Bilgi Güvenliğinde Kimlik Yönetiminin Değeri

Günümüz bilgi teknolojileri, kimlik yönetimi için verimli, maliyeti düşük ve güvenli çözümler sunabilmelidir. Artan kullanıcı sayısıyla birlikte kullanıcıları, çoğalan çeşitlilikle birlikte cihazları ve son olarak sunulan servisleri yönetmek ve güvende tutmak her geçen gün daha da karmaşık bir uğraş halini almaktadır. İster yasal bir zorunluluk olsun; ister işinizi büyütmenin, kurumsal stratejinizin bir parçası olsun; gün geçtikçe karmaşık bir hal alan kimlik yönetimi, çoğu zaman kurumunuza sağlayabileceği faydanın tamamını sağlayamamaktadır. Bahsetiğimiz bu zorlukların üstesinden gelmek için Microsoft stratejisini tercih etmeden önce, yazının devamında bahsedilecek olan kimlik yönetimi ile ilgili kurumsal konuları ve müşteri bildirmlerini göz önünde bulundurmanız, sizin açınızdan faydalı olacaktır.

Kimlik Yönetimi, Verimli ve Düşük Maliyetli Olmalıdır

Neredeyse tüm kurumlar kimlikleri, doğrulama bilgilerini ve diğer kaynakları; çoklu dizinler ve uygulamalara özel kimlik kaynakları üzerinde yönetmek durumunda kalmaktadır. Kimlik yönetimi, ciddi olarak üzerinde durulması gereken bir konudur ve özensizce yapılmaya çalışılan kimlik yönetimi, kurum için aşırı maliyetli ve verimsiz bir uygulama haline gelebilir.

Verimli olmayan kimlik yönetiminin etkileri:

• Yüksek maliyet: Otomatik olmayan veya yarı otomatik olarak yapılan kimlik yönetimi, özellikle işin içine kurum tarafından özel olarak üretilmiş çözümler ve scriptler girdiğinde, maliyetli ve hata olasılığı yüksek bir uygulamaya dönüşebilir. Kullanıcılar, kimlik ve erişim yönetimi ihtiyaçlarını kendileri karşılayamadıklarında; bu işlemleri yardım masasına, uygulama sahibine veya diğer BT departmanlarına havale etmektedirler.
• Özel olarak üretilmiş çözümler daha maliyetli olmasına karşın esnek olmayabilir: Özel olarak üretilmiş çözümler, zaman geçtikçe geliştirilmesi, yeni çözümlere uyarlanması zor uygulamalar haline gelebilir ve ekstra mühendislik ve efor gerektirmeden değişen kurumsal ihtiyaçlara yanıt vermekte zorlanabilir. Ayrıca, bu tarz çözümlerin yönetimi verimli olmaktan uzaktır zira BT yöneticilerinin, uygulamanın tüm özelliklerini –konsol, uygulamalar vs..– öğrenmek için ilave efor sarfetmeleri gerekir.
• Azalan BT hız ve hareket kabiliyeti: Yönetim ve uyumlulukla ilgili aktiviteler otomatik olarak gerçekleştirilemeyen bir müdahale gerektirdiği taktirde; BT departmanı ve çalışanları, BT yönetiminin iyileştirilmesi veya iş süreçlerinin optimizasyonu gibi daha önemli ve stratejik kararlar için daha az zamana ve enerjiye sahip olur.

Kimlik Yönetimi, Daha Kapsamlı Güvenlik Sağlamalıdır

Bazı durumlarda, yalnızca yetkilendirilen kişinin belirli kaynaklara erişebilmesini garanti etmek oldukça pahalı ve başarması zor bir iş halini alabilir. Genel olarak kimlik yönetimi; kimlik bilgileri, doğrulama bilgileri, politika ve erişim yönetimi gibi kurum çapında güvenliğin tüm yanlarını içeren kapsamlı ve entegre bir çözüm olarak konumlandırıldğı taktirde, kurumsal kıymetlerin korunmasına yardımcı olmaktadır.

Karmaşık yöntemlerle bilgi korunmasının etkileri:

• Bilgi kaybı: Bilgi kaybı, kurumunuz başına gelebilecek en olumsuz durumlardan bir tanesidir.
• Üretkenlik kaybı: Eğer çalışanlarınız sistem tarafından engellenirse veya çalışanlarınız erişim yetkilendirmesine ihtiyaç duyarsa; doğrulama bilgilerini sistemde kolayca yeniden belirleyemedikleri taktirde veya sistemden kolaylıkla erişim izni alamadıkları taktirde işlerini düzgünce yapamazlar. Bu durum üretkenlik kaybına sebep olur.
• Kredibilite kaybı: Günümüz entegre iş sistemlerinde, iş ortaklarıyla olan ilişkilerde kredibilite kaybına yol açılmaması anlamında, etkin bilgi korunması hayati derecede önem arz etmektedir.

Kimlik Yönetimi, İş Değerini Artırmalıdır

Bir BT projesinin değeri, o projenin kurum içerisinde daha fazla iş yapılmasına olan katkısıyla doğru orantılıdır. Kimlik yönetimi, iş süreçlerininin otomatize ve entegre edilmesini güçlendirmeyi hedefler. Müşteri hizmetlerinden ürün geliştirmeye kadar her türlü iş süreci, kimlik yönetimiyle sağlanan uçtan uca iş akış kontrolünden ve otomasyondan faydalanır. Örneğin, yeni sistemler veya çalışanlar “Kimlik Yönetimi” yatırımının bir sonucu olarak kurum içerisine mümkün olan en az eforla ve minimum üretkenlik değişimiyle dahil edilirlerse; bunun sonucunda yatırım karlılığı artırmış olur. Böyle bir yatırım sonucunda, şirket birleşmeleri veya satın almalar da çok daha hızlı bir şekilde maksimum verimlikle gerçekleştirilebilir.

İş çabukluğu sağlamayan çözümlerin etkileri:

• Bütçesel baskı: Bu gibi durumlar sonucunda, kimlik yönetimi projeleri bütçeye fazladan maliyet yükü bindiren ve işe yaramaz çözümler olarak nitelendirilir.
• Stratejik etki: Bu gibi durumlar sonucunda, kimlik yönetimi projeleri stratejik bir mecburiyet olmak yerine taktiksel bir gereklilik olarak değerlendirilir ve bu durum çözümün verimliliğinin düşmesine sebep olur.
• Süreç yönetimi: Kurumun var olan sistemi, iş sürecini olumsuz etkiliyorsa, kimlik yönetimi sürece olan katkısını üst düzeye çıkaramaz.

Uyumluluk Kritiktir

Uyumluluk (compliance) zorunluluğu, kurum içinde kimlik yönetimi uygulanmasını önemli ve zorunlu kılan nedenlerin başında gelir. Şirketler, tüm organizasyon yapısında hangi bilgiye kimin ulaştığını ve ulaşabildiğini bilecek konumda olmalıdırlar. Entegre bir kimlik yönetimi çözümü olmadan, kurumlar kendilerini uyumluluğa aykırı eylemlerden doğabilecek ekstra risklerle baş başa bırakırlar.

Verimli olmayan uyumluluk uygulamasının etkileri:

• Artan maliyet: Çoklu sistemler üzerinde otomatik olmayan denetim ve gözetim yapmak kurumlar için aşırı maliyetli bir yöntem halini almıştır.
• Uyumsuzluktan doğan riskler: Otomatik olmayan yöntemlerle denetleme yapmak, hata ve dolayısıyla uymsuzluk potansiyelimi artırır; bu da hukuki ve finansal sorunların ortaya çıkmasına yol açabilir.

Microsoft’un Kimlik Yönetimi Yaklaşımı

Microsoft, ILM 2007 (Identity Lifecycle Manager) ve onun yeni sürümü FIM 2010 (Forefront Identity Manager) çözümleri ile kimlik yönetimine farklı bir yaklaşım sunmaktadır. ILM 2007 kimlik yönetimi çözümünde Microsoft; geleneksel kimlik yönetimi yaşam döngüsüne, sertifika ve akıllı kart yönetimi özelliğini ekleyerek; bir yandan kimlik ve doğrulama bilgilerinin ortak yönetimi sayesinde kullanıcıların verimliliğini artırmış, diğer yandan daha güçlü ve karmaşık doğrulama bilgilerinin uygulanmasını kolaylaştırarak güvenliği ve uyumluluğu daha kapsamlı hale getirmiştir.

Kurumsal anlamda kapsamlı bir kimlik ve erişim yönetimi çözümü olan FIM 2010 ise, kimlik yönetimi yaklaşımını, anlayışını bir adım ileriye taşımıştır. BT profesyonelleri için genişletilmiş otomasyon ve yönetim araçları sağlamasının yanında FIM 2010, Office entegrasyonu sayesinde son kullanıcı için güçlü self-servis özellikleri getirmiştir. Tüm bunlara ek olarak FIM 2010, uygulama geliştiriciler için de .NET ve Windows SharePoint Services tabanlı esneklik getirmiştir. FIM 2010 ile birlikte Microsoft’un kimlik yönetimi yaklaşımı, üç temel noktaya odaklanmıştır:

• Daha güçlü ve yetkin çalışanlar, insanlar yaratmak: FIM 2010, doğru kişilerin eline doğru araçları vererek son kullanıcıları, BT profesyonellerini ve uygulama geliştiricileri daha güçlü ve yetkin kılar. FIM 2010 ile birlikte son kullanıcılar, Microsoft Office Outlook üzerinden self-servis görevlerini kolaylıkla yerine getirebilirler. Benzer şekilde FIM 2010, BT çalışanlarına kimlik yönetimi için ihtiyaç duydukları araçları SharePoint tabanlı politika yönetim konsolu üzerinden sunar.
• Artan çeviklik ve verimlilik: Otomasyon ve self-servis özellikleri ile FIM 2010, kimlik yönetimi uygulamaları sırasında doğabilecek yüksek maliyeti ve riskleri büyük miktarda azaltır. FIM 2010, kurumun heterojen kimlik yönetim altyapısını –dizinleri, veritabanını ve diğer iş uygulamalarını da dahil ederek-, üçüncü parti Sertifika Kaynakları ve Tek-Kullanımlık Şifre cihazları gibi heterojen güçlü yetkilendirme sistemlerini entegre hale getirir. Bu heterojen yaklaşım, organizasyonun var olan kimlik altyapısı yatırımını güçlendirmesine yardımcı olur. FIM 2010, farklı kimlik altyapıları üzerinde uygulanabilen kimlik yönetimi sağlamanın yanında, sık kullanılan geliştirme araçları ve teknolojileri ile de entegrasyon sağlayarak, kurum çapında daha değişik kullanım senaryolarının uygulanmasını kolaylaştırır.
• Artan güvenlik ve uyumluluk ihtiyacı: FIM 2010, kimlik yönetimi denetimini ve uyumluluğunu kolaylaştıran politika yönetim özellikleri barındırır. Kimlik, doğrulama bilgileri ve kaynak yönetimi için BT tarafından kullanılan araçların entegrasyonu sayesinde FIM 2010, kurumun tüm organizasyon çapında politikalar uygulayabilmesini mümkün kılarak daha güvenli bir iş ortamı oluşturulmasına katkı sağlar. Bununla birlikte, FIM 2010’a entegre güçlü yetkilendirme yönetimi araçlarını kullanarak, organizasyonlar güçlü yetkilendirmenin getirdiği artılardan yararlanabilirler.

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org