Kimlik ve Erişim Yönetimi

Kimlik ve Erişim Yönetimi (IAM),  zaman içerisinde kimin hangi bilgilere erişebileceğini yönetme sürecidir. Bu fonksiyonlar-arası faaliyet, kişiler ve sistemler için farklı kimlikler yaratmanın yanı sıra, sistemi ve uygulama düzeyindeki hesaplar ile bu kimlikler arasında bağlantı kurmayı da içermektedir.

IAM süreçleri; kullanıcı kimliklerini ve bununla ilgili olarak kurumun gizli ve mahrem bilgilerine erişim izinlerini başlatmak, ele geçirmek, kaydetmek ve yönetmek için kullanılmaktadır. Bu kullanıcılar, kurum çalışanlarından başka kullanıcılarda olabilir. Örneğin kullanıcılar arasında satıcılar, müşteriler, ağ makineleri, jenerik yönetici hesapları ve elektronik fiziksel giriş kartları sayılabilir.  Kullanıcı hesaplarının yönetimini kolaylaştırmak ve veri güvenliği için düzgün ve yerinde kontroller yapmak amacıyla kurumun kullandığı yöntemler, IAM’nin temelini oluşturmaktadır.

Birçok yönetici IAM’yi bir bilgi teknolojisi (BT) fonksiyonu olarak görse de, bu süreç, kurum çapındaki tüm işletme birimlerini etkilemektedir. Örneğin  kurum kaynaklarına erişimi yönetmek için bir süreç mevcut olduğu ve bu sürecin doğasında bulunan risklerin üstesinden gelindiği için  yöneticiler kendilerini rahat hissetmelidirler.  İşletme birimleri, IAM’in ne olduğunu ve nasıl etkin bir şekilde yönetmek gerektiğini bilmelidirler. BT departmanları, IAM’nin kurumu çok fazla riske maruz bırakmadan iş süreçlerini nasıl sunabileceğini bilmeleri gerekmektedir. Tüm bu ihtiyaçlarla ilgilenmek için, IAM’nin temel kavramlarını tam ve iyi bilmek gerekir.

Bir IAM stratejisi gelişririrken düşünülmesi gereken konular arasında;

• IAM’yle ilişikili riskler ve bunların nasıl ele alındıkları;
• Kurumun ihtiyaçları;
• Kurum içinde IAM’yi incelemeye nasıl başlanacağı ve etkin bir IAM sürecinin neye benzediği;
• Kurum içerisindeki kullanıcıları ve kullanıcı sayısını belirleme süreci;
• Kullanıcıların kimliklerini doğrulama süreci;
• Kullanıcıların BT kaynaklarına uygunsuz amaçlarla erişip erişmedikleri;
• Kullanıcı aktivitesini takip etme ve kayıt altına alma bulunmaktadır.

Kurum değiştikçe, kurumun IAM süreçlerini kullanma biçimi de değişmelidir. Bu nedenle, değişim gerçekleştiğinde, IAM sürecinin çok kullanışsız yada yönetilmesi güç hale gelmediği veya BT varlıklarının kötü kullanılması nedeniyle kurumu çok fazla riske maruz bırakmadığı konusunda yönetim dikkatli olmalıdır.