Nossa organização recentemente reestruturou a TI e separou os engenheiros de rede em novas funções, como arquiteto, engenheiro de implementação e engenheiro de suporte operacional.
Existem preocupações em torno da conformidade com a SOX e como / se implementaríamos controles apropriados para restringir o acesso ao ambiente de produção para o pessoal de nível de arquiteto, pois sua principal função é estratégia e planejamento. Meu entendimento é que os controles SOX para separação de tarefas são mais específicos para dados financeiros ou contábeis - e o acesso a (por exemplo) um banco de dados de produção somente para pessoal de desenvolvimento / controle de qualidade.
Quais são os requisitos SOX para acesso ao equipamento de rota / comutação / transporte? Onde a separação de tarefas se aplica aos engenheiros de rede?
fonte
Respostas:
Depois de passar por esse processo por alguns clientes agora, eu geralmente começaria assegurando que você implementou pelo menos os seguintes controles - observe que nenhum deles é específico para SOX, pois rota / switch / transporte geralmente não é reproduzido uma função nos relatórios financeiros, além do ponto de vista da disponibilidade pura:
Para responder à sua pergunta sobre o recurso do Architect ter acesso à rede de produção, não considero isso ditado pelos requisitos SOX.
Por outro lado, do ponto de vista da segurança, o Princípio do Menor Privilégio provavelmente se aplicaria e, portanto, uma conta somente leitura pode ser mais apropriada.
fonte