Ho bisogno di persuadere "la gestione" che eseguendo due o più applicazioni business-critical non correlate all'interno di un singolo ambiente runtime condiviso (vale a dire una singola "riga di comando") è una idea veramente pessima . Il problema è che la direzione non riconosce "l'autorità del ragazzo di sicurezza" (io) e vuole che la mia causa sia sostenuta da alcune raccomandazioni da un'autorità reale come ISO, ISACA, NIST o qualsiasi altra da tre a quattro lettere -agency.
Esiste una "best practice" definita in tutti gli standard di sicurezza che dichiarerebbe chiaramente che l'esecuzione di due o più applicazioni separate e non correlate (come i processi di database) in un singolo ambiente di runtime condiviso con lo stesso UID è errata ?
Tieni presente che lo so è una cattiva idea e posso presentare molte ragioni per confermare questa affermazione, ma nessuna di queste include una citazione da "uno standard".