Kimlik Yönetimi Günü, her yıl Nisan ayının ikinci Salı gününe denk gelir. 2021’de Identity Defined Security Alliance ve National Cybersecurity Alliance tarafından başlatılan bir gün.
Günün amacı, dijital kimliklerin yanlış yönetilmesi ve güvenliğinin sağlanmasıyla ilgili riskler hakkında farkındalık yaratmaktır. En iyi uygulamaları paylaşmayı ve sektördeki insanları kimlikleri daha iyi koruma konusunda eğitmeyi amaçlıyorlar.
Cymmetri Identity Management’ın kurucusu ve CEO’su Vikash Jha, The Cyber Express’e “Çalışan kimliği yönetimi, kuruluşların çalışanlarının sistemlerine ve verilerine erişimini düzenlemek ve denetlemek için kullandıkları süreç ve teknolojiler dizisini tanımlamak için kullanılan bir terimdir” dedi. .
2023 Kimlik Yönetimi Günü’nde Jha, kuruluşların kimlik yönetimi politikalarını doğru yapmak için sormaları gereken on temel soruyu yanıtlıyor.
Şirketlerin çalışan kimliği yönetiminde karşılaştığı bazı yaygın riskler nelerdir?
Çalışan kimlik yönetimi söz konusu olduğunda şirketlerin karşılaştığı birkaç yaygın risk vardır.
Bunlar, yetkisiz erişim, içeriden gelen tehditler, sosyal mühendislik, veri ihlalleri ve uyum ihlalleri gibi şeyleri içerir. Şirketlerin bu risklerin farkında olması ve bunların olmasını önlemek için adımlar atması önemlidir.
Şirketler, çalışanların yalnızca iş görevlerini yerine getirmek için ihtiyaç duydukları bilgi ve sistemlere erişmelerini nasıl sağlayabilir?
Bir şirket, çalışanlarının yalnızca işlerini yapmak için ihtiyaç duydukları bilgi ve sistemlere erişebildiğinden emin olmak istiyorsa, bazı en iyi uygulamaları takip edebilir.
Bunlar, erişimin bir çalışanın şirket içindeki rolüne dayalı olduğu anlamına gelen rol tabanlı erişim denetimi (RBAC) gibi şeyleri içerir.
Başka bir yaklaşıma “en az ayrıcalıklı erişim” adı verilir, bu da çalışanlara yalnızca işlerini yapmaları için gereken minimum düzeyde erişim verildiği anlamına gelir.
Şirketler ayrıca bir erişim talebi ve onay süreci uygulayabilir ve erişim ayrıcalıklarının güncel olduğundan emin olmak için düzenli erişim incelemeleri gerçekleştirebilir.
Son olarak, izleme ve günlük kaydı, şirketlerin kimin hangi bilgilere ne zaman eriştiğini takip etmelerine yardımcı olabilir.
Bir kuruluşta çalışan kimliklerini ve erişim denetimlerini yönetmek için en iyi uygulamalardan bazıları nelerdir?
İlk olarak, yalnızca yetkili kullanıcıların erişim sahibi olmasını sağlamak için güçlü bir kimlik doğrulama mekanizması uygulamak önemlidir. Başka bir yararlı uygulama, iş görevlerine göre erişimi sınırlamak için rol tabanlı erişim denetimi (RBAC) kullanmaktır.
En düşük ayrıcalık erişimini uygulamak, düzenli erişim incelemeleri yapmak ve kimlik ve erişim yönetimi (IAM) yazılımı kullanmak da etkili olabilir.
Bu teknik önlemlere ek olarak, çalışanların eğitiminin sağlanması da önemlidir. Son olarak, günlük kaydı ve izlemenin uygulanması, herhangi bir yetkisiz erişimin veya şüpheli etkinliğin tespit edilmesine yardımcı olabilir.
Şirketler, çalışan kimliklerinin yetkisiz erişim veya hırsızlığa karşı korunmasını nasıl sağlayabilir?
Şirketlerin çalışan kimliklerinin korunmasını sağlamak için yapabileceği birkaç şey var. Bir şey, çok faktörlü kimlik doğrulama kullanmaktır; bu, çalışanların hassas bilgilere erişmek için iki veya daha fazla kimlik türü sağlaması gerektiği anlamına gelir.
Başka bir en iyi uygulama, verileri korumak için şifreleme kullanmaktır; bu, bilgileri yalnızca yetkili tarafların okuyabileceği şekilde karıştırır. Şirketler ayrıca hassas bilgilere erişimi sınırlayabilir, geçmiş kontrolleri yapabilir ve çalışanlarını potansiyel güvenlik tehditlerini tanımaları için eğitebilir.
En önemlisi, şirketler hassas verilere yalnızca doğru kişilerin erişebildiğinden emin olmak için erişim izinlerini düzenli olarak gözden geçirmelidir.
Kuruluşların bilmesi gereken çalışan kimlik yönetimi sistemlerindeki yaygın güvenlik açıkları nelerdir?
Çalışan kimliklerinin yönetimi söz konusu olduğunda, çoğu kuruluşun karşılaştığı bazı yaygın güvenlik açıkları vardır.
Bunlar arasında zayıf parolalar, çok faktörlü kimlik doğrulama eksikliği, yetersiz erişim kontrolleri, yetersiz eğitim ve farkındalık ve üçüncü taraf riskleri yer alır.
Şirketler, çalışan gizliliğinden ödün vermeden potansiyel güvenlik ihlallerini veya içeriden gelen tehditleri tespit etmek için çalışan faaliyetlerini nasıl izleyebilir ve takip edebilir?
Bunun bir yolu, şirket politikasına uyan çalışan izleme yazılımı kullanmaktır. Başka bir yol da ağ izlemedir.
Şirketler ayrıca bir güvenlik tehdidine işaret edebilecek anormallikleri belirlemek için kullanıcı davranışı analizlerini kullanabilir. Erişim günlükleri ve denetim izleri, çalışan etkinliğini izlemek için de yararlı olabilir.
Son olarak, düzenli güvenlik değerlendirmeleri yapmak, şirketlerin güvenlik sistemlerindeki güvenlik açıklarını siber suçlular tarafından kullanılmadan önce tespit etmelerine yardımcı olabilir.
Şirketlerin çalışan kimliklerini ve erişim kontrollerini yönetirken göz önünde bulundurması gereken bazı temel uyumluluk gereksinimleri nelerdir?
Normlar iş bölgesine göre değişir. Cymmetri Hindistan merkezlidir. Bu ülkede çalışan kimliklerini ve erişim kontrollerini yöneten şirketlerin, aşağıdakiler de dahil olmak üzere çeşitli düzenlemelere ve yasalara uyması gerekir:
Bilgi Teknolojisi (Makul Güvenlik Uygulamaları ve Prosedürleri ve Hassas Kişisel Veriler veya Bilgiler) Kuralları, 2011:
Bu kurallar, şirketlerin topladıkları ve işledikleri hassas kişisel verileri veya bilgileri korumak için makul güvenlik uygulamaları ve prosedürleri uygulamasını gerektirir. Şirketler ayrıca kişisel verilerinin toplanması ve kullanılması ile ilgili olarak bireylere bildirimde bulunmalı ve onaylarını almalıdır.
Bilgi güvenliği, siber dolandırıcılık ve risk yönetimi ile ilgili Hindistan Merkez Bankası (RBI) yönergeleri: Bu yönergeler, bankalar ve diğer finansal kuruluşlar için geçerlidir ve müşteri verilerini korumak ve siber dolandırıcılığı önlemek için uygun erişim kontrolleri ve güvenlik önlemleri uygulamalarını gerektirir.
Ödeme ve Hesap Görme Sistemleri Yasası, 2007: Bu yasa, ödeme sistemlerini düzenler ve ödeme sistemi operatörlerinin, ödeme verilerini korumak ve yetkisiz erişimi önlemek için uygun güvenlik önlemlerini uygulamasını gerektirir.
Şirketler Yasası, 2013: Bu kanun, şirketlerin dahili mali kontroller uygulamasını ve doğru mali verileri muhafaza etmesini gerektirir. Şirketler ayrıca finansal verilere erişimin yetkili kişilerle sınırlı olmasını sağlamalıdır.
Şirketlerin, çalışan kimliği yönetimi uygulamalarını iyileştirmek için yararlanabilecekleri bazı yeni teknolojiler veya eğilimler nelerdir?
Şirketlerin, çalışan kimliği yönetimi uygulamalarını iyileştirmek için yararlanabilecekleri, aşağıdakiler de dahil olmak üzere, yeni ortaya çıkan birkaç teknoloji ve eğilim vardır:
Hizmet Olarak Kimlik (IDaaS): IDaaS çözümleri, şirketlerin çalışan kimliklerini ve erişim kontrollerini bulut tabanlı bir ortamda yönetmesine olanak tanır. Bu, ölçeklenebilirliği artırabilir ve şirket içi altyapı ihtiyacını azaltabilir. IDaaS çözümleri ayrıca tipik olarak çok faktörlü kimlik doğrulama ve kimlik yönetişimi ve yönetimi (IGA) gibi özellikleri içerir.
Sıfır Güven: Sıfır Güven, tüm kullanıcıların, cihazların ve uygulamaların potansiyel olarak ele geçirildiğini varsayan ve her erişim isteği için sürekli kimlik doğrulama ve yetkilendirme kontrolleri gerektiren bir güvenlik modelidir. Bu yaklaşım, hassas verilere ve sistemlere erişimi yalnızca yetkili kullanıcılar ve cihazlarla sınırlayarak güvenliği artırabilir.
Biyometrik Kimlik Doğrulama: Biyometrik kimlik doğrulama, kullanıcıların kimliğini doğrulamak için parmak izi veya yüz tanıma gibi benzersiz fiziksel özellikler kullanır. Bu, parola tabanlı saldırı riskini veya hassas veri ve sistemlere yetkisiz erişim riskini azaltarak güvenliği artırabilir.
Blockchain: Blockchain teknolojisi, kullanıcıların kendi kimlik verileri üzerinde kontrol sahibi olduğu ve bilmesi gerekenler temelinde erişim sağlayabildiği merkezi olmayan bir kimlik yönetimi sistemi oluşturmak için kullanılabilir. Bu, veri ihlali riskini azaltarak ve kullanıcıların kendi verileri üzerinde daha fazla kontrole sahip olmasını sağlayarak güvenliği artırabilir.
Yapay Zeka (AI) ve Makine Öğrenimi (ML): AI ve ML, kullanıcı davranış modellerini analiz etmek ve bir güvenlik ihlali veya içeriden gelen tehdide işaret edebilecek anormallikleri tespit etmek için kullanılabilir. Bu teknolojiler, erişim istekleri ve yetkilendirme gibi kimlik ve erişim yönetimi süreçlerini otomatikleştirmek için de kullanılabilir.
Parolasız Kimlik Doğrulama: Parolasız kimlik doğrulama, geleneksel parolaların yerini biyometrik kimlik doğrulama veya bir kullanıcının cihazına gönderilen tek seferlik kodlar gibi daha güvenli kimlik doğrulama yöntemleriyle değiştirir. Bu, parola tabanlı saldırı riskini azaltarak ve kimlik doğrulamayı kullanıcılar için daha kolay hale getirerek güvenliği artırabilir.
Şirketler, güçlü güvenlik kontrollerine olan ihtiyaç ile çalışanlarına kusursuz bir kullanıcı deneyimi sağlama ihtiyacı arasında nasıl denge kurabilir?
Bu tartışmalı bir alandır. Şirketlerin çalışan kimliği yönetiminde güvenlik ve kullanıcı deneyimini kesinlikle dengeleyebileceğine inanıyorum. Şirketlerin kullanabileceği birkaç strateji var.
İlk olarak, kullanıcıların sistemlere veya verilere erişmek için birden çok tanımlama biçimi sağlamasını gerektiren çok faktörlü kimlik doğrulamayı uygulayabilirler. Başka bir strateji, kullanıcıların tek bir oturum açma kimlik bilgisi seti ile birden çok sisteme erişmesine izin veren çoklu oturum açmayı kullanmaktır.
Rol tabanlı erişim denetimleri, hassas bilgilere erişimi kullanıcının iş sorumluluklarına göre sınırladıkları için de kullanışlıdır. Uyarlanabilir kimlik doğrulama, güvenlik gereksinimlerini kullanıcı etkinliğinin risk düzeyine göre ayarlayarak güvenlik ve kullanıcı deneyimini dengelemeye yardımcı olabilecek başka bir yaklaşımdır.
Ve elbette, kullanıcıların güvenliğin önemini ve güvenlik önlemlerini nasıl etkili bir şekilde kullanacaklarını anlamalarına yardımcı olabileceğinden, kullanıcı eğitimi ve farkındalığı sağlamak her zaman önemlidir.
Şirketlerin çalışan kimliklerini yönetirken yaptıkları bazı yaygın hatalar nelerdir ve bunlardan nasıl kaçınılabilir?
Zayıf parolalar kullanmak veya güçlü parola politikaları uygulamamak büyük bir hatadır. Diğer bir sorun da düzenli erişim incelemeleri yapmamaktır, bu da çalışanların artık ihtiyaç duymadıkları sistemlere ve bilgilere erişmesine neden olabilir.
Ayrıca bazı şirketler, hataya açık ve zaman alıcı olabilen manuel süreçlere çok fazla güvenmektedir.
Ayrıca, çalışanlar arasında güvenliğin önemi konusunda yetersiz eğitim ve farkındalık olabilir. Son olarak, çok faktörlü kimlik doğrulamanın (MFA) uygulanmaması, sistemleri ve bilgileri yetkisiz erişime karşı savunmasız bırakabilir.