Kurumsal kimlik denetimi
Sun Microsystems Türkiye ve Orta Asya Çözüm Mimarı
Geçenlerde okuduğum bir makale, bir konunun özünü otuz saniyelik bir asansör yolculuğu sırasında karşınızdaki kişiye anlatabilmeniz gerektiğini vurguluyordu. Üstelik anlattığınız kişinin konuyu bilmediğini varsayıyordu makale. Bir an, otuz saniye içinde kimlik denetimini konuya uzak birine anlatıp anlatamayacağımı düşündüm. Pek mümkün görünmüyordu ama denemeye karar verdim. Sanırım biraz daha uzun sürecek. İşte başlıyoruz:
Kimlik denetimi, kurumun koruyucu ve tespit edici kontrollerini sahip olduğu kimlik bilgileri üzerinde uygulamasını sağlar. Temel amaç, kimin neye erişebildiğini denetlemektir. Bu amaçla, kişi ya da uygulamaların sahip olmaları gereken yetkileri ile sahip olduklarını karşılaştırmak, ihlalleri tespit etmek, raporlamak ve giderilmesi için gerekli iş süreçlerini tetiklemek gibi fonksiyonları sağlar.
Uyumluluk ve denetim ihtiyaçlarını karşılamak, kimlik denetiminin arkasındaki ana itici güçtür. Özellikle Kuzey Amerika�da Sarbanes-Oxley Aktı, Türkiye�de BDDK�nın finansal kurumlar ve iştirakleri için zorunlu kıldığı COBIT, yasal yaptırımı olan düzenlemelere örnek verilebilir. Ayrıca pek çok kurumun, bilgi güvenliğini etkinleştirmek ve sertifikalandırmak için ISO 27001 ve ISO 17799 standartlarını benimsediğini görmekteyiz. Tüm bu düzenlemeler, zorunluluklar, sertifikasyon ve standartlar, kurumların veri ya da sistemlere izinsiz erişimlerin engellenmesi, güvenlik politikalarıyla uyumlu olmayan hesapların tespiti, görevlerin ayrımının denetimi, ihlallerin bildirilmesi, raporlanması, düzeltilmesi gibi kimlik üzerinde pek çok BT kontrolü uygulamasını gerektirir.
Çoğu kimlik yönetimi yazılımı belli oranlarda denetim ve raporlama özellikleri sunmaktadır. Ama bunlar bir kimlik denetimi çözümü oluşturmak için yeterli değildir. Kimlik denetim çözümleri ek özelikler sağlar. Bu özelliklerin bazılarını şöyle özetleyebiliriz;
· Üst seviyeli kurum politikaları ile alt seviyeli BT kontrol hedefleri arasında bağ oluşturur, ve/veya uygulanmasını sağlar.
· Kontrollerin, kimlik bilgisi üzerindeki operasyonlar sırasında uygulanmasını sağlar; böylece ihlaller oluşmadan önlenmiş olur.
· Kontrollerin belirli aralıklarla yapılabilmesini sağlar.
· Görevlerin ayrılığı ilkesinin uygulanmasını sağlar ve ihlalleri tespit eder.
· Kullanıcıya erişim haklarının nasıl, ne zaman ve kim tarafından verildiğinin tarihçesini tutar.
· Oluşan ihlalleri ilgili kişi ve birimlere bildirir, gerekli iş süreçlerini başlatır.
· Görsel ortamda yöneticilerin kurum genelinde uyumluluk durumunu izlemelerini sağlar.
· Oluşan ihlalleri kurumsal bilgi ve olay yönetim sistemine bildirebilir.
Kimlik denetimi, uyumluluk ve denetim gereksinimleri ile kurumsal kontrol hedefleri arasında ve kontrol hedefleri ile kimlik arasındaki bağı kurar. Bu nedenle iç ya da dış BT denetimi gören kurumlar yatırım planlarında kimlik denetimini göz önünde bulundurmalıdırlar.
Sanırım otuz saniyeyi bir hayli aştım. Hoşçakalın.
orhan.alkan@sun.com (Kaynak:BThaber)