İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Yetki Matrisi Nedir ve Neden Önemlidir?


Yetki matrisi, bir işin yetkilendirmek için farklı seviyelere ayrıldığı temel bir düzenlemedir. Bilgi güvenliğinin temeli olan konulardandır ve riski minimize eder. Yetki matrisinde, kurum içerisinde bireylerin hangi sorumluluklara sahip olduğuyla birlikte bu sorumluluklardan doğan varlık erişim hakları ve bu varlıklar üzerindeki işlem yetkisi belirlenir.

Yetki matrisi sorumluluk, güvenlik ve hesap verilebilirlik açısından önemlidir. Farklı standart, regülasyon, kanun vb. ile desteklenmektedir.  

- KVKK
- Bilgi ve İletişim Güvenliği Rehberi
- ISO 27001
- ISO 27701
- NIST 800-53
- TOGAF
- COBIT 5
- NIST CSF

Örneğin KVKK teknik tedbirlerinin ilk başında yetki matrisi yer almaktadır. Kurum içerisinde ve kurum dışına paylaşılan verilerin, erişim yetkisi, değiştirme yetkisi, silme yetkisi vb. belirlenir.

Yetki matrisi tüm çalışanlara rehberlik eder. Resmi bir matris yapısı olmadan, çalışanlar farklı durumlarda resmi olarak kime rapor verdiklerini bilmekte zorlanabilirler ve neyin nihai sorumluluğunun tam olarak kimde olduğu belirsiz hale gelebilir. Kurumun her seviyesindeki çalışanlara netlik sağlayarak operasyonel verimliliği artırır. Yetki matrisi belirleme ve dijitalleştirme için farklı araçlar kullanılabilir.

Erişim Yetki Matrisi: Bir kurumda hangi kullanıcının hangi sistemlere veya veriye ulaşabileceğinin belirlenmesidir. Sistemlere erişim talepleri bu matrise göre belirlenir. Örneğin erişim denetimi, kimliği doğrulanmış kullanıcıların kaynaklara erişim isteklerini değerlendirir ve bazı erişim kurallarına göre bunların verilip verilmediğini belirler.

Yetki ve Sorumluluk Matrisi (RACI): RACI kullanıcıların bir projedeki/süreçteki önemli görevlere karşı temel rollerini ve sorumluluklarını tanımlayan bir diyagramdır. Genellikle sorumlu, karar verici, danışılan, onaylayan gibi başlıkları içermektedir. RACI süreçteki yapılması gereken görevleri, alınması gereken kararları, karar noktalarındaki belirsizliği/gri alanları netleştirmeyi ve çözmeyi sağlar.

*Bilgi ve iletişim güvenliği rehberine uyum süreci başlangıcında rol ve sorumluluk matrisi belirlenmektedir.

Erişim kontrolü neden önemlidir?

Fiziksel ve mantıksal olmak üzere iki tür erişim denetimi bulunmaktadır. Erişim kontrolünün amacı, fiziksel ve mantıksal sistemlere yetkisiz erişimin güvenlik riskini en aza indirmektir. Erişim kontrolü, müşteri/çalışan/kullanıcı verileri gibi gizli bilgileri korumak için güvenlik teknolojisi ve erişim kontrolü politikalarının yürürlükte olmasını sağlayan güvenlik uyum programlarının temel bir bileşenidir. Çoğu kuruluşun ağlara, bilgisayar sistemlerine, uygulamalara, dosyalara ve kişisel olarak tanımlanabilir bilgiler ve fikri mülkiyet gibi hassas verilere erişimi sınırlayan altyapı ve prosedürleri vardır.

Yazar: Nazlıcan Hatice TANIN/Beyaz Net Bilgi Sistemleri Denetim Uzmanı