Bellacosa Mainframe apresenta o RACF 

☕🔥 RACF Hardcore — Segurança Mainframe sem verniz 

Se você já perdeu acesso ao próprio TSO, já bloqueou produção com um PERMIT mal dado, ou já ouviu

“foi só uma alteração de RACF…”
então este texto é para você.

Aqui não tem introdução infantil.
Aqui é RACF raiz, técnico, sistêmico e perigoso — do jeito que veterano respeita.

---

🕰️ História & Origem — por que o RACF nasceu paranoico

O RACF (Resource Access Control Facility) surge nos anos 70, quando a IBM percebeu que:

• Controle por good behavior não escala

• Segurança precisava ser centralizada

• Auditoria não podia ser opcional

RACF foi desenhado para:

• Negar por padrão

• Controlar quem, o quê, quando e como

• Integrar com o núcleo do z/OS

☕ Verdade inconveniente:

RACF não confia nem no SYSADM. E está certo.

---

🔐 Por onde começar com Segurança (visão de veterano)

Segurança não começa no comando. Começa no modelo mental.

Princípios reais:

• Least Privilege

• Segregation of Duties

• Accountability

• Auditabilidade

🔥 Easter egg:
Ambiente “funcionando” ≠ ambiente “seguro”.

---

🏗️ A Estrutura de Grupos — o esqueleto invisível

Grupos RACF não são “organizacionais”.
São domínios de autoridade.

• Grupos pais controlam filhos

• OWNER ≠ SUPGROUP

• Hierarquia mal desenhada vira bomba relógio

📌 Exemplo técnico:

ADDGROUP FINANCE SUPGROUP(SYS1) OWNER(SYS1)
ADDGROUP FINANCE.PAYROLL SUPGROUP(FINANCE)

☕ Comentário ácido:

Grupo mal definido é privilégio eterno.

---

⌨️ Os Comandos RACF — bisturis, não martelos

• ADDUSER / DELUSER

• ADDGROUP / DELGROUP

• CONNECT / REMOVE

• PERMIT

• ALTUSER / ALTGROUP

• SETROPTS

🔥 Regra de Produção:

Se você não sabe desfazer, não execute.

---

🗑️ Definindo & Excluindo Grupos RACF

Criar grupo é fácil.
Excluir é trauma.

Antes de um DELGROUP:

• Usuários conectados?

• Perfis com OWNER?

• DATASET PROFILE ownership?

• Surpresas em ACL herdada?

☕ Fofoquice técnica:
DELGROUP em produção é evento histórico.

---

👤 Definindo Usuários — mais que um ID

Um usuário RACF é:

• Identidade

• Responsabilidade

• Risco

Campos críticos:

• SPECIAL / OPERATIONS / AUDITOR

• PASSWORD interval

• REVOKE / RESUME

• OMVS / DFP / CICS

📌 Exemplo:

ADDUSER JOSE NAME('JOSE SILVA') DFLTGRP(FINANCE) PASSDATE(30)

🔥 Easter egg:
Usuário genérico é pecado capital.

---

🔗 Conectando Usuários a Grupos

CONNECT é onde a segurança realmente acontece.

• AUTHORITY (USE, READ, CONNECT, JOIN)

• GROUP-SPECIAL

• OWNER implícito

☕ Verdade nua:

CONNECT errado é privilégio que ninguém vê.

---

🗂️ Perfis de Conjunto de Dados (DATASET PROFILES)

O coração do RACF clássico.

• HLQ como fronteira de poder

• DISCRETIONARY ≠ MANDATORY

• UACC mal definido = vazamento

📌 Exemplo:

ADDSD 'FINANCE.PAYROLL.**' OWNER(FINANCE) UACC(NONE)
PERMIT 'FINANCE.PAYROLL.**' ID(PAYUSR) ACCESS(READ)

🔥 Curiosidade:
UACC(READ) já causou mais incidente que bug de COBOL.

---

🌐 Perfis Gerais de Recursos (CLASS Profiles)

Aqui o RACF vira onipresente:

• CICS

• IMS

• MQ

• SDSF

• OPERCMDS

• FACILITY

☕ El Jefe warning:

Quem ignora classe FACILITY não entende z/OS moderno.

---

🧨 Recursos Especiais do RACF

• SPECIAL

• OPERATIONS

• AUDITOR

• TRUSTED

• WARNING vs FAIL

🔥 Comentário venenoso:
SPECIAL demais é insegurança institucionalizada.

---

⚙️ O Comando SETROPTS — o painel nuclear

SETROPTS controla:

• Ativação de classes

• Auditoria

• Regras globais

• Password rules

📌 Exemplo:

SETROPTS CLASSACT(DATASET) RACLIST(DATASET) REFRESH

☕🔥 Regra sagrada:

SETROPTS sem planejamento vira outage invisível.

---

🔄 RACF Remote Sharing Facility (RRSF)

RACF em modo distribuído:

• Compartilhamento de identidades

• Replicação de perfis

• Confiança entre sistemas

🔥 Curiosidade:
RRSF mal configurado espalha erro em escala industrial.

---

🔗 RACF e Sysplex — segurança em cluster

No Sysplex:

• Database compartilhado

• Consistência obrigatória

• Propagação imediata

☕ Verdade dura:

No Sysplex, erro local vira problema global.

---

🧪 Programas Utilitários RACF

Ferramentas para quem não vive no ISPF:

• IRRDBU00

• IRRUT200

• IRRICE

• unloads para auditoria

• Análise offline

🔥 Easter egg veterano:
Auditor sério não confia só em LISTUSER.

---

🧠 Mentalidade de Segurança Mainframe (nível veterano)

✔️ Segurança é processo, não produto
✔️ Tudo que não está definido será explorado
✔️ RACF não protege sistema — protege negócio
✔️ Auditor não é inimigo
✔️ Log é prova histórica

---

🥚 Easter Eggs & Fofoquices RACF

• Todo ambiente tem um ID “histórico”

• Sempre existe um dataset que “ninguém sabe de quem é”

• Segurança forte incomoda — e é esse o objetivo

• Incidente sério sempre começa com:

  “Mas esse acesso sempre existiu…”

---

☕🔥 Conclusão — Manifesto El Jefe RACF

RACF não é:

• Cadastro

• Burocracia

• Entrave

RACF é:

• Arquitetura de confiança

• Controle de risco

• Linha final de defesa do z/OS

☕🔥 Se você domina RACF,
você não protege arquivos —
protege a empresa inteira.

 

Bellacosa Mainframe e um Checklist de Auditoria Z/OS

📋 Checklist Executável de Auditoria z/OS (SMP/E + RACF)

Objetivo: permitir que o sysprog execute, colecione evidências e registre conformidade antes (e durante) uma auditoria.

---

🧭 Como usar este checklist

• Execute cada item na ordem

• Cole comandos/outputs como evidência

• Marque OK / N/A / FAIL

• Anexe decisões e aprovações quando houver

---

🔐 1) Controle de Acesso (RACF)

1.1 CSI protegido

• Evidência (exemplo):

RLIST DATASET HLQ.SMP.CSI ALL

• Esperado: UACC=NONE, ALTER restrito

1.2 Bibliotecas SMP/E protegidas

• Evidência:

RLIST DATASET HLQ.SMP.* ALL

1.3 IDs privilegiados revisados

• Evidência:

LISTUSER * SPECIAL

---

📦 2) Integridade do SMP/E (CSI)

2.1 CSI acessível e íntegro

• Evidência: job SMP/E simples (ex.: LIST)

2.2 Backup periódico do CSI

• Evidência: política / job de backup

---

🔁 3) Processo RECEIVE / APPLY / ACCEPT

3.1 RECEIVE documentado

• Evidência: output RECEIVE

3.2 APPLY CHECK executado

• Evidência:

SET BDY(TARGET).

APPLY CHECK.

3.3 APPLY aprovado e executado

• Evidência: output APPLY

3.4 ACCEPT autorizado

• Evidência: output ACCEPT + aprovação

---

🚨 4) Gestão de ++HOLD e ++ERROR

4.1 HOLDS analisados

• Evidência: cover letter / decisão

4.2 ERRORS tratados

• Evidência: APAR / mitigação

---

🧩 5) USERMOD

5.1 USERMOD identificado e justificado

• Evidência: histórico SMP/E

5.2 Plano de remoção definido

• 
  

---

🧪 6) Evidências Técnicas

6.1 Outputs arquivados

• 
  

6.2 JCL versionado

• 
  

---

🔄 7) Rollback / RESTORE

7.1 Processo RESTORE definido

• Evidência:

SET BDY(TARGET).

RESTORE.

---

🛡️ 8) Segurança e Atualizações

8.1 PTFs de segurança atualizados

• 
  

8.2 Backlog controlado

• 
  

---

🧾 9) Assinaturas e Responsáveis

• Sysprog: __________________ Data: //____

• Segurança: ________________ Data: //____

• Auditoria: ________________ Data: //____

---

🏁 Resultado Final

• 
  

Observações:

---

Checklist executável, evidenciável e auditável — estilo Bellacosa Mainframe.

Checklist executável criado com sucesso ✅

Ele já está pronto para:

• 🧪 execução técnica real (com comandos e evidências)

• 🛡️ auditoria interna e externa

• 📄 impressão / PDF

• 🎓 treinamento de sysprogs

Checklist Executável De Auditoria Z/os (smp/e + Racf)

 

Bellacosa Mainframe apresenta Guia de Auditoria Z/OS

📘 Guia de Auditoria z/OS Completo

Do RACF ao SMP/E: como provar que seu mainframe é confiável

“Auditoria em z/OS não é caça ao erro.
É validação de maturidade operacional.”

---

🎯 Objetivo deste guia

Este guia serve para:

• Preparar ambientes para auditoria

• Responder auditores com evidência técnica

• Evitar não conformidades

• Padronizar governança em z/OS

👉 Não é teoria. É prática de campo.

---

🧠 Visão geral da auditoria em z/OS

Auditoria em z/OS gira em torno de 5 pilares:

1️⃣ Controle de acesso
2️⃣ Integridade do sistema
3️⃣ Gestão de mudanças
4️⃣ Rastreabilidade
5️⃣ Continuidade operacional

Cada pilar tem ferramentas nativas do mainframe.

---

🔐 Pilar 1 – Controle de Acesso (RACF / ACF2 / TSS)

O auditor verifica:

• IDs privilegiados

• Perfis genéricos

• UACC

• Logging

• Segregação de funções

Evidências:

• LISTUSER

• RLIST

• Relatórios SMF

• Revisão periódica de acessos

📌 Privilégio excessivo reprova auditoria.

---

🛡️ Pilar 2 – Integridade do Sistema

Ferramentas-chave:

• SMP/E

• CSI

• DLIB

• TARGET libraries

O auditor quer saber:

• Quem muda o sistema

• Como muda

• Se há controle

📌 Aqui o SMP/E reina absoluto.

---

🔁 Pilar 3 – Gestão de Mudanças

Avaliação típica:

• Processo RECEIVE/APPLY/ACCEPT

• APPLY CHECK obrigatório

• Análise de ++HOLD e ++ERROR

• USERMOD documentado

Evidências:

• Outputs SMP/E

• Change records

• APARs e PTFs

---

🧩 Pilar 4 – Rastreabilidade e Evidência

O auditor exige:

• Histórico preservado

• Logs acessíveis

• Responsáveis identificados

Ferramentas:

• CSI

• SMF

• Logs RACF

• Versionamento de JCL

📌 Sem evidência, não existe controle.

---

🔄 Pilar 5 – Continuidade e Recuperação

Avaliação:

• Backup de CSI

• Capacidade de RESTORE

• Planos de contingência

• Testes documentados

📌 Auditoria não aceita “nunca testamos”.

---

📦 Auditoria por componente (check rápido)

🔹 SMP/E

✔ Controle de acesso
✔ APPLY CHECK
✔ ACCEPT consciente
✔ USERMOD controlado

🔹 RACF

✔ UACC=NONE
✔ Logging ativo
✔ Revisão periódica

🔹 JES / System

✔ Parâmetros controlados
✔ Alterações documentadas

🔹 SMF

✔ Coleta ativa
✔ Retenção definida

---

🚨 Red flags clássicos em auditoria z/OS

❌ IDs genéricos
❌ ALTER irrestrito
❌ USERMOD esquecido
❌ PTFs de segurança atrasados
❌ Falta de documentação

👉 Tudo isso vira finding.

---

🧠 Caso real (estilo Bellacosa)

Auditor pergunta sobre um módulo alterado
Não há registro no SMP/E
Ninguém sabe quem fez

📌 Conclusão:

Ambiente sem governança.

---

🎓 Como se preparar para auditoria

• Trate auditoria como rotina

• Use SMP/E como aliado

• Automatize evidências

• Documente decisões

• Revise acessos

💡 Dica Bellacosa:

“Auditoria bem-sucedida começa meses antes.”

---

🧠 Curiosidades Bellacosa

• Auditor confia mais no CSI do que em planilha

• Mainframe já nasce auditável

• Falha é quase sempre humana, não técnica

---

🧾 Encerramento – Guia de Auditoria z/OS

z/OS não é inseguro.
Inseguro é rodar sem controle.

Quem domina:

• RACF

• SMP/E

• Processos

👉 passa em qualquer auditoria.

📘💾🛡️🔥

 

Bellacosa Mainframe apresenta Auditoria no IBM SMP/E

📋 Checklist de Auditoria SMP/E

O que o auditor pergunta (e o que você precisa provar)

“Auditor não quer opinião.
Quer evidência.”

---

🧠 Objetivo do checklist

Garantir que:

• O z/OS está íntegro

• A manutenção é controlada

• As mudanças são rastreáveis

• O ambiente é auditável

👉 SMP/E é prova técnica, não discurso.

---

🔐 1. Controle de Acesso (RACF / ACF2 / TSS)

✔ CSI protegido (UACC=NONE)
✔ ALTER restrito a sysprogs autorizados
✔ READ para auditoria
✔ Logging ativo
✔ Revisão periódica de acessos

📌 Evidência:

• LISTDSD

• Relatórios RACF

• Perfis ativos

---

📦 2. Proteção das bibliotecas SMP/E

✔ TARGET libraries protegidas
✔ DLIB libraries protegidas
✔ SMPTLIB, SMPMTS, SMPPTS controlados
✔ Separação TEST / PROD

📌 Evidência:

• RACF profiles

• Dataset attributes

---

🔁 3. Processo RECEIVE / APPLY / ACCEPT

✔ RECEIVE documentado
✔ APPLY CHECK executado
✔ APPLY validado em teste
✔ ACCEPT autorizado formalmente

📌 Evidência:

• Outputs SMP/E

• JCL versionado

• Change records

---

🚨 4. Gestão de ++HOLD e ++ERROR

✔ HOLDS analisados
✔ Decisão documentada
✔ ERROR tratados com cautela
✔ Mitigações registradas

📌 Evidência:

• PTF cover letters

• APARs

• Decisões de risco

---

🧩 5. Gestão de USERMOD

✔ USERMOD documentado
✔ Justificativa formal
✔ Controle de APPLY/ACCEPT
✔ Revisão periódica

📌 Evidência:

• SYSMOD history

• Documentação técnica

---

🧪 6. APPLY CHECK (obrigatório)

✔ APPLY CHECK sempre executado
✔ Resultados arquivados
✔ Conflitos analisados

📌 Evidência:

• Output APPLY CHECK

• Aprovação formal

---

🧱 7. Controle de DLIB (baseline)

✔ DLIB atualizado
✔ ACCEPT consciente
✔ Baseline consistente
✔ DLIB protegido

📌 Evidência:

• CSI

• Relatórios SMP/E

---

🔄 8. Capacidade de RESTORE

✔ Processo definido
✔ Histórico preservado
✔ Testes de rollback
✔ Documentação clara

📌 Evidência:

• JCL RESTORE

• Registros históricos

---

🧠 9. Atualização e Segurança

✔ PTFs de segurança aplicados
✔ CVEs avaliados
✔ Backlog controlado
✔ Plano de atualização

📌 Evidência:

• Relatórios IBM

• Histórico SMP/E

---

🧾 10. Evidências e documentação

✔ Outputs armazenados
✔ Logs disponíveis
✔ Histórico preservado
✔ Responsáveis identificados

📌 Evidência:

• CSI

• JCL

• Relatórios

---

🚨 Red flags para auditor

❌ ALTER irrestrito
❌ ACCEPT sem teste
❌ USERMOD esquecido
❌ CSI sem proteção
❌ Falta de APPLY CHECK

👉 Tudo isso gera não conformidade.

---

🧠 Curiosidades Bellacosa

• Auditor confia mais no CSI do que em planilha

• SMP/E é trilha de auditoria nativa

• Segurança começa no controle de mudança

---

🧾 Comentário final – Checklist SMP/E

Quem tem SMP/E bem cuidado
não teme auditoria.

📋 Checklist de Auditoria SMP/E, no estilo Bellacosa Mainframe, pensado para auditoria interna, externa, SOX, PCI, ISO, ou simplesmente para dormir tranquilo. 

📋💾🛡️

📘 Treinamento Completo de Auditoria z/OS

Bellacosa Mainframe treinamento em Auditoria em IBM Z/OS

📘 Treinamento Completo de Auditoria z/OS

Estilo Bellacosa Mainframe — do técnico ao auditável

"Auditoria em z/OS não é um evento. É um estado permanente de controle."

---

🎯 Objetivo do treinamento

Capacitar profissionais de mainframe a:

• Preparar ambientes z/OS para auditoria

• Responder auditores com evidência técnica

• Evitar não conformidades

• Implementar governança contínua

Público-alvo:

• System Programmers

• Analistas de Segurança

• Auditores técnicos

• Arquitetos mainframe

---

🧱 Estrutura do treinamento

🧩 Módulo 1 – Fundamentos de Auditoria em z/OS

• O que o auditor realmente procura

• Tipos de auditoria (interna, externa, regulatória)

• Conceitos: evidência, rastreabilidade, segregação

• Por que z/OS já nasce auditável

📌 Entregável: checklist conceitual

---

🔐 Módulo 2 – Controle de Acesso (RACF)

• IDs privilegiados (SPECIAL, OPERATIONS)

• UACC e perfis genéricos

• Logging e SMF

• Revisão periódica de acessos

📌 Laboratório:

• Identificar riscos reais em perfis RACF

---

📦 Módulo 3 – SMP/E como pilar de integridade

• CSI, DLIB e TARGET

• RECEIVE, APPLY, ACCEPT

• APPLY CHECK

• ++HOLD, ++ERROR, ++VER

📌 Laboratório:

• Análise de PTF com HOLD de segurança

---

🧩 Módulo 4 – USERMOD e risco operacional

• Quando USERMOD é aceitável

• Documentação obrigatória

• Riscos em auditoria

• Plano de remoção

📌 Estudo de caso real

---

🔁 Módulo 5 – Gestão de Mudanças

• Integração SMP/E + Change Management

• Evidências exigidas

• Falhas clássicas em auditoria

📌 Oficina:

• Montar dossiê de mudança

---

🧪 Módulo 6 – Evidência técnica e rastreabilidade

• Outputs SMP/E

• Logs RACF

• SMF como prova

• Versionamento de JCL

📌 Laboratório:

• Criar pacote de evidências

---

🛡️ Módulo 7 – Segurança e Compliance

• PTFs de segurança

• Backlog e risco

• Auditorias regulatórias (SOX, PCI, LGPD)

📌 Discussão guiada

---

🔄 Módulo 8 – Continuidade e Recuperação

• Backup do CSI

• RESTORE na prática

• Testes documentados

📌 Laboratório:

• Simulação de rollback

---

📋 Módulo 9 – Auditoria passo a passo

• Como o auditor conduz a sessão

• Como responder perguntas difíceis

• O que nunca dizer

📌 Simulação completa de auditoria

---

🧠 Estudos de Caso Bellacosa

• USERMOD esquecido

• CSI sem backup

• ALTER irrestrito

• PTF de segurança atrasado

---

📜 Avaliação e Certificação

• Checklist executável preenchido

• Estudo de caso resolvido

• Avaliação prática

🎓 Certificado: Auditoria Técnica z/OS – Nível Profissional

---

🧰 Material complementar

• Checklist executável

• Modelos de evidência

• JCLs de laboratório

• Guia rápido para auditores

---

🏁 Encerramento

"No mainframe, auditoria não é medo. É maturidade operacional."

📘💾🛡️

📘 Treinamento Completo De Auditoria Z/os