Condivise e credenziali univoche per gli account dei fornitori di supporto remoto

2

Ho una situazione in cui il mio datore di lavoro ha un contratto di assistenza con un venditore per un'applicazione che utilizziamo. Questa applicazione viene eseguita su un server (Windows 2008 R2) che non memorizza o non ha accesso a informazioni che considero confidenziali o che richiedono una protezione rigorosa come carta di credito, informazioni personali o record relativi alla salute. Questo fornitore ha personale di supporto che supporta centinaia di clienti con questo tipo di sistema.

La domanda si riferisce a se forzare o meno ogni contatto di supporto del fornitore ad avere le proprie credenziali per accedere a questo sistema tramite VPN e RDP, o per consentire loro di condividere un singolo account di supporto generico del fornitore. Finora abbiamo creato account utente individuali per due dei loro contatti di supporto.

Il fornitore richiede un account generico condiviso per l'accesso VPN e desktop remoto invece dei singoli account per facilitare il supporto rapido. Il nostro reparto di sicurezza IT non è comprensibilmente soddisfatto dal fatto che rende difficile l'accesso e le azioni di auditing se non possiamo legarlo a una persona specifica. D'altra parte, posso vedere il punto di vista del venditore dove hanno centinaia di clienti e molte persone diverse che supportano. Se ciascun collaboratore di supporto ha bisogno di un account sul sistema di ogni cliente è un enorme problema di gestione delle credenziali per loro.

Sono inoltre in grado di vedere le situazioni in cui il supporto remoto verrà ritardato con inevitabili scadenze della password, blocchi degli account e così via perché uno specifico addetto all'assistenza fornitori accede solo raramente ai sistemi.

Ci sono le migliori pratiche per affrontare questo tipo di situazione?

La risposta cambia se altri sistemi dell'azienda, non correlati a questo particolare sistema, contengono dati che devono essere mantenuti altamente sicuri?

    
posta Shane Wealti 16.05.2013 - 15:04
fonte

2 risposte

2

Sì. Il mio controllo compensativo della scelta sarebbe quello di modificare il vostro SOW in modo che il vostro fornitore abbia bisogno di mantenere netflow o altri registri in grado di identificare quale delle loro persone ha avviato una connessione alla vostra rete e mantenere tali log per un periodo di X, che corrisponde al gruppo di sicurezza criterio di conservazione dei log. Richiedi questo registro per essere disponibile su richiesta.

Mantieni la traccia di controllo mentre affronti le esigenze aziendali di semplificare la gestione degli account dei fornitori. E non aggiungi alcun lavoro sulla tua parte del contratto.

    
risposta data 16.05.2013 - 15:11
fonte
2

Realisticamente non c'è modo di costringere un fornitore a utilizzare account separati per ogni persona di supporto, tutto quello che faranno è dire a tutti i loro dipendenti di usare uno o due account e ignorare gli altri. Aggiungete a ciò il sovraccarico di gestione dell'amministrazione di tutti quegli account presumendo che effettivamente li usano. Inoltre, non puoi impedire loro di condividere i dettagli dell'account, quindi non sapresti se è Tom ad accedere come Tom o se è Jane a utilizzare le sue credenziali. Quindi non ha senso dare credenziali a ogni persona di supporto di terze parti.

Ciò che conta veramente quando gestire le terze parti non è chi sta effettuando l'accesso, ma cosa fanno. Ricorda, è compito della terza parte gestire le cose, dovrebbero sapere chi sta facendo cosa e quando (in realtà spesso non lo fanno).

    
risposta data 16.05.2013 - 15:11
fonte

Leggi altre domande sui tag