Şerit Komutlarını Atla
Ana içeriğe atla

Güvenli Erişim Yönetimi

Siber güvenlik risklerinin kurumlar üzerinde oluşturduğu tehditler günümüzde giderek artıyor. Siber saldırılar sonucunda, tüm dünyada kurumların finansal zararlaraya da itibar kaybına uğradıkları görülüyor. Önde gelen tüm kurumlar siber güvenlik risklerini diğer operasyonel riskler gibi ciddi bir şekilde değerlendirip temel risk yönetimi prensiplerini uygulamak zorundalar.

Bu bağlamda siber risklere karşı alınabilecek en etkili önlemler arasında son kullanıcı farkındalığının yanısıra Erişim Yönetimi geliyor.

Son yıllarda ülkemizde Bilgi Güvenliği hassasiyeti oldukça önem kazandı. ISO 27001 BGYS, COBIT gibi uluslararası kabul görmüş standart ve yönetişim çerçeveleri, Bilgi Güvenliği'nin kurumlarda uygulanabilmesi için ilk adım olarak etkin kimlik yönetimine işaret ediyor.

Temel olarak Erişim Yönetimi, kullanıcıların kurum ağı, sistemleri, uygulamaları ve cihazlarında rol ve yetki tanımlamalarını ifade eder. Güçlü bir güvenlik seviyesi için kullanıcıların sistemlere "kullanıcı adı" ve "şifre" ile erişimleri sağlanmalıdır​.

Bilgi sistemleri olanaklarından faydalanan kullanıcıların izlenebilir olması standartlar ve yönetişim çerçevelerinde vurgulanan önemli diğer bir husustur. Kullanıcıların kolaylıkla izlenebilir olması açısından jenerik kullanıcı hesaplarından kaçınılması ve her bir bilgi sistemleri kullanıcısına özel kullanıcı hesaplarının yaratılması gerekmektedir. Bu nedenle kurum ihtiyaçlarını karşılayabilecek ve merkezi kullanıcı yönetimi yapabilecek, kurum içerisindeki tüm sistem ve uygulamalarla entegre şekilde çalışabilecek araçlardan faydalanılması gerekmektedir.

İyi bir şifre nasıl olmalı?

Uluslararası standartlar, güvenli şifre yönetimi için kurumların aşağıdaki şifre parametrelerini asgari seviyede sağlamalarını beklemektedir:

  1. Günümüzde kabul edilen parola uzunluğu büyük-küçük harfler, sayılar ve özel karakter kombinasyonunu zorlayacak şekilde konfigüre edilmiş en az 8 karakterdir.
  2. Kullanıcı hesapları varsayılan bir şifre ile oluşturulur. Bu şifrelerin kullanıcının ilk girişiyle birlikte değiştirilmesi gerekmektedir.
  3. Tüm şifreler tek yönlü şifreleme yöntemiyle saklanmalıdır.
  4. Doğrulama sunucusu erişimleri sıkı bir şekilde izlenmelidir.
  5. Şifreler ekran üzerinde kesinlikle açık bir şekilde gösterilmemeli, yıldız gibi özel karakterlerle maskelenmelidir.
  6. Şifre tarihçesi saklanarak kullanıcıların yeniden aynı şifreyi belirli bir süre tekrar kullanması önlenmelidir.
  7. Şifre geçerlilik süresi tanımlanmalıdır (Son kullanıcı minimum 60 gün  ve yetkili hesaplar için minimum 30 gün  önerilmektedir).
  8. Kullanıcının 15 dakika süreyle işlem yapmaması halinde ekran koruyucusu otomatik olarak devreye girerek erişimi engellemelidir.
  9. Kullanıcı hesapları minimum 3 defa yanlış şifre giriş denemelerinde kilitlenmeli ve kullanıcının sisteme yeniden erişimi için sistem yöneticisine başvurması sağlanmalıdır.
Bilgi Güvenliği Yönetim Sistemi tüm standartlarını karşılayan Sigorta Bilgi ve Gözetim Merkezi'nde (SBM)  Erişim Yönetimi politikaları tüm uygulama ve sistem erişimlerinde etkin hale getirilmiş, şifre kasası uygulamasıyla birlikte yetkili hesaplar güvence altına alınmıştır. Kullanıcı farkındalık eğitimleri ile birlikte kullanıcı ve şifre yönetiminin önemi SBM çalışanlarına periyodik olarak hatırlatılmaktadır.