Kurumlarda bilgi güvenliği dendiğinde akla genellikle antivirüs yazılımları, güvenlik duvarları ya da şifre politikaları gelir. Oysa en kritik ve çoğu zaman en sessiz güvenlik açığı 'yetkilendirme'dir. Yetkilendirme, bir kullanıcının hangi kaynaklara, sistemlere ve verilere erişebileceğini belirleyen temel kontroldür. Ancak bu kontrol zayıf tanımlandığında ya da ihmal edildiğinde, kurumun içinden başlayarak dışa yayılan ciddi güvenlik riskleri ortaya çıkar.

Yetkilendirme Nedir?

Yetkilendirme, bir kullanıcının neye erişebileceğini ve o kaynak üzerinde ne yapabileceğini belirler. BT sistemlerinde bu; dosya sistemleri, uygulama ekranları, raporlar, veritabanları ve modül erişimleri için tanımlanır. Yetkilendirme genellikle 'rol tabanlı' (RBAC) olarak yapılır: roller, yetki setlerini temsil eder ve kullanıcılara atanır.

Kurumlarda Görülen Tipik Yetkilendirme Hataları

• Kullanıcıya ‘ne olur ne olmaz’ diye geniş yetki verilmesi,

• Departman değişikliğinde yetkilerin gözden geçirilmemesi,

• İşten ayrılan personele ait hesapların sistemde kalması,

• RPA, bot ve API hesaplarına insan kullanıcı kadar yetki verilmesi,

• E-posta grupları ve dosya paylaşımlarında kimlerin eriştiğinin kontrol edilmemesi.

Güvenlik ve Denetim Riskleri

Yanlış ya da eksik yapılan yetkilendirme, özellikle KVKK, ISO 27001 gibi regülasyonlara uyum açısından ciddi risk doğurur. Kim neye erişti, ne yaptı, kim onayladı gibi soruların cevaplanamaması, hem iç denetimlerde hem de dış denetimlerde büyük eksiklik olarak değerlendirilir. Ayrıca, veri sızıntılarının önemli bir kısmı içeriden gelir ve genellikle yanlış yetkilendirilmiş kullanıcılar üzerinden gerçekleşir.

Ne Yapmalı? Kurumlar İçin İyi Uygulamalar

• Rol bazlı yetkilendirme modeli kullanılmalı.

• Yetki matrisleri tanımlanmalı ve periyodik olarak güncellenmeli.

• Sistemlerden otomatik yetki raporları alınmalı.

• Yetki onay süreçleri kurulmalı: ilk atama, değişiklik ve iptal için.

• Kullanıcı yaşam döngüsü yönetilmeli: işe giriş, görev değişikliği, işten çıkış.

• BT + İnsan Kaynakları + Süreç sahipleri birlikte çalışmalı.

Sonuç

Yetkilendirme, sadece BT’nin sorumluluğu değil; kurumsal risk yönetiminin bir parçasıdır. Sessiz kalır, fark edilmez ama yanlış yapılandırıldığında en gürültülü krizi çıkarabilir. Kurumsal farkındalık, disiplinli yapı ve rol bazlı mimari ile yetkilendirme güvenliğin yapı taşı haline getirilmelidir.