Gli amministratori di sistema, come sai, indossano molti cappelli diversi, il che significa che gli amministratori di sistema svolgono molti lavori diversi e in genere hanno il massimo potere in tutti loro. L'onnipotente account utente root e la sua password altamente protetta sono buoni esempi di quel potere supremo. Per quelli di voi che svolgono lavori che rientrano in determinate normative, come quelle del progetto del Dipartimento della Difesa (DoD), potrebbe essere necessario rispettare le linee guida del National Institute of Standards and Technology (NIST) 800-171, che include la separazione dei doveri (Controllo 3.1.4).
Controllo NIST 800-171 3.1.4:
Separare i doveri degli individui per ridurre il rischio di attività malevole senza collusione.
La separazione dei compiti affronta il potenziale abuso dei privilegi autorizzati e aiuta a ridurre il rischio di attività malevole senza collusione. La separazione dei compiti include la divisione delle funzioni della missione e delle funzioni di supporto del sistema tra diversi individui o ruoli; condurre funzioni di supporto del sistema con diverse persone (ad es. gestione della configurazione, controllo qualità e test, gestione del sistema, programmazione e sicurezza della rete); e garantire che il personale di sicurezza che amministra le funzioni di controllo dell'accesso non amministra anche le funzioni di audit. Poiché la separazione delle violazioni dei doveri può estendersi ai sistemi e ai domini delle applicazioni, le organizzazioni prendono in considerazione la totalità dei sistemi organizzativi e dei componenti del sistema quando sviluppano criteri sulla separazione dei compiti.
La domanda è:"Come gestisci la separazione dei compiti sotto questo controllo?" Nelle aziende a cui dovevo ottemperare, impostiamo processi di gestione delle modifiche in modo tale che una persona "ha presentato domanda" per una modifica, un'altra ha approvato la modifica (di solito in base al quorum) e un'altra persona ha implementato la modifica. È fantastico per un'azienda più grande in cui puoi avere una persona per gruppo che invia tutte le modifiche, che è quello che avevamo, ma per le aziende più piccole, questo requisito può stressare i membri del personale. Può anche affidare la responsabilità a qualcuno come approvatore che non ha idea di quale possa essere l'impatto o il potenziale impatto di determinate modifiche. Certo, c'è una casella di controllo per il livello di gravità, ma alcuni approvatori non hanno abbastanza conoscenze "in trincea" per porre le domande giuste o negare una modifica che non è stata adeguatamente controllata in un ambiente di test o sviluppo.
[ Vuoi testare le tue capacità di amministratore di sistema? Fai una valutazione delle abilità oggi. ]
Il modo in cui documenti e gestisci la separazione dei compiti può avere gravi ripercussioni sul tuo continuo coinvolgimento con i contratti governativi. Come lo gestisci per la tua organizzazione?