<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="PlaceType"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PlaceName"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PersonName"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:sans-serif;
        panose-1:0 0 0 0 0 0 0 0 0 0;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
tt
        {font-family:"Courier New";}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Phillip,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Thank you so much for your reply.&nbsp; We have
a change control process in place.&nbsp; Basically, the developers create the
project in the development environment.&nbsp; Once the product is ready for testing,
it is moved to the staging environment.&nbsp; There is no production level data
permitted in either development or staging.&nbsp; (Of course, policy and reality are
always two different things as I&#8217;m sure you&#8217;ve experienced.)&nbsp; Once
the product is ready for production, a change request is made to install the
new server if there is one, and install the software product.&nbsp; As part of the
change order, developers are given the necessary rights to accomplish the
installation.&nbsp; Once the installation is complete, only the rights necessary for
maintenance of the system are retained.&nbsp; At least that&#8217;s the plan.&nbsp; Right
now, the developers (engineers) handle all of the rights assignments for all
three environments and have a history of not relinquishing their privileges once
the install is complete.&nbsp; At this point, the developers control all account
management, logging, access control, and server administration.&nbsp; This has
created a situation where there is no accountability because we can&#8217;t
trust the log data and any audit information we receive comes directly from the
developers since they are the only ones with access to obtain it.&nbsp; We are
totally at their mercy.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>So, this leads me back to my primary
need.&nbsp; Upper management is open to change and even wants to implement it.&nbsp;
However, they would feel more comfortable if we could find another university
that has implemented similar procedures successfully.&nbsp; Based upon your reply,
it almost sounds to me like you have.&nbsp; Is this a correct assumption? &nbsp;Thanks
again for your time and help.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<div>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Trevor O'Donnal CISSP, CCFE</span></font><font
color=navy><span style='color:navy'><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Network Security Analyst</span></font><font
color=navy><span style='color:navy'><o:p></o:p></span></font></p>

<p class=MsoNormal><st1:place w:st="on"><st1:PlaceName w:st="on"><font size=2
  color=navy face=Arial><span style='font-size:10.0pt;font-family:Arial;
  color:navy'>Brigham</span></font></st1:PlaceName><font size=2 color=navy
 face=Arial><span style='font-size:10.0pt;font-family:Arial;color:navy'> <st1:PlaceName
 w:st="on">Young</st1:PlaceName> <st1:PlaceType w:st="on">University</st1:PlaceType></span></font></st1:place><font
color=navy><span style='color:navy'><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>(801) 422-1477</span></font><font
color=navy><span style='color:navy'><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>trevoro@byu.edu</span></font><o:p></o:p></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=3 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>
unisog-bounces@lists.dshield.org [mailto:unisog-bounces@lists.dshield.org] <b><span
style='font-weight:bold'>On Behalf Of </span></b>Phillip Maddux II<br>
<b><span style='font-weight:bold'>Sent:</span></b> Wednesday, July 11, 2007
7:18 AM<br>
<b><span style='font-weight:bold'>To:</span></b> <st1:PersonName w:st="on">UNIversity
 Security Operations Group</st1:PersonName><br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [unisog] Separation
of Duties</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br>
</span></font><font size=2 face=sans-serif><span style='font-size:10.0pt;
font-family:sans-serif'>Hello Trevor,</span></font> <br>
<br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>Have
you considered implementing a change management solution for applications? In
our environment, with few exceptions, no developers have access above the
development environment. Above development we have testing, staging, and
production. The developer's code is distributed to the environments via the
change management software, so they don't need direct access. A system like
this plus audits are the ideal situation.</span></font> <br>
<br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>As
for your suggestions:</span></font> <br>
<br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>1.
I agree</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>2.
I agree</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>3.
Not so sure; who will ensure sensitive production data is not used in those
environments. If there is sensitive production data in development and staging,
then you have to consider them to be production equivalent systems. Another
point, you may want security team involved at these levels so when it does hit
production they already know the system and understand its security
requirements.</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>4.
I agree</span></font> <br>
<br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>fyi:
The change control system we implemented is CA's Allfusion harvest (if that is
still what they call it).</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'><br>
</span></font>Phillip Maddux II<br>
Information Systems Auditor<br>
FIU - Office Of Internal Audit<u><font color=blue><span style='color:blue'><br>
</span></font></u><a href="http://www.eng.fiu.edu/oia/">http://www.eng.fiu.edu/oia/</a><br>
305-348-6969<br>
phillip.maddux@fiu.edu <o:p></o:p></p>

<p><i><font size=3 face="Times New Roman"><span style='font-size:12.0pt;
font-style:italic'>While there is little disagreement as to the productivity
benefits emanating from this amazing transformation and more readily available
information processing technology, the necessary controls to manage and protect
the assets associated with the new environment have not been so readily agreed
upon, or for that matter, even considered. <br>
<br>
This situation makes the need for the IT audit function more critical than
ever, and at the same time more difficult than ever. </span></font></i><o:p></o:p></p>

<p style='margin-bottom:12.0pt'><i><font size=3 face="Times New Roman"><span
style='font-size:12.0pt;font-style:italic'>-
http://www.dof.ca.gov/FISA/OSAE/AudtGuid.asp </span></font></i><br>
<br>
<o:p></o:p></p>

<table class=MsoNormalTable border=0 cellspacing=3 cellpadding=0 width="100%"
 style='width:100.0%'>
 <tr>
  <td width="40%" valign=top style='width:40.0%;padding:.75pt .75pt .75pt .75pt'>
  <p class=MsoNormal><b><font size=1 face=sans-serif><span style='font-size:
  7.5pt;font-family:sans-serif;font-weight:bold'>&quot;Trevor Odonnal&quot;
  &lt;trevoro@byu.edu&gt;</span></font></b><font size=1 face=sans-serif><span
  style='font-size:7.5pt;font-family:sans-serif'> </span></font><br>
  <font size=1 face=sans-serif><span style='font-size:7.5pt;font-family:sans-serif'>Sent
  by: unisog-bounces@lists.dshield.org</span></font> <o:p></o:p></p>
  <p><font size=1 face=sans-serif><span style='font-size:7.5pt;font-family:
  sans-serif'>07/09/2007 01:23 PM</span></font> <o:p></o:p></p>
  <table class=MsoNormalTable border=1 cellspacing=3 cellpadding=0>
   <tr>
    <td valign=top bgcolor=white style='background:white;padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal align=center style='text-align:center'><font size=1
    face=sans-serif><span style='font-size:7.5pt;font-family:sans-serif'>Please
    respond to<br>
<st1:PersonName w:st="on">UNIversity Security Operations Group</st1:PersonName>
    &lt;unisog@lists.dshield.org&gt;</span></font><o:p></o:p></p>
    </td>
   </tr>
  </table>
  <p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'><o:p></o:p></span></font></p>
  </td>
  <td width="59%" valign=top style='width:59.0%;padding:.75pt .75pt .75pt .75pt'>
  <table class=MsoNormalTable border=0 cellspacing=3 cellpadding=0 width="100%"
   style='width:100.0%'>
   <tr>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal align=right style='text-align:right'><font size=1
    face=sans-serif><span style='font-size:7.5pt;font-family:sans-serif'>To</span></font><o:p></o:p></p>
    </td>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal><font size=1 face=sans-serif><span style='font-size:
    7.5pt;font-family:sans-serif'>&lt;unisog@lists.dshield.org&gt;</span></font>
    <o:p></o:p></p>
    </td>
   </tr>
   <tr>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal align=right style='text-align:right'><font size=1
    face=sans-serif><span style='font-size:7.5pt;font-family:sans-serif'>cc</span></font><o:p></o:p></p>
    </td>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal><font size=3 face="Times New Roman"><span
    style='font-size:12.0pt'><o:p>&nbsp;</o:p></span></font></p>
    </td>
   </tr>
   <tr>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal align=right style='text-align:right'><font size=1
    face=sans-serif><span style='font-size:7.5pt;font-family:sans-serif'>Subject</span></font><o:p></o:p></p>
    </td>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal><font size=1 face=sans-serif><span style='font-size:
    7.5pt;font-family:sans-serif'>[unisog] Separation of Duties</span></font><o:p></o:p></p>
    </td>
   </tr>
  </table>
  <p class=MsoNormal><font size=3 face="Times New Roman"><span
  style='font-size:12.0pt'><o:p>&nbsp;</o:p></span></font></p>
  <table class=MsoNormalTable border=0 cellspacing=3 cellpadding=0>
   <tr>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal><font size=3 face="Times New Roman"><span
    style='font-size:12.0pt'><o:p>&nbsp;</o:p></span></font></p>
    </td>
    <td valign=top style='padding:.75pt .75pt .75pt .75pt'>
    <p class=MsoNormal><font size=3 face="Times New Roman"><span
    style='font-size:12.0pt'><o:p>&nbsp;</o:p></span></font></p>
    </td>
   </tr>
  </table>
  <p class=MsoNormal><font size=3 face="Times New Roman"><span
  style='font-size:12.0pt'><o:p></o:p></span></font></p>
  </td>
 </tr>
</table>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'><br>
<br>
<br>
</span></font><font size=2 face=Arial><span style='font-size:10.0pt;font-family:
Arial'>Hello all,</span></font> <br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>&nbsp;</span></font>
<br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>Here
at BYU we are looking at a possible solution to an issue that has been a
problem for some time. &nbsp;Currently our development, staging (testing), and
production environments are more or less mixed together. &nbsp;This means that
the engineers (server, software, and database) have the same authority and
access to production systems as they do to development and staging systems.
&nbsp;This has led to an ongoing problem with separation of duties.
&nbsp;Lately there has been an issue with Engineers handling access control and
security functions instead of the Operations Security team (of which I am a
part). &nbsp;We have suggested to upper management the following:</span></font>
<br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>&nbsp;</span></font>
<br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>1.
&nbsp; &nbsp; &nbsp; &nbsp;</span></font><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>Separate Development, Staging, and
Production environments into separate subnets.</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>2.
&nbsp; &nbsp; &nbsp; &nbsp;</span></font><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>Separate Development and Staging
authentication trees from the Production authentication tree.</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>3.
&nbsp; &nbsp; &nbsp; &nbsp;</span></font><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>Allow Engineers the right to
maintain and manage security functions in the development and staging
environments as they see fit.</span></font> <br>
<font size=2 face=sans-serif><span style='font-size:10.0pt;font-family:sans-serif'>4.
&nbsp; &nbsp; &nbsp; &nbsp;</span></font><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>Once a server, platform, or
application has been fully tested and placed into production, all security
functions and access control will be managed solely by the Operations Security
and Account Management groups.</span></font> <br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>&nbsp;</span></font>
<br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>The
idea here is to maintain a level of accountability and separation of duties in
the production environment. &nbsp;I have been given the task of locating any
other universities that may have put such a strategy in place and open a
dialogue with them to determine how this change might affect us here at BYU. &nbsp;Is
there anyone on this list who has implemented a similar strategy to the one I
have described above that would be willing to share their experiences with us?
&nbsp;Thanks in advance to all who respond.</span></font> <br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>&nbsp;</span></font>
<br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>Trevor
O'Donnal CISSP, <st1:place w:st="on"><st1:PlaceName w:st="on">CCFE</st1:PlaceName><font
 size=3 face="Times New Roman"><span style='font-size:12.0pt;font-family:"Times New Roman"'>
 <br>
 </span></font><st1:PlaceName w:st="on">Network</st1:PlaceName> <st1:PlaceName
 w:st="on">Security</st1:PlaceName> <st1:PlaceName w:st="on">Analyst</st1:PlaceName><font
 size=3 face="Times New Roman"><span style='font-size:12.0pt;font-family:"Times New Roman"'>
 <br>
 </span></font><st1:PlaceName w:st="on">Brigham</st1:PlaceName> <st1:PlaceName
 w:st="on">Young</st1:PlaceName> <st1:PlaceType w:st="on">University</st1:PlaceType></st1:place></span></font>
<br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>(801)
422-1477</span></font> <br>
<font size=2 face=Arial><span style='font-size:10.0pt;font-family:Arial'>trevoro@byu.edu</span></font>
<br>
&nbsp;<tt><font size=2 face="Courier New"><span style='font-size:10.0pt'>_______________________________________________</span></font></tt><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'><br>
<tt><font face="Courier New">unisog mailing list</font></tt><br>
<tt><font face="Courier New">unisog@lists.dshield.org</font></tt><br>
<tt><font face="Courier New">https://lists.sans.org/mailman/listinfo/unisog</font></tt></span></font>
<o:p></o:p></p>

</div>

</body>

</html>