A. Kimlik ve Erişim Yönetimi Nedir?

Kimlik ve Erişim Yönetimi (IAM), kurum içindeki kullanıcıların kimliklerinin doğrulanması, bu kullanıcılara uygun erişim yetkilerinin verilmesi ve bu erişimlerin izlenmesini kapsayan süreçtir. IAM, bilgi güvenliğinin temel bileşenlerinden biridir.

B. Kimlik ve Erişim Yönetiminde Alınması Gereken Temel Önlemler

1. Rol Bazlı Erişim Kontrolü (RBAC):

- Kullanıcılara görev tanımlarına uygun en az yetki prensibine göre erişim verilir.

2. Çok Faktörlü Kimlik Doğrulama (MFA):

- Özellikle kritik sistemlere erişimlerde parola dışında ikinci bir doğrulama yöntemi kullanılmalıdır.

3. Yetkilendirme ve İzin Yönetimi:

- Erişim talepleri onay mekanizmasına bağlanmalı, tüm erişimler belgelenmeli.

4. Yetki Gözden Geçirme:

- Periyodik olarak tüm kullanıcıların erişim yetkileri kontrol edilmeli, güncellenmelidir.

5. Kullanıcı Yaşam Döngüsü Yönetimi:

- Yeni kullanıcı oluşturma, rol değişikliği ve işten ayrılma süreçleri dijital olarak izlenmelidir.

6. Parola Politikaları:

- Parolalar karmaşık, düzenli değişen ve tekrar kullanılmayan yapıda olmalıdır.

7. Erişim Loglama ve İzleme:

- Sistem erişimleri ve yetki değişiklikleri merkezi log sisteminde kayıt altına alınmalıdır.

C. IAM Süreçlerinde Dikkat Edilecek Noktalar

- Ortak kullanıcı hesapları engellenmelidir.

- Geçici erişimler belirli süreyle sınırlandırılmalı ve süresi dolunca otomatik olarak iptal edilmelidir.

- Servis ve sistem hesaplarının erişimleri de kontrol edilmelidir.

Sonuç: Erişim Kontrolü, Güvenliğin Kapı Bekçisidir

Siber güvenlikte en çok göz ardı edilen ama en çok sömürülen alanlardan biri, kimlik ve erişim yönetimidir. Kimin, neye, ne zaman ve nasıl eriştiği net olarak tanımlanmadığı sürece; en güçlü sistemler bile en zayıf kullanıcıyla tehlikeye açık hâle gelir.

IAM süreçleri, sadece kullanıcı adı ve parola yönetimiyle sınırlı değildir. Rol bazlı yetkilendirme, çok faktörlü kimlik doğrulama, oturum yönetimi, yetki gözden geçirme gibi pek çok kontrol noktası, kurumun içten gelen tehditlere karşı da güvenliğini sağlar.

ISO 27001’de yer alan A.9 maddesi, bu alana özel olarak detaylı yükümlülükler getirir. Ve bu yükümlülükler, sadece belgelemek değil; gerçek zamanlı izleme ve periyodik denetim sorumluluğunu da içerir.

Bu nedenle Identity Access Management (IAM) sadece BT’nin değil, kurumsal yönetimin de bir sorumluluğudur. Güvenlik duvarlarını dışarıya değil, içeriğe göre konumlandırmak gerekir.