Las mejores prácticas para informes de auditoría y cumplimiento en sistemas IBM i

Las mejores prácticas para informes de auditoría y cumplimiento en sistemas IBM i

Las mejores prácticas para informes de auditoría y cumplimiento en sistemas IBM i

Sarbanes-Oxley, HIPAA, PCI y GLBA han puesto un mayor énfasis en la necesidad de proteger adecuadamente los datos críticos almacenados en los sistemas de TI.

Las empresas de todo el mundo están implementando un conjunto más estricto de controles sobre la configuración y el uso de sus aplicaciones y servidores comerciales críticos. Muchas empresas han adoptado normativas como ISO17799 (27002) y COBIT para guiarse en la definición e implementación de sus políticas de seguridad. Para las empresas públicas en los Estados Unidos, la sección 404 de Sarbanes-Oxley requiere que la administración certifique la validez de sus resultados financieros trimestralmente. Para asegurar este requisito, los grupos de TI están ejecutando informes de auditoría contra sus sistemas financieros críticos trimestralmente o incluso con mayor frecuencia.

Los sistemas Power Systems que ejecutan IBM i albergan datos críticos de negocio en empresas de una amplia gama de industrias, incluidas la venta minorista, la banca, la fabricación y la distribución. En la actualidad, más de 16.000 bancos ejecutan aplicaciones bancarias y financieras centrales en IBM i. Algunos de los proveedores de software más conocidos que ofrecen aplicaciones para IBM i son: Oracle (JD Edwards ERP); Infor Lawson (Finanzas); Jack Henry (Core Banking); y Manhattan Associates (Cadena de suministro). Dados los datos de misión crítica que se guardan en el sistema, es esencial vigilar de cerca el sistema con un riguroso programa de informes de auditoría.

Definir una política de seguridad es el primer paso en cualquier programa de cumplimiento, pero una vez definida, no se puede dejar que la política acumule polvo en una estantería. Debe implementarse para todos los componentes críticos de la infraestructura de TI, incluidos los Power Systems que ejecutan IBM i. Un sistema no solo debe configurarse de forma segura; los auditores también exigen que se demuestre periódicamente que el sistema cumple con las normas. Los informes de auditoría periódicos que comparan la configuración del sistema con la política son esenciales. Muchas regulaciones también exigen una revisión específica de los datos de registro. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), por ejemplo, requiere específicamente que los registros de los componentes críticos del sistema se revisen diariamente y se mantengan en línea durante tres meses.

Es esencial que cualquier programa de auditoría para IBM i cubra tanto los datos de configuración como el análisis de archivos de registro. En IBM i, los datos de configuración consisten principalmente en información sobre valores del sistema, perfiles de usuario y autorizaciones de objetos. La actividad de las transacciones se registra en un diario seguro (pero difícil de interpretar) llamado diario de auditoría de seguridad (QAUDJRN). Esta guía analiza los desafíos de la auditoría y la generación de informes en IBM i en la actualidad, los diversos elementos de auditoría que deben revisarse periódicamente para IBM i, y explica por qué Powertech es preferible a una solución desarrollada internamente.

Desarrollar vs. Comprar

Los auditores pueden cuestionar la fiabilidad de los informes que genera el personal de programación interno. ¿Se puede confiar en que el personal de TI redacte programas y consultas que generen informes sobre su propia actividad? Los auditores exigen una verificación independiente. La solución de informes de auditoría óptima para IBM i es un software comercial robusto que ha sido:

  • Desarrollado por expertos enfocados exclusivamente en problemas y exposiciones específicas de IBM i
  • Sometido a rigurosas pruebas de control de calidad
  • Bloqueado por rigurosos procedimientos de control de cambios
  • Probado por una implementación exitosa en cientos de sitios en todo el mundo
  • Mantenido siempre actualizado con las últimas actualizaciones de sistema operativo y nuevas versiones

Las herramientas de auditoría y generación de informes pueden generar importantes ahorros de costos en comparación con las soluciones desarrolladas internamente.

Valores del Sistema

Dado que hay cientos de valores del sistema en IBM i, revisarlos suele ser una experiencia desconcertante y que requiere mucho tiempo. Son variables de configuración similares a las variables de entorno en Unix o Windows. Se pueden dividir en dos categorías:

  • Configuración de seguridad, incluidos elementos para la configuración de contraseñas, controles de auditoría, guardar y restaurar configuraciones.
  • Valores operativos que controlan los aspectos de configuración del sistema, como el ajuste de rendimiento, los ajustes de encendido, los controles regionales y de tiempo del sistema.

Algunos valores del sistema controlan configuraciones relativamente insignificantes, pero otros controlan propiedades fundamentales de los sistemas. QSECURITY, por ejemplo, establece el nivel de seguridad general del sistema. IBM ha declarado que cualquier valor de QSECURITY inferior a 40 no es seguro. 

IBM recomienda cambiar los valores predeterminados para configurar un sistema de forma segura. Powertech proporciona una política de código abierto que recomienda la configuración adecuada. Todos los valores del sistema deben verificarse periódicamente para garantizar que cumplen con la política corporativa. Los administradores deben investigar cualquier excepción a la política y corregir el valor; alternativamente, deben preparar una declaración para los auditores que documente las razones para aceptar el riesgo.

Powertech Compliance Monitor para IBM i puede simplificar enormemente la revisión de los valores del sistema consolidando todos los informes en uno solo. Los valores de diferentes sistemas se pueden mostrar uno al lado del otro para facilitar las comparaciones. Los informes pueden mostrar todos los valores o solo las excepciones a la política. El producto se envía con una política predeterminada, que representa las mejores prácticas definidas en la política de código abierto. Los usuarios pueden editar fácilmente esta política para que coincida con su política corporativa específica e incluso pueden establecer diferentes políticas para diferentes sistemas.

Perfiles de usuario

Hay más de 50 atributos o parámetros que definen una identidad de usuario en un perfil de usuario de IBM i. Autoridades especiales, capacidades limitadas de línea de mandatos y menú inicial / programa inicial son algunos de los parámetros más comunes que se asignan a los perfiles. La forma en que se configura un perfil determina el nivel de acceso que tendrá una persona a los datos críticos. El cumplimiento de SarbanesOxley requiere controles rigurosos sobre la creación, eliminación y mantenimiento de las cuentas de usuario. Los perfiles de usuario deben revisarse periódicamente en los siguientes casos:

  • Usuarios con autorizaciones especiales
  • Usuarios con acceso a la línea de mandatos
  • Perfiles inactivos que no se han utilizado en los últimos 60 días
  • Perfiles con contraseñas predeterminadas (igual que el nombre de usuario)
  • Usuarios con configuraciones de contraseña no estándar o contraseñas débiles
  • Usuarios con un número sospechosamente alto de intentos de inicio de sesión no válidos
  • Menú y programa inicial

Muchas empresas comprueban la información de un perfil simplemente enviando la salida del mandato mostrar perfil de usuario (DSPUSRPRF) a un archivo de base de datos, pero esto es inadecuado por muchas razones.

  1. Los perfiles con una contraseña predeterminada son una exposición común en IBM i. Esta información no se incluye en la pantalla DSPUSRPRF y debe comprobarse por separado
  2. La información de inactividad que se muestra con el mandato DSPUSRPRF puede ser engañosa, ya que solo indica la última vez que se usó el perfil para iniciar sesión a través de una sesión telnet interactiva. No muestra si el perfil se utilizó recientemente para iniciar sesión a través de una interfaz de red como FTP.
  3.  El mandato DSPUSRPRF puede ser engañoso cuando muestra autorizaciones especiales porque no indica si el perfil heredará la autoridad de la pertenencia a un grupo. Autorizaciones especiales como * ALLOBJ proporcionan un poderoso conjunto de capacidades de administrador en el sistema. Es vital comprobar de forma periódica que estos solo se apliquen a aquellos perfiles que realmente los necesiten. Los programadores no deben tener autorizaciones especiales en los perfiles cotidianos de los sistemas de producción. No es suficiente verificar el perfil usando DSPUSRPRF; también debe verificar cada grupo al que pertenece el usuario. Este puede ser un proceso tedioso y laborioso cuando se realiza manualmente.
  4. Otra información que debe comprobarse incluye cuándo y quién creó el perfil. Esto se encuentra en otra parte de la información de autorización del objeto específico y no se obtiene mediante el mandato DSPUSRPRF.

Compliance Monitor recopila, de diferentes áreas del SO de múltiples sistemas, toda la información de perfil de usuario necesaria y la pone a disposición en un solo informe. Indica si el perfil ha heredado alguna autorización de la pertenencia al grupo. Hay más de 15 informes predefinidos sobre perfiles de usuario, pero los usuarios pueden personalizar y crear fácilmente sus propios informes haciendo sus propios filtros o ajustando las columnas y campos. Los usuarios también pueden filtrar y excluir aquellos perfiles que son aceptables según la política (perfiles de usuario del sistema IBM, por ejemplo). Los cuadros de mando gráficos proporcionan una vista rápida a nivel de gestión de si el sistema cumple o no.

Archivos de registro

Una de las poderosas características de IBM i es la capacidad de registrar muchos eventos en un diario de auditoría seguro. Este diario, QAUDJRN, es a prueba de manipulaciones: una vez que se registra un evento en el diario, no se puede modificar. Sin embargo, muchas personas no utilizan dicha capacidad porque no están seguras de cómo configurarla para recopilar eventos de importancia de forma selectiva. La auditoría se puede configurar por tipo de evento, objeto y perfil de usuario. El diario de auditoría puede consumir enormes cantidades de espacio en disco y los datos registrados son difíciles de leer e interpretar.

Hay más de 70 tipos diferentes de eventos y transacciones de seguridad que el sistema operativo puede registrar en el diario. Muchos proveedores, incluido Powertech, también han aprovechado la naturaleza segura del diario de auditoría para registrar sus propias transacciones.

Algunas de las actividades más comunes que se pueden obtener de QAUDJRN incluyen:

  • Intentos de inicio de sesión no válidos
  • Uso de mandatos por usuarios específicos
  • Creación, movimiento, restauración y borrado de objetos
  • Cambios en los valores del sistema y los perfiles de usuario
  • Fallos de autorizaciones
  • Detalles de transacciones de red FTP y ODBC
  • Cambio de perfil de usuario

Se requieren tres pasos para iniciar la auditoría de seguridad en IBM i:

  1. Iniciar la auditoría de seguridad con el mandato cambiar auditoría de seguridad (CHGSECAUD). Configurar la auditoría para los valores más importantes (QAUDLVL).
  2. Iniciar la auditoría de archivos sensibles y críticos mediante el mandato de auditoría de cambio de objeto (CHGOBJAUD).
  3. Iniciar la auditoría para usuarios poderosos o privilegiados mediante el mandato de auditoría de cambio de usuario (CHGUSRAUD).

El libro blanco de Powertech Security Auditing In The Real World proporciona una guía detallada para configurar y ajustar los controles de auditoría en IBM i y explica los ajustes apropiados para estos parámetros. La Tabla 2 indica los valores de QAUDLVL utilizados para auditar algunos tipos de eventos comunes.

A veces, incluso puede haber datos binarios en un evento que requiere una API para leer los detalles completos. Incluso si puede averiguar los parámetros correctos en el mandato DSPJRN para ver eventos de interés, es bastante difícil leer y comprender los eventos que se muestran.

Cualquier solución de informes y auditoría eficaz para IBM i debe analizar y explicar cada evento para facilitar el filtrado y la búsqueda de actividades críticas. Debería ser posible profundizar en los detalles e identificar fácilmente la actividad mediante perfiles de usuarios privilegiados o la actividad que afecta a los archivos de base de datos más confidenciales.

Compliance Monitor analiza los detalles completos para los 74 eventos relacionados con la seguridad (Tipo T) que el sistema operativo escribe en el diario de auditoría. Los usuarios pueden buscar y ordenar rápidamente los registros de la actividad del objeto afectado.

Compliance Monitor facilita la respuesta a preguntas como:

  • ¿Qué archivos de las bibliotecas críticas se han modificado y quién los ha cambiado?
  • ¿Qué mandatos ejecutaron ayer los usuarios privilegiados desde la línea de mandatos?
  • ¿Qué perfiles de usuario se cambiaron y quién los cambió?
  • ¿Cuántas fallas de inicio de sesión ha habido?

Compliance Monitor también analiza y combina las entradas complejas de los diarios de auditoría de IBM i para proporcionar un mensaje simple que explica el evento. Por ejemplo:

  • "El valor del sistema QPWDMINLEN se cambió de 6 a 5"
  • "Se ingresó una contraseña no válida para el perfil de usuario JOHN"
  • "Se permitió una transacción de SQL Server para el usuario QSECOFR"
  • "Se produjo un cambio de objeto en la biblioteca QSYS / PTNSLIB"
  • "El perfil de usuario TOML se ha cambiado mediante el mandato CHGUSRPRF"

Ahorro de espacio en disco

El diario de auditoría puede consumir diariamente más de cinco gigabytes de espacio en disco en los sistemas de producción. A menudo, los usuarios de software de alta disponibilidad deben registrar todas las transacciones relacionadas con objetos. Muchos de estos eventos pueden no ser relevantes para temas de seguridad, pero el sistema operativo registra todo en el mismo diario.

A menudo, debido al tamaño del informe diario, las empresas solo pueden permitirse mantener una o dos semanas de datos en línea antes de guardar copias en cinta. Este es un problema para cumplir con PCI, ya que requiere que los registros se mantengan en línea durante tres meses. Compliance Monitor copia los eventos del diario de auditoría de seguridad a un servidor central donde se comprimen hasta en un 95%. La alta tasa de compresión permite almacenar muchos meses de datos en línea. Compliance Monitor también proporciona un filtrado adicional de eventos antes de que pasen de los sistemas individuales al servidor de consolidación central. Esta función también ayuda a reducir la cantidad de espacio en disco que consumen los datos de registro.

Integración con soluciones de gestión de eventos e información de seguridad (SIEM)

A medida que las empresas amplían su enfoque de la seguridad perimetral a las amenazas internas y el cumplimiento normativo, ha surgido una nueva categoría de aplicación de seguridad, la Gestión de eventos e información de seguridad (SIEM). Empresas como ArcSight, OpenService, Symantec, LogRhythm y Novell han creado potentes aplicaciones que recopilan eventos de seguridad de muchas fuentes y correlacionan y agregan los eventos para producir una vista única en tiempo real de los problemas de seguridad. Dado que IBM i ejecuta aplicaciones críticas para el negocio, debe monitorearse con la misma diligencia que cualquier otra plataforma, y sus registros también deben integrarse en tiempo real con las soluciones SIEM. Normalmente, los operadores de seguridad que supervisan los sistemas SIEM no suelen dominar la terminología de IBM i, por lo que es importante que cualquier solución SIEM analice el evento en un formato de fácil comprensión.

Otro producto de Powertech, Powertech SIEM Agent para IBM i, lee los mismos eventos del diario de auditoría que Compliance Monitor y los exporta a syslog. Syslog, que originalmente era un estándar Unix, ahora lo utilizan una amplia variedad de dispositivos y aplicaciones. La mayoría de los sistemas SIEM pueden leer datos de syslog y, a menudo, se utilizan para proporcionar una consolidación de datos de registro de muchas fuentes diferentes. Powertech SIEM Agent proporciona el beneficio adicional de filtrar eventos por usuario, dirección IP, día y hora antes de enviarlos al servidor syslog. Los administradores pueden aplicar en el servidor controles más detallados que los disponibles con la configuración de auditoría del sistema operativo, lo que reduce el volumen de información enviada a la consola remota.

Configuración y monitorización de redes

A lo largo de los años, IBM ha ampliado el poder del IBM i agregando herramientas que permiten acceder a los datos de IBM i desde otras plataformas, incluidos los PC. Servicios conocidos como FTP, ODBC, JDBC y DDM están activos y listos para entregar datos a través de la red tan pronto como se enciende la máquina. Cualquier usuario que tenga un perfil en el sistema y autoridad sobre los objetos tiene los medios para acceder a datos corporativos críticos. IBM ha proporcionado un medio para mitigar esta exposición mediante la creación de exit points o programas de salida en los servicios de red. Un programa de salida se puede utilizar para monitorizar y controlar el acceso a través de ese servicio.

Los usuarios pueden descargar o manipular datos solo si tienen la autoridad requerida sobre los objetos; sin embargo, los estudios han demostrado que la autoridad a nivel de objetos está mal implementada en la mayoría de los sistemas. Un programa de auditoría eficaz para IBM i debería comprobar el estado de los servicios de red comunes para ver si hay programas de salida registrados para supervisar y controlar el tráfico.

Compliance Monitor tiene la capacidad de informar sobre los parámetros de configuración de la red y si hay programas de salida registrados. Pero eso es solo la mitad de la batalla. Los administradores también deben poder monitorear el tráfico a través de los programas de salida. Cuando se utilizan programas de salida de Powertech Exit Point Manager para IBM i, Compliance Monitor puede informar sobre todas las transacciones detalladas a través de los servidores que se registran en el diario de auditoría.

Autorización de objetos

Uno de los beneficios del IBM i es la integración de la base de datos con el sistema operativo. Esto ayuda a simplificar enormemente la gestión del sistema. Pero existen implicaciones de seguridad: cada usuario que tiene un perfil con acceso al sistema operativo también tiene acceso a los archivos de la base de datos.

Los archivos en sí pueden protegerse mediante el uso de autorizaciones de objetos específicas:

  • * ALL (derechos para leer, cambiar y eliminar todos los datos; todos los derechos sobre el objeto en sí)
  • * CHANGE (derechos para leer los datos)
  • * USE (derechos para leer, cambiar y eliminar los datos)
  • * EXCLUDE (sin derechos sobre los datos o sobre el objeto)

Según el estudio de seguridad más reciente sobre el estado del IBM i, la mayoría de las autorizaciones no se han configurado de forma segura. Todos los (* PUBLIC) a menudo tienen acceso completo para cambios a todos los objetos del sistema. El valor predeterminado para los objetos recién creados en el sistema operativo es que todos los (* PUBLIC) deben recibir acceso para cambios (* CHANGE). Es alarmante que los administradores a menudo no encuentren el tiempo para cambiar los valores predeterminados de sus aplicaciones e implementar esquemas de autorización de objetos efectivos.

Compliance Monitor proporciona la capacidad de verificar el esquema de autorizaciones de objetos para las bibliotecas de producción. El acceso debe estar restringido solo a aquellos usuarios que tengan una necesidad demostrada. El acceso público debe establecerse en * EXCLUIR y el acceso individual debe otorgarse solo cuando exista una necesidad de negocio adecuada.

Conclusión

Una herramienta de auditoría integral para su IBM i debe cubrir muchas áreas diferentes:

  • Valores del sistema
  • Perfiles de usuario
  • Datos del archivo de registro
  • Configuración de red y transacciones
  • Autorizaciones de objetos

Compliance Monitor proporciona todo esto en una interfaz intuitiva basada en navegador. Una vista de cuadrícula interactiva hace que sea fácil de manipular y profundizar en los detalles de los datos sobre la marcha. Los informes se pueden guardar en formato PDF o exportar a Microsoft Excel y CSV. Una característica distintiva de Compliance Monitor es su capacidad para personalizar y guardar definiciones de informes modificadas para un entorno específico.

La potente funcionalidad de generación de informes batch permite que estos se ejecuten durante las horas de menor actividad, con los resultados de la evaluación distribuidos a través de correo electrónico seguro o depositados en el IFS para el acceso o compartición con dispositivos.

Compliance Monitor incluye un conjunto recomendado de informes de auditoría para el cumplimiento de Sarbanes-Oxley, PCI y MICS (para la industria del juego). En todo el producto hay enlaces a una guía de cumplimiento que remite los conceptos de IBM i a las normativas y estándares.

 

Este artículo es una traducción adaptada del artículo original de HelpSystems escrito por Robin Tatam

 

2020 IBM i Security Tour