Sistem, veritabanı ve uygulamaların yönetimini veya kritik verilere ulaşımı mümkün kılan ayrıcalıklı erişim yönetimi günümüz dünyasının en önemli konularından birisidir. Sahip oldukları erişimler nedeniyle ayrıcalıklı kullanıcılar saldırganların ilk hedeflerinden biridir.
2020 yılında Endonezya Fintek firması olan Cermati’den yetkisiz erişim ile 2,9 Milyon kullanıcının bilgilerinin çalınması ya da Hindistan’da bulunan ödeme sistemleri şirketi JustPay ele geçirilmiş olan bir sunucu üzerinden yapılan yetkisiz işlemler ile 100 Milyon müşterisinin bilgilerini çaldırdığı örnekler ayrıcalıklı erişim kontrolünün önemini gözler önüne sermektedir.
Finans sektörünün önde gelen regülatörlerinden olan BDDK, yayınladığı Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ ile bilgi sistemleri yönetimi konusunda gereklilikleri tanımlamış ve uyumun sağlanması konusunda denetimler yapmakta/yaptırmaktadır.
Finans sistemlerine güvenli erişim sağlamak, erişimleri yönetmek ve daha güvenli hale getirmek için partner’lığını yaptığımız dünyanın sayılı Ayrıcalıklı Erişim Yönetimi teknoloji üreticilerinden Kron’un Single Connect platformunu kullanarak aşağıdaki kontrolleri sağlayabilirsiniz.
Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ’in zorunlu kıldığı şirket veri tabanlarına, uygulamalara ve sistemlere iç ve dış ağlardan, güvenilir katmanlı kimlik doğrulama ve en az yetki prensibi ile kullanıcıların, tarafların ve sistemlerin erişimlerini güvenli kılmaktadır.
Kimlik doğrulama süreçlerinde beklenilen, farklı hassasiyet derecelerine farklı doğrulama yöntemleri, birden fazla kişinin “administrator” hesap şifresini bilmemesi, farklı parola politikalarının uygulanabilmesi, başarısız teşebbüslerin gözden geçirilmesi gibi Madde 8’de yer alan tüm gereksinimler karşılanmaktadır.
Yetkilendirme ve erişimi gözden geçirme adımlarında, görevler ayrılığına uygun yetkilendirme süreçlerinin oluşturulabilmesi, yetkisiz erişimlerin önüne geçilmesi, geçici ve sürekli erişimlerin otomatize edilmesi ve yetki gözden geçirilmesini kolaylaştırması gibi 7’de yer alan tüm gereksinimler karşılanmaktadır.
Sistem destek hizmetlerinin tedarik edilmesinin daha anlamlı olduğunu günümüzde, destek sağlayan hesapların yönetilmesini, inkar edilemezliğin sağlanması en önemli konulardan biridir.
Kısacası, tebliğde yer alan aşağıdaki maddelere Kron Single Connect ürünü ile uyum sağlamak çok daha güvenilir ve kolay olmaktadır.
- Madde 6 : Bilgi Güvenliği Yönetimi
- Madde 7 : Yetkilendirme ve erişim yönetimi
- Madde 8 : Kimlik doğrulama
- Madde 9 : Denetim izlerinin oluşturulması
- Madde 10: Bilgi Sistemleri Varlıklarının Yönetimi
- Madde 12 : Dış Hizmet alımı ve yönetimi
Single Connect Nedir / Neleri içerir;
Kron’un Ayrıcalıklı Erişim Yönetimi ürünü olan Single Connect firmanızı kritik altyapı ve kritik verilerinizi korumanız amacı ile ayrıcalıklı yetkilere sahip kullanıcıların erişim, yetki, oturum ve parola yönetimini yapabileceğiniz modüllerden oluşan dünyanın önde gelen uygulamalarından biridir.
Yetkili Oturum Yöneticisi: Yapılan erişimlerde yetkilendirme politikası (en az yetki prensibi, görevler ayrılığı ilkeleri vb.) uygulamanızı sağlayan ve yapılan işlemleri yazılı, video vb. farklı formatlarda kaydedebildiğiniz modüldür.
Dinamik Veri Maskeleme: Veri tabanlarında bulunan verilere kullanıcı bazlı yetkilendirmeler ile bu verilere erişimin kontrol edilmesini sağlayan modüldür. Farklı yetkilendirmeler ile verinin açık halde ya da maskeli olarak görüntülenmesini sağlar.
İki Faktörlü Kimlik Doğrulama:Kimlik doğrulama sahip olduğun iki farklı parola sayesinde erişim sağlanmasıdır. Bildiğimiz parola dışında bir cihaz (token), bilgisayar veya cep telefonumuzdaki bir uygulama ile ürettiğimiz ya da bir SMS ile bize iletilen tek seferlik parolalar örnek gösterilebilir.
Merkezi Parola Yönetimi: Sistem, veri tabanı, uygulama yönetimi için kullanılan ya da kritik verilere ulaşan ayrıcalıklı kullanıcıların parola yönetimini sağlayan modüldür. Parolaların tanımladığınız politikalara uygun olarak yönetilmesini sağlar. Ayrıca parola cüzdanı olarak da kullanılabilir.
Ayrıcalıklı Görev Otomasyonu: Rutin görevlerin otomatik hale getirilerek kullanıcı hatalarından korunması ve zaman planlaması dahilinde işleme alınmasını sağlayarak servis kesintilerinin ortadan kaldırılmasını sağlayan otomasyon modülüdür.
TACACS+ / RADIUS Erişim Yönetimi:
Kimlik doğrulama için TACACS+ ve Radius sunucu kullanan firmalar için erişim yönetimi modülüdür. TACACS+ ve Radius kimlik doğrulaması ve Microsoft AD entegrasyonları ile erişimlerin kayıt altına alınmasını sağlar.