Szét kell választani a szerepköröket, még ha fáj is

A feladat- és szerepkörök szétválasztása a biztonság szempontjából elengedhetetlen feladat a vállalatok, szervezetek berkein belül.
 

Akár komoly pénzügyi károktól is megvédheti a vállalatot, ha pontosan szabályozza és szétválasztja a feladat-, illetve szerepköröket, és minden alkalmazott csak a munkájához szükséges, legalacsonyabb szintű hozzáférésekkel rendelkezik. Ezek felülvizsgálata és naprakészen tartása bonyolult, hosszadalmas folyamat lehet, de a NetIQ szakértői szerint megfelelő eszközökkel azért egyszerűbbé tehető.
 
Egyre több vállalatnál alkalmaznak olyan megközelítést, mely szerint elkülönítik a feladatköröket (Separation of Duties, Segregation of Duties - SoD), így több személy szükséges az egyes feladatok jóváhagyásához és elvégzéséhez, ami megosztja a felelősséget. Első ránézésre ez akár bonyolultabbá is teheti a folyamatokat, azonban elősegíti a szervezet biztonságos működését.
 
Jól szemlélteti a feladatkörök elkülönítésének fontosságát például az új számítógépek vállalati beszerzése. Ebben a folyamatban ideális esetben legalább hárman vesznek részt a cégnél: egy pénzügyes munkatárs, aki jóváhagyja és kifizeti az összeget a termékekért; egy másik személy ugyanazon az osztályon, aki jogosult új szállítókat és új számlákat felvinni a rendszerbe, illetve egy olyan alkalmazott, jellemzően az IT-részlegről, aki jogosult kiválasztani a szállítót és magát az árut.
 
Úgy tűnhet, hogy gyorsabb a folyamat, ha az első két szerepet egy személy látja el, tehát ugyanaz a munkavállaló gondoskodik az új szállító regisztrálásáról, illetve a számla kezeléséről és felviteléről is. Ebben a helyzetben viszont több a hibaforrás, és visszaélésre is nagyobb a lehetőség. Nincs ugyanis egy másik "kontrollszemély", aki észrevehetné, ha hibás tétel szerepel a számlán, vagy nem megfelelő beszállító kerül be a rendszerbe.
 
Erre az egyik legjobb, a való életből származó példa az az eset, amely az ABB energiaellátással és automatizálással foglalkozó vállalat dél-koreai egységénél történt még tavaly. Egy alkalmazott összesen több mint 100 millió dollárt lopott el a cégtől hamis dokumentumok, illetve külső tettestársak segítségével. A vezetőség később maga is megállapította az incidens vizsgálata során, hogy nem voltak megfelelően elkülönítve a feladat- és a szerepkörök a pénzügyi részlegen.
 
Minden vállalatnál több alkalmazott dolgozik számtalan különféle munka- és szerepkörben, ezért valóban nehéz átlátni, hogy mi mindenhez rendelkeznek hozzáféréssel, és ez milyen véletlen vagy szándékos károkozáshoz vezethet. Ezért a szervezeteknek érdemes feltérképezniük, hogy milyen érzékeny tranzakciók és folyamatok lehetnek veszélynek kitéve, és melyek esetében jelenthet különösen nagy kockázatot, ha valakit túlságosan széles körű jogosultságokkal ruháznak fel.
Érdemes minden egyes, érzékenyebb tranzakció vizsgálatakor feltenni a kérdést, hogy "Mi sülhet el balul az egyes lépéseknél?", így pontosan átláthatjuk a lehetséges negatív hatásokat. Azt is célszerű megvizsgálni, hogy a meglévő jogosultságok lehetőséget biztosítanak-e valamilyen visszaélésre az adott felhasználónál, illetve előfordulhat-e, hogy külsős csalók egyszerűen, akár egyetlen ember becsapásával is képesek kicsikarni egy nagyobb összeget a vállalattól.
 
A kockázatok értékelését a cégek manuálisan is elvégezhetik a hozzáféréseket tartalmazó jelentések és táblázatok átvizsgálásával, de igénybe vehetnek automatizált azonosság- és hozzáféréskezelési rendszert is.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség