Demo İste

Erişim Kontrolü ve Yetkilendirme

Güvenlik ve Sertifikalar | 28 Ağu. 2020

Kurum ve kuruluşlarda veri güvenliği için erişim kontrolü, yetkilendirme önemli bir yapı taşıdır. Yetki seviyeleri, rolleri doğru planlamak, doğru kişileri, doğru rollere atamak kritik öneme sahiptir. Sürecin planlanmasında, rollere doğru arayüz ve fonksiyonları tanımlamak sürecin özüdür.

Güncel Bloglar

SaaS (Hizmet Olarak Yazılım) Nedir ve Neden Önemlidir?

12 Kas. 2024

ASYU 2024’te En İyi Bildiri Ödülünü Kazandık!

6 Kas. 2024

CRM BPM ve ERP’nin Farkları Nelerdir?

5 Kas. 2024

Türkiye’nin Önde Gelen Fintech Şirketi: ininal’ın Başarı Hikayesi

23 Eki. 2024

ERP (Kurumsal Kaynak Planlama) Nedir?

23 Eyl. 2024

Müşteri Hizmetleri Yönetiminde Yeni Bir Dönem: Next4biz’in Yenilikçi Yaklaşımı

5 Eyl. 2024

Online Toplantı
Planlayın

Her kullanıcı her kaynağa erişememelidir. Temel prensip, yetkili olunan bilgiye, yetkisi kadarı ile ve yetkisi süresince erişim sağlamaktır. Kullanıcıların erişebileceği kaynaklar belirlenmeli, ait olacakları roller için yetkilendirilme planlaması yapılmalıdır.

Kullanıcının kaynağa erişim talebinin erişim kontrol protokolü ile kontrol edilmesi, yetki sahibi kullanıcının erişim talebine izin verilmesi aksi durumda talebin reddedilmesi süreci önemlidir. Yetkilendirme yapılmadan önce yetkiyi verme ön koşullarının yerine getirilip getirilmediği netleştirilmeli, prosedürün tamamlandığı kesinleştirilmelidir.

Erişim Kontrolü / Yetkilendirme Nedir?

Yetkilendirme kullanıcının hangi verilere erişebileceği ve hangi işlemleri gerçekleştirebileceğini belirleyen sürecin çıktılarından biridir. Kaynak bilgi güvenliği erişim kontrolü ile sağlanır. Erişim hakları bir sistem tarafından desteklenen çeşitli erişim işlemlerini temsil eder: Okuma, yazma, ekleme, çalıştırma, silme, arama, sahip değiştirme, izinleri değiştirme gibi. Yetkilendirme kararları erişime izin verme, erişimi sınırlama, erişimi önleme ve erişimi iptal etme seçeneklerini içerir.

Erişim Kontrol Politikası

Erişim kontrolü işlevselliğinin tutarlı bir şekilde tasarlanması ve uygulanması için erişim kontrol politikalarına ihtiyaç duyulmaktadır. SaaS (Software As a Service) uygulamalarında mimarlar, tasarımcılar, kullanıcılarına; erişim kontrol ve yetkilendirme için güvenlik gereksinimlerini tanımlar. Bu gereksinimlerin, kullanıcılar tarafından doğru yetki politikaları şeklinde içselleştirilmesi, süreçlerinin oluşturulması gerekir.

Rol Tabanlı Erişim Kontrolü

Rol tabanlı erişim kontrolünde erişim hak ve kararları, bireyin işletme içindeki rol ve sorumluluklarına göre şekil alır. Çalışan rolleri güvenlik amacıyla işletmenin genel yapısı ve amaçları analiz edilerek tanımlanır. Kullanıcı birey, daha yetkili bireyin eriştiği kayaklara erişememelidir. Çalışan kendi işi için ihtiyaç duyduğu kaynağa, işini gerçekleştirecek yetkide erişmelidir. Yetkiler, periyodik olarak kontrol edilmelidir. Yetkilendirme süreçlerinde bir rol tabanlı erişim kontrolü çerçevesi, SaaS uygulamasının kurumunuzdaki güvenlik yöneticilerine, kimin hangi eylemleri, ne zaman, nerede, hangi sırada ve hangi durumlarda, hangi ilişkisel koşullar altında gerçekleştirdiğini izleme yeteneği sağlamalıdır.

“Outsourcing/Dış Kaynak Kullanımı Yoluyla Hizmet Satın Alınması”

İşlenen veri ve uygulamanın, “Outsourcing/Dış Kaynak Kullanımı Yoluyla Hizmet Satın Alınması” şeklinde kullandırılması durumunda, “Gizlilik Sözleşmesi” düzenlenmesi son derece önem arz etmektedir, yetkilendirme gerçekleştirilmeden önce tüm süreçlerin hizmet sözleşmelerinin imzalanmış olması kritik öneme sahiptir.

Kurumsal bilgi yönetim sistemi kapsamında bilgi işlem hizmet ve faaliyetleriyle ilgili yapılacak her türlü çalışma dolayısıyla kurumun yüklenici firmaya işle ilgili vereceği gizli bilgiler ile yüklenici tarafından herhangi bir şekilde öğrenilecek gizli bilgilerin ve/veya yükleniciden alınacak olan gizli bilgilerin gizlilik sözleşmesi kapsamında belirtilen şartlar ve taahhütler altında gizli tutulabilmesi bakımından “Gizlilik Sözleşmesi “nin düzenlenmesi yerinde olacaktır.

Böylece, tarafların birbirlerinden, çalışanlarından yardımcılarından ve ilgili diğer üçüncü taraflardan yazılı veya sözlü edindikleri, gizli olduğu açıkça ifade edilen veya edilmeyen, işle ve taraflarla ilgili ticari olup olmadığına bakılmaksızın her türlü gizli bilginin; güvenliği, bütünlüğü, erişebilirliği daha fazla güvence altına alınabilecektir. Çalışanlara farkındalık duyurularının yapılması, güvenlik taahhütnamelerinin imzalatılması önemlidir.

Farklı Grupların Yetkilendirilmesi & Ayrıcalıklı Hesap Kontrolü

Yetki verilmesi süreci derecelendirilen bir yapıdadır. Yetki vermeye yetkili kullanıcıların yetkilerine azami özen gösterilmelidir. Yetkilendirme konusunda bir segmentasyon söz konusu ise bu aşamada her bir segmente/gruba ait bilgilerin, diğer gruplara ait kullanıcılar tarafından görülmemesi gerekmektedir. Bu ayrıcalıklı hesap yönetimidir. Bu yetkileri tanımlama hakkı ayrıcalıklı bir hesaba tanımlanmış ve yönetişimi SaaS uygulamalarında sizlere tanımlanmıştır. Bu yetkilendirmeleri doğru yapmamak, verilerinin kaybına, yetkisiz kişilerin eline geçmesine sebebiyet verebilir. Sorumluluğun sizlerde olduğunu unutmayınız.

Görev tanımlarının açık ve net şekilde yazılı olarak ortaya konması sağlanmalı ve yapılacak iç denetim ve gözden geçirmelerle yetkiler kontrol edilmelidir.

Görev tanımına uygun yetkilendirme yapılmalıdır.

Kullanıcı Hesapları ve Hakları;

Kurulumla gelen varsayılan kullanıcı hesapları ve şifrelere dikkat edilmelidir. Uzun süre kullanılmayan hesaplar, kurumdan ayrılan personelin hesapları, gereğinden fazla yetki verilen hesaplar mutlaka takip edilmeli, kullanılmayan hesaplar kaldırılmalıdır. Kullanıcılara şifre politikası belirlenmeli ve bu politikaya uyma zorunluluğu getirilmeli, şifre politikalarının yeterliliği irdelenmelidir.

Yetkilendirilmiş Erişim;

Yetkilendirmenin hangi konuda ve nasıl yapıldığı, yetkilendirilmeye dair yetkili makamdan onay alınarak yazılı görevlendirme yapılıp yapılmadığı, yetkilendirilmiş kişinin zaman içerisinde görev yeri değişikliği halinde yetkilendirmenin iptali ve yeniden yetkilendirmede bulunulup bulunulmadığı hususlarının risk teşkil eden hususlar olarak ele alınması gerektiği açıktır. Kurumlarda yetkilendirilmiş personel listesinin sık sık gözden geçirilmesi, güncellenmesi ve yetkilendirilmiş personelin görev yeri değişikliğinden anında haberdar olunması için insan kaynakları departmanları ile koordineli hareket edilmesi sağlanmalıdır.

Görev-Yetki ve Sorumlulukla ilgili Rollerin Belirlenmesi; Yetkisiz işlemlerin gerçekleştirilmemesini sağlayabilmek bakımından veri tabanı kullanıcılarının yetki ve sorumlulukları ve üstlendikleri idari rolleri ile ilgili görev tanımlarının açık ve net yazılı olarak ortaya konması sağlanmalı ve yapılacak denetimlerle bu durum kontrol edilmelidir. Veri ihlallerinin KVKK gibi mevzuatlar açısından cezai müeyyidelere tabii olduğu unutulmamalıdır.

Gürkan Platin

Hacettepe Üniversitesi Yönetim ve Organizasyon mezunu olan Gürkan Platin, sırasıyla Mensan, Citibank, Garanti Bankası ve Kredi Kayıt Bürosu’nda çeşitli pozisyonlarda yöneticilik yapmıştır. Platin, 1996 yılından beri blog yazmaktadır ve makaleleri çeşitli ulusal ve uluslararası yayınlarda yayınlanmaktadır.

Blog

SaaS (Hizmet Olarak Yazılım) Nedir ve Neden Önemlidir?

Sitemizdeki deneyimi iyileştirmek ve hizmetlerimizi daha yüksek kalitede sunabilmek için yasal düzenlemelere uygun çerezler (cookies) kullanıyoruz. "Anladım" butonuna tıklayarak çerez politikamızı kabul etmiş oluyorsunuz. Çerez tercihlerinizi düzenlemek için "Ayarlar" a gidebilirsiniz.