Seguridad

Consejos para evaluar soluciones de seguridad para IBM i – AS400

Por: Juan Carlos Rodríguez

Contenido

Es un hecho que, a pesar de ser uno de los sistemas más estables y seguros del mercado, es necesario el uso de soluciones de terceros para atender y proteger al máximo la operación de nuestro IBM i.

De igual manera, y en cierta medida, es posible no recurrir a soluciones de terceros gracias a las robustas funciones nativas que el sistema ofrece para protegernos. Sin embargo, hacerlo por nuestra cuenta puede representar una inversión de tiempo y esfuerzo que probablemente no tenemos disponible.

Es por tal motivo que recurrir a soluciones de terceros se vuelve una necesidad para mantener nuestra operación segura. En este artículo nos enfocaremos en consejos clave que hemos detectado en nuestros clientes al momento de evaluar y elegir soluciones de seguridad.

Sin importar que sean soluciones de control de accesos, monitoreo, auditoría, cifrado, o gestión de permisos, estos consejos te resultarán útiles de forma general para elegir la solución (y también al proveedor/desarrollador) adecuado.

La decisión va más allá del precio

Está claro que un objetivo en común de todas las operaciones es lograr más con menos, es decir, gastar lo mínimo posible y obtener el máximo beneficio posible. Por lo tanto, al momento de evaluar alguna inversión en soluciones de seguridad, se suele dar más relevancia al factor precio por encima de lo demás.

Convirtiendo esta decisión en un una evaluación de una sola dimensión en la que la única respuesta a resolver es: ¿Quién me ofrece una solución que haga X al menor precio?

El mercado de soluciones de seguridad en IBM i es sin duda uno de los más competidos del ramo. Contamos con una gran variedad de desarrolladores/fabricantes que, a grandes rasgos, ofrecen soluciones que tienen los mismos objetivos. Algunos fabricantes pueden ser:

Sólo por dar algunos ejemplos. Estos fabricantes ofrecen soluciones de: cifrado, autenticación multi-factor (MFA), auditoría, monitoreo, gestión de permisos, y prácticamente todo lo que necesitas para blindar al IBM i.

Desafortunadamente, las soluciones de seguridad son complejas de comparar. Es prácticamente imposible hacer una comparación objetiva de cada una de ellas, y más aún cuando cada empresa cuenta con particularidades operativas. Por decir un ejemplo, para el caso de las soluciones de cifrado, no es lo mismo cifrar una BD de 10 millones de registros a una con 100 mil registros.

Esto es una realidad que muchos departamentos de compras no tienen claro. En más de una ocasión nos han pedido una cotización sólo para cumplir con el proceso de compras interno, en el que les piden al menos 3 cotizaciones de diferentes soluciones. Si bien se entiende la intensión del departamento de compras, hay que tener cuidado con estos procesos que, por querer ahorrar costos, se puede terminar tomando una mala decisión a largo plazo.

En los siguientes consejos, te daremos más fundamentos para poder tomar una decisión más objetiva sobre qué soluciones de seguridad adquirir y con quién te resultaría mejor llevar a cabo esa compra.

1. Evaluar la situación

¿Qué solución necesitamos? ¿Por qué la necesitamos? ¿Cuáles son nuestras opciones?

El primer paso para una buena evaluación de herramientas, es tener clara la situación en la que nos encontramos. Seamos honestos, nadie compra una solución de seguridad por gusto, se adquieren por una necesidad puntual que hay que atender.

Identificar esa necesidad que queremos atender es lo primero que debemos hacer en nuestro proceso de evaluación y elección de soluciones de seguridad. En primer lugar para tener claro qué solución necesitamos.

Seguridad reactiva

En un mundo ideal, las empresas y los administradores, deberían optar una postura proactiva respecto a los temas de seguridad. Es decir, no esperar que tengamos alguna exigencia de cumplimiento por alguna auditoría o regulación a cumplir para tomar cartas en el asunto y proteger nuestro IBM i. O en el peor de los casos, esperar a que suframos un ataque o robo de información.

Cuando adoptamos una postura reactiva, de no tomar ninguna decisión hasta que sea absolutamente necesaria, tenemos un panorama más complicado. En el que básicamente vamos contra reloj para elegir la solución adecuada, y cuando se va contra reloj caemos nuevamente en la cuestión del precio y esta vez sumaríamos el factor tiempo: ¿Quién me puede implementar X solución en menos tiempo?

La única “ventaja” de tener una postura reactiva es que sabremos exactamente qué solución necesitamos. Por ejemplo, si tenemos que cumplir con la normativa HIPAA (para las empresas en el sector salud), sabemos que necesitamos forzosamente control de accesos y monitoreo constante en nuestro IBM i -entre otros requisitos, por supuesto – Pero sabemos lo que necesitamos adquirir para cumplir.

Seguridad proactiva

No hay forma de adelantarse al 100% sobre los posibles requisitos que nos pidan las regulaciones o auditorías futuras, ni mucho menos predecir por dónde vamos a sufrir un ataque. Sin embargo, es posible adelantarnos un poco cuando tenemos un enfoque proactivo, ya que se trata de detectar y cubrir vulnerabilidades de seguridad de manera anticipada.

El paso por excelencia para comenzar a detectar vulnerabilidades, es hacer una evaluación (o assessment) de nuestro sistema. Estas evaluaciones nos ayudan a llegar a conclusiones concretas sobre qué tipo de soluciones necesitaríamos, o si realmente necesitamos alguna solución.

En estos reportes encontraremos datos relevantes como:

  • Comparación de valores de sistema vs valores recomendados
  • Contraseñas por defecto
  • Usuarios inactivos
  • Usuarios con altos privilegios
  • Seguridad en los puertos
  • Entre otro parámetros

Por lo general, los fabricantes ofrecen la posibilidad de llevar a cabo estos assessments sin la necesidad de comprar alguna solución. Puesto que su objetivo es justificar inversiones en soluciones de seguridad. A continuación te compartimos una lista de estos assessments por parte de 3 diferentes fabricantes:

Estos assessments no son intrusivos con la operación y se ejecutan en un tiempo relativamente corto. Y generarán reportes destallados con los que puedes llegar a conclusiones tangibles sobre el estado actual de seguridad de tu IBM i, que sin duda te ayudarán a decidir si necesitas invertir en alguna solución de seguridad y por qué.

Aquí te compartimos un reporte de seguridad de ejemplo para que puedas analizar el tipo de información que estarías obteniendo al ejecutarlo en tu sistema: Security Risk Assessment.

2. No pierdas de vista la operación del usuario final

Al elegir una solución de seguridad, es fundamental considerar cómo afectará la operación diaria del usuario final. Las mejores soluciones son aquellas que mantienen un equilibrio perfecto entre seguridad y operatividad.

Una solución que interfiera con la productividad o sea difícil de usar puede generar resistencia por parte de los usuarios, lo que a su vez podría comprometer la seguridad. Busca soluciones que ofrezcan una experiencia intuitiva y que se integren sin problemas en los flujos de trabajo existentes.

Por ejemplo, implementar una solución de autenticación multifactor (MFA) representa un cambio significativo en la forma en que los usuarios ingresan al sistema. Aunque la solución puede mantener seguros los accesos, si es complicada de utilizar, solo entorpecería la operación de los usuarios y reduciría su productividad.

Para evitar estos problemas, es ideal llevar a cabo pruebas de concepto (PoC) de las soluciones. Involucra a algunos usuarios reales que estén directamente afectados por la implementación para que prueben la solución y proporcionen sus comentarios sobre su uso. Este enfoque permite identificar y resolver problemas de usabilidad antes de una implementación a gran escala.

En ocasiones, cuando somos personas técnicas, nos enfocamos mucho en la funcionalidad de la herramienta y perdemos de vista que los usuarios finales son personas que necesitan realizar sus labores de la forma más eficiente posible. Considera siempre la perspectiva del usuario final para asegurar que la solución no solo sea segura, sino también práctica y fácil de usar.

Caso de ejemplo:

Imaginemos una empresa que implementa una solución de MFA que resulta ser compleja y poco intuitiva. Los usuarios comenzarían a experimentar retrasos al iniciar sesión y, en algunos casos, tendrían que solicitar ayuda al soporte técnico para poder acceder a sus cuentas.

Esto no solo disminuiría la productividad, sino que también generaría frustración entre los usuarios. Se perdería tiempo productivo tanto de los usuarios como del equipo técnico (encargado de dar soporte a los usuarios). Por un lado los usuarios no pierden tiempo al no poder ingresar al sistema, y por el otro el personal de soporte técnico perdería tiempo en tareas repetitivas que no suman valor a la operación

Recomendaciones:

  1. Realiza Pruebas de Concepto (PoC): Antes de implementar una solución de seguridad, realiza PoC con usuarios reales para evaluar la usabilidad y el impacto en la productividad.
  2. Involucra a los usuarios finales: Incluye a los usuarios finales en el proceso de selección y evaluación de soluciones para asegurarte de que sus necesidades y preocupaciones se aborden adecuadamente.
  3. Capacitación Adecuada: Proporciona capacitación suficiente y recursos de soporte para ayudar a los usuarios a adaptarse a nuevas soluciones de seguridad sin problemas.
  4. Revisa y Ajusta: Después de la implementación, recopila feedback continuo y realiza ajustes según sea necesario para optimizar tanto la seguridad como la operatividad.

Manteniendo estos puntos en mente, puedes asegurar que cualquier solución de seguridad implementada no solo proteja tu sistema, sino que también se adopte fácilmente por los usuarios, maximizando así su efectividad y minimizando interrupciones en la operación diaria.

3. Soporte del fabricante o partner

El soporte técnico es un factor crítico al seleccionar una solución de seguridad. Asegúrate de que el proveedor ofrezca un soporte robusto, tiempos de respuesta rápidos y personal capacitado. La calidad del soporte puede marcar la diferencia entre una implementación exitosa y una fallida.

Dependiendo del tamaño de la empresa y de la complejidad de la solución, los fabricantes pueden gestionar directamente las cuentas o delegar esta tarea a terceros (partners – como es en la mayoría de los casos).

Generalmente los servicios de soporte directo por parte de los fabricantes suelen tener costos más elevados a comparación de los de un partner.

Puesto que estas soluciones ya llevan varios años en el mercado, se han vuelto en soluciones sólidas y estables por lo que las fallas operativas no son tan comunes. Por lo que el soporte por mal funcionamiento realmente no se va a presentar con frecuencia.

Sin embargo, en donde hay que enfocarse, es en el conocimiento por parte del partner a través del cual estarías licenciando la solución. El conocimiento del partner sobre la herramienta va a ser clave para la implementación y capacitación de las solución.

La parte comercial siempre suena muy sencilla y maravillosa cuando se trata de echar flores a un producto. Pero el momento de la verdad es cuando los expertos y equipos de ingeniería se reúnen para hacer todas las preguntas técnicas.

Una forma de darte cuenta del conocimiento del partner es durante las juntas técnicas entre los equipos de ingeniería y la prueba de concepto. Busca que la gran mayoría de las respuestas sobre la solución tengan una respuesta concreta por parte del partner, evalúa bien aquellos casos en los que el partner necesita consultar con el fabricante para darte alguna respuesta.

Por otro lado, el partner tiene que entender a cierto nivel las particularidades de tu operación, y proponer configuraciones en la solución capaces de adaptarse en la medida de lo posible a tu operación.


Esperamos que estos 3 consejos te sirvan de ayuda en tu proceso de evaluación de soluciones de seguridad. Cabe mencionar que estos consejos están basados en experiencias de primera mano que hemos detectado a lo largo del tiempo como proveedores de soluciones de seguridad.

Por supuesto no hay verdades absolutas ni consejos que apliquen para todos, pero estamos seguros de que de alguna u otra forma esta información puede ayudarte a orientar tu decisión y que sea lo más objetiva posible.

Suscríbete al newsletter
¿Necesitas ayuda?
Únete a nuestro nuevo foro especializado en IBM i - AS400. Busca o haz consultas específicas en las que nuestro equipo de ingeniería y la comunidad podemos apoyarte.
Más de 35 años de experiencia en Sistemas IBM i (Anteriormente AS/400 - iSeries)
Síguenos en
Tecnologías de Innovación y Mejora S.A. de C.V.
Ciudad de México
México

Suscríbete a nuestro newsletter

Información relevante para los profesionales en IBM i
TIMWare © 2024. Todos los derechos reservados
¿Necesitas ayuda?

Únete a nuestro nuevo foro especializado en IBM i - AS400

Sé parte de esta nueva comunidad de profesionales, entusiastas y desarrolladores involucrados en el IBM i para discutir temas, resolver problemas y compartir conocimientos sobre esta poderosa plataforma.