PUBLIC es una referencia especial para
cualquier usuario que no tiene la autoridad
especial *ALLOBJ y no está nombrado
explícitamente.
82. Consejos Expertos en Seguridad [IBM i]
Asegure el
perímetro utilizando
Exit Programs
83. Consejos Expertos en Seguridad [IBM i]
Restrinja a los usuarios
el acceso a la
información de la base
de datos
84. Consejos Expertos en Seguridad [IBM i]
Limite el acceso al IFS y
escanee el sistema de
archivos con anti-virus
85. Consejos Expertos en Seguridad [IBM i]
Revise de los valores
del sistema
relacionados a
seguridad (e.g. QSECURITY)
86. Consejos Expertos en Seguridad [IBM i]
Endurezca las
políticas de acceso
de los usuarios
87. Consejos Expertos en Seguridad [IBM i]
Hay una creciente concienciación de la
necesidad de una Buena Seguridad
Aproveche este nuevo clima para garantizar la longevidad de su tecnología
Power y la integridad de sus datos
89. ¿Qué puede hacer?
1. Realice un Security Scan gratuito o complete una Evaluación de Riesgo.
2. Resuelva “cabos sueltos” como contraseñas por defecto o cuentas inactivas.
3. Revise las configuraciones de perfiles de usuario: reglas de contraseña, capacidades
limitadas (línea de comandos), permisos especiales, etc.
4. Ejecute pruebas de intrusión sobre FTP y ODBC para evaluar el riesgo de filtración de
datos.
5. Evalúe soluciones para automatizar la revisión de procesos y ayudar a mitigar el riesgo.
90. Evalúe su riesgo de violación
Evaluación de Riesgos
para IBM i
• Sin obligaciones
• ¡Rápido! (1 minuto aprox.)
• No intrusivo
• Incluye la revisión de un
experto
• Licencia de 7 días gratuita
• Sin coste
91. Información muy valiosa by Carol Woodbury
Aprenda:
Terminología de Seguridad
Qué es *PUBLIC en realidad
Valores del Sistema de Seguridad
Atributos de usuario
Y mucho más
La major referencia y recurso
impreso en Seguridad de IBM i
https://bit.ly/2HRvGqA
92. El Estado de la Seguridad de IBM i
• 17 años de una valiosa visión en
profundidad de la industria
• Miles de servidores IBM i revisados y
catalogados
¡Disponible desde hoy para su
descarga!
94. Estamos llegando al final…
En breve le enviaremos:
La grabación de este webinar
Más recursos útiles sobre Seguridad de IBM i:
[Estudio] El Estado de la Seguridad de IBM i
[Video] 5 mejoras prácticas para la Seguridad de IBM i
[Guía] Cuando un malware ataca a sus servidores IBM i, AIX y Linux
[Curso] Conviértase en un experto en Seguridad IBM i
Solicite su Security Scan Gratuito
¡Gracias por asistir a nuestro webinar!
95. Solicite su Security Scan - ¡gratuito!
>> Solicite un
Security Scan gratuito
de sus servidores IBM i, AIX y Linux
www.helpsystems.com/es/cta/security-scan-gratuito