quarta-feira, 2 de setembro de 2009

🧩 SMP/E + RACF na prática

 

Bellacosa Mainframe apresenta IBM SMP/E

🧩 SMP/E + RACF na prática

Onde manutenção encontra segurança (e o auditor sorri)

“Não adianta proteger usuário se qualquer um pode mudar o sistema.”

🧠 Por que SMP/E precisa de RACF?

SMP/E controla o código do z/OS.
RACF controla quem pode tocar nesse código.

👉 Separados, são fortes.
👉 Juntos, são governança.

🔐 O que exatamente deve ser protegido?

🎯 Alvos críticos

  • CSI (Consolidated Software Inventory)

  • SMP/E libraries

  • Datasets TARGET e DLIB

  • JCL de manutenção

  • Procedimentos de APPLY/ACCEPT

📌 Quem altera isso altera o sistema inteiro.

🧩 Princípio da menor permissão

Não existe:

“Acesso total para facilitar.”

Existe:

  • Acesso mínimo

  • Temporário

  • Auditável

🧾 Protegendo o CSI

Recomendação clássica

  • DATASET profile no RACF

  • UACC=NONE

  • ALTER só para sysprog autorizado

  • READ para auditoria

📌 CSI é prova histórica.

🛡️ Protegendo bibliotecas SMP/E

  • SMPTLIB

  • SMPMTS

  • SMPPTS

  • SMPSCDS

👉 Controle separado de produção e teste.

💡 Dica Bellacosa:

“Quem pode escrever no SMPMTS pode quebrar o sistema.”

👥 Segregação de funções (SOX friendly)

FunçãoPermissão
SysprogAPPLY
Change MgmtAprovar
AuditorREAD
OperaçãoExecutar JCL controlado

📌 Uma pessoa não deve fazer tudo.

🔎 Auditoria e rastreabilidade

Auditor pergunta:

  • Quem aplicou?

  • Quando?

  • O quê?

  • Por quê?

👉 SMP/E responde
👉 RACF confirma

🧪 APPLY CHECK como controle

  • APPLY CHECK obrigatório

  • Output guardado

  • Assinatura de mudança

💡 Dica Bellacosa:

“APPLY CHECK é evidência de controle.”

🚨 Cenário de risco real

Sysprog com ALTER irrestrito
USERMOD sem controle
ACCEPT em produção
Auditor encontra

📌 Resultado:

  • Não conformidade

  • Risco operacional

  • Stress garantido

🛠️ Boas práticas recomendadas

✔ Perfis RACF específicos
✔ Logging ativo
✔ Revisão periódica
✔ Separação TEST/PROD
✔ Documentação SMP/E

🧠 Curiosidades Bellacosa

  • Auditor confia mais no CSI do que em planilha

  • RACF mal configurado invalida SMP/E

  • Segurança começa no dataset

🧾 Comentário final – SMP/E + RACF

RACF protege acesso.
SMP/E protege integridade.
Juntos, protegem o negócio.

🧩🛡️💾🔥

Publicada por à(s)
Etiquetas: , , , , , , , , , , ,

Sem comentários:

Enviar um comentário

Subscrever: Enviar feedback (Atom)