Şimdi yükleniyor
Bilgi Güvenliği Genel Teknoloji , , , ,

BT’de Yetki Yönetimi

BT Yetki Yönetimi

Kim, Neye, Neden Erişiyor?

BT ortamlarında yaşanan güvenlik ihlallerinin büyük bir bölümü sıfırıncı gün açıklarından değil, yanlış veya gereğinden fazla tanımlanmış yetkilerden kaynaklanır. Çoğu zaman sorun dışarıdan değil, içeriden sessizce büyür.

Bu yüzden yetki yönetimi, sadece teknik bir konu değil; doğrudan yönetişim ve risk yönetimi meselesidir.

Yetki Yönetimi Nedir?

Yetki yönetimi; kullanıcıların, sistemlerin ve servis hesaplarının hangi kaynağa, hangi kapsamda ve ne süreyle erişebileceğini belirleyen süreçlerin bütünüdür.

Bu kapsamda:

  • Active Directory yetkileri
  • Uygulama rolleri
  • Veritabanı erişimleri
  • Bulut servis izinleri

aynı disiplinin parçasıdır.

En Büyük Yanılgı: “Zaten Kimse Kullanmıyor”

BT’de sık duyulan cümlelerden biri şudur:

“O yetki var ama kullanılmıyor.”

Bu yaklaşım ciddi bir risk barındırır çünkü:

  • Kullanılmayan yetki hâlâ bir yetkidir
  • Hesap ele geçirilirse anında suistimal edilir
  • Denetimlerde açıklanması zordur

Güvenlikte potansiyel erişim, fiili erişim kadar kritiktir.

Yetkiler Neden Kontrolden Çıkar?

1️⃣ Rol Değişiklikleri

Çalışanlar:

  • Departman değiştirir
  • Terfi eder
  • Proje bazlı görev alır

Ancak eski yetkiler çoğu zaman kaldırılmaz. Böylece yıllar içinde “birikmiş yetki profilleri” oluşur.

2️⃣ Acil Durum İstisnaları

“Acil” gerekçesiyle verilen geçici yetkiler:

  • Süreli tanımlanmaz
  • Takibi yapılmaz
  • Kalıcı hale gelir

Geçici olması gereken erişimler, sessizce kalıcılaşır.

3️⃣ Servis ve Teknik Hesaplar

Uygulamalar için açılan servis hesapları:

  • Parolası değişmeyen
  • Kimin kullandığı bilinmeyen
  • Geniş yetkili

hesaplara dönüşebilir. Bu hesaplar, saldırganlar için altın değerindedir.

Yetki Yönetimi Olgunluğu Nasıl Sağlanır?

✅ En Az Yetki Prensibi (Least Privilege)

Bir kullanıcıya yalnızca:

  • İşini yapması için
  • Gerçekten gerekli olan

yetkiler verilmelidir. “Lazım olabilir” yaklaşımı risk üretir.

✅ Rol Bazlı Yetkilendirme

Kişi bazlı değil, rol bazlı yetkilendirme yapılmalıdır.

Örneğin:

  • Muhasebe Uzmanı
  • Sistem Yöneticisi
  • Satış Temsilcisi

Her rolün standart bir yetki seti olmalıdır.

✅ Düzenli Yetki Gözden Geçirmeleri

Yetkiler:

  • Yılda bir
  • Denetim zamanı
  • Olay sonrası

değil, periyodik olarak gözden geçirilmelidir.

Bu süreç:

  • BT
  • İnsan Kaynakları
  • Süreç sahipleri

ile birlikte yürütülmelidir.

Denetim ve Güvenlik Perspektifi

Yetki yönetimi düzgün olmayan kurumlar:

  • ISO 27001
  • KVKK / GDPR
  • İç denetimler

sırasında en çok bu başlıkta zorlanır.

Çünkü şu sorulara net cevap verilemez:

  • Kim erişiyor?
  • Neden erişiyor?
  • Hangi onayla erişiyor?

Sonuç: Yetki = Güçtür

BT’de yetki:

  • Kolay verilen
  • Zor geri alınan

bir güçtür.

Bu gücü kontrol altında tutmak, sadece güvenliği değil; kurumsal disiplini ve güveni de güçlendirir.

İyi yönetilen yetkiler görünmezdir.
Kötü yönetilen yetkiler ise genellikle en pahalı hatalara yol açar.

Etiket

İlgili Yazılar

Yorum gönder

Kaçırmış Olabilirsiniz