Demo İste

Erişim Kontrolü ve Yetkilendirme

Kurum ve kuruluşlarda veri güvenliği için erişim kontrolü, yetkilendirme önemli bir yapı taşıdır. Yetki seviyeleri, rolleri doğru planlamak, doğru kişileri, doğru rollere atamak kritik öneme sahiptir. Sürecin planlanmasında, rollere doğru arayüz ve fonksiyonları tanımlamak sürecin özüdür.

Her kullanıcı her kaynağa erişememelidir. Temel prensip, yetkili olunan bilgiye, yetkisi kadarı ile ve yetkisi süresince erişim sağlamaktır. Kullanıcıların erişebileceği kaynaklar belirlenmeli, ait olacakları roller için yetkilendirilme planlaması yapılmalıdır.

Kullanıcının kaynağa erişim talebinin erişim kontrol protokolü ile kontrol edilmesi, yetki sahibi kullanıcının erişim talebine izin verilmesi aksi durumda talebin reddedilmesi süreci önemlidir. Yetkilendirme yapılmadan önce yetkiyi verme ön koşullarının yerine getirilip getirilmediği netleştirilmeli, prosedürün tamamlandığı kesinleştirilmelidir.

Erişim Kontrolü / Yetkilendirme Nedir?

Yetkilendirme kullanıcının hangi verilere erişebileceği ve hangi işlemleri gerçekleştirebileceğini belirleyen sürecin çıktılarından biridir. Kaynak bilgi güvenliği erişim kontrolü ile sağlanır. Erişim hakları bir sistem tarafından desteklenen çeşitli erişim işlemlerini temsil eder: Okuma, yazma, ekleme, çalıştırma, silme, arama, sahip değiştirme, izinleri değiştirme gibi. Yetkilendirme kararları erişime izin verme, erişimi sınırlama, erişimi önleme ve erişimi iptal etme seçeneklerini içerir.

Erişim Kontrol Politikası

Erişim kontrolü işlevselliğinin tutarlı bir şekilde tasarlanması ve uygulanması için erişim kontrol politikalarına ihtiyaç duyulmaktadır. SaaS (Software As a Service) uygulamalarında mimarlar, tasarımcılar, kullanıcılarına; erişim kontrol ve yetkilendirme için güvenlik gereksinimlerini tanımlar. Bu gereksinimlerin, kullanıcılar tarafından doğru yetki politikaları şeklinde içselleştirilmesi, süreçlerinin oluşturulması gerekir.

Rol Tabanlı Erişim Kontrolü

Rol tabanlı erişim kontrolünde erişim hak ve kararları, bireyin işletme içindeki rol ve sorumluluklarına göre şekil alır. Çalışan rolleri güvenlik amacıyla işletmenin genel yapısı ve amaçları analiz edilerek tanımlanır.  Kullanıcı birey, daha yetkili bireyin eriştiği kayaklara erişememelidir. Çalışan kendi işi için ihtiyaç duyduğu kaynağa, işini gerçekleştirecek yetkide erişmelidir. Yetkiler, periyodik olarak kontrol edilmelidir. Yetkilendirme süreçlerinde bir rol tabanlı erişim kontrolü çerçevesi, SaaS uygulamasının kurumunuzdaki güvenlik yöneticilerine, kimin hangi eylemleri, ne zaman, nerede, hangi sırada ve hangi durumlarda, hangi ilişkisel koşullar altında gerçekleştirdiğini izleme yeteneği sağlamalıdır.

“Outsourcing/Dış Kaynak Kullanımı Yoluyla Hizmet Satın Alınması”

İşlenen veri ve uygulamanın,  “Outsourcing/Dış Kaynak Kullanımı Yoluyla Hizmet Satın Alınması” şeklinde kullandırılması durumunda, “Gizlilik Sözleşmesi” düzenlenmesi son derece önem arz etmektedir, yetkilendirme gerçekleştirilmeden önce tüm süreçlerin hizmet sözleşmelerinin imzalanmış olması kritik öneme sahiptir.

Kurumsal bilgi yönetim sistemi kapsamında bilgi işlem hizmet ve faaliyetleriyle ilgili yapılacak her türlü çalışma dolayısıyla kurumun yüklenici firmaya işle ilgili vereceği gizli bilgiler ile yüklenici tarafından herhangi bir şekilde öğrenilecek gizli bilgilerin ve/veya yükleniciden alınacak olan gizli bilgilerin gizlilik sözleşmesi kapsamında belirtilen şartlar ve taahhütler altında gizli tutulabilmesi bakımından “Gizlilik Sözleşmesi “nin düzenlenmesi yerinde olacaktır.

Böylece, tarafların birbirlerinden, çalışanlarından yardımcılarından ve ilgili diğer üçüncü taraflardan yazılı veya sözlü edindikleri, gizli olduğu açıkça ifade edilen veya edilmeyen, işle ve taraflarla ilgili ticari olup olmadığına bakılmaksızın her türlü gizli bilginin; güvenliği, bütünlüğü, erişebilirliği daha fazla güvence altına alınabilecektir. Çalışanlara farkındalık duyurularının yapılması, güvenlik taahhütnamelerinin imzalatılması önemlidir.

Farklı Grupların Yetkilendirilmesi & Ayrıcalıklı Hesap Kontrolü

Yetki verilmesi süreci derecelendirilen bir yapıdadır. Yetki vermeye yetkili kullanıcıların yetkilerine azami özen gösterilmelidir. Yetkilendirme konusunda bir segmentasyon söz konusu ise bu aşamada her bir segmente/gruba ait bilgilerin, diğer gruplara ait kullanıcılar tarafından görülmemesi gerekmektedir. Bu ayrıcalıklı hesap yönetimidir. Bu yetkileri tanımlama hakkı ayrıcalıklı bir hesaba tanımlanmış ve yönetişimi SaaS uygulamalarında sizlere tanımlanmıştır. Bu yetkilendirmeleri doğru yapmamak, verilerinin kaybına, yetkisiz kişilerin eline geçmesine sebebiyet verebilir. Sorumluluğun sizlerde olduğunu unutmayınız.

Görev tanımlarının açık ve net şekilde yazılı olarak ortaya konması sağlanmalı ve yapılacak iç denetim ve gözden geçirmelerle yetkiler kontrol edilmelidir.

Görev tanımına uygun yetkilendirme yapılmalıdır.

Kullanıcı Hesapları ve Hakları;

Kurulumla gelen varsayılan kullanıcı hesapları ve şifrelere dikkat edilmelidir. Uzun süre kullanılmayan hesaplar, kurumdan ayrılan personelin hesapları, gereğinden fazla yetki verilen hesaplar mutlaka takip edilmeli, kullanılmayan hesaplar kaldırılmalıdır. Kullanıcılara şifre politikası belirlenmeli ve bu politikaya uyma zorunluluğu getirilmeli, şifre politikalarının yeterliliği irdelenmelidir.

Yetkilendirilmiş Erişim;

Yetkilendirmenin hangi konuda ve nasıl yapıldığı, yetkilendirilmeye dair yetkili makamdan onay alınarak yazılı görevlendirme yapılıp yapılmadığı, yetkilendirilmiş kişinin zaman içerisinde görev yeri değişikliği halinde yetkilendirmenin iptali ve yeniden yetkilendirmede bulunulup bulunulmadığı hususlarının risk teşkil eden hususlar olarak ele alınması gerektiği açıktır. Kurumlarda yetkilendirilmiş personel listesinin sık sık gözden geçirilmesi, güncellenmesi ve yetkilendirilmiş personelin görev yeri değişikliğinden anında haberdar olunması için insan kaynakları departmanları ile koordineli hareket edilmesi sağlanmalıdır.

Görev-Yetki ve Sorumlulukla ilgili Rollerin Belirlenmesi; Yetkisiz işlemlerin gerçekleştirilmemesini sağlayabilmek bakımından veri tabanı kullanıcılarının yetki ve sorumlulukları ve üstlendikleri idari rolleri ile ilgili görev tanımlarının açık ve net yazılı olarak ortaya konması sağlanmalı ve yapılacak denetimlerle bu durum kontrol edilmelidir. Veri ihlallerinin KVKK gibi mevzuatlar açısından cezai müeyyidelere tabii olduğu unutulmamalıdır.

Paylaş
Sitemizdeki deneyiminizi iyileştirmek ve hizmetlerimizi daha iyi hale getirmek için yasal düzenlemelere uygun çerezler (cookies) kullanıyoruz. Çerez tercihlerinizi düzenlemek için ayarlara gidebilir veya çerez politikamız hakkında detaylı bilgi alabilirsiniz.
Çerez Politikamız ve Gizliliğiniz

Zorunlu Çerezler

Her zaman etkin
Zorunlu çerezler, web sitesine ilişkin temel işlevleri etkinleştirerek web sitesinin kullanılabilir hale gelmesini sağlayan çerezlerdir. Web sitesi bu çerezler olmadan düzgün çalışmaz.
Çerez PolitikamızGizlilik Politikamız

Performans Çerezleri

Her zaman etkin
Performans çerezleri, ziyaretçilerin web sitesine ilişkin kullanım bilgilerini ve tercihlerini anonim olarak toplayan ve bu sayede web sitesinin performansının geliştirilmesine olanak sağlayan çerezlerdir.
Çerez PolitikamızGizlilik Politikamız

Fonksiyonel Çerezler

Fonksiyonel çerezler, kullanıcıların web sitesine ilişkin geçmiş kullanımlarından yola çıkılarak gelecekteki ziyaretlerinde tanınmalarını ve hatırlanmalarını sağlayan ve bu sayede web sitelerinin kullanıcılara dil, bölge vb. gibi kişiselleştirilmiş bir hizmet sunmasına olanak tanıyan çerezlerdir.
Çerez PolitikamızGizlilik Politikamız

Reklam Çerezleri

Reklam çerezleri, üçüncü taraflara ait çerezlerdir ve web sitelerinde ziyaretçilerin davranışlarını izlemek için kullanılırlar. Bu çerezlerin amaçları, ziyaretçilerin ihtiyaçlarına yönelik ilgilerini çekecek reklamların gösterilmesidir.
Çerez PolitikamızGizlilik Politikamız
next4biz Destek

Size özel online bir toplantı ile Next4biz'i daha yakından tanımaya ne dersiniz?

Süper Fikir!👍