Kimlik yönetişimi, çoğu kuruluşın geçmişinde bir hayal kırıklığını temsil ediyor. Dijital dönüşüm çağında iş kültürleri de dijitalleşirken konu kimlik yönetimi olduğunda beş temel zorluk yöneticilerin çözmesi gereken meseleler olarak öne çıkıyor.
Bazı teknolojik yaklaşımlar faydalı olduğu için tercih edilir. Bununla birlikte moda akımı denilebilecek türde yaklaşımlar da vardır. Kimlik yönetimi bunlardan biri değil ve dijitalleşen iş kültürü uygulamalarında doğru uygulanıp yönetilmesi gereken bir konu. Ancak mevcut uygulamalara ve başarısızlık hikayelerine bakıldığında doğru uygulamanın çeşitli zorluklar nedeniyle gerçekleştirilemediği de görülüyor.
Infosecurity Magazine’de konuyla ilgili bir makale yayınlayan Clear Skye Chief Strategy Officer’ı Jackson Shaw, beş temel konunun birer zorluk olarak yöneticilerin karşısında olduğunu ifade ediyor. “Top Five Challenges of Building an Identity Governance Strategy” başlıklı yazı, her bir zorluğu ayrı ayrı ele alarak işletmelerin yaptığı ortak hataları listeliyor. Shaw’ın yazısını sizler için özetledik.
Zorluk 1: Maliyetler ve karmaşıklık
Kimlik yönetişimi uygulamalarının (Identity Governance and Administration – IGA) büyük, karmaşık ve kurum içi uygulamalar olduğunu belirten Jackson Shaw, bu durumun oluşacak değeri göstermeyi zorlaştıran, uzman kişilerle oluşturulmuş kalabalık ekiplere ihtiyaç duyduğuna dikkat çekiyor. Gartner’ın 2020 Güvenlik ve IAM Çözümleri Benimseme Eğilimleri Anketi’ne göre, işletmelerin yüzde 76’sı mevcut IGA çözümlerini değiştirmek istiyor. Bu yüksek oran, IGA sektöründe daha ucuz ve daha karmaşık çözümler arandığını gösteriyor.
Zorluk 2: Silolar nedeniye artan iş yükü
Çoğu işletme düzinelerce iş uygulaması kullanır. Bununla birlikte tüm varlıklar aynı seviyede güvenliğe ihtiyaç duymaz ve bazı son kullanıcılar için özel yanıtlar gerektirir. Tipik bir yardım masası ortamında bu detayları yönetmek, IGA aracı dahil olmak üzere iş çözümlerinin bağlantısı kesildiğinde neredeyse imkansızdır. Yönetişim ekipleri, önemli araçlarda kimlik görünürlüğü ve verilere erişim olmadan, sertifikaları ve ayrıcalıkları etkili bir şekilde yönetmek için gerçek zamanlı bir görüşe sahip olamaz.
Zorluk 3: Çok fazla manuel işlem
İş sistemleri hem gelişmişlik hem de uzmanlaşma açısından gelişmeye devam ettikçe, akıllı iş kararları alma veya uyumluluk raporlama zorunluluklarını karşılamaya yardımcı olabilecek veri kümeleri oluşturur. Ancak sistemler nadiren entegre çalıştığından verileri almak ve etkili bir şekilde kullanmak için kurulu yapılar erişilebilir değildir.
Bu durumun çok sayıda rahatsız edici etkisi vardır. Pek çok veri çekme işlemi manuel olarak yapılır. Bu nedenle analiz ve raporlama gereğinde fazla zaman alır ve insan hatalarına da açıktır. Denetim zorlaşır, hesap verilebilirlik süreçleri zarar görür ve liderler, yönetişim sürecini kimin yönettiğine dair çok az bilgiye sahiptir.
Zorluk 4: Temel hazırlık süreçlerinde kötü uygulama
Otomasyonun temel hazırlık sürecini kolaylaştırdığı bir gerçek. Ancak bu daha iyi bir noktaya taşıdığı anlamına gelmiyor. Mevcut kullanıcıların çok fazla ayrıcalığı varsa ve yeni kullanıcılar için erişim seçenekleri mevcut kullanıcılarınkiyle aynıysa yeni kullanıcılar gereğinden fazla yetkiyle donatılmış oluyor. Bu, yöneticileri gerekli kontroller yapılmadan erişimi onaylamaya götürüyor.
Diğer yandan yetkilendirmeyi kaldırmanın da kendine özgü zorlukları bulunuyor. Bir çalışanın ayrılması ya da sözleşmesi sona eren bir danışmanın hesaplarını olduğu gibi bırakmak pek çok yöneticinin tercihi durumunda. Saldırganlar, bu hesaplara eriştiklerinde diğer ayrıcalıklı hesaplara erişim için bir anahtar ele geçirmiş de oluyor.
Zorluk 5: Eksik uyum kültürü
Tüm bu zorluklar birlikte ele alındığında, kimlik yönetimi ve uyumluluğun pek çok kuruluş için sonradan akla gelen bir şey olduğu ortaya çıkıyor. Bu temel alanlar, yönetime ve son kullanıcılara kadar uygulamalara ve genel kültüre dahil edilmeli ve kuruluşlar, yönetişimi kurumsal bir sorun olarak değil, bir BT sorunu olarak ele almalı.