Access Certification Nedir?

Kimlik ve Erişim Yönetimi (IAM), organizasyonlarda bilgi teknolojisi altyapısının ve hassas verilerin güvenliğini sağlamak için kritik bir role sahiptir. IAM’in önemli bir bileşeni olan Access Certification (Erişim Sertifikasyonu), kullanıcıların sahip oldukları yetki ve rollerin düzenli olarak kontrol edilmesi sürecini ifade eder. Bu yazıda, Access Certification’ın ne olduğunu, şirketinizde nasıl uygulayabileceğinizi inceleyeceğz.

Access Certification Nedir?

Access Certification, erişim haklarının doğruluğunun onaylanması ve gereksiz yetkilerin kaldırılması için düzenlenen bir gözden geçirme sürecidir. Bu sürecin temel amacı:

Access Certification, şirket içerisinde hem yöneticiler hem de ilgili yetki sahipleri tarafından yürütülerek, kullanıcıların gerçekte hangi yetki ve rollere ihtiyacı olduğunun belirlenmesini sağlar.

Erişim Gözden Geçirme Nasıl Yapılır?

Bir Access Certification sürecini daha iyi anlamak için şu senaryoyu ele alalım:

Bu çalışanların birçoğu, kariyerleri boyunca farklı organizasyonel değişikliklere uğramış olabilir. Dolayısıyla, bazı yetkileri artık kullanmıyor ya da bu yetkilere sahip olmamalıdır gibi durumlar kesinlikle olur. Erişim gözden geçirme süreci bu soruna çözüm sunar.

Süreçte izlenecek temel adımlar:

  1. Kullanıcı ve Yetki Bilgilerinin Toplanması: IAM sistemi, kullanıcıların mevcut yetkilerini ve rollerini şirketti tüm yöneticilere bir dashboard vasıtası raporlar.

  2. Yöneticilerin Gözden Geçirmesi: Her yönetici, ekibindeki çalışanların yetkilerini analiz ederek hangi yetkilerin gerekli olup olmadığına karar verir. Yetkileri onaylar veya kaldırılmasını işaretler.

  3. Süreç sonunda IAM ekibinin kurgusuna göre yetki veya roller çalışanlardan direkt kalkabilir veya kurguya göre IAm ekibi, Bilgi Güvenliği ekiplerinin gözden geçirmesi sonrasında otomatik olarak işaretlenen yetki matrisi güncellenir.

  4. Güncellemelerin Yapılması: Gerekli olmayan yetkiler IAM sistemi aracılığıyla kaldırılır ya da düzenlenir.

Zero-Trust Modeli ile Uyum

Access Certification, Zero-Trust güvenlik modelinin mantığıyla birebir uyumludur. Zero-Trust, “Asla güvenme, daima doğrula” prensibini temel alır. Bu model, çalışanların sahip olduğu tüm erişimlerin sürekli olarak doğrulanmasını ve yalnızca ihtiyaç duyulan yetkilerin verilmesini gerektirir.

Access Certification süreci:

Entitlement Owner: İkinci Bir Kontrol Katmanı

Access Certification’ı daha etkin hale getirmek için şirketinizde bir Entitlement Owner (Yetki/Rol Sahibi) kavramı oluşturabilirsiniz.

Ye- tki sahibi, bu rolün şirket içindeki amacını ve kritikliğini daha iyi anlayarak, ilgili yetkinin gerçekte kime verilmesi gerektiğine karar verir.

Bu model, yetkilerin yönetici tarafından gözden geçirilmesine ek bir çift katmanlı kontrol sistemi ekler.

Kullanıcı yaşam döngüsü boyunca birçok yetki, rol veya erişim talep edilir. Access Certification sayesinde, bu erişimlerin düzenli olarak incelenmesi, need-to-know ve need-to-access prensiplerine uygun bir yapı oluşturur. Yılda bir kez gerçekleştirilecek kapsamılı bir gözden geçirme:

Şirketinizde bu süreci uygulamaya koyarak, IAM stratejinizi bir adım ileri taşıyabilir ve Zero-Trust modeline uygun bir güvenlik altyapısı oluşturabilirsiniz.

Ayrıca konuyla ilgili daha öncesinde yazmış olduğum şu yazılar konuyu detaylandırmak için faydalı olacaktır.

Yetki ve Rol Sahiplerinin Gözden Geçirme Süreci

Kimlik ve Erişim Yönetiminde Yetki Gözden Geçirme Çalışmaları

Kullanıcı Yetki Gözden Geçirme Süreci Raporlama(Dashboard)

sunucu goruntusu

#Kimlik Yönetimi #Erişim Yönetimi #Kimlik ve Erişim Yönetimi #Abstraction Soyutlama #Dijital Güvenlik #Rol Tabanlı Erişim Kontrolü RBAC #Zero-Trust Güvenlik Modeli #IAM Stratejileri #Erişim Gözden Geçirme #Entitlement Management