ICE/TCE (The Control Editor)
Module permettant le respect des règles et des normes internes à l’entreprise

TCE (The Control Editor) offre l’équilibre opérationnel nécessaire entre les ingénieurs systèmes qui doivent avoir accès aux ressources z/OS critiques, et le désir des responsables de la sécurité, des responsables de la conformité et des auditeurs d’établir des contrôles de gestion efficaces, contrôles devant surveiller la conformité, détecter les modifications, les autoriser ou pas, et les signaler.

ICE/TCE

A propos de TCE (The Control Editor)

Le module TCE a été conçu pour aider les équipes système z/OS chargés du suivi et de la maintenance des environnements système z à optimiser leurs interventions. Son interface 3270 intuitive ou navigateur web sécurisé (ICEDirect) facile à utiliser fournit un accès à l’ensemble des données critiques de la configuration du système z/OS. Il suit et enregistre les modifications à chaque étape des processus, leur assurant la disponibilité de sauvegardes si une restauration s’avérait nécessaire.

TCE optimise les contrôles d’accès à travers des solutions de type RACF, Top Secret ou ACF2 au niveau de l’ensemble de données, et aussi au niveau des membres de bibliothèque, créant une couche de contrôle secondaire, augmentant celle fournie par le gestionnaire de sécurité externe (ESM). Cette fonctionnalité comble un vide fonctionnel de longue date entre les outils de gestion des changements conventionnels et l’ESM.

L’intégration de RACF, TOP SECRET et ACF2 avec TCE permet d’offrir plus de flexibilité dans les règles et les contrôles d’accès, ainsi qu’une mise en œuvre d’une authentification multi-facteurs (MFA) dans l’environnement z/OS.

TCE (The Control Editor) est entièrement sous le contrôle de l’administrateur z/OS

A l’aide d’une interface 3270 ou d’un navigateur web sécurisé (ICEDirect), les limites de contrôle (catégories, datasets, commandes, messages système, bibliothèques LOAD et fichiers UNIX) sont facilement définies. A l’intérieur de chaque périmètre, des agents vérifient les droits d’accès et enregistrent les modifications. Les modifications, même celles effectuées en dehors du domaine TSO/ISPF, sont capturées et signalées si nécessaires. Toutes les modifications sont stockées de manière permanente dans des journaux de contrôle pour être utilisées dans des rapports de gestion périodique interactifs ou générés par batch.

TCE peut fonctionner, à la demande de l’utilisateur, comme un outil actif sur chaque LPAR, suivant, contrôlant et signalant l’activité qui se produit sur celle-ci. Il peut également fonctionner à l’échelle du SYSPLEX, surveillant et contrôlant toute l’activité se produisant sur toutes les LPARS au sein d’un SYSPLEX.

TCE fournit des sauvegardes automatiques, l’historique des modifications, des points de restauration, l’inspection des composants, l’impact des modifications, le descripteur de modification, le niveau de membre et le contrôle de soumission des tâches, afin de renforcer le suivi et la réactivité dans la gestion des systèmes. Cela permettra aux équipes systèmes de répondre à toute interrogation du genre : quoi, quand, où et comment ?

ICE/IFO-b

TCE permet aux équipes systèmes de maintenir les niveaux de contrôle interne les plus élevés, comme l’exigent les différentes réglementations et/ou de forcer l’application des règles internes du type :

  • - Effectuer une sauvegarde avant d’apporter des modifications aux composants de configuration z/OS.
  • - Tester les modifications apportées à PARMLIB, PROCLIB, JCLLIB avant de les valider en production.
  • - Passer en revue l’historique des modifications précédentes avant d’en essayer de nouvelles.
  • - Documenter tous les changements.
  • - Informer ceux qui ont besoin de savoir qu’un changement va être ou a été effectué.

Le travail des différentes équipes est ainsi géré et entièrement documenté.

CE QUE LES UTILISATEURS DISENT DE ICE/TCE

Maintenant je sais ce qu'il se passe

« Les entrepreneurs vont et viennent ici tout le temps. Nous leur donnons à peu près le même accès que nous accordons à notre propre personnel système. Jusqu’à ce que nous commencions à utiliser ICE/TCE, nous n’avions aucune idée de ce qu’ils faisaient réellement. Maintenant, nous le faisons. Les fonctions de rapport et de requête ICE/TCE ont complètement résolu ce problème. Je sais maintenant qui a fait quoi, à quoi et quand. »

Capture de l'utilisation des commandes

« Nous donnons aux opérateurs l’accès aux commandes MVS pour reconfigurer dynamiquement z/OS. Nous avons hésité à utiliser un contrôle de classe COMMAND strict de peur de les verrouiller. Maintenant, en tirant parti de l’enregistrement des commandes fourni par ICE/TCE, nous avons un moyen de capturer ce qu’ils font. Pas de lock-out ; tous les changements sont maintenant entièrement documentés. »

Appréciation de la direction

« Je ne peux pas vous dire combien de fois j’ai dû être impliqué dans un conflit de sécurité système entre mon responsable de la sécurité et le responsable de la programmation système. Les deux sont bien intentionnés : l’un veut plus de sécurité pour les modifications du système z/OS, et l’autre dit “pas question”. The Control Editor a résolu cela pour moi, pour nous. C’était facile à mettre en place, et un jeu d’enfant à apprendre. »

Plus de renseignements ?

Prendre contact