Bildirimler
Hepsini Temizle

[Çözüldü] Şifre Paylaşımı  

  RSS
Aykut Koyuncu
(@aykutkoyuncu)
Üye

Merhabalar,

 

KVKK kapsamında bilgi işlem çalışanları şirket içerisinde yer alan bilgisayarların şifresini bilmesi KVKK açısından sorun teşkil eder mi ? Kullanıcılardan birisi bilgisayar açılış şifre değişikliği istiyor fakat parolayı bilgi işlem departmanı olarak ben ve çalışma arkadaşımın bilmesini istemiyor. Sistem AD üzerinden çalışıyor. Nasıl bir yol izlemeliyiz ? 

 

Teşekkürler. 

Alıntı
Gönderildi : 28/07/2020 12:27
Uğur BURMA
(@ugurburma)
Kıdemli Üye Forum Yöneticisi
Gönderen: @aykutkoyuncu

Merhabalar,

 

KVKK kapsamında bilgi işlem çalışanları şirket içerisinde yer alan bilgisayarların şifresini bilmesi KVKK açısından sorun teşkil eder mi ? Kullanıcılardan birisi bilgisayar açılış şifre değişikliği istiyor fakat parolayı bilgi işlem departmanı olarak ben ve çalışma arkadaşımın bilmesini istemiyor. Sistem AD üzerinden çalışıyor. Nasıl bir yol izlemeliyiz ? 

 

Teşekkürler. 

Bilgisayar açılış şifre değişikliği dediğiniz nedir? Bilgisayar 2 şekilde açılır ya lokal hesapla ya da domain hesabıyla. Her iki hesabında sorumluluğu kullanıcıya aittir. Bilgisayar domainde olsun olmasın siz lokal administrator hesabının şifresini bilir bununla işlem yaparsınız. Bilgisayar domainde ise kendi hesabınızı bilgisayarlarda yetkili yaparak bu hesapla da işlem yapabilirsiniz. Kullanıcı hesabı ile işlem yapmanız gerekiyorsa sıfırlar login olursunuz, işiniz bittiğinde kullanıcı tekrar kendi şifresini girer. Bu tamamen kullanıcı hesaplarının sorumluluğu ile alakalıdır.

CevapAlıntı
Gönderildi : 28/07/2020 12:41
Aykut Koyuncu
(@aykutkoyuncu)
Üye

Domain hesabı ile. Kusura bakmayın eksik bilgi vermişim.

 

Domain ya da lokal şifreyi bilme durumu KVKK durumunu etkiler mi ? Bilmemiz gerekiyor mu ? 

 

Dilediğimiz zaman bilgisayarı açabiliyoruz en kötü şifreyi sıfırlayıp girebiliriz fakat benim sorum KVKK ile ilgili aslında. Şifreler özeldir paylaşılmaz gibi bir ibare var mıdır ? 

 

Saygılarımla. 

CevapAlıntı
Gönderildi : 28/07/2020 13:20
Uğur BURMA
(@ugurburma)
Kıdemli Üye Forum Yöneticisi

@aykutkoyuncu

Şifreyi bilmekten ziyade veriye ulaşmakla alakalı bir durum var. Giriş yaptığın bilgisayarda ki verilere ulaşmak sıkıntı yaratabilir. Bununla ilgili KVK veriye ulaşım yetki matrisleri oluşturmanı istiyor. Bilgisayarı açtım ama veriye erişmedim diyemezsin. Ya da kullanıcı herhangi bir yetkisiz erişimde bilgisayarımı açıp veriye erişmişler diyebilir. Herşey yolunda gittiği sürece birşey olmaz ama sorun çıktığında suçlanacak adam aranır.

Aşağıdaki rehberi inceleyebilirsin. 

https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

CevapAlıntı
Gönderildi : 28/07/2020 13:34
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

KVKK'nın bunla ilgili bir bağı yok.
Kurumsal ortamda user şifrelerini bilmenizi gerektiren bir durum yok. Siz müdahalelerinizi yönetici hesaplardan yahut helpdesk uygulamalarıyla kullanıcı izni ile gerçekleştirirsiniz. Bu yerine göre biraz personel bilgisi, onayı dışında kullanıcı izlemelerine değiyor.
Diğer kısmı varsa kurumsal güvenlik politikanız ile ilgili.
Kişi şifresini bilmenizi istemiyorsa user must change pass. at next logon seçersiniz tekrar oturum açarken kişi şifresini değiştirir ve siz bilmiyor olursunuz. İdeal olan da budur.
Daha çok ISO27001 gereklerini incelemenizi tavsiye ederim.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/07/2020 13:36
Uğur BURMA
(@ugurburma)
Kıdemli Üye Forum Yöneticisi

KVKK tamamen veri korumayla ilgili bir olay. Korunacak veri varsa önlemini al. Ama kullanıcı şifresiyle ama veriyi şifreleyerek. Kısaca yetki ve erişim matrislerini oluştur diyor KVKK. Sen şifreyi bilerek veriye erişebiliyorsan koruma olayı ortadan kalkar. Yetki matrisinde sana erişim hakkı tanınıyorsa şifreyi bilmen önemsiz olur. 

CevapAlıntı
Gönderildi : 28/07/2020 14:05
Aykut Koyuncu
(@aykutkoyuncu)
Üye

Cevaplarınız için çok teşekkür ederim. Ben risk almayayım en iyisi kendisi bilgisayar üzerinden kendisi değiştirsin. Diğer türlü dediğiniz gibi suçlanacak koyun ben olurum bu sefer. Müdahale gerektiğinde admin hesabı ile oturum açıp ilgilenmek en temizi. 

 

 

CevapAlıntı
Gönderildi : 29/07/2020 14:29
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bunun olmaması için aslında audit ve siem ürünleri olmalı, yani kim hangi dosyaya erişti bilginiz olur ise en azından arkanızı sağlama alırsınız.

https://www.cozumpark.com/lepide-ile-file-server-audit/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 29/07/2020 21:49
Paylaş: