Les administrateurs système, comme vous le savez, portent de nombreuses casquettes différentes, ce qui signifie qu'ils effectuent de nombreuses tâches différentes et ont généralement le pouvoir ultime sur chacune d'entre elles. Le compte utilisateur root tout-puissant et son mot de passe hautement protégé sont de bons exemples de cette puissance ultime. Pour ceux d'entre vous qui effectuent des travaux qui relèvent de certaines réglementations, comme celles du projet du ministère de la Défense (DoD), vous devrez peut-être vous conformer aux directives du National Institute of Standards and Technology (NIST) 800-171, qui incluent la séparation des fonctions (Contrôle 3.1.4).
NIST 800-171 Contrôle 3.1.4 :
Séparez les devoirs des individus pour réduire le risque d'activité malveillante sans collusion.
La séparation des tâches traite le potentiel d'abus des privilèges autorisés et aide à réduire le risque d'activité malveillante sans collusion. La séparation des tâches comprend la répartition des fonctions de la mission et des fonctions de soutien du système entre différentes personnes ou rôles ; effectuer des fonctions de soutien du système avec différentes personnes (par exemple, gestion de la configuration, assurance qualité et tests, gestion du système, programmation et sécurité du réseau); et veiller à ce que le personnel de sécurité qui administre les fonctions de contrôle d'accès n'administre pas également les fonctions d'audit. Étant donné que les violations de la séparation des tâches peuvent s'étendre aux systèmes et aux domaines d'application, les organisations prennent en compte l'intégralité des systèmes organisationnels et des composants du système lors de l'élaboration d'une politique sur la séparation des tâches.
La question est :"Comment gérez-vous la séparation des tâches sous ce contrôle ?" Dans les entreprises où je devais me conformer, nous mettions en place des processus de gestion du changement tels qu'une personne "appliquait" un changement, une autre approuvait le changement (généralement par quorum) et une autre personne mettait en œuvre le changement. C'est très bien pour une grande entreprise où vous pouvez demander à une personne par groupe de soumettre toutes les modifications, ce que nous avions, mais pour les petites entreprises, cette exigence peut stresser les membres du personnel. Cela peut également imposer la responsabilité à quelqu'un en tant qu'approbateur qui n'a aucune idée de l'impact ou de l'impact potentiel de certains changements. Bien sûr, il y a une case à cocher pour le niveau de gravité, mais certains approbateurs n'ont pas suffisamment de connaissances "dans les tranchées" pour poser les bonnes questions ou refuser une modification qui n'a pas été correctement approuvée dans un environnement de test ou de développement.
[ Vous voulez tester vos compétences d'administrateur système ? Faites une évaluation des compétences aujourd'hui. ]
La façon dont vous documentez et gérez la séparation des tâches peut avoir de graves répercussions sur votre participation continue aux contrats gouvernementaux. Comment gérez-vous cela pour votre organisation ?