IGA neleri kapsar
Kimlik Yönetişimi ve Yönetimi, birbiriyle yakından ilişkili iki yeteneği birleştirir. Yönetim tarafı operasyonel işleri üstlenir: hesap oluşturma, kişiler işe girdiğinde veya rol değiştirdiğinde erişim sağlama ve ayrıldıklarında erişimi kaldırma. İK sistemleri ve dizinler gibi yetkili kaynaklara bağlanır, ardından değişiklikleri alt uygulamalara aktarır.
Yönetişim tarafı ise farklı bir soruya yanıt verir: Kişilerin şu anda sahip olduğu erişim gerçekten uygun mu? Kimin neye erişebildiğine dair görünürlük sağlar, periyodik erişim gözden geçirmeleri yürütür, görevler ayrılığı politikalarını uygular ve denetçilerin talep ettiği kanıtları üretir.
Pratikte bir IGA platformu, kimliklerin ve yetkilendirmelerin merkezi bir envanterini tutar, teknik izinleri iş odaklı rollere eşler ve erişim talep edildiğinde, verildiğinde veya gözden geçirildiğinde politika uygular.
IGA neden önemlidir
Yönetişim olmadan erişim birikir. Çalışanlar ekip değiştirir ancak eski izinlerini korur, yükleniciler projeler bittikten sonra hesaplarını elinde tutar ve sahipsiz hesaplar kritik sistemlerde varlığını sürdürür. Bunların her biri istismar edilmeyi bekleyen bir saldırı yolu ve denetim raporunda ortaya çıkmayı bekleyen bir bulgudur.
SOC 2, ISO 27001, GDPR ve KVKK gibi düzenlemeler ve çerçeveler, kuruluşlardan erişimin bilmesi gereken prensibiyle verildiğini ve düzenli olarak gözden geçirildiğini kanıtlamalarını bekler. IGA, bu beklentiyi elektronik tablo egzersizinden tekrarlanabilir ve kanıtlanabilir bir sürece dönüştürür.
Doğrudan bir güvenlik kazanımı da vardır: Kalıcı yetkilendirmeleri azaltmak, ele geçirilen bir hesabın etki alanını daraltır; düzgün işleyen işe giriş, görev değişikliği ve işten ayrılış süreçleri saldırganların yararlandığı boşlukları kapatır.
Pratikte IGA uygulaması
Çoğu kuruluş, IGA sisteminin kimlerin var olduğuna ve neye sahip olduğuna dair güvenilir bir resme sahip olması için önce yetkili kaynakları — İK platformları, Active Directory, LDAP veya veritabanları — bağlayarak başlar. Ardından ekipler rolleri ve yetkilendirme eşlemelerini tanımlar, en yoğun kullanılan uygulamalar için sağlamayı otomatikleştirir ve öncelikle en hassas sistemler için erişim gözden geçirmeleri planlar.
Aşamalı bir yaklaşım, tek seferde büyük bir geçişten daha iyi sonuç verir: Önce görünürlük ve raporlama, ardından sertifikasyon kampanyaları, sonra otomatik düzeltme. Başarı genellikle gözden geçirme tamamlanma oranları, ayrılan kişilerin erişiminin kaldırılma süresi ve tespit edilip kaldırılan sahipsiz veya aşırı yetkilendirme sayısıyla ölçülür.
Monosync gibi platformlar; AD, LDAP, İK ve SQL kaynaklarından kimlikleri senkronize ederek, yetkilendirmeleri eşleyerek ve SOC 2, ISO 27001, KVKK ve GDPR programları için kanıt niteliğinde denetim raporlarıyla erişim gözden geçirmeleri yürüterek bu süreci destekler.