Gereksiz yetki çalışan için riskli

Kurumsal firmalarda çalışanların pek çoğu, her sabah ofise geldiklerinde ilk iş olarak bilgisayarlarını açar. Bunu yapabilmeleri için bilgisayara giriş izinlerinin olması gerekir. Bunun ardından görevlerini yerine getirebilmek için diğer yazılım programlarına giriş yaparlar. Bu uygulamaların içinde çalışırken ne yapıp yapamayacakları, hangi bilgilere ulaşabilecekleri de kendilerine verilen yetkilere bağlıdır. Tüm bu yetkilerin doğru bir şekilde düzenlenmesi hem çalışanlar hem de şirket açısından çok kritiktir.

Konu hakkında görüştüğümüz Kadir Yüceer, entegrasyon ve yazılım çözümleri sunan İhs Teknoloji’de Kurumsal Hizmetler Direktörü olarak görev yapıyor. Yüceer, çalışanların bir kurumda çalışmaya başladıkları andan itibaren şirket içinde bir yaşam döngüsüne girdiklerini aktarıyor. İşe başlama, departman veya görev değişikliği ile işten ayrılma bu döngünün üç ana safhasını oluşturuyor. Bu safhaların her birinde çalışana verilen yetkilerde düzenleme yapılması gerekiyor. Eğer her çalışana tüm yetkiler verilirse kaos çıkabiliyor. Dolayısıyla herkesin görevine uygun yetkilere sahip olması gerekiyor.

Yüceer, bir çalışanın aslında kullanmaya gerek duymadığı bir uygulamada yetkiye sahip olmasının, bu uygulamanın kullanımıyla ilgili bir sorun yaşanması halinde o çalışanı istemediği durum ve ithamlarla karşı karşıya bırakabileceğini aktarıyor. Ayrıca, doğru yetkilendirme yapılmamasının kurumlar için de riskleri var. Aşırı yetkiye sahip bir çalışanın rakip firmaya veri gönderme ihtimali buna yönelik bir örnek. Ayrıca, insan hatası da çok önemli bir faktör. İyi niyetli de olsa bir kişiye gereğinden fazla yetki verilirse ya da bu yetkilerin denetimi zayıf tutulursa, bu çalışanın hesabı bir şekilde ele geçirildiğinde kurum yine zarar görüyor.

Bir başka kritik konu da işten ayrılma. Çünkü, artık firmada olmayan bir çalışanın açık kalan hesabıyla işlemler yapılması risk doğuruyor. İhs Teknoloji olarak firmalara yaptıkları danışmanlık sırasında buna ilişkin örneklerle karşılaştıklarını aktaran Yüceer, “Bir firmada verilmiş yetkilere ilişkin bir denetim yaparken şirketin dosya sunucusuna en çok erişim yapan 20 kişiyi listelemiştik. O listede yer alan bir kişinin aslında 3 aydır orada çalışmadığı ortaya çıkmıştı. Yani, o kişi işten ayrılmasına rağmen yetkileri kapatılmamış. Bu durum daha çok sürecin otomatize edilmemiş olmasından kaynaklı” diyor. Yüceer, SailPoint Kimlik ve Veri Koruma yazılımını kullanarak şirketlerde kurdukları sistemin işe yeni girişleri ve işten ayrılmaları İK departmanının verilerine dayanarak otomatik olarak tespit ettiğini söylüyor. Firmadaki her role ve seviyeye uygun yetkiler, önceden kurumla beraber çalışılarak yazılımda tanımlanıyor. Böylece yeni işe başlayan birinin yetkileri de rol ve sorumluluğuna göre yazılım tarafından otomatik olarak atanıyor. Yani, işe başlayan bir kişinin tüm yetkileri dakikalar içinde tanımlanırken, iş yerinde görevi değişen bir çalışanın yetkileri buna göre düzenleniyor, ayrılan bir kişinin yetkileri ise hemen kapatılıyor.

KALİTE TARAFINDA KATMA DEĞER ARTTI
En az 100 ve üstü çalışanı olan her kurumun yetki otomatizasyonu sistemine ihtiyacı olduğunu düşünen Kadir Yüceer, “Dijitalleşmeyle beraber artık her departmanın özel olarak kullandığı uygulamalar var. İhtiyaç artıyor” diyor. Yaklaşık 1.200 çalışanı olan Burgan Bank bu konuda harekete geçen kurumlardan biri. Burgan Bank Güvenlik ve Risk Yönetimi Bölüm Başkanı Yıldız Balatürk Erkan, banka olarak uzun zamandır belli regülasyonlara göre hareket etmek zorunda olduklarını ve bu sebeple işten çıkan birinin yetkilerinin otomatik olarak zaten silindiğini belirtiyor. Ancak bu sisteme geçmeden önce yetkilendirme çok vakit aldığı için kalite tarafına daha az vakit kalıyormuş. Yetkilendirme otomatize olduktan sonra ise kalite kısmına katma değer artmış. Balatürk Erkan, “Bu da personel için daha iyi. Sürekli manuel kontroller yapmak yerine bankanın geneline hitap eden kaliteyi iyileştirmeye yönelik katma değerli işler yapıyorlar. Bu çalışanları daha çok motive ediyor” diyor. Burgan Bank BT Kalite ve Yetkilendirme Yönetimi Takım Lideri Sibel Akman ise personel sayısı çok olan bankalarda işe başlayan, işten ayrılan, görevi değişenlerin de çok olduğunu belirtiyor. Bunun yanında, bankalarda yüzlerce uygulama kullanılıyor. Akman, “Eskiden bu uygulamalarda yetkileri belirlemek aylar sürerdi. Bunları manuel yapınca hatalar da artıyordu. Daha otomatize bir sisteme İhtiyaç da bu şekilde ortaya çıktığını çıktı. Şimdi günlük rapor alabiliyoruz. İK’nın anlık hareketleri bize geliyor” diyor.