Systemadministratoren tragen, wie Sie wissen, viele verschiedene Aufgaben, was bedeutet, dass Systemadministratoren viele verschiedene Aufgaben erledigen und in der Regel in allen die ultimative Macht haben. Das allmächtige Root-Benutzerkonto und sein hochgradig geschütztes Passwort sind gute Beispiele für diese ultimative Macht. Für diejenigen von Ihnen, die Arbeiten ausführen, die unter bestimmte Vorschriften fallen, wie z. B. die des Verteidigungsministeriums (DoD), müssen Sie möglicherweise die Richtlinien des National Institute of Standards and Technology (NIST) 800-171 einhalten, die die Trennung beinhalten Pflichten (Kontrolle 3.1.4).
NIST 800-171-Kontrolle 3.1.4:
Trennen Sie die Pflichten von Einzelpersonen, um das Risiko böswilliger Aktivitäten ohne geheime Absprachen zu verringern.
Die Aufgabentrennung befasst sich mit dem potenziellen Missbrauch autorisierter Privilegien und trägt dazu bei, das Risiko böswilliger Aktivitäten ohne geheime Absprachen zu verringern. Aufgabentrennung umfasst die Aufteilung von Missionsfunktionen und Systemunterstützungsfunktionen auf verschiedene Personen oder Rollen; Durchführen von Systemunterstützungsfunktionen mit verschiedenen Personen (z. B. Konfigurationsmanagement, Qualitätssicherung und -prüfung, Systemmanagement, Programmierung und Netzwerksicherheit); und Sicherstellen, dass Sicherheitspersonal, das Zugangskontrollfunktionen verwaltet, nicht auch Prüffunktionen verwaltet. Da Verletzungen der Aufgabentrennung Systeme und Anwendungsdomänen umfassen können, berücksichtigen Organisationen bei der Entwicklung von Richtlinien zur Aufgabentrennung die Gesamtheit der organisatorischen Systeme und Systemkomponenten.
Die Frage lautet:"Wie handhaben Sie die Aufgabentrennung unter dieser Kontrolle?" In Unternehmen, in denen ich mich daran halten musste, richteten wir Change-Management-Prozesse so ein, dass eine Person eine Änderung „beantragte“, eine andere die Änderung genehmigte (normalerweise durch Quorum) und eine andere Person die Änderung umsetzte. Das ist großartig für ein größeres Unternehmen, in dem eine Person pro Gruppe alle Änderungen einreichen kann, was wir hatten, aber für kleinere Unternehmen kann diese Anforderung die Mitarbeiter belasten. Es kann auch jemandem als Genehmiger die Verantwortung übertragen, der keine Ahnung hat, welche Auswirkungen oder potenziellen Auswirkungen bestimmte Änderungen haben können. Sicher, es gibt ein Kontrollkästchen für den Schweregrad, aber einige Genehmiger verfügen nicht über ausreichende Kenntnisse, um die richtigen Fragen zu stellen oder eine Änderung abzulehnen, die in einer Test- oder Entwicklungsumgebung nicht ordnungsgemäß überprüft wurde.
[ Möchten Sie Ihre Fähigkeiten als Systemadministrator testen? Machen Sie noch heute einen Kompetenztest. ]
Wie Sie die Aufgabentrennung dokumentieren und handhaben, kann schwerwiegende Auswirkungen auf Ihre weitere Beteiligung an Regierungsaufträgen haben. Wie gehen Sie damit in Ihrer Organisation um?