Se uno staff senior ha l'autorità per apportare modifiche nei registri finanziari di un'organizzazione, può prelevare il denaro dall'organizzazione gestita da personale junior. RBAC può essere implementato per fermare questo?
L'RBAC non può impedire direttamente a un utente di fare qualcosa di male se l'utente deve essere in grado di fare un'azione con il potenziale per il male come parte della sua funzione lavorativa. Ad esempio, se il membro dello staff senior ha la necessità di spostarsi con fondi del personale junior perché fissa le allocazioni tra i membri dello staff minore - allora potrebbe molto facilmente spostare i soldi per beneficiarsi in modo nefasto, dal momento in cui si muove il denaro è uno strumento piuttosto potente.
Le forme di protezione comuni che utilizzano l'RBAC sono un po 'più sottili di "non lasciarglielo fare".
Una soluzione che può funzionare è quella di separare il lavoro in compiti in modo che più persone debbano cospirare per commettere frodi. Ad esempio, dare a Sr. Executive il diritto di spostare denaro, ma non creare account. Crea la creazione di un account w / nell'ambito di una squadra diversa o un boss più grande che non può muovere anche denaro. Ora lo Sr. Staff può spostare denaro, ma non per un account personale.
Un altro approccio simile potrebbe richiedere l'approvazione delle transazioni. A volte esiste un gruppo dedicato di approvatori che non possono avviare la transazione. E altre volte è solo che un'altra persona w. lo stesso privilegio è richiesto per rivedere il lavoro.
Fai in modo che lo staff senior prenda una vacanza ogni anno. Durante quel periodo, rimuovi il ruolo dal suo account e lo metti su qualcun altro (il suo sostituto) - consenti al suo sostituto di accedere a TUTTO (inclusi i log), e permetta alla persona di esaminare il comportamento del personale anziano.
Crea un ruolo separato dei revisori che visualizzano la cronologia di tutte le transazioni. Fai in modo che esaminino le azioni dell'anziano e assicurati che non accada nulla di inappropriato.
Assicurati che il senior non abbia accesso in scrittura / cancellazione a questi log di controllo, quindi non può cambiarli. Metti in pratica la logica aziendale per assicurarti che il ruolo di controllo non possa essere collegato a nessun altro ruolo con accesso alle modifiche nel sistema.
Questi sono i classici.
1 & 2 prevenire l'uso improprio dei privilegi.
3 & 4 traccia se si verifica un uso improprio, il deterrente diventa la severità della penalità
Leggi altre domande sui tag rbac