Conforme crecen las demandas digitales de las empresas, también lo hace su exposición a los riesgos de ciberseguridad. Más código ejecutado en infraestructuras que procesan volúmenes cada vez mayores de datos y conexiones implica una superficie de ciberamenaza más amplia. Y, como consecuencia, riesgos crecientes para las empresas.

La mayoría de los entornos mainframe se originaron como sistemas independientes de registro y procesamiento de transacciones a gran escala. A lo largo de los años, ese papel ha evolucionado considerablemente. Hoy, las aplicaciones y bases de datos mainframe se utilizan como backend de servicios digitales multiplataforma, que involucran a empleados, clientes, proveedores y socios. Sin embargo, estos servicios híbridos/móviles también crean nuevos retos de seguridad.

Grandes áreas de ajuste

Los departamentos de seguridad informática no pueden continuar desatendiendo la seguridad en el entorno mainframe. En particular, cuatro áreas requieren ajustes importantes: acreditaciones para aplicaciones multiplataforma, conducta negligente o malintencionada de los usuarios internos, intensificación de las actividades DevOps y externalización de servicios.

Mientras que el mainframe es intrínsecamente seguro, los entornos distribuidos son exactamente lo contrario debido a la vulnerabilidad crónica de sus sistemas operativos y a los diferentes formatos de ciberataques, que hacen prácticamente imposible proporcionar seguridad a todos los dispositivos de usuario final, sistemas de correo electrónico y otros puntos comunes de entrada para los atacantes.

Una vez comprometidos, estos entornos no mainframe permiten a los atacantes secuestrar identidades de usuario y sus credenciales asociadas para conseguir acceder a los sistemas centrales mainframe. Por tanto, los responsables de seguridad TI (CSO) no solo deben proteger el mainframe de ataques directos, sino también sus compromisos con otras plataformas.

A medida que el rol del mainframe crece en las grandes empresas, también aumenta la posibilidad de un uso indebido de las cuentas de usuarios privilegiados en este entorno, ya sea por un uso malintencionado o negligente de los privilegios legítimos o por la actuación de un intruso que haya logrado apropiarse de los privilegios de administración del sistema.

La creciente actividad digital también presiona la seguridad del mainframe. El desarrollo y la prueba de aplicaciones en un entorno Agile requieren un muestreo más frecuente de los datos del mainframe. Cuantos más datos mainframe se distribuyen fuera de este ámbito, mayor riesgo. Por otro lado, la progresiva digitalización de los negocios está llevando a las empresas a actualizar el código mainframe a un ritmo mucho más rápido, lo que, sin el correspondiente ajuste de procesos y herramientas DevOps en el entorno mainframe, puede derivar en errores de aplicación que pueden comprometer la integridad del sistema.

Muchos responsables TIC piensan que lo más aconsejable, por razones económicas, es externalizar alguna o todas sus operaciones. Mientras que los criterios de tal decisión son discutibles, sus implicaciones sobre la seguridad cibernética son claras: por un lado, los outsourcers terminan haciéndose con las “llaves” del reino mainframe; por otro, estas empresas suelen sufrir una elevada rotación de personal, lo que compromete aún más la seguridad del mainframe. Por último, los responsables de seguridad informática no disponen, en muchas ocasiones, de los mecanismos para garantizar que los subcontratistas utilicen las mejores prácticas de seguridad cibernética.

Se pueden secuestrar identidades de usuario y acceder a los sistemas

Nuevas medidas de ciberseguridad

Las empresas deben afrontar nuevas medidas de ciberseguridad ante el creciente protagonismo que están alcanzando las aplicaciones críticas mainframe en el mundo digital. En concreto, me gustaría destacar algunas de estas medidas, directas y nada perturbadoras.

Captura completa y granular de los datos sobre el comportamiento del usuario mainframe. Las empresas rutinariamente captan la actividad del usuario a través de sus entornos cloud/SaaS con el objetivo de detectar proactivamente anomalías y, cuando sea necesario, realizar análisis forenses de la ejecución. Desafortunadamente, la captura de la actividad de las sesiones en el mainframe suele ser poco robusta.

Separar los usuarios privilegiados mainframe de los de auditoría. Aunque parece simple, esta tarea se descuida en muchas ocasiones, pero si se cuenta con las herramientas adecuadas de auditoría es sencillo descargar esta tarea en el personal de seguridad informática idóneo.

Integrar la conducta del usuario mainframe en el denominado SIEM (sistema de información y gestión de eventos). Debido a que las infracciones en el entorno mainframe son casi siempre el resultado de compromisos con otras plataformas de proceso, cualquier incidencia se detecta mejor al correlacionar las conductas de los usuarios en todas las plataformas. Por tanto, los datos de actividad del mainframe deben introducirse en el SIEM para que los análisis se apliquen a la empresa en su conjunto.

Optimizar la privacidad de los datos para las pruebas en mainframe. Muchas empresas todavía enmascaran ad hoc los datos para las pruebas en mainframe y dependen, en ocasiones, de profesionales que ejecutan esta tarea de manera inconsistente. Un enfoque más eficaz es desplegar una solución de privacidad, que incorpora una pasarela entre las bases de datos mainframe y los sistemas que necesitan datos de prueba, y utilizarla para aplicar políticas consistentes de protección de datos como requisito previo para cualquiera de las tareas de desarrollo y prueba.

Reducir la dependencia respecto de usuarios excesivamente privilegiados. Las empresas, a menudo, se vuelven progresivamente dependientes de un número muy pequeño de usuarios “supermainframe”. Esto se debe, en parte, a la reducción de plantillas en este entorno de proceso, pero también es consecuencia de la utilización de herramientas anticuadas. La inversión en otras más modernas e intuitivas puede democratizar las tareas del mainframe y permitir que se supervisen más estrechamente los privilegios de administración.

Aprovechar las pruebas unitarias de código automatizadas en mainframe. La prueba unitaria es una práctica común en el mundo Java, pero en el mundo del mainframe, el tiempo y el esfuerzo para ejecutarlas y evaluarlas hacen que se descuide esta práctica. Afortunadamente, existen herramientas automatizadas que facilitan a los desarrolladores de Cobol realizar pruebas unitarias de manera rápida e iterativa. Las empresas suelen adoptar estas herramientas para acelerar las tareas DevOps en el entorno mainframe, pero también proporcionan beneficios de seguridad cibernética al garantizar que el nuevo código no introduce vulnerabilidades de software en el conjunto multiplataforma de la empresa.

Conclusión

El mainframe sigue siendo el motor prioritario del comercio mundial. El total de MIPS que se ejecutan en esta plataforma seguirá creciendo a largo plazo. Por tanto, sus administradores deberán tomar medidas para protegerlo contra la nueva matriz de ciberamenazas generada por la transformación digital y la proliferación de dispositivos móviles/IoT.

Hacer menos sería irresponsable.