<br><font size=2 face="sans-serif">Hello Trevor,</font>
<br>
<br><font size=2 face="sans-serif">Have you considered implementing a change
management solution for applications? In our environment, with few exceptions,
no developers have access above the development environment. Above development
we have testing, staging, and production. The developer's code is distributed
to the environments via the change management software, so they don't need
direct access. A system like this plus audits are the ideal situation.</font>
<br>
<br><font size=2 face="sans-serif">As for your suggestions:</font>
<br>
<br><font size=2 face="sans-serif">1. I agree</font>
<br><font size=2 face="sans-serif">2. I agree</font>
<br><font size=2 face="sans-serif">3. Not so sure; who will ensure sensitive
production data is not used in those environments. If there is sensitive
production data in development and staging, then you have to consider them
to be production equivalent systems. Another point, you may want security
team involved at these levels so when it does hit production they already
know the system and understand its security requirements.</font>
<br><font size=2 face="sans-serif">4. I agree</font>
<br>
<br><font size=2 face="sans-serif">fyi: The change control system we implemented
is CA's Allfusion harvest (if that is still what they call it).</font>
<br><font size=2 face="sans-serif"><br>
</font><font size=3>Phillip Maddux II<br>
Information Systems Auditor<br>
FIU - Office Of Internal Audit</font><font size=3 color=blue><u><br>
</u></font><a href=http://www.eng.fiu.edu/oia/><font size=3 color=blue><u>http://www.eng.fiu.edu/oia/</u></font></a><font size=3><br>
305-348-6969<br>
phillip.maddux@fiu.edu</font>
<p><font size=3><i>While there is little disagreement as to the productivity
benefits emanating from this amazing transformation and more readily available
information processing technology, the necessary controls to manage and
protect the assets associated with the new environment have not been so
readily agreed upon, or for that matter, even considered. <br>
<br>
This situation makes the need for the IT audit function more critical than
ever, and at the same time more difficult than ever. </i></font>
<p><font size=3><i>- http://www.dof.ca.gov/FISA/OSAE/AudtGuid.asp </i></font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>&quot;Trevor Odonnal&quot;
&lt;trevoro@byu.edu&gt;</b> </font>
<br><font size=1 face="sans-serif">Sent by: unisog-bounces@lists.dshield.org</font>
<p><font size=1 face="sans-serif">07/09/2007 01:23 PM</font>
<table border>
<tr valign=top>
<td bgcolor=white>
<div align=center><font size=1 face="sans-serif">Please respond to<br>
UNIversity Security Operations Group &lt;unisog@lists.dshield.org&gt;</font></div></table>
<br>
<td width=59%>
<table width=100%>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td><font size=1 face="sans-serif">&lt;unisog@lists.dshield.org&gt;</font>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td>
<tr valign=top>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td><font size=1 face="sans-serif">[unisog] Separation of Duties</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=2 face="Arial">Hello all,</font>
<br><font size=2 face="Arial">&nbsp;</font>
<br><font size=2 face="Arial">Here at BYU we are looking at a possible
solution to an issue that has been a problem for some time. &nbsp;Currently
our development, staging (testing), and production environments are more
or less mixed together. &nbsp;This means that the engineers (server, software,
and database) have the same authority and access to production systems
as they do to development and staging systems. &nbsp;This has led to an
ongoing problem with separation of duties. &nbsp;Lately there has been
an issue with Engineers handling access control and security functions
instead of the Operations Security team (of which I am a part). &nbsp;We
have suggested to upper management the following:</font>
<br><font size=2 face="Arial">&nbsp;</font>
<br><font size=2 face="sans-serif">1. &nbsp; &nbsp; &nbsp; &nbsp;</font><font size=2 face="Arial">Separate
Development, Staging, and Production environments into separate subnets.</font>
<br><font size=2 face="sans-serif">2. &nbsp; &nbsp; &nbsp; &nbsp;</font><font size=2 face="Arial">Separate
Development and Staging authentication trees from the Production authentication
tree.</font>
<br><font size=2 face="sans-serif">3. &nbsp; &nbsp; &nbsp; &nbsp;</font><font size=2 face="Arial">Allow
Engineers the right to maintain and manage security functions in the development
and staging environments as they see fit.</font>
<br><font size=2 face="sans-serif">4. &nbsp; &nbsp; &nbsp; &nbsp;</font><font size=2 face="Arial">Once
a server, platform, or application has been fully tested and placed into
production, all security functions and access control will be managed solely
by the Operations Security and Account Management groups.</font>
<br><font size=2 face="Arial">&nbsp;</font>
<br><font size=2 face="Arial">The idea here is to maintain a level of accountability
and separation of duties in the production environment. &nbsp;I have been
given the task of locating any other universities that may have put such
a strategy in place and open a dialogue with them to determine how this
change might affect us here at BYU. &nbsp;Is there anyone on this list
who has implemented a similar strategy to the one I have described above
that would be willing to share their experiences with us? &nbsp;Thanks
in advance to all who respond.</font>
<br><font size=2 face="Arial">&nbsp;</font>
<br><font size=2 face="Arial">Trevor O'Donnal CISSP, CCFE</font>
<br><font size=2 face="Arial">Network Security Analyst</font>
<br><font size=2 face="Arial">Brigham Young University</font>
<br><font size=2 face="Arial">(801) 422-1477</font>
<br><font size=2 face="Arial">trevoro@byu.edu</font>
<br><font size=3 face="Times New Roman">&nbsp;</font><font size=2><tt>_______________________________________________<br>
unisog mailing list<br>
unisog@lists.dshield.org<br>
https://lists.sans.org/mailman/listinfo/unisog</tt></font>
<br>