Necesito persuadir a "la administración" de que ejecutar dos o más aplicaciones críticas de negocios no relacionadas dentro de un único entorno de tiempo de ejecución compartido (es decir, una sola "línea de comando") es una idea realmente mala . El problema es que la administración no reconoce "la autoridad de los tipos de seguridad" (yo) y quiere que mi causa esté respaldada por alguna recomendación de una autoridad real como ISO, ISACA, NIST o cualquier otra carta de tres a cuatro letras. -Agencia.
¿Existe alguna "mejor práctica" o requisito definido en cualquiera de los estándares de seguridad que indique claramente que la ejecución de dos o más aplicaciones independientes y no relacionadas (como los procesos de base de datos) en un solo entorno de tiempo de ejecución compartido con el mismo UID es incorrecta? ?
Tenga en cuenta que lo sé es una mala idea y puedo encontrar muchas razones para respaldar esta afirmación, pero ninguna de ellas incluye una cita de "un estándar".