IGÜVENLiK prosedürünü uygulaması gibi, birçok şirket de "Acil Durum Zarfları" gibi hesaplardan yararlanmaktadır. Konsept aynı - sadece kullanıcı kimliğini tanımlayabildiğiniz kullanıcılarla ya da diğer gömülü hesap türleriyle şifreyi koruyabilirsiniz. Bu konsept kağıt üstünde - ki şifreler genelde kağıt üstündedir - başarılıdır fakat pratikte çalışmaz. Bunu tuvalet örneklemesiyle karşılaştırırsanız, güvenlik ekibi aynı prosedürleri takip etmek zorundadır. Öncelikle biri düzenli olarak şifreyi değiştirmek zorundadır. Bir - iki tuvalet için sorun değil fakat eğer şehirdeki hatta ülkedeki tüm tuvaletlerden bahsedersek, bu işi yapmak için bir ordu gerekmektedir. Aynı şey gömülü hesap şifreleri için de geçerlidir - biri manuel olarak şifreyi değiştirmek zorundadır. Bu durumda sadece şifreyi değiştirenin her yerde aynı şifreyi kullanmadığından emin olunmalıdır. Neden bahsettiğimi anladınız mı? Eğer tek bir tuvalet için giriş kodunu öğrenirsem, bütün tuvaletlerinkini öğrenmiş olurum ve bu şifreler için de geçerli. Yüzlerce hesap için ya da tüm alanlar için, Unix server'daki tüm kök şifreleri için veya Oracle veri tabanına yerleştirilmiş tüm hesaplar için aynı şifreyi kullanan kuruluşların sayısını duysanız, şaşırırsınız. Tabii ki dünyada hiçbir hacker'ın çözemeyeceği kadar karmaşık bir kod da olabilir fakat bu durumda büyük olası l ıkla bu şifreyi bir kenara yazmak zorunda kalırız ve gerektiğinde sistemdeki tüm şifreler derhal değ iştiri lemediği sürece tüm güvenlik sistemi çöpe gidecektir! Şimdi, problemin benim ifade ettiğim kadar akut olmadığını düşünebilirsiniz. örneğin, ihtiyacı olan herkese farklı bir kod verebilirsiniz fakat bu durumda da her tuvaletin bireyleri ayrı ayrı tanımlayabildiğinden, sadece müşteri olarak algılamadığından emin olmanız gerekir. Birçok şirket kimlik yönetim sistemi ya da bir çeşit işaret temelli kimlik denetim sisteminin sorunu çözeceğine inanmakIYANGIN ve GÜVENLiK SAYI 93 102 • DiKKAT Sadece Personel İçin Kimin, ne zaman ve neden, nasıl, nereden ve ne şekilde erişim hakkına sahip oldıığıııııın bilinmesi gerekiı'. tadır. Ancak yanıldıkları nokta; yönetimsel hesap l arın ve uygulamaların birçoğunun bireylere tahsis edilemeyeceğini, müşterinin kimliğini iT dilinde "yönetici", "alt seviye" vb., elde etmekten başka işe yaramadığını gözden kaçırmalarındadır. Fakat neden bir restoranda güvenli tuvalet vardır? Belli ki yönetim sadece müşterilerin tuvalete erişmesini istemekte ve de sistemin işled i ğinden emin olmak istemektedir. Bunun tek etkin yolu Denetleme Uyumu kontrolüne başvurmaktır, aksi takdirde sistemin etkinliğinden emin olamazsın ız. Örneğin kod sıklıkla değiştirilmeli, hatta sadece bir fincan kahve içen bir müşterinin gün boyu defalarca tuvaleti kullanmasını istemiyorsanız tek seferlik şifreler kullanılmalı. İş dünyasındaki denetleyicilerin de ihtiyacı olan budur. Kimin, ne zaman ve neden, nasıl, nereden ve ne şekilde erişim hakkına sahip olduğunun bilinmesi gerekir. Aynı zamanda, şifrelerin tanımlanan kurallara göre d eğ iştiril diğinden hiç şüphesiz emin olunması istenir. Sadece şifreleme tabloları oluşturmak da yeterli değildir, tabii eğer bir şifre yöneticileri ordusu kurmak istemiyorsanız ... Birçok şirket bahsettiğimiz restoran gibi etkin politikalar uygulayarak şifre yönetiminin risklerini minimuma indirebilir. Böyle bir politika şunları içermelidir: O Merkezi İdare: Tüm iT gruplarını kapsayan merkezi bir politika, prosedür ve uygulama mekanizması yaratma. O Güvenli Depolama: Yönetime ait şifreleri; yüksek kimlik tanımlama, tek erişim kontrolü, şifreleme ve denetleme gerektiren güvenlik sistemleriyle saklama. O Dünya Çapında Güvenli Ulaşım: Günümüzün dağınık kuruluşlarında yöneticilerin her yerde erişim sağlayabildiği ve şifrelerini paylaşabildiği, network sınırlarının ötesinde erişim sağlama. O Çift Yönlü Kontrol Mekanizması: En hassas server şifrelerine erişimin iki ya da daha fazla sayıda yöneticiyle kontrol edilmesi. O Düzenli Olarak Şifrelerin Değiştirilmesi ve Eskilerin Kaydedilmesi. O Sezgiye Dayalı Denetleme: Şifreler kullanıldıkça ve değiştirildikçe, organizasyonların düzenli olarak, yeni ayarlamalara uyabilmek için, hayati sistemlere erişimi denetlemesi ve kaydetmesi. O Acil Durum Planları: Gerektiğinde hayati önem taşıyan yönetimsel bilgilere erişimi garanti eden otomatik ve güvenli kopyalama teknolojileri arama. Bir defa duyarlı ve kullanışlı bir güvenlik politikası oluşturabildiyseniz, artık yönetimsel hesapların tüm yaşam döngüsündeki tüm problemleri açıkça gösteren "güvenli limanlar" ya da "dijital kubbeler" kullanarak şifrelerinizi yönetirken koruyabilirsiniz. Kubbe, yöneticinin şifreleri güvenli olarak arşivleyebilmesini ve gerektiğinde personele iletebilmesini sağlar. Bu, geleneksel kimlik yönetim sistemlerince tanımlanamama sorununu çözdüğü gibi, organizasyonların özel hesaplarına anında müdahale ederek denetleyici ve düzenleyici sistemler yerleştirebilmesini sağlar. Ve bence restoran her ne yaparsa yapsın, öncelikle kod tabelalarını kaldırmalı ... ■
RkJQdWJsaXNoZXIy MTcyMTY=