Existen aplicaciones desarrolladas en el As/400 que crean su propio sistema de seguridad. Estas aplicaciones crean sus propias tablas de usuario, sus claves de acceso y, en base a su propia definición de usuario permiten o restringen el acceso a opciones de menú o incluso a opciones de actualización de data una vez ingresado el usuario dentro de la aplicación.
Si el usuario deja su pantalla abierta para tomarse un café retirándose de su puesto de trabajo, cualquier persona que haya tenido acceso a las tablas de la aplicación puede ingresar a la pantalla del usuario y alterar la información sin dejar rastro. Es decir, deja rastro en cuanto a que el usuario que dejó su pantalla abierta queda registrado en la base de datos de la aplicación pero en realidad se achaca a un usuario “inocente” la realización del cambio. Coloco “inocente” porque es responsabilidad del usuario bloquear el acceso a su equipo cada vez que abandona su puesto de trabajo.
El AS/400 tiene el siguiente comando CHKPWD. Este comando es muy valioso y puede sustituir la necesidad de desarrollar sistemas de seguridad en las aplicaciones. Cuando un usuario va a ingresar al sistema AS/400 lo hace con su usuario y clave asignados según el departamento de Seguridad de Datos de la empresa. Una vez dentro de una aplicación (Cuentas por cobrar, Facturación etc.). La aplicación puede solicitar a través de una pantalla que el usuario ingrese su clave de acceso al AS/400 para permitirle acceder o no a las opciones del menú de una aplicación.
Se declara el campo en pantalla tipo “password” y se monitorea el error que da el comando CHKPWD cuando la clave no es válida.
Por ejemplo:
CHKPWD PASSWORD(MAYDAY1)Este comando verifica si la clave del usuario actual es MAYDAY1.
Se monitorean los siguientes errores:
CPF2362
Password not correct. (Clave incorrecta)
CPF2363
Only 1 attempt left to check password. (Queda solo un intento para verificar clave)
CPF2364
Maximum number of attempts to check password reached. (Se alcanzó el máximo numero de intentos permitidos)
El comando CHKPWD permite verificar si la clave cargada en la pantalla de la aplicación corresponde a la clave del usuario en AS/400. Si no es así el comando arroja un error y, monitoreando este error, la aplicación puede detectar que el usuario que intenta acceder a la aplicación no es el mismo que ingresó inicialmente al As/400 con la seguridad que provee el sistema operativo del equipo. Puede enviarse un mensaje de alerta al realizar varios intentos no validos. En ese momento, monitorear el mensaje CPF2364 y enviar un mensaje automatizado al personal de seguridad de la información puede facilitar que se capture en el sitio al intruso que trata de ingresar al sistema.
Autor: Ing. Liliana Suárez.
Si te pareció interesante el artículo reenvíalo a un amigo, haciendo click en el sobrecito que está al final del artículo. El conocimiento es valioso, compártelo.
Si te pareció interesante el artículo reenvíalo a un amigo, haciendo click en el sobrecito que está al final del artículo. El conocimiento es valioso, compártelo.
No comments:
Post a Comment