¿Es un problema tener más de una cuenta en un sistema de información desde el punto de vista de la seguridad?
Déjame aclarar un poco. Es un sistema bancario. Me pregunto si tener un CSO (oficial de servicio al cliente) con más de una cuenta asociada con él / ella (más de un nombre de usuario y contraseña para la misma tarea) resultaría en una violación de la seguridad. ¿Puedes ver una violación específica a este escenario?
Debería intentar minimizar el número de cuentas que tiene en un sistema, sin embargo, no estoy de acuerdo con Ralf en que las múltiples cuentas siempre son una mala idea.
Sí, si tiene un modelo de seguridad basado en dos conjuntos de ojos (proponer / aceptar), entonces varias cuentas subvierten esto. OTOH, no solo siempre tengo una cuenta de usuario en los sistemas que administro, deshabilito el acceso remoto para root. De esa manera, necesito tomar una decisión consciente para encender mis superpoderes.
Entonces, como de costumbre, la respuesta es que depende del modelo de seguridad.
Hay muchas ocasiones en que el uso de múltiples roles reduce dramáticamente el riesgo.
Por ejemplo, una persona que tiene acceso a un entorno de desarrollador, así como a un entorno de usuario normal. No querría a alguien con privilegios de desarrollo en el espacio de usuario, así que esperaría dos cuentas separadas: una que solo funciona en dev y otra que solo funciona en usuario. En este ejemplo, las actividades registradas pueden ser diferentes en cada entorno.
Para otro ejemplo, puede tener una persona que normalmente aumenta los pagos en su área, pero en ciertas ocasiones debe producir informes en varias áreas de pago. Usted puede proporcionarles un acceso de pago iniciado en un área, y ver solo el acceso en todas las áreas, o puede darles su cuenta normal para el rol del día, y otra específicamente para el rol de informe.
Si tiene varios roles disponibles para un individuo, usa una matriz de combinaciones tóxicas para asegurarse de que los roles que tienen no puedan usarse para subvertir los controles de 4 ojos, etc.
No es más difícil rastrear las acciones, siempre que supervise y registre todas las actividades que puedan presentar un riesgo.
Lea otras preguntas en las etiquetas user-management access-control privilege-escalation privileged-account