KİMLİK SİZSİNİZ!

KİMLİK SİZSİNİZ!

Cemile Denerel Başak, Platin Bilişim Bilgi Güvenliği Takım Lideri

Günümüzde kimlik ve erişim yönetimi kurumlar için ciddi önem arz eden bir konudur. Özellikle günümüzde Kişisel Verilerin Korunması ile ilgili yayınlanan tedbirler arasında yer almasından dolayı bir o kadar daha önemini artırmıştır.

Kimlik ve Erişim Yönetimi Nedir?

Bilgi işlem içerisinde yer alan kullanıcı kimliklerinin (etki alanı, işletim sistemi, kurumsal uygulama, e-posta vb. hesaplar) birbirileri ile ilişkilerinin tanımlanması ve merkezi olarak yönetilmesine olanak sağlar. Kullanıcı hesaplarının yaşam döngüsü içerisinde meydana gelen değişikliklerin (hesap oluşturma, silme, rol atama, grup oluşturma, yetkilendirme, erişim denetimi sağlama, şifre yönetimi vb. işlemler) tek bir noktadan yönetilen sistemdir.

Kimlik Yönetimi, bir kurumun BT sistemi içindeki tüm varlıkların (kullanıcılar, gruplar, bilgisayarlar, sunucular, ağ cihazları) kimlik bilgilerinin oluşturularak, yaşam döngüsü içinde oluşan değişikliklerin güncellenmesi ve organizasyon içindeki tüm kaynaklara erişimin tek bir noktadan kişilerin kimlik bilgilerine dayalı olarak onaylı ve yasalara ve standartlara uyumlu bir şekilde gerçekleştirilmesi işlemlerinin tümünü içermektedir. Kimlik Yönetimi; bir kurumda veya uygulamada herhangi bir kullanıcıya ait bilgilerin, hakların ve yetkilerin belirlenmesi, tanımlanması ile bunların mevzuatlara, standartlara uygun ve uyumlu, teknik olarak güvenli ve idari açıdan doğru bir şekilde, anlık ve süreklilik içinde, doğru teknolojilerle düzenli olarak yüksek kaliteli ve performanslı bir şekilde kullanışlı güvenlik anlayışıyla yürütülmesidir.

Kimlik yönetimi, iş yapmayı kolaylaştırmak, verimliliği arttırmak, güvenlik risklerini en aza indirmek, yasal düzenlemelere ve standartlara uyumlu olmak, güvenli kayıt tutmak, tasarruf sağlamak gibi özellikleriyle kurumlara önemli faydalar sağlamaktadır.

Kimlik Yönetimi çözümleri kurumlarda bir yandan e-iş süreçlerinin güvenliğini, verimliliğini ve kalitesini arttırırken, bilgiye ve kaynaklara erişimin kontrolünü etkin bir şekilde sağlayarak, maliyetleri düşürüyor; yasalara ve ilgili mevzuata uyumluluk konusunda işletmelere önemli faydalar sağlıyor.

Kimlik ve Erişim Yönetimi Olmayan Sistemde Yaşanmakta Olan Sıkıntılar

• Bilgi işlem üzerinde kullanıcı yönetim işlemlerine mesai harcanması
• Şifrelerin Unutulması
• Kurumdan ayrılan kullanıcı hesaplarının silinmesinde zorluklarla karşılaşılması
• Farklı sistemlerde yer alan kullanıcı bilgilerinin zaman içerisinde farklılaşması
• Sistem hesaplarının yönetilememesi
• Yapılan işlemlerin kayıt altına alınamaması
• Hesap ve yetkilerin raporlanamaması

Kimlik ve Erişim Yönetimi Olmadan iş süreçleri:

Neden Kimlik ve Erişim Yönetime İhtiyaç Duyulur?

• Yeni işe giren kullanıcı için oluşturulması gereken hesaplar
• İşten çıkan kullanıcı için silinmeyen hesaplar
• Görev değişikliği sırasında yapılması gereken yetki değişiklikleri
• Kullanıcıların şifrelerini yönetememeleri
• Yetki verme işleminin iş akışı üzerinden yapılamaması
• Kayıt verisinin tutulmaması
• Raporlama ihtiyaçları
• Uygulanması zorunlu olan politikalar (ISO 27001 , KVKK, GDPR, KOBİT vb.)

Kimlik ve Erişim yönetim sistemleri genel olarak aşağıdaki fonksiyonların gerçekleşmesini sağlar:

• Şifre(Password) yönetimi
• Hesap(Account) yönetimi
• Profil(Profile) yönetimi
• Dizin(Directory) yönetimi
• Single sign-on

Kimlik ve Erişim Yönetim Sistemi Riskleri

• Kimlik yönetim sisteminin kontrolünü ele geçiren saldırganlar, en üst düzey yetkilerle sistem içerisinde olur.
• Bir şekilde silinen kimliklerin tekrar oluşturulması maliyetli ve zaman alıcı olabilir.
• Kimlik yönetim sistemlerinin performansının aşılması iş sürekliliğini tehlikeye atar.
• Zafiyetler nedeni ile kimlik yönetim sistemine sızma olursa uyumluluk ilkeleri ihlal edilmiş olur.

Kimlik Yönetim Sistemi Faydaları

• İnsan Kaynakları (İK) gibi sistemlerden gelen kayıtlar ile otomatik ve hızlı hesap açma (doğru bilgiler ile ve veri giriş hatası olmadan)
• Hesapları otomatik, zamanında ve hızlı kapatma
• Kişilere birden çok hesap tanımlanması
• Şifre unutma ve sıfırlama süreçleri
• Ayrılan personelin hesaplarının açık unutulması (eposta, domain, core sistem hesapları)
• Kimin, hangi sisteme, hangi yetki ile erişimi olduğuna dair raporlama sorunlarını ortadan kaldırması
• Veri kalitesinin artması
• Denetim süreçlerinin hızlandırılması (hem sıklık olarak hem de denetimin süresi olarak)
• Yetkilerin, talep-onay iş akışları ile daha kontrollü verilmesi ve izlenebilmesi
• Şifrelerin Admin’ler tarafından bilinmemesi, sıfırlama aşamasında doğru kişiye gittiğinden emin olunması
• Kaçak hesapların veya rollerin tespit edilmesi
• Yanlışlıkla yetki vermenin engellenmesi
• Active Directory şifresi değiştiğinde istenen sistemlere bu şifrenin senkronize edilmesi
• Hesap açıldığında, kapandığında, şifre değiştiğinde veya kritik yetki atamalarında hesap sahibi veya yöneticilere anında bilgilendirme sağlanması
• Hesap ve şifre politikalarının tüm birimler ve sistemler bazında uygulanabilir olması
• Kullanıcı işlemleri (oluşturma, silme, yetki verme, şifre değiştirme)
• Grup işlemleri (oluşturma, silme, kullanıcıları gruba atama)
• Rol bazlı kullanıcı yönetimi, dinamik rol yapısı
• Merkezi şifre yönetimi
• Gizli soru ile şifre resetleme
• İş akışları içerisinde işlem yapma
• Geçici yetki devri
• Kullanılmayan hesapların süreleri sonunda yetkisizleştirilmesi
• İşlemleri kayıt altına alma ve raporlama
• Kontrol düzeylerini maksimuma çıkarmaya yardımcı olur.
• Performans ve esneklik sağlanırken yüksek güvenlik standartlarına uyulur.
• Kimlik yönetim sistemi güvenliği için yönetim, uyumluluk ve denetim genişçe açıklanmalıdır.
• Daha güvenilir politikalar ve modeller ortaya çıktığında uygulanabilir.

Kimlik ve Erişim Yönetimi Mevcutken iş süreçleri: