Yasal mevzuata uygunluk giderek zorlaşıyor ve ağları, sistemleri, verileri ve diğer varlıkları korumaktan sorumlu IT güvenlik ekipleri, gayet haklı sebeplerle yürürlükte olan -ancak göz korkutucu olabilen- ve gittikçe katılaşan düzenlemelere ayak uydurmakta zorlanıyor.
Kaliteli bir Ayrıcalıklı Erişim Yönetimi (Privileged Access Management, PAM) çözümü uygulayarak, işletmeler ve kuruluşlar birden çok ihtiyacı birlikte ve verimli bir şekilde karşılayabilirler.
Aşırı yüklenmiş IT ekipleri yalnızca bağlandıklarını korumakla kalmaz, aynı zamanda daha fazla kontrol otomasyonu sayesinde mevzuat uyumluluğunu kanıtlayabilir ve bağlı bulundukları kuruluşun yasal mevzuat teftişi ile karşı karşıya kalması durumunda uyarılar, raporlar ve denetim materyalleri oluşturabilirler.
IT ile ilgili kaliteli dahili yazılım ve çözümlerin veri kaybı riskini ve veri ihlallerini en aza indirdiğini göstermek, günlük faaliyetleri iyileştirirken, yasal mevzuatın gereksinimlerini de karşılar.
ISO/IEC 27001 için IT güvenlik uyumluluğu, IT uyumluluğu için güvenilir, kanıtlanmış bir çerçevedir. ISO/IEC 27001'de ifade edilen hedefler çok geniş yelpazede olsa da, hala modern bir siber güvenlik duruşu için gerekenin yalnızca yüzde birini temsil etmektedir. Bu hedefler harika bir başlangıçtır.
ISO/IEC 27001, Uluslararası Standardizasyon Teşkilatı (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından yayınlanan bir bilgi güvenliği yönetim standardıdır.
ISO 27001, bütün dünyadaki kuruluşlar tarafından her şeyden fazla sağlam bir Bilgi Güvenliği Yönetim Sistemi (ISMS) kurmak, uygulamak, sürdürmek, değerlendirmek ve sürekli iyileştirmek amacıyla kullanılmaktadır. Standart, özellikle bir kuruluşun bilgi güvenliği hedeflerini karşılamak amacıyla bir çerçeve oluşturmanın gereksinimlerini belirlemektedir. Belirlediği gereksinimler arasında, liderlik taahhüdü, bilgi güvenliği politikası ve bilgi güvenliği görevlerinin resmi olarak atanması bulunmaktadır.
ISO 27001, kendi BGYS gereksinimlerinin tümünün uygulanabilmesini garantilemek için, kuruluşların en azından kısmen bir risk tespitine dayanarak kendi kontrol gereksinimlerini belirlemesini gerektirir.
ISO/IEC 27001 yönetimden şunları bekler:
- Tehditleri, zaafiyetleri ve etkileri dikkate alarak, kuruluşun bilgi güvenliği risklerini sistematik bir şekilde inceleyin.
- Kabul edilemez sayılan riskleri yönetmek için, tutarlı ve kapsamlı bir bilgi güvenliği kontrol paketi ve/veya farklı risk yönetimi yöntemleri (riski önleme veya risk transferi gibi) tasarlayın ve hayata geçirin; ayrıca bilgi güvenliği kontrollerinin kuruluşun bilgi güvenliği gereksinimlerini süregiden bir şekilde karşılamasını sağlamak için, kapsayıcı bir yönetim süreci benimseyin.
- Ayrıcalıklı Erişim Yönetimi, işletmeler ve kuruluşlar için ilk savunma hattıdır, çünkü en az ayrıcalıklı olanlar dahil olmak üzere ayrıcalıklı erişimin detaylı kontrolüne izin verir.
- PAM, bir kuruluştaki ayrıcalıklı kullanıcılar ile ayrıcalıklı hesapların izlenmesine ve kontrol edilmesine odaklanan Kimlik ve Erişim Yönetimi'nin (IAM) içerisinde yer alan bir siber güvenlik alanıdır.
Ayrıcalıklı kullanıcılar kimlerdir
Bir kuruluştaki ayrıcalıklı kullanıcıların, işletimsel ve yönetimsel amaçlar doğrultusunda IT ve ağ altyapısına veya müşteri kayıtları, çalışan maaş bordroları ve mali kayıtlar gibi hassas bilgilere erişimi vardır. Ayrıcalıklı kullanıcı örnekleri şunlardır:
- Geniş yelpazedeki varlıklara sürekli ve sınırsız erişim izni olan sistem, veri tabanı ve uygulama yöneticileri
- Geniş yelpazedeki varlıklara kısıtlı erişim izni olan yardım masası elemanları
- Yönetimsel Uygulama (ör. ERM, Salesforce) kullanıcıları veya bir kuruluşun sosyal medya (ör. LinkedIn, Twitter) hesaplarının kullanıcıları
- Satıcı desteği elemanları, danışmanlar, yükleniciler gibi, kuruluşun çalışanı
PAM bir kuruluş için neden kritik önemdedir?
Ayrıcalıklı kullanıcılar, yükseltilmiş veya sınırlandırılmamış, yani ayrıcalıklı hesapları kullanarak bir kuruluşun kritik sistemlerine, kaynaklarına ve varlıklarına erişir. Bu hesaplar, yerel ve etki alanı yönetim hesaplarını, hizmet hesaplarını, acil durum hesaplarını, uygulama hesaplarını kapsar ve "krallığın anahtarları" olarak adlandırılır. Bunlar, hem harici hem de dahili kötü niyetli kullanıcıların ana hedefleridir ve başarılı saldırılarda bir kuruluşun kritik sistemlerine ve kaynaklarına erişim sağlamak için kullanılmakta, bu da işi önemli oranda etkileyen veri ihlalleri veya iletişim kesintileri ile sonuçlanmaktadır. Dolayısıyla, ayrıcalıklı hesaplar kritik sistemlere ve hassas bilgilere yükseltilmiş/sınırlandırılmamış erişim sağladıkları için, herhangi bir kuruluşun güvenlik sistemine karşı potansiyel bir tehdit kaynağıdır.
PAM çözümlerinin ortak becerileri nelerdir?
Ayrıcalıklı Erişim Yönetimi çözümleri, kritik sistemlere yetkisiz erişimi ve ayrıcalığın kötüye kullanılmasını önlemek için gözetim, denetim, takip ve kimlik doğrulama kontrolleri sağlar. Ortak becerileri şunlardır:
- Yasal mevzuata uygunluk şartlarını karşılamak için denetim tarihçeleri ve raporları
- Ayrıcalıklı Hesap Yönetimi (ör. sistem/hizmet hesaplarının keşfi, bu tür parolaları, kullanıcılara görünmez hale getirmek dahil, güvenli bir şekilde saklamak ve rastgele oluşturmak)
- Olay günlüğü (ör. erişim istekleri, oturum açmalar, eklenen/silinen kullanıcılar veya sistemler)
- Oturum kaydı (örneğin, oturumların video kayıtları, tuş vuruşu günlüğü, komut günlüğü)
- En Az Ayrıcalıklı Yönetimi (kim hangi sistemlere, hangi sınırlandırmalar altında erişebilir)
- Kurumsal Uygulamalar (ör. Aktif Dizin, Varlık Envanteri, IT hizmet yönetimi, 2-Faktörlü Kimlik Doğrulama) ile entegrasyon
Kron, dünyanın en büyük ve en kritik görevleri yerine getiren kuruluşlarına, devlet kurumlarına, hizmet sağlayıcılarına, sistem entegratörlerine ve bulut platformlarına destek sağlamaktadır. Yasal mevzuat gereklilikleri daha sıkı hale geldikçe, mimarisini de bu regülasyonlara uygun şekilde inşa eden Kron, müşterilerinin yeni gerekliliklere cevap vermesine ve gelişmiş PAM yazılım ürünü Single Connect’i kullanarak yapılanları ve tanımlanıp çözüme kavuşturulan faaliyetleri raporlamasına yardımcı oluyor. Daha fazla bilgi için dünyanın sayılı Ayrıcalıklı Erişim Yönetimi ürünlerinden biri olan Single Connect’i inceleyebilir.veya sorularınız için Kron’a ulaşabilirsiniz.