Si un personal superior tiene autoridad para realizar cambios en los registros financieros de una organización, puede sacar el dinero de la organización que es operada por personal subalterno. ¿Se puede implementar RBAC para detener esto?
RBAC no puede impedir directamente que un usuario haga algo malo si debe poder realizar una acción con el potencial del mal como parte de su función de trabajo. Por ejemplo, si el miembro principal del personal tiene la necesidad de mover dinero con los presupuestos del personal subalterno porque fija las asignaciones entre los miembros del personal subalterno, entonces es muy probable que mueva el dinero para beneficiarse de alguna manera nefasta, desde que se mudó. El dinero es una herramienta muy poderosa.
Las formas comunes de protección que usan RBAC son un poco más sutiles que simplemente "no dejes que lo haga".
Una solución que puede funcionar es separar el trabajo en tareas para que varias personas tengan que conspirar para cometer un fraude. Por ejemplo, otorgue a Sr. Executive el derecho a mover dinero, pero no a crear cuentas. Haga la creación de la cuenta en el ámbito de un equipo diferente o un jefe más grande que no puede también mover dinero. Ahora el personal senior puede transferir dinero, pero no a una cuenta personal.
Otro enfoque similar sería requerir la aprobación de las transacciones. A veces hay un grupo dedicado de aprobadores que tampoco pueden iniciar la transacción. Y otras veces es solo que otra persona w. se requiere el mismo privilegio para revisar el trabajo por pares.
Haga que el personal superior se tome vacaciones cada año. Durante ese tiempo, elimine el rol de su cuenta y colóquelo en el de otra persona (su suplente); deje que su suplente obtenga acceso a TODO (incluidos los registros), y deje que la persona realice una revisión del comportamiento del personal superior.
Cree un rol separado para los auditores que ven el historial de todas las transacciones. Haga que revisen las acciones de la persona mayor y asegúrese de que no suceda nada inapropiado.
Asegúrese de que senior no tenga acceso de escritura / eliminación a estos registros de auditoría, por lo que no puede cambiarlos. Ponga la lógica de negocios en su lugar para asegurarse de que la función de auditoría no se pueda conectar a ninguna otra función con acceso a cambios en el sistema.
Esos son los clásicos.
1 & 2 evitar el mal uso de privilegios.
3 & 4 rastrea si el uso indebido se produce alguna vez, el elemento disuasivo se convierte en la severidad de la pena
Lea otras preguntas en las etiquetas rbac