Sarbanes Oxley para ingenieros de red / arquitectos

7

Nuestra organización ha reestructurado recientemente la TI y ha separado a los ingenieros de redes en nuevas funciones como arquitecto, ingeniero de implementación e ingeniero de soporte operativo.

Existen inquietudes en torno al cumplimiento de SOX y cómo / si implementaríamos controles apropiados para restringir el acceso al entorno de producción para el personal a nivel de arquitecto, ya que su función principal es la estrategia y la planificación. Tengo entendido que los controles SOX para la separación de tareas son más específicos para los datos financieros o contables, y el acceso a (por ejemplo) una base de datos de producción para el personal de desarrollo / control de calidad solamente.

¿Cuáles son los requisitos de SOX para acceder al equipo de ruta / cambio / transporte? ¿Dónde se aplicaría la separación de funciones a los ingenieros de redes?

management Silv
fuente
1
Creo que gran parte de esto depende de su empresa y de qué son específicamente responsables los ingenieros de redes. Esta Descripción general del cumplimiento de SOX del Instituto SANS parece relevante y puede ayudar. Si descubre la respuesta por su cuenta, agregue la resolución de su pregunta como respuesta a continuación.
Mike Pennington
Tengo curiosidad ... ¿Encontraste algo para responder a tu pregunta?
Mike Pennington
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

4

Después de haber pasado por este proceso para algunos clientes ahora, generalmente comenzaría por asegurarme de que haya implementado al menos los siguientes controles: tenga en cuenta que ninguno de estos es específico de SOX, ya que la ruta / cambio / transporte generalmente no juega un papel en la información financiera aparte de un punto de vista de disponibilidad pura:

  • Todos los cambios en la red son realizados por personas autorizadas (por ejemplo: cuentas respaldadas por RADIUS / TACACS para cualquier acceso de superusuario)
  • Todos los cambios en la red son revisados ​​por personas autorizadas (p. Ej., Existe algún método formal de gestión de cambios, que incluye quizás una pista de auditoría en forma de tickets de servicio de asistencia, formularios de cambio, etc.)
  • Existe un seguimiento de auditoría para proporcionar acceso de superusuario y cualquier cambio en él (por ejemplo: iniciar sesión en el servidor de directorio de su elección que muestre la asignación de usuario / rol y quién lo realizó)
  • Existe una pista de auditoría para cualquier cambio que se realice y quién los realizó (por ejemplo: control de versiones de configuraciones de red, registro de registros de sys y comandos interactivos)

Para responder a su pregunta con respecto a su recurso de Architect que tiene acceso a la red de producción, no vería esto como dictado por los requisitos de SOX.

Por otro lado, desde un punto de vista de seguridad, probablemente se aplicaría el Principio de Privilegio Mínimo y, por lo tanto, una cuenta de solo lectura puede ser más apropiada.

Benjamin Dale
fuente
¿Conoce alguna orientación técnica sobre las redes de estilo Sarbanes Oxley?
Ryan Foley
Ninguno en absoluto. Desde el punto de vista de la red pura, la Ley realmente no menciona nada fuera de lo anterior como controles, e incluso esos son principalmente para aplicaciones que manejan informes financieros. (Aplicación) La seguridad obviamente juega un papel importante para garantizar que los resultados sean precisos / no manipulados, pero en términos de cambio / ruta directa, no veo la conexión. Como de costumbre, IANAL / YMMV
Benjamin Dale