Sarbanes Oxley para engenheiros de rede / arquitetos

7

Nossa organização recentemente reestruturou a TI e separou os engenheiros de rede em novas funções, como arquiteto, engenheiro de implementação e engenheiro de suporte operacional.

Existem preocupações em torno da conformidade com a SOX e como / se implementaríamos controles apropriados para restringir o acesso ao ambiente de produção para o pessoal de nível de arquiteto, pois sua principal função é estratégia e planejamento. Meu entendimento é que os controles SOX para separação de tarefas são mais específicos para dados financeiros ou contábeis - e o acesso a (por exemplo) um banco de dados de produção somente para pessoal de desenvolvimento / controle de qualidade.

Quais são os requisitos SOX para acesso ao equipamento de rota / comutação / transporte? Onde a separação de tarefas se aplica aos engenheiros de rede?

Silv
fonte
11
Acho que muito disso depende da sua empresa e do que especificamente os engenheiros de rede são responsáveis. Esta Visão Geral de Conformidade com SOX do SANS Institute parece relevante e pode ajudar. Se você descobrir a resposta por conta própria, adicione a resolução da sua pergunta como resposta abaixo.
Mike Pennington
Estou curioso ... você encontrou algo para responder sua pergunta?
9118 Mike Pennington
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

4

Depois de passar por esse processo por alguns clientes agora, eu geralmente começaria assegurando que você implementou pelo menos os seguintes controles - observe que nenhum deles é específico para SOX, pois rota / switch / transporte geralmente não é reproduzido uma função nos relatórios financeiros, além do ponto de vista da disponibilidade pura:

  • Todas as alterações na rede são realizadas por indivíduos autorizados (por exemplo: contas com suporte RADIUS / TACACS para qualquer acesso de superusuário)
  • Todas as alterações na rede são revisadas por indivíduos autorizados (por exemplo: existe algum método formal de gerenciamento de alterações, incluindo talvez uma trilha de auditoria na forma de tickets de suporte técnico, formulários de alteração etc.)
  • Existe uma trilha de auditoria para fornecer acesso de superusuário e quaisquer alterações nele (por exemplo: logon no servidor de diretório de sua escolha que mostra a atribuição de usuário / função e quem a executou)
  • Existe uma trilha de auditoria para todas as alterações que foram feitas e quem as fez (por exemplo: controle de versão das configurações de rede, gravação syslog de logins e comandos interativos)

Para responder à sua pergunta sobre o recurso do Architect ter acesso à rede de produção, não considero isso ditado pelos requisitos SOX.

Por outro lado, do ponto de vista da segurança, o Princípio do Menor Privilégio provavelmente se aplicaria e, portanto, uma conta somente leitura pode ser mais apropriada.

Benjamin Dale
fonte
Você tem conhecimento de alguma orientação técnica sobre as redes no estilo Sarbanes Oxley?
Ryan Foley
Nenhuma. Chegando a ele do ponto de vista da rede pura, a Lei realmente não menciona nada fora do acima como controles, e mesmo aqueles são principalmente para aplicativos que lidam com relatórios financeiros. (Aplicativo) A segurança obviamente desempenha um papel importante para garantir que os resultados sejam precisos / não violados, mas em termos de troca / rota direta, não vejo a conexão. Como de costume, IANAL / YMMV
Benjamin Dale