Erişim Kontrolü ve Yetkilendirme

Kullanıcının kaynağa erişim talebinin erişim kontrol protokolü ile kontrol edilmesi, yetki sahibi kullanıcının erişim talebine izin verilmesi aksi durumda talebin reddedilmesi süreci önemlidir. Yetkilendirme yapılmadan önce yetkiyi verme ön koşullarının yerine getirilip getirilmediği netleştirilmeli, prosedürün tamamlandığı kesinleştirilmelidir.

Erişim Kontrolü / Yetkilendirme Nedir?

Yetkilendirme kullanıcının hangi verilere erişebileceği ve hangi işlemleri gerçekleştirebileceğini belirleyen sürecin çıktılarından biridir. Kaynak bilgi güvenliği erişim kontrolü ile sağlanır. Erişim hakları bir sistem tarafından desteklenen çeşitli erişim işlemlerini temsil eder: Okuma, yazma, ekleme, çalıştırma, silme, arama, sahip değiştirme, izinleri değiştirme gibi. Yetkilendirme kararları erişime izin verme, erişimi sınırlama, erişimi önleme ve erişimi iptal etme seçeneklerini içerir.

Erişim Kontrol Politikası

Rol Tabanlı Erişim Kontrolü

Rol tabanlı erişim kontrolünde erişim hak ve kararları, bireyin işletme içindeki rol ve sorumluluklarına göre şekil alır. Çalışan rolleri güvenlik amacıyla işletmenin genel yapısı ve amaçları analiz edilerek tanımlanır.  Kullanıcı birey, daha yetkili bireyin eriştiği kayaklara erişememelidir. Çalışan kendi işi için ihtiyaç duyduğu kaynağa, işini gerçekleştirecek yetkide erişmelidir. Yetkiler, periyodik olarak kontrol edilmelidir. Yetkilendirme süreçlerinde bir rol tabanlı erişim kontrolü çerçevesi, SaaS uygulamasının kurumunuzdaki güvenlik yöneticilerine, kimin hangi eylemleri, ne zaman, nerede, hangi sırada ve hangi durumlarda, hangi ilişkisel koşullar altında gerçekleştirdiğini izleme yeteneği sağlamalıdır.

“Outsourcing/Dış Kaynak Kullanımı Yoluyla Hizmet Satın Alınması”

İşlenen veri ve uygulamanın,  “Outsourcing/Dış Kaynak Kullanımı Yoluyla Hizmet Satın Alınması” şeklinde kullandırılması durumunda, “Gizlilik Sözleşmesi” düzenlenmesi son derece önem arz etmektedir, yetkilendirme gerçekleştirilmeden önce tüm süreçlerin hizmet sözleşmelerinin imzalanmış olması kritik öneme sahiptir.

Böylece, tarafların birbirlerinden, çalışanlarından yardımcılarından ve ilgili diğer üçüncü taraflardan yazılı veya sözlü edindikleri, gizli olduğu açıkça ifade edilen veya edilmeyen, işle ve taraflarla ilgili ticari olup olmadığına bakılmaksızın her türlü gizli bilginin; güvenliği, bütünlüğü, erişebilirliği daha fazla güvence altına alınabilecektir. Çalışanlara farkındalık duyurularının yapılması, güvenlik taahhütnamelerinin imzalatılması önemlidir.

Farklı Grupların Yetkilendirilmesi & Ayrıcalıklı Hesap Kontrolü

Yetki verilmesi süreci derecelendirilen bir yapıdadır. Yetki vermeye yetkili kullanıcıların yetkilerine azami özen gösterilmelidir. Yetkilendirme konusunda bir segmentasyon söz konusu ise bu aşamada her bir segmente/gruba ait bilgilerin, diğer gruplara ait kullanıcılar tarafından görülmemesi gerekmektedir. Bu ayrıcalıklı hesap yönetimidir. Bu yetkileri tanımlama hakkı ayrıcalıklı bir hesaba tanımlanmış ve yönetişimi SaaS uygulamalarında sizlere tanımlanmıştır. Bu yetkilendirmeleri doğru yapmamak, verilerinin kaybına, yetkisiz kişilerin eline geçmesine sebebiyet verebilir. Sorumluluğun sizlerde olduğunu unutmayınız.

Görev tanımlarının açık ve net şekilde yazılı olarak ortaya konması sağlanmalı ve yapılacak iç denetim ve gözden geçirmelerle yetkiler kontrol edilmelidir.

Görev tanımına uygun yetkilendirme yapılmalıdır.

Kullanıcı Hesapları ve Hakları;

Kurulumla gelen varsayılan kullanıcı hesapları ve şifrelere dikkat edilmelidir. Uzun süre kullanılmayan hesaplar, kurumdan ayrılan personelin hesapları, gereğinden fazla yetki verilen hesaplar mutlaka takip edilmeli, kullanılmayan hesaplar kaldırılmalıdır. Kullanıcılara şifre politikası belirlenmeli ve bu politikaya uyma zorunluluğu getirilmeli, şifre politikalarının yeterliliği irdelenmelidir.

Yetkilendirilmiş Erişim;

Görev-Yetki ve Sorumlulukla ilgili Rollerin Belirlenmesi; Yetkisiz işlemlerin gerçekleştirilmemesini sağlayabilmek bakımından veri tabanı kullanıcılarının yetki ve sorumlulukları ve üstlendikleri idari rolleri ile ilgili görev tanımlarının açık ve net yazılı olarak ortaya konması sağlanmalı ve yapılacak denetimlerle bu durum kontrol edilmelidir. Veri ihlallerinin KVKK gibi mevzuatlar açısından cezai müeyyidelere tabii olduğu unutulmamalıdır.

Gürkan Platin

Hacettepe Üniversitesi Yönetim ve Organizasyon mezunu olan Gürkan Platin, sırasıyla Mensan, Citibank, Garanti Bankası ve Kredi Kayıt Bürosu’nda çeşitli pozisyonlarda yöneticilik yapmıştır. Platin, 1996 yılından beri blog yazmaktadır ve makaleleri çeşitli ulusal ve uluslararası yayınlarda yayınlanmaktadır.