È un problema avere più di un account in un sistema informativo dal punto di vista della sicurezza?
Lasciatemi chiarire un po '. È un sistema bancario. Mi chiedo se avere un CSO (addetto al servizio clienti) con più di un account associato a lui / lei (più di un nome di accesso e una password per lo stesso compito) si tradurrebbe in una violazione della sicurezza. Riesci a vedere una violazione specifica per questo scenario?
Dovresti certamente cercare di minimizzare il numero di account che hai su un sistema, tuttavia non sono d'accordo con Ralf sul fatto che più account siano sempre una cattiva idea.
Sì, se hai un modello di sicurezza basato su due set di occhi (proponi / accetta), più account lo sovvertono. OTOH, non solo ho sempre un account utente sui sistemi che amministro, disabilito l'accesso remoto per root. In questo modo ho bisogno di prendere una decisione consapevole per accendere i miei superpoteri.
Quindi, come al solito, la risposta è che dipende dal modello di sicurezza.
Ci sono molte occasioni in cui l'utilizzo di più ruoli riduce drasticamente il rischio.
Ad esempio, una persona che ha accesso a un ambiente di sviluppo, nonché a un normale ambiente utente. Non vorrei qualcuno con privilegi di sviluppo in userspace, quindi aspetterei due account separati, uno che funziona solo in dev e uno che funziona solo in utente. In questo esempio, le attività registrate potrebbero essere diverse in ogni ambiente.
Per un altro esempio, potresti avere una persona che solleva normalmente i pagamenti nella loro area, ma in determinate occasioni deve produrre rapporti in più aree di pagamento. potresti fornire loro l'accesso al pagamento iniziale in un'area e visualizzare solo l'accesso in tutte le aree, oppure puoi assegnare loro il normale account per il ruolo del giorno e un altro specifico per il ruolo di rapporto.
Se disponi di più ruoli per un individuo, utilizzi una matrice di combinazioni tossiche per garantire che i ruoli che hanno non possano essere utilizzati per sovvertire i controlli di 4 occhi ecc.
È non più difficile da tracciare le azioni fintanto che controlli e registri tutte le attività che possono presentare un rischio.
Leggi altre domande sui tag access-control user-management privilege-escalation privileged-account