Sysadmin, seperti yang Anda tahu, memakai banyak topi yang berbeda--artinya sysadmin melakukan banyak pekerjaan yang berbeda dan biasanya memiliki kekuatan tertinggi dalam semua itu. Akun pengguna root yang sangat kuat dan kata sandinya yang sangat terlindungi adalah contoh bagus dari kekuatan tertinggi itu. Bagi Anda yang melakukan pekerjaan yang berada di bawah peraturan tertentu, seperti proyek Departemen Pertahanan (DoD), Anda mungkin harus mematuhi pedoman dari Institut Nasional Standar dan Teknologi (NIST) 800-171, yang mencakup pemisahan tugas (Kontrol 3.1.4).
NIST 800-171 Kontrol 3.1.4:
Pisahkan tugas individu untuk mengurangi risiko aktivitas jahat tanpa kolusi.
Pemisahan tugas membahas potensi penyalahgunaan hak istimewa yang berwenang dan membantu mengurangi risiko aktivitas jahat tanpa kolusi. Pemisahan tugas mencakup pembagian fungsi misi dan fungsi pendukung sistem di antara individu atau peran yang berbeda; melakukan fungsi dukungan sistem dengan individu yang berbeda (misalnya, manajemen konfigurasi, jaminan kualitas dan pengujian, manajemen sistem, pemrograman, dan keamanan jaringan); dan memastikan bahwa personel keamanan yang menjalankan fungsi kontrol akses tidak juga menjalankan fungsi audit. Karena pemisahan pelanggaran tugas dapat menjangkau sistem dan domain aplikasi, organisasi mempertimbangkan keseluruhan sistem organisasi dan komponen sistem saat mengembangkan kebijakan tentang pemisahan tugas.
Pertanyaannya adalah, "Bagaimana Anda menangani pemisahan tugas di bawah kendali ini?" Di perusahaan yang harus saya patuhi, kami mengatur proses manajemen perubahan sedemikian rupa sehingga satu orang "mengajukan" perubahan, yang lain menyetujui perubahan (biasanya dengan kuorum), dan orang lain menerapkan perubahan. Itu bagus untuk perusahaan yang lebih besar di mana Anda dapat meminta satu orang per grup untuk mengirimkan semua perubahan, yang kami miliki, tetapi untuk perusahaan yang lebih kecil, persyaratan ini dapat memberi tekanan pada anggota staf. Itu juga dapat menempatkan tanggung jawab pada seseorang sebagai pemberi persetujuan yang tidak tahu apa dampak atau potensi dampak dari perubahan tertentu. Tentu, ada kotak centang untuk tingkat keparahan, tetapi beberapa pemberi persetujuan tidak memiliki cukup pengetahuan "dalam parit" untuk mengajukan pertanyaan yang tepat atau menolak perubahan yang belum diperiksa dengan benar dalam lingkungan pengujian atau pengembangan.
[ Ingin menguji kemampuan sysadmin Anda? Ikuti penilaian keterampilan hari ini. ]
Bagaimana Anda mendokumentasikan dan menangani pemisahan tugas dapat berdampak serius pada keterlibatan Anda yang berkelanjutan dengan kontrak pemerintah. Bagaimana Anda menanganinya untuk organisasi Anda?