Tengo una situación en la que mi empleador tiene un contrato de soporte con un proveedor para una aplicación que usamos. Esta aplicación se ejecuta en un servidor (Windows 2008 R2) que no almacena ni tiene acceso a ninguna información que yo consideraría confidencial para las empresas o que requiera una seguridad estricta como tarjeta de crédito, PII o registros relacionados con la salud. Este proveedor cuenta con personal de soporte que brinda asistencia a cientos de clientes con este tipo de sistema.
La pregunta se refiere a si obligar o no a cada contacto de soporte de proveedores a tener sus propias credenciales para acceder a este sistema a través de VPN y RDP, o permitirles compartir una sola cuenta de soporte de proveedores genéricos. Hasta ahora hemos creado cuentas de usuario individuales para dos de sus contactos de soporte.
El proveedor solicita una cuenta genérica compartida para VPN y acceso a escritorio remoto en lugar de cuentas individuales para ayudar a acelerar el soporte. Comprensiblemente, a nuestro departamento de seguridad de TI no le gusta esto porque dificulta el acceso a la auditoría y las acciones si no podemos vincularlo a una persona específica. Por otro lado, puedo ver el punto de vista del proveedor donde tienen cientos de clientes y muchas personas diferentes que brindan soporte. Si cada asociado de soporte necesita una cuenta en el sistema de cada cliente, es un gran problema para la administración de credenciales.
También puedo ver situaciones en las que el soporte remoto se retrasará con el vencimiento inevitable de las contraseñas, bloqueos de cuentas, etc., ya que un asociado de soporte de proveedores específico solo inicia sesión en los sistemas rara vez.
¿Existen las mejores prácticas para abordar este tipo de situación?
¿Cambia la respuesta si otros sistemas de la empresa, no relacionados con este sistema en particular, contienen datos que deben mantenerse altamente seguros?