top of page
banner (1845 × 374 px) (6).png

Encriptación de datos en los IBM i: Errores comunes que pueden poner en peligro su información


La encriptación de información confidencial en servidores IBM i puede aumentar significativamente el nivel de seguridad del sistema en su totalidad. Esto protege las operaciones de dos maneras: por un lado, impide el robo de información valiosa mediante ataques cibernéticos y, por otro lado, minimiza la exposición de la información a personas internas que podrían utilizarla de manera incorrecta. En última instancia, todas las PC y servidores conectados a la red representan posibles vulnerabilidades de seguridad.


La implementación de medidas de seguridad en IBM i es una pieza clave de su plan de seguridad de red. No obstante, hay numerosos detalles o "fallos" que pueden pasar desapercibidos al aplicar un esquema de protección de datos. En esta breve orientación, compartiremos con usted siete riesgos potenciales que debe considerar en su proyecto de seguridad de IBM i y cómo solucionarlos.




1.- Encriptación con APIs del IBM i o Terceros


La encriptación también puede presentar un riesgo operativo para los sistemas IBM i. Las tareas de encriptación y desencriptación deben ser eficientes para cumplir con las expectativas de calidad de servicio del usuario final. Desafortunadamente, los usuarios de IBM i que emplean la encriptación nativa del sistema corren el riesgo de que las bibliotecas ofrecidas en el sistema operativo no estén implementadas por los desarrolladores con un nivel adecuado de desempeño para garantizar un alto rendimiento en las aplicaciones RPG o RPGLE.


Es importante tener en cuenta que, al encriptar la información, se agrega una "capa adicional" para consultar o modificar la información, lo que significa un mayor trabajo para la CPU de su equipo IBM i y puede producir demoras en el proceso o consumir más memoria en IBM i.


Incluso con la encriptación en chip ofrecida por los servidores POWER8 en adelante, el desempeño de encriptación y desencriptación dependerá de una implementación adecuada y óptima al desarrollar y modificar las aplicaciones nativas desarrolladas en RPG, RPGLE, etc.





2.- Encriptación de indices de BD por motivos de seguridad.


Si ya está familiarizado con FieldProc de IBM i, sabrá que es una característica de cifrado automatizado que opera a nivel de la base de datos DB2. Sin embargo, muchos clientes se sorprenden al descubrir que sus aplicaciones RPG no se integran perfectamente con Db2 FieldProc si sus índices con campos clave están cifrados. En las aplicaciones RPG, RPGLE, etc., es común utilizar campos como números de tarjeta de crédito, números de cuenta, números de identificación, etc. como índices, lo que representa un gran problema al aplicar la encriptación.


Los clientes de IBM i se sienten atraídos por FieldProc porque no requiere ningún cambio en sus aplicaciones. Sin embargo, los índices cifrados son fácilmente manejados mediante aplicaciones SQL nativas, pero las aplicaciones RPG no utilizan el motor de consulta SQL nativo (SQE) y no son compatibles con los índices cifrados. Para la mayoría de los clientes de IBM i que utilizan únicamente RPG o tienen una combinación de aplicaciones RPG y SQL, los índices cifrados representan un obstáculo importante para los proyectos de cifrado con tecnología FieldProc.



¿De qué manera puede ayudar Exsystem?


Como expertos en seguridad de servidores IBM i, en Exsystem ofrecemos soluciones de tokenización para RPG y SQL que pueden ayudar a resolver el desafío de los índices cifrados. Nuestras soluciones permiten una simple modificación de una sola línea de código para que su aplicación RPG pueda aprovechar el motor de consulta SQL nativo, lo que elimina la necesidad de modificar los índices cifrados que pueden haber sido afectados por el cifrado FieldProc.


Sin embargo, antes de implementar una solución de criptografía en su sistema, es importante realizar un análisis detallado de sus bases de datos y aplicaciones. En Exsystem, ofrecemos servicios de consultoría que pueden ayudarlo a determinar si es viable implementar una solución de criptografía o si otras opciones, como la tokenización de datos de menor riesgo y menor impacto de implementación, son más adecuadas para sus necesidades de seguridad.


3.- Protección contra amenazas internas a través del cifrado


La información confidencial puede verse comprometida por el acceso o la pérdida de información privilegiada, tanto intencional como no intencional.


La seguridad de sus datos es especialmente vulnerable a la pérdida inadvertida de datos causada por personas internas. Las filtraciones de datos pueden ocurrir debido a la copia involuntaria de datos a una PC o entorno de desarrollo. Esto es especialmente cierto cuando la seguridad a nivel de objeto de IBM i es el único medio de controlar el acceso a datos confidenciales. Tales incidentes pueden informarse como eventos de violación de datos.


La seguridad a nivel de objeto nativa de IBM i no es suficiente para salvaguardar los datos confidenciales. Es importante adoptar un enfoque de "lista blanca" para regular el acceso a la información, especialmente para evitar incursiones intencionales o no intencionales por parte de los administradores de seguridad.


El perfil de seguridad QSECOFR no solo tiene acceso sin restricciones a datos críticos, sino que todos los usuarios con la autorización All Object (*ALLOBJ), o aquellos que la adquieran a través de un perfil de grupo o un grupo adicional, son susceptibles a la exposición no autorizada o accidental de información confidencial.


¿De qué manera puede ayudar Exsystem?



Como expertos en seguridad de servidores IBM i, en Exsystem ofrecemos herramientas muy útiles para garantizar la seguridad de los datos confidenciales en la plataforma IBM i.


Ofrecemos soluciones como IPSecurity y DataMasking que utilizan una lista blanca para controlar el acceso a los datos confidenciales que puedan ser accedidos por distintos medios como ODBC, STRSQL, etc.


Con IPSecurity de Exsystem, es posible monitorear en tiempo real cualquier modificación a los datos confidenciales, lo que permite detectar y responder rápidamente a cualquier actividad sospechosa. Además, IPSecurity registra meticulosamente cualquier cambio en la configuración de la política de seguridad, lo que ayuda a garantizar una gestión más eficaz de la seguridad.


Por otro lado, DataMasking de Exsystem es una solución que permite reemplazar todos los datos sensibles por datos ficticios en entornos o ambientes de desarrollo. Esto significa que los desarrolladores pueden trabajar con datos ficticios que no comprometen la privacidad de los datos reales.

4.- El enmascaramiento de datos


El enmascaramiento de datos es una técnica utilizada para ocultar información confidencial, como datos de tarjetas de crédito, identificación personal, durante el procesamiento o la transmisión para garantizar la privacidad de los datos y evitar el acceso no autorizado.


Para cumplir con el estándar de seguridad de datos PCI (PCI-DSS) y las mejores prácticas de seguridad, solo los usuarios autorizados deben tener acceso a los datos confidenciales. Sin embargo, otros usuarios necesitan acceder a las aplicaciones de la base de datos. Para lograr un equilibrio entre los dos, se debe incorporar el enmascaramiento inteligente de datos en las aplicaciones de IBM i.


Para garantizar la eficacia del enmascaramiento de datos, se recomienda encarecidamente adoptar un enfoque de lista blanca en lugar de confiar únicamente en la autoridad a nivel de base de datos o de objeto. Es importante tener la flexibilidad para crear reglas de enmascaramiento, como revelar solo los últimos cuatro caracteres e implementar una regla de enmascaramiento predeterminada que se aplique a todos los usuarios no aprobados.


¿De qué manera Exsystem puede brindar asistencia?


DataMasking de Exsystem es una solución que permite reemplazar todos los datos sensibles por datos ficticios en entornos o ambientes de desarrollo. Esto significa que los desarrolladores pueden trabajar con datos ficticios que no comprometen la privacidad de los datos reales.


5.- Gestión de claves de cifrado almacenadas localmente


El almacenamiento de claves de cifrado junto con datos confidenciales en el mismo sistema es una estrategia de cifrado extremadamente peligrosa. Los sistemas IBM i no son una excepción, y esta práctica debe evitarse estrictamente bajo cualquier circunstancia.


De acuerdo con las mejores prácticas de seguridad y las pautas de cumplimiento normativo, las claves de cifrado deben guardarse en un almacén de claves de cifrado especializado, separado del servidor IBM i. En el mundo de la ciberseguridad, la protección de los datos confidenciales es crucial.

Uno de los métodos más efectivos para asegurar la integridad de la información es mediante el uso de un depósito seguro de claves de encriptación, diseñado específicamente para tal fin. Esto es considerado una práctica de seguridad de primera categoría porque los delincuentes cibernéticos a menudo tratan de obtener privilegios en servidores IBM i para poder acceder a claves almacenadas localmente en archivos locales o de manera poco segura. Por tanto, guardar las claves de encriptación fuera de este servidor reduce significativamente la vulnerabilidad de los datos sensibles.



Otra opción muy segura es utilizar las llamadas tarjetas criptográficas que pueden ser incorporadas en el servidor IBM i y gestionar estas claves con este tipo de hardware. Sin embargo, esto requiere habilidades de programación de alto nivel para su implementación.







¿Cómo puede ayudar Exsystem con el gestor de claves AKM ?


Nuestros desarrollos se integran de forma muy eficaz a la solución que distribuimos llamada AKM TS, para ofrecer las mejores prácticas de administración de claves. AKM es capaz de almacenar claves de encriptación en diferentes ubicaciones, tales como VMware, servicios de nube como AWS, Azure, IBM Cloud, o incluso en un módulo de seguridad de hardware tradicional (HSM) dentro de su centro de datos, o en la nube como un HSM. Esta solución es efectiva para solucionar el problema de gestión de claves.


6.- Asegurando la disponibilidad y la redundancia de las llaves


La gestión de las llaves de cifrado es fundamental en la infraestructura y proyectos de cifrado. La pérdida de una llave de cifrado puede significar la pérdida de sus datos confidenciales. Por lo tanto, su solución de gestión de llaves de cifrado debe implementar la duplicación de llaves y de políticas de seguridad en tiempo real. En caso de una falla del hardware o de la red, el cambio a un servidor de llaves de respaldo debe ser automático y sin interrupciones en el negocio.


¿Cómo pueden ayudar Exsystem?



Como expertos en ciberseguridad de servidores IBM i, podemos decir que es esencial tener una estrategia de gestión de claves sólida para garantizar la protección de los datos confidenciales. Con Exsystem, es posible evaluar el uso de AKM o el uso de una tarjeta criptográfica en un IBM i, lo que permite una gestión más eficaz de las claves de cifrado.


Además, con el servicio de consultoría de Exsystem, es posible implementar la duplicación de llaves en tiempo real en uno o más servidores de llaves de respaldo. Esto significa que los cambios realizados en las llaves o políticas de acceso en el servidor secundario se reflejarán en el servidor principal cuando vuelva a estar en línea, de forma bidireccional.


Esto es especialmente importante en entornos de alta disponibilidad donde la interrupción del servicio puede tener graves consecuencias. Al contar con una estrategia sólida de gestión de claves y un servicio de consultoría confiable como el que ofrece Exsystem, es posible garantizar la protección de los datos confidenciales en todo momento y minimizar el riesgo de interrupción del servicio debido a problemas de gestión de claves.


7.- Auditoría del sistema de registro


Ninguna política o solución de seguridad es efectiva por sí sola, incluyendo el cifrado y la gestión de llaves. Una buena estrategia de gestión de llaves y cifrado implica monitorear todo el acceso a los datos sensibles, supervisar los cambios en la configuración de la gestión de llaves y el cifrado, supervisar todo el uso de llaves de cifrado y almacenar registros de auditoría para futuras referencias.



Se recomienda el uso de soluciones de gestión de eventos e información de seguridad (SIEM) como parte de la estrategia de monitoreo y alerta. Es importante garantizar que todo el acceso a las llaves de cifrado esté completamente auditado y registrado.


¿Cómo pueden ayudar Agente SIEM de IPSecurity?


El módulo SIEM de IPsecurity registra completamente todas las operaciones administrativas y las tareas de descifrado en el Journal de auditoría de seguridad del IBM i (QAUDJRN) y se envía a su solución SIEM.


Conclusión

En resumen, la seguridad de los servidores IBM i es fundamental para garantizar la integridad de la información confidencial de las empresas. Con las soluciones de Exsystem, es posible proteger los datos mediante la encriptación de campos, el enmascaramiento de datos y la auditoría de acceso.


Sin embargo, cada empresa tiene sus propias necesidades y desafíos en cuanto a la protección de datos, por lo que la implementación de estas medidas debe ser cuidadosamente evaluada. Para ayudar a los clientes en este proceso, Exsystem ofrece un servicio de consultoría que incluye una evaluación detallada de las bases de datos, identificación de los campos sensibles y recomendaciones personalizadas para la protección de datos de acuerdo con las regulaciones internacionales como PCI-DSS.


Si está interesado en proteger sus datos y cumplir con las regulaciones internacionales, lo invitamos a llenar nuestro formulario de contacto haciendo click aquí o enviando un correo electrónico a contact@exsystemusa.com para agendar una reunión Zoom con uno de nuestros expertos en seguridad de IBM i. ¡Estamos aquí para ayudarle!

Contactanos

Con nuestra consultoría, el cliente recibirá un informe detallado con los resultados de la evaluación y recomendaciones específicas para su empresa. Además, también ofrecemos un servicio de evaluación de seguridad del IBM i para identificar puntos vulnerables y proporcionar remedidiaciones para optimizar la protección de datos.


En conclusión, Exsystem está comprometido en ayudar a sus clientes a proteger sus datos confidenciales de la mejor manera posible y garantizar su cumplimiento con las regulaciones internacionales. Con nuestra solución IPSecurity y nuestros servicios de consultoría, los clientes pueden estar seguros de que su información está segura y protegida.



Entradas destacadas