Los administradores de sistemas, como saben, usan muchos sombreros diferentes, lo que significa que los administradores de sistemas realizan muchos trabajos diferentes y, por lo general, tienen el máximo poder en todos ellos. La cuenta de usuario raíz todopoderosa y su contraseña altamente protegida son buenos ejemplos de ese poder supremo. Para aquellos de ustedes que realizan trabajos que se rigen por ciertas regulaciones, como las del proyecto del Departamento de Defensa (DoD), es posible que deban cumplir con las directrices del Instituto Nacional de Estándares y Tecnología (NIST) 800-171, que incluye la separación de deberes (Control 3.1.4).
NIST 800-171 Control 3.1.4:
Separar los deberes de las personas para reducir el riesgo de actividad malévola sin colusión.
La separación de funciones aborda el potencial de abuso de los privilegios autorizados y ayuda a reducir el riesgo de actividad malévola sin colusión. La separación de funciones incluye dividir las funciones de la misión y las funciones de apoyo del sistema entre diferentes personas o funciones; llevar a cabo funciones de soporte del sistema con diferentes personas (por ejemplo, gestión de configuración, control y pruebas de calidad, gestión del sistema, programación y seguridad de la red); y garantizar que el personal de seguridad que administra las funciones de control de acceso no administre también las funciones de auditoría. Debido a que las infracciones de la separación de funciones pueden abarcar sistemas y dominios de aplicaciones, las organizaciones consideran la totalidad de los sistemas organizativos y los componentes del sistema al desarrollar una política sobre la separación de funciones.
La pregunta es:"¿Cómo maneja la separación de funciones bajo este control?" En las empresas en las que tenía que cumplir, establecimos procesos de gestión de cambios de modo que una persona "solicitaba" un cambio, otra aprobaba el cambio (generalmente por quórum) y otra persona implementaba el cambio. Eso es excelente para una empresa más grande donde puede hacer que una persona por grupo envíe todos los cambios, que es lo que teníamos, pero para las empresas más pequeñas, este requisito puede estresar a los miembros del personal. También puede poner la responsabilidad en alguien como aprobador que no tiene idea de cuál puede ser el impacto o el impacto potencial de ciertos cambios. Claro, hay una casilla de verificación para el nivel de gravedad, pero algunos aprobadores no tienen suficiente conocimiento "en las trincheras" para hacer las preguntas correctas o negar un cambio que no se ha examinado adecuadamente en un entorno de prueba o desarrollo.
[ ¿Quiere poner a prueba sus habilidades de administrador de sistemas? Tome una evaluación de habilidades hoy. ]
La forma en que documente y maneje la separación de funciones puede tener serias repercusiones en su participación continua en los contratos gubernamentales. ¿Cómo lo maneja para su organización?