Şimdi yükleniyor
Bilgi Güvenliği Genel Teknoloji , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kurumsal Erişim Kontrolü ve Yetkilendirme Prensipleri

Kurumsal altyapının güvenliği ilk olarak doğru erişim ve doğru yetki yönetimi ile başlar. Yanlış atanmış bir kullanıcı yetkisi, bir saldırganın veya dikkatsiz bir çalışanın tüm sisteme erişebilmesine neden olabilir.

Bu rehber; Active Directory, bulut servisleri, ERP, CRM ve diğer tüm kurumsal uygulamalarda geçerli modern erişim kontrolü prensiplerini içerir.

1) Erişim Kontrolünün Temel Amaçları

  • Gizlilik: Veriyi sadece yetkili kişiler görür
  • Bütünlük: Yetkisiz değişiklik engellenir
  • Erişilebilirlik: Doğru insanlar, doğru zamanda doğru bilgiye ulaşır
  • İzlenebilirlik: Kim, ne zaman, nereye erişmiş? Log kaydı tutulur

2) Minimum Yetki Prensibi (Least Privilege Principle)

Bu prensip, erişim kontrolünün mihenk taşıdır.

  • Kullanıcılar sadece işlerini yapmaları için gerekli en düşük yetkiyi almalıdır
  • “Her ihtimale karşı tam yetki” anlayışı risklidir
  • Yönetici haklarına sahip hesaplar sınırlı sayıda olmalıdır
  • Yüksek yetkiler kalıcı değil, geçici olmalıdır

3) Kimlik ve Erişim Yönetimi (IAM)

Günümüz kurumlarında erişim yönetimi yalnızca AD üzerinde değil;
bulut, ERP, CRM, MDM, VPN gibi birçok sistemde eş zamanlı uygulanmalıdır.

Temel bileşenler:

  • Kimlik Doğrulama (Authentication)
  • Yetkilendirme (Authorization)
  • Hesap Yönetimi (Provisioning / Deprovisioning)
  • Tekil Oturum (SSO)
  • Çok Faktörlü Doğrulama (MFA)

4) Rol Tabanlı Erişim (RBAC)

Kullanıcılara doğrudan yetki vermek yerini artık rol-temelli modellere bırakıyor.

RBAC Nasıl Çalışır?

  • İş pozisyonlarına göre roller belirlenir
  • Her rol belirli yetkileri içerir
  • Kullanıcıya rol atanır → Yetki otomatik gelir

Örnek roller:

  • Satınalma Uzmanı
  • Satış Müdürü
  • BT Destek
  • ERP Süper Kullanıcı
  • Muhasebe Personeli

Avantajlar:

  • Yönetim kolaylaşır
  • Hatalı yetki riskini azaltır
  • Denetim ve kontrol mekanizmaları güçlenir

5) Erişim Yaşam Döngüsü Yönetimi

Her erişim bir yaşam döngüsüne sahiptir.

Aşamalar:

  1. Taleple başlar → çalışan işe alınır
  2. Onay süreci → yönetici veya uygulama sahibi
  3. Atama → roller/yetkiler verilir
  4. Periyodik gözden geçirme → yanlış yetki var mı?
  5. İşten ayrılma / görev değişikliği → hesaplar kapatılır veya kısıtlanır

En büyük güvenlik açıkları, işten ayrılan personelin açık kalan yetkilerinden kaynaklanır.

6) Güçlü Kimlik Doğrulama

Modern güvenlik tasarımında parola tek başına yeterli değildir.

Güvenlik Seviyeleri:

  • MFA zorunlu olmalı (SMS, mobil uygulama, donanım anahtarı)
  • Parola tekrarları engellenmeli
  • Yönetici hesaplarında MFA + IP kısıtlaması + PAM kullanılmalı

7) PAM (Privileged Access Management) – Ayrıcalıklı Hesap Yönetimi

Yönetici hesaplarını korumanın en profesyonel yöntemi:

  • Admin parolaları şifreli kasada tutulur
  • Yetki geçici olarak verilir
  • Tüm aktiviteler kayıt altına alınır
  • RDP/SSH oturum kaydı tutulabilir

PAM kullanımı, kurumlarda kötüye kullanım riskini %70’ten fazla azaltır.

8) Segmentation & Zero Trust Yaklaşımı

“İçerideysen güvenilirsin” dönemi bitti.

Zero Trust Prensipleri:

  • Her erişim denetlenir
  • Her bağlantı doğrulanır
  • Hiçbir kullanıcı veya cihaz varsayılan olarak güvenli değildir
  • Mikro segmentasyon ile ağ bölünür
  • Erişim dinamik olarak değerlendirilir

9) Erişim Loglama ve İzleme

Erişim yönetimi log olmadan eksiktir.

Kaydedilmesi gerekenler:

  • Kim giriş yaptı?
  • Nereden giriş yaptı?
  • Hangi kaynağa erişti?
  • Yetki değişikliği kim tarafından yapıldı?

Loglar:

  • SIEM’e gönderilmelidir
  • En az 1–2 yıl saklanmalıdır

10) En Yaygın Hatalar

  • Herkesin domain admin olması
  • ERP/CRM’de eski kullanıcı hesaplarının sanal olarak açık kalması
  • Şirket dışı tedarikçilere gereğinden fazla yetki verme
  • Ortak hesap kullanımı
  • Rol tanımlarının güncel olmaması
  • Yetki kontrolü yapılmaması

11) Denetim ve Periyodik Kontroller

  • Her çeyrekte yetki gözden geçirme yapılmalı
  • Yetkiler yöneticiler tarafından onaylanmalı
  • Uyumsuzluklar raporlanmalı
  • Yetkisi fazla olan kullanıcılar incelenmeli
  • İşten ayrılan personelin tüm erişimleri aynı gün kapatılmalı

12) Sonuç

Kurumsal erişim kontrolü, bilgi güvenliğinin kalbidir.
Doğru uygulanmadığında, en güçlü firewall veya SIEM bile kurumu koruyamaz.

Özet: Doğru kullanıcı → Doğru yetki → Doğru zamanda → İzlenebilir ve güvenli bir şekilde erişmeli.

Etiket
Yasin Yiğit

Yasin Yiğit, bilgi teknolojileri alanında çalışan ve dijital çözümler geliştiren bir BT profesyonelidir. Birçok farklı sektörlerde bilgi güvenliği, BT süreç yönetimi, envanter takibi ve dijital dönüşüm konularında uzmanlaşmıştır.

view all posts

Related Posts

Kaçırmış Olabilirsiniz