Kimlik ve erişim güvenliğinde kurumlar nelere dikkat etmeli?

Feridun Aktaş | 28 Ağustos 2024

İlgili Konular: Siber Güvenlik, Kimlik ve Erişim Güvenliği

Garanti BBVA CISO’su Feridun Aktaş, bilgi güvenliğinin temelinde “kimlik” kavramının ne kadar kritik olduğunu ve dijital çağda kurumların kimlik ve erişim yönetimi süreçlerinde neler yapması gerektiğini detaylıca anlatıyor.

Bilgi güvenliğinin özünde kimlik var desek çok yanlış olmaz çünkü bilgi güvenliğinin temelinde doğru kişiyi doğru veriye ulaştırmak var. Bunun dışındaki olasılıklar ya da kombinasyonlar zaten hata, hackleme ya da sorun olarak karşımıza çıkıyor. Dolayısıyla doğru kişiyi doğru veriye ulaştırmanın birinci adımı da doğru kişiyi tanımlamak. O yüzden kimlik ve erişim yönetimi bu doğru kişinin tanımlaması için çok kritik bir rolde. Hatta amiyane tabirle soğanın özü olan fonksiyonlardan biri. Bilgi güvenliği adına kurumlar kimlikleri üretirken en temelde iki tane fonksiyonu çok net yönetişimi yapabilmeleri gerekiyor. Bunlardan birincisi, kişiyi tanımlayan yani İngilizce “authentication” dediğimiz faz, diğeri de yetkiler yani “authorization” dediğimiz faz. Bu iki fazın birbirleriyle uyumlu, tutarlı ve sürdürülebilir sürekli yönetişimi kurumlar için kritik. Zaten birçok yaşanan bilgi güvenliği problemlerinde ya bu kullanıcıların alınması, ya bu kullanıcılar gibi davranılması yahut da bu kullanıcıların bilinçsizce yanlış ellere verilmesi, devredilmesi çekirdek etken problemin özünde yatıyor. Kurumları şöyle bir dünya bekliyor: kimlik erişim yönetiminde sadece artık kurumların kimliklerini yönetmek yeterli olmuyor, olmayacak. Çünkü yeni dijital çağda ekosistemin diğer oyuncularıyla, tedarikçilerimizle, ekosistemdeki paydaşlarla hatta rakiplerinizle sürekli bir dijital etkileşim içinde oluyorsunuz ve bu da yine aynı noktaya getiriyor kurumları. Oralardan erişen kişilerin ya da bunun bir insan olması gerekmez, servis hesapları dediğimiz kimliklerin güvenli bir şekilde size eriştiğini ve yine doğru kişi doğru veriye erişsin prensibiyle çalıştığını da güvence altına almanız gerekiyor. Burada kurumlar kendi bahçelerinin içinde değil, dış bahçede yaşayan her türlü riski de öngörmek durumundalar. Kurdukları yönetişim yapıları, sistemsel altyapılar ve süreçlerinin tüm bu üçüncü parti ya da paydaşları da kapsayacak şekilde çalıştığını da sağlamak durumundalar ve bunun da güvencesini vermek zorundalar. O nedenle son 3-5 yıldır da sektörde bir söz var: “Identity is the new boundary” diye. Eskiden firewall ile konulan network’ün sınırı bir çerçeveyi, artık kimliklerin nasıl koruyabilir ve onların çizdiği çerçeve kale duvarı kurumların yeni güvenlik çerçevesi olmaya başladı diye değerlendiriyorum.

Bilgi Güvenliğinde Kimliğin Önemi

Bilgi güvenliği, günümüz dijital dünyasında her zamankinden daha kritik bir hale gelmiştir. Teknolojinin hızla gelişmesiyle birlikte, bilgi güvenliği tehditleri de artış göstermektedir. Bu bağlamda, bilgi güvenliğinin özünde kimlik yönetimi yer almaktadır. Doğru kişiyi doğru veriye ulaştırmak, bilgi güvenliğinin temel prensiplerinden biridir. Yanlış kişilerin verilere erişimi, hackleme ve diğer güvenlik sorunlarına yol açabilir. Bu nedenle, kimlik ve erişim yönetimi, bilgi güvenliğinin en önemli unsurlarından biri olarak karşımıza çıkmaktadır.

Kimlik ve Erişim Yönetimi

Kimlik ve erişim yönetimi, doğru kişiyi tanımlamak ve bu kişiye uygun yetkiler vermek için kritik bir rol oynamaktadır. Bu süreç, iki ana fazdan oluşur: kimlik doğrulama (authentication) ve yetkilendirme (authorization). Kimlik doğrulama, kişiyi tanımlarken, yetkilendirme ise bu kişiye hangi verilere erişim izni verileceğini belirler. Bu iki fazın uyumlu ve sürdürülebilir bir şekilde yönetilmesi, kurumlar için hayati önem taşır.

Bilgi Güvenliği Problemleri

Birçok bilgi güvenliği problemi, kullanıcıların kimlik bilgilerinin ele geçirilmesi veya yanlış ellere verilmesi sonucu ortaya çıkar. Bu tür sorunlar, kurumların kimlik ve erişim yönetimi süreçlerini daha dikkatli bir şekilde ele almalarını gerektirir. Kullanıcıların kimlik bilgilerinin güvenli bir şekilde yönetilmesi, bilgi güvenliğinin sağlanmasında önemli bir adımdır.

Dijital Çağda Kimlik Yönetimi

Yeni dijital çağda, kurumlar sadece kendi kimliklerini yönetmekle kalmamalı, aynı zamanda ekosistemdeki diğer oyuncularla da etkileşim içinde olmalıdır. Tedarikçiler, paydaşlar ve hatta rakiplerle sürekli bir dijital etkileşim içinde olmak, kimlik yönetimini daha karmaşık hale getirmektedir. Bu nedenle, kurumlar dışarıdan erişen kişilerin veya servis hesaplarının güvenli bir şekilde yönetildiğinden emin olmalıdır.

Kimliklerin Yeni Sınırları

Son yıllarda, “Identity is the new boundary” (Kimlik yeni sınırdır) ifadesi sektörde sıkça kullanılmaktadır. Eskiden firewall ile belirlenen ağ sınırları, artık kimliklerin korunmasıyla sağlanmaktadır. Kimliklerin çizdiği çerçeve, kurumların yeni güvenlik çerçevesi haline gelmiştir. Bu nedenle, kimlik yönetimi, bilgi güvenliğinin en önemli unsurlarından biri olarak kabul edilmektedir.

Kimlik Yönetiminin Geleceği

Kimlik yönetimi, gelecekte daha da önem kazanacaktır. Teknolojinin gelişmesiyle birlikte, kimlik yönetimi süreçleri daha karmaşık hale gelecek ve kurumlar bu süreçleri daha etkin bir şekilde yönetmek zorunda kalacaktır. Kimlik yönetimi, sadece kurum içindeki kimlikleri değil, aynı zamanda ekosistemdeki diğer oyuncuların kimliklerini de kapsayacak şekilde genişletilmelidir.

Sonuç

Bilgi güvenliğinin temelinde kimlik yönetimi yer almaktadır. Doğru kişiyi doğru veriye ulaştırmak, bilgi güvenliğinin en önemli prensiplerinden biridir. Kimlik ve erişim yönetimi, bu sürecin en kritik unsurlarından biridir. Kurumlar, kimlik yönetimi süreçlerini etkin bir şekilde yönetmeli ve dışarıdan gelen tehditlere karşı hazırlıklı olmalıdır. Kimliklerin korunması, kurumların yeni güvenlik çerçevesi haline gelmiştir ve bu nedenle kimlik yönetimi, bilgi güvenliğinin en önemli unsurlarından biri olarak kabul edilmektedir.