← Tüm terimler
Görevler Ayrılığı (SoD)

Görevler ayrılığı (SoD) nedir?

Görevler ayrılığı, kritik işleri kişiler arasında bölerek tek bir kişinin hassas bir işlemi hem yapıp hem gizleyememesini sağlar; dolandırıcılık ve hata riskini azaltır.

Son güncelleme: 13 Temmuz 2026

Görevler ayrılığı nasıl işler

Görevler ayrılığı, kökeni finans alanına dayanan bir kontrol ilkesidir: Bir ödemeyi oluşturan kişi onu onaylayan kişi olmamalı, kodu yazan geliştirici onu üretime alan tek kişi olmamalıdır. Hassas bir uçtan uca süreç için en az iki kişi gerektirerek, dolandırıcılığı ve ciddi hataları tek bir kararla değil ancak iş birliğiyle mümkün kılar.

Kimlik açısından SoD, çakışan yetkilendirmelere ilişkin kurallar olarak ifade edilir. Bir politika, hiçbir kullanıcının bir ERP sisteminde hem tedarikçi oluşturma hem ödeme onaylama rolünü ya da hem veritabanı yönetimi hem denetim günlüğü yönetimi haklarını aynı anda taşıyamayacağını belirtebilir.

Bir SoD motoru bu kuralları sürekli değerlendirir: Talep anında çakışan kombinasyonları engeller (önleyici kontrol) ve mevcut erişimi ihlaller için tarar (tespit edici kontrol).

SoD neden önemlidir

Büyük dolandırıcılık vakalarının çoğunda, tehlikeli bir yetki kombinasyonunu uzun süre elinde tutan tek bir kişi vardır. SoD bu senaryoya karşı yapısal savunmadır; bu nedenle dış denetçiler finansal sistemlerde bunu doğrudan test eder ve SOX, ISO 27001, SOC 2 gibi çerçeveler çakışan görevlerin belirlenip kontrol edilmesini bekler.

SoD ihlalleri ayrıca sessizce birikir. Üç kez rol değiştiren bir kullanıcı, hiçbir politikanın bilinçli olarak onaylamayacağı bir kombinasyona sahip olabilir. Otomatik tespit olmadan bu tehlikeli kombinasyonlar ancak olaylar veya denetimler sırasında ortaya çıkar.

Çakışmanın önlenemediği durumlarda — küçük ekiplerde yaygındır — kuruluşlar istisnayı belgeler ve gelişmiş günlükleme ile yönetim gözden geçirmesi gibi telafi edici kontroller uygular.

Pratikte SoD uygulaması

Uygulama, tek bir kişinin gerçek risk oluşturduğu süreçlerin belirlenmesiyle başlar: Ödemeler, satın alma, bordro, kullanıcı yönetimi ve üretime dağıtım tipik örneklerdir. Ekipler her süreç için çakışan yetkilendirme çiftlerini tanımlar ve bunları IGA platformlarında kural olarak kodlar.

İlk ihlal taraması genellikle uzun bir liste döndürür; her şeyi bir kerede düzeltmeye çalışmak yerine iş etkisine göre önceliklendirin. Net ihlalleri kaldırın, gerekçeli istisnaları telafi edici kontrollerle belgeleyin ve kuralları erişim talebi iş akışına bağlayarak yeni çakışmaların daha oluşmadan engellenmesini sağlayın.

SoD kontrolleri, gözden geçirenlerin çakışma işaretlerini bağlam içinde gördüğü erişim gözden geçirmeleriyle birlikte en iyi sonucu verir. Monosync, SoD politikalarının tanımlanmasını ve ihlallerin erişim gözden geçirme ile raporlama iş akışlarında görünür kılınmasını destekler.

Sık sorulan sorular

SoD kapsamında tehlikeli kombinasyon nedir?
Tehlikeli kombinasyon, tek bir kişide toplandığında dolandırıcılığa veya fark edilmeyen hataya olanak veren yetkilendirme kümesidir — örneğin hem tedarikçi oluşturabilme hem de o tedarikçiye yapılan ödemeleri onaylayabilme. SoD politikaları tam olarak bu kombinasyonları tespit etmek ve önlemek için vardır.
Küçük ekipler yeterli kişi yokken SoD'yi nasıl uygular?
Gerçek bir ayrım mümkün olmadığında kuruluşlar çakışmayı kabul edilmiş istisna olarak belgeler ve telafi edici kontroller uygular: Ayrıntılı etkinlik günlükleme, işlemlerin zorunlu yönetim incelemesi veya periyodik bağımsız kontroller. Denetçiler iyi belgelenmiş telafi edici kontrolleri genellikle kabul eder.
SoD yalnızca finansal sistemler için mi geçerli?
Hayır. Kökeni finans olsa da aynı ilke BT operasyonları için de geçerlidir: Kod yazımını üretime dağıtımdan, kullanıcı yönetimini günlük yönetiminden, güvenlik politikası tanımını uygulamasından ayırmak iç tehdit riskini azaltır.