Kimlik yönetiminde yüksek olgunluğa sahip kurumlarda değişim başlıyor!

Kimlik yönetiminde yüksek olgunluğa sahip kurumlarda değişim başlıyor!

Bilgi güvenliği ve etkin kimlik yönetimi günümüzde kurumların stratejik planlamalarının önemli bir parçası niteliğinde… 2017 yılında yine IT dünyasının gündeminde yer almaya devam edecek bilgi güvenliği ve kimlik yönetimi, CIO’ların da ajandalarında ilk sıralarda olacak. Özellikle kimlik yönetiminde iyi bir kurgunun gerekliliğine işaret eden IT liderleri, bu alanda yüksek olgunluğa sahip şirketlerin önemli kazanımlar elde edeceği noktasında birleşiyor.
Derya COŞKUN SAYIN
Veri akışının yoğun yaşandığı kurumlarda, bilginin korunabilmesi ve saklanabilmesi her şeyden önce özelliklere CIO’lara büyük sorumluluklar yüklüyor. Elbette bu süreçte, Kimlik Yönetim ve Erişim Sistemleri’nin doğru uygulanabilir olması hayati önem taşıyor. Bu alana yönelik donanımsal ve yazılım olarak çeşitli teknolojilerin kullanılıyor olması bu teknolojilerin tam ve eksiksiz olduğu anlamına gelmiyor. Bilginin güvenliğinin kurum ve kuruluşlarda aynı zamanda rekabet avantajı ve karlılık gibi önemli faktörleri de sağladığı günümüzde, kritik altyapıların korunması bilginin dolayısıyla yazılım güvenliğinin ilk şartlarından biri olarak değerlendiriliyor.

celal-cundogu

Bu kapsamda; bilgi güvenliğinin geleceğini ve etkin bir kimlik yönetim sistemine dair detayları BKM Ödeme Platformları & Bilgi Teknolojileri Grubu Genel Müdür Yardımcısı Celal Cündoğlu ve Pronet Bilgi Teknolojileri ve Tedarik Zinciri Genel Müdür Yardımcısı Özgür Çetin ile konuştuk…
2016 yılında Türkiye’nin ödeme yönetimi TROY’un lansmanını gerçekleştirdiklerini aynı zamanda da bu yeni ödeme şemasının gerektirdiği sertifika otoritesi altyapısı kurduklarını belirten BKM Ödeme Platformları & Bilgi Teknolojileri Grubu Genel Müdür Yardımcısı Celal Cündoğlu, “Fintech İstanbul organizasyonunu sektörümüze kazandırdık ve dijital ürünlerimiz ile kart güvenliğini kuvvetlendirmeyi sürdürdük. Tüm bunları gerçekleştirirken ‘bilgi güvenliğini işimizin bir parçası haline getirme’ alışkanlığımızdan asla vazgeçmedik. BKM olarak 2006 yılından beri kart verisi işleyen, transfer eden ve saklayan sistemlerimizi sahip olduğumuz PCI DSS sertifikasyonuyla, 2007 yılından beri de tüm BKM sistemleri, süreçleri ve insan kaynağımızı ISO 27001 BGYS sertifikasyonu ile koruyoruz. Takdir edersiniz ki, doğrudan bilgi güvenliğini adresleyen bu sertifikasyonların gerekliliklerini uzun yıllardır en hassas düzeyde yerine getirmek bize hem uyumluluk, hem de güvenlik açısından büyük bir katkı sağlıyor. Şirketimizde her yıl olduğu gibi 2016 yılında da bilgi güvenliği stratejik programımız gereği, çalışmalarımızı insan, süreç ve teknoloji boyutları ile sürdürmeye devam ettik. Genel olarak en zayıf halka olarak nitelendirilen insan boyutunda çalışmalarımıza ağırlık verdik ve sosyal mühendislik yöntemleri ile gerçekleştirilen atak türlerine karşı hem kendi kaslarımızı güçlendirdik” dedi.

“2017 yılında veri sızıntısıyla sonuçlanan DDoS saldırılarının olmasının muhtemel”

Bilgi güvenliği alanında sürekli olarak gündemlerinin değiştiğini ifade eden Cündoğlu, 2017 yılında bir önceki yıla göre artan oranlarla veri sızıntısıyla sonuçlanan DDoS saldırılarının olmasının muhtemel olduğunu söyledi. “İnternete bağlanan nesnelerin, sağlık cihazlarının ya da oyuncak bebeklerin güvenlik zafiyetlerini ve nasıl suiistimal edildiklerini sürekli okuyoruz. Hayat mobil dünyaya taşındıkça, akıllı cep telefonu/tabletler üzerinden yapılan siber saldırılar artıyor. Bunların yanı sıra küresel ölçekte seçimlerde, enerji altyapılarında, SWIFT gibi bankacılık uygulamaları ve diğer kritik sistemlerde yaşanan/yaşandığı söylenen bilgi güvenliği olaylarının ardı arkası gelmiyor” diyen Celal Cündoğlu, kimlik yönetimi tarafında ise, verinin olduğu her yerde kolay kullanımlı, modüler ve esnek kimlik yönetimi çözümlerine ihtiyaç olduğunu kaydetti. Aynı zamanda, kimlik ve erişim yönetimi çözümlerinin sadece uyum ya da regülasyon gerekliliklerini karşılayan çözümler olarak görülmesi yerine, kurumların bilgi güvenliği stratejilerinin kritik bir bileşeni olarak görülmesi gerektiğine işaret eden Cündoğlu şöyle devam etti: “Bilgi güvenliği en basit anlatımıyla, korunması gereken bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik açılarından insan, süreç ve teknoloji boyutları ile korunmasıdır. Bilgi güvenliği; sadece bilgi teknolojileri ekiplerinin ya da kurumun hassas bilgi varlıklarının bulunduğu bölümlerin sorumluluğunda olarak algılandığı an, teknolojik açıdan her türlü ürüne sahip olmanız ya da sertifikasyonlara sahip olup, uyumlu olmanız; güvenli olmanız için yetmeyecektir. Bilgi güvenliğinde üst yönetimin liderliği tartışılmaz bir öneme sahip. Ancak bilgi güvenliğini üst düzeyde sağlamak isteyen bir kurum; ofis görevlisinden, direktörüne kadar sürekli farkında olmalı ve bilgi güvenliği anlayışını işine entegre etmelidir.”

İyi kurgulanmış bir kimlik yönetim sistemi nasıl olmalı?

Kimlik ve erişim yönetimi, doğru kişilerin doğru gerekçelerle doğru kaynaklara doğru zamanda ulaşmasını sağlayan bir bilgi güvenliği disiplini olduğunu belirten Celal Cündoğlu, iyi kurgulanmış bir kimlik yönetim sisteminin şu özelliklere sahip olması gerektiğini anlattı: “Kimliklerin tanımlanması, gereklilik prensipleri ve görevler ayrılığı prensiplerine uygun yetkilendirilmesi, değişikliklerin yönetimi, doğrulama ve iptal süreçlerini kapsayan yaşam döngüsünü kullanıcı dostu bir şekilde yönetmek, tüm bu işlemleri denetlenebilir ve izlenebilir bir altyapı ve proaktif raporlamayla sunmak, iki ya da daha çok faktörlü doğrulama çözümlerini kurumun verilerinin barındığı her kanalda desteklemek, Blockchain altyapısı gibi yeniliklere açık bir vizyona sahip olmak.”
Cündoğlu ayrıca, kimlik yönetimi alanında yüksek olgunluğa sahip kurumlarda operasyonel masraflarda azalma, iş ihtiyaçlarına çevik yanıtlar verebilme, kullanıcı dostu entegre çözümler ve artan güvenlik, azalan risk düzeyi gibi kazanımlar elde edildiğinin de unutulmaması gerektiğinin altını çizdi.

ozgur-cetin

“Kurumdan ayrılan kişinin hesapları otomatik olarak kaldırılabiliyorsa bu iyi bir kimlik yönetim sistemidir”

Konuyla ilgili görüşlerini aldığımız Pronet Bilgi Teknolojileri ve Tedarik Zinciri Genel Müdür Yardımcısı Özgür Çetin ise, bilgi güvenliğinin üzerinde durulması gereken önemli bir konu olduğunun altını çizerek, “Bu konuda 2016 yılında ciddi yatırımlar yaptık ve bu yatırımlarımıza 2017 yılında da hızla devam edeceğiz. Öncelikle şirket genelinde bir DLP-veri kaybı önleme-çözümünü 2016 yılında hayata geçirdik. Müşteri verilerinden, kredi kartı verilerine kadar önemli bilgilerin kötü ellere geçmesini engellemek amacıyla bu çözümü geliştirdik. Bunun yanında birçok bilgi güvenliği şartını sağlamamızı koşul olarak koyan PCI ile ilgili çalışmalarımızı tamamlayarak uluslararası PCI kredi kartı bilgi güvenliği sertifikamızı 2016 yılında aldık. SaasPass çözümü ile entegre bir kimlik yönetim sistemi geliştirdik ve çalışanlarımızın şirkete bağlantılarını multi-factor authentication dediğimiz yöntemle yapmasını sağladık. Diğer önemli bir bilgi güvenliği konusu olan sosyal mühendislik alanında da farkındalık çalışmaları yaptık ve yapmaya devam ediyor olacağız. İki farklı firma ile penetrasyon testleri konusunda çalıştık ve raporlanan açıkları kapattık” dedi.

Sosyal mühendislik konusu yeni yılda ön planda olacak 

2017 yılında da bilgi güvenliğinin yine gündemdeki en önemli konulardan biri olacağının altını çizen Çetin, özellikle sosyal mühendislik konusunun yeni yılda ön planda olacağını kaydetti. Çetin şöyle devam etti: “Sosyal mühendislik alanında personelimizi bilinçlendirme çalışmalarına 2017 yılında da devam edeceğiz. Kurumlar da bilgi güvenliğini ön planda tutmak için, ISO27001 gibi bir güvenlik sertifikası için gap/farkındalık analizi hazırlayarak bunun için yapılması gereken işlemleri doğru planlarla hayata geçirmeleri gerektiğini düşünüyorum. Bu çalışma da önemli bir nokta ise yapmış gibi gözükmek yerine gerçekten belirtilen tüm kuralları iç işleyişimizin içine yerleştirebilmeliyiz. Bunun yanında sizin aldığınız bütün önlemler, bir kullanıcının şifresini vermesiyle işlevsiz kalabilir, bu sebeple mutlaka kullanıcı bilinçlendirmesine de önem verilmeli.”
İyi bir kimlik yönetim sisteminin nasıl olması gerektiği konusunda da açıklamalarda bulunan özgür Çetin, “Öncelikle tüm yazılımların kimlik yönetimi anlamında entegre çalışabilmesi çok önemli. Örneğin bir kullanıcı LDAP’a kaydolduğunda aynı kullanıcı hem İK sisteminde, hem muhasebe sisteminde hem de CRM sisteminde yaratılıyorsa ve tersi durumda kullanıcı kurumdan ayrıldığında ilgili hesaplar otomatikman tüm sistemlerden kaldırılabiliyorsa bu iyi bir kimlik yönetim sistemi olduğunu göstermektedir. Single-sign-on özelliğinin varlığı ve tüm sistemlerde aynı kimlikle login olunabilmesi de önemli. Bunun sayesinde tek bir yerden tüm yetki iptal edilebilir. İyi bir yetki matrisi varsa ve açılan her kullanıcının yetkilendirmesi yine tüm sistemlerde otomatik olarak yapılabiliyorsa veya pozisyon değiştiğinde mevcut yetkiler iptal edilip, yeni yetkiler pozisyona göre değişebiliyorsa bu da iyi bir kimlik yönetim sisteminin varlığının göstergesi” diye konuştu.

Categories: DOSYA KONULARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*