Bir üretim firmasının muhasebe müdürü, sabah işe geldiğinde ERP sistemine erişemediğini fark ediyor. BT ekibi incelemeye başlayınca ortaya çıkan tablo rahatsız edici: bir tedarikçi firmanın çalışanına verilmiş ve altı aydır kullanılmayan bir hesap, gece boyunca sisteme girmiş, fatura kayıtlarını okumuş, bazı verileri dışarı taşımış. Hesap hiçbir zaman kapatılmamış. Şifre ise ‘Firma2018’ imiş. Bu senaryo, Türkiye’deki orta ölçekli işletmelerde giderek daha sık karşılaşılan bir güvenlik açığını özetliyor: kimlik ve erişim yönetiminin (IAM — Identity and Access Management) ihmal edilmesi. Kötü niyetli yazılımlar veya dış saldırılar medyada daha fazla yer bulsa da ihlallerin büyük çoğunluğu aslında çok daha sıradan bir noktadan başlıyor — geçerliliğini yitirmiş, aşırı yetkilendirilmiş ya da ele geçirilmiş bir kullanıcı hesabı.
Küresel güvenlik araştırmaları tutarlı biçimde aynı bulguya işaret ediyor: kurumsal veri ihlallerinin yarısından fazlasında çalınan ya da kötüye kullanılan kimlik bilgileri doğrudan rol oynuyor. Türkiye özelinde de tablo farklı değil. KVKK’nın Nisan 2018’de yürürlüğe girmesiyle birlikte kişisel veri ihlallerini bildirme zorunluluğu doğdu; bu zorunluluk, daha önce sessiz geçiştirilen pek çok olayı gün yüzüne çıkardı. Kurum içinden gelen tehditler, eski çalışanlara ait aktif hesaplar ve bulut uygulamalarına dağılmış kimlikler, geleneksel çevre güvenliği yaklaşımının artık yeterli olmadığını gösteriyor. Güvenlik duvarı arkasında kalmak tek başına koruma sağlamıyor; çünkü tehdidin önemli bir kısmı zaten içeride, meşru bir kimlikle dolaşıyor.
IAM’ın özü, doğru kişinin doğru kaynağa doğru zamanda ve yalnızca ihtiyaç duyduğu kadar erişmesini sağlamaktır. Bu tanım basit görünse de uygulamada birkaç farklı katmanı birden yönetmeyi gerektiriyor. Birincisi kimlik doğrulama: kullanıcının iddia ettiği kişi olduğunu kanıtlaması. İkincisi yetkilendirme: doğrulanan kullanıcının hangi kaynaklara, hangi işlemleri yapabileceğinin tanımlanması. Üçüncüsü yaşam döngüsü yönetimi: işe alımdan işten ayrılışa kadar kimlik bilgilerinin güncel tutulması. Türkiye’deki pek çok KOBİ bu üç katmanı ayrı ayrı ele almak yerine tek bir şifre politikasıyla geçiştiriyor. Sonuç olarak sistem erişimleri büyüyor, denetlenemiyor ve zamanla denetlenemez hale geliyor.
Çok faktörlü doğrulama (MFA — Multi-Factor Authentication), IAM’ın en hızlı geri dönüş sağlayan bileşeni olarak öne çıkıyor. Yalnızca şifreye dayanan kimlik doğrulama, kimlik bilgileri ele geçirildiğinde hiçbir engel oluşturmuyor. MFA ise bilinen bir şeye (şifre) ek olarak sahip olunan bir şeyi (telefon, token) ya da biyometrik bir veriyi devreye sokuyor. Türkiye’de bankacılık sektörü bu yöntemi müşteri işlemlerinde yıllardır kullanıyor; kurumsal sistemlerde ise benimseme oranı hâlâ düşük. Özellikle ERP, muhasebe ve İK sistemlerine erişimde MFA zorunluluğu getirmek, hesap ele geçirme riskini dramatik biçimde azaltıyor. Ek maliyet ve kullanıcı sürtünmesi gerçek bir engel olmakla birlikte, bu maliyetin tek bir ihlalin yol açacağı operasyonel ve yasal sonuçlarla kıyaslanması gerekiyor.
Ayrıcalıklı erişim yönetimi (PAM — Privileged Access Management) ise IAM’ın en kritik ve en çok ihmal edilen bölümünü oluşturuyor. Sistem yöneticileri, veritabanı yöneticileri ve dış danışmanlar gibi yüksek yetkili hesaplar, bir kez ele geçirildiğinde tüm sistemi tehlikeye atıyor. Türkiye’deki birçok işletmede bu hesaplar ortak kullanılıyor, şifreleri nadiren değiştiriliyor ve erişim günlükleri düzenli incelenmiyor. PAM çözümleri bu hesapları kasaya alır, her oturumu kaydeder ve yetkiyi belirli bir süreyle sınırlandırır. Uygulama maliyeti orta ölçekli bir işletme için ciddi görünebilir; ancak bulut tabanlı PAM hizmetleri bu engeli önemli ölçüde düşürüyor. Öncelik sıralaması yapılacaksa, tam bir IAM çözümünden önce ayrıcalıklı hesapların denetim altına alınması daha hızlı ve ölçülebilir sonuç veriyor.
Kimlik yaşam döngüsü yönetimi, pratikte en çok göz ardı edilen alandır. Bir çalışan işten ayrıldığında hesabının kapatılması, teoride basit bir süreç gibi görünür. Gerçekte ise İK, BT ve ilgili sistem yöneticileri arasındaki koordinasyon eksikliği nedeniyle hesaplar açık kalmaya devam ediyor. Türkiye’de personel devir hızının yüksek olduğu perakende ve lojistik sektörlerinde bu sorun özellikle belirgin. Otomatik sağlama ve sağlamayı kaldırma (provisioning/deprovisioning) süreçleri, İK sistemini ERP ve dizin hizmetleriyle entegre ederek bu açığı kapatıyor. Periyodik erişim gözden geçirmeleri (access review) ise mevcut çalışanların hâlâ ihtiyaç duymadıkları yetkileri taşıyıp taşımadığını ortaya koyuyor. Bu süreçlerin otomasyonu, büyük ölçekli kurumlar için zorunluluk; KOBİ’ler için ise en azından altı ayda bir yapılacak manuel denetimle başlanabilecek bir disiplin.
IAM’ı hayata geçirmek isteyen bir KOBİ yöneticisinin önünde birkaç somut karar noktası var. Başlangıç olarak mevcut hesap envanterini çıkarmak — kaç hesap var, kimlere ait, hangilerinin son altı ayda hiç kullanılmadığı — temel görünürlüğü sağlıyor. İkinci adım, en kritik sistemlere MFA eklemek; bu adım çoğu bulut uygulamasında ek lisans maliyeti gerektirmeden yapılabiliyor. Üçüncü adım, ayrıcalıklı hesapları bireysel ve denetlenebilir hale getirmek. Bu üç adım, kapsamlı bir IAM platformu kurulmadan önce bile risk profilini anlamlı biçimde iyileştiriyor. KVKK uyumu açısından da bu adımlar, kişisel verilere erişimin belgelenebilir olmasını sağlıyor — bu da olası bir denetimde kritik bir gereklilik. Güvenlik yatırımı her zaman bir maliyet kalemi gibi görünür; ancak hesabın tamamını görmek için bir ihlal sonrasında yaşanan operasyonel duraksama, yasal bildirim yükümlülükleri ve itibar kaybını da tabloya koymak gerekiyor.