[Çözüldü] Şifre Paylaşımı

Gönderen: @aykutkoyuncu

Merhabalar,

 

KVKK kapsamında bilgi işlem çalışanları şirket içerisinde yer alan bilgisayarların şifresini bilmesi KVKK açısından sorun teşkil eder mi ? Kullanıcılardan birisi bilgisayar açılış şifre değişikliği istiyor fakat parolayı bilgi işlem departmanı olarak ben ve çalışma arkadaşımın bilmesini istemiyor. Sistem AD üzerinden çalışıyor. Nasıl bir yol izlemeliyiz ? 

 

Teşekkürler. 

Bilgisayar açılış şifre değişikliği dediğiniz nedir? Bilgisayar 2 şekilde açılır ya lokal hesapla ya da domain hesabıyla. Her iki hesabında sorumluluğu kullanıcıya aittir. Bilgisayar domainde olsun olmasın siz lokal administrator hesabının şifresini bilir bununla işlem yaparsınız. Bilgisayar domainde ise kendi hesabınızı bilgisayarlarda yetkili yaparak bu hesapla da işlem yapabilirsiniz. Kullanıcı hesabı ile işlem yapmanız gerekiyorsa sıfırlar login olursunuz, işiniz bittiğinde kullanıcı tekrar kendi şifresini girer. Bu tamamen kullanıcı hesaplarının sorumluluğu ile alakalıdır.

Domain hesabı ile. Kusura bakmayın eksik bilgi vermişim.

Domain ya da lokal şifreyi bilme durumu KVKK durumunu etkiler mi ? Bilmemiz gerekiyor mu ? 

Dilediğimiz zaman bilgisayarı açabiliyoruz en kötü şifreyi sıfırlayıp girebiliriz fakat benim sorum KVKK ile ilgili aslında. Şifreler özeldir paylaşılmaz gibi bir ibare var mıdır ? 

Saygılarımla. 

@aykutkoyuncu

Şifreyi bilmekten ziyade veriye ulaşmakla alakalı bir durum var. Giriş yaptığın bilgisayarda ki verilere ulaşmak sıkıntı yaratabilir. Bununla ilgili KVK veriye ulaşım yetki matrisleri oluşturmanı istiyor. Bilgisayarı açtım ama veriye erişmedim diyemezsin. Ya da kullanıcı herhangi bir yetkisiz erişimde bilgisayarımı açıp veriye erişmişler diyebilir. Herşey yolunda gittiği sürece birşey olmaz ama sorun çıktığında suçlanacak adam aranır.

Aşağıdaki rehberi inceleyebilirsin. 

https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

KVKK'nın bunla ilgili bir bağı yok.
Kurumsal ortamda user şifrelerini bilmenizi gerektiren bir durum yok. Siz müdahalelerinizi yönetici hesaplardan yahut helpdesk uygulamalarıyla kullanıcı izni ile gerçekleştirirsiniz. Bu yerine göre biraz personel bilgisi, onayı dışında kullanıcı izlemelerine değiyor.
Diğer kısmı varsa kurumsal güvenlik politikanız ile ilgili.
Kişi şifresini bilmenizi istemiyorsa user must change pass. at next logon seçersiniz tekrar oturum açarken kişi şifresini değiştirir ve siz bilmiyor olursunuz. İdeal olan da budur.
Daha çok ISO27001 gereklerini incelemenizi tavsiye ederim.

KVKK tamamen veri korumayla ilgili bir olay. Korunacak veri varsa önlemini al. Ama kullanıcı şifresiyle ama veriyi şifreleyerek. Kısaca yetki ve erişim matrislerini oluştur diyor KVKK. Sen şifreyi bilerek veriye erişebiliyorsan koruma olayı ortadan kalkar. Yetki matrisinde sana erişim hakkı tanınıyorsa şifreyi bilmen önemsiz olur. 

Cevaplarınız için çok teşekkür ederim. Ben risk almayayım en iyisi kendisi bilgisayar üzerinden kendisi değiştirsin. Diğer türlü dediğiniz gibi suçlanacak koyun ben olurum bu sefer. Müdahale gerektiğinde admin hesabı ile oturum açıp ilgilenmek en temizi. 

Bunun olmaması için aslında audit ve siem ürünleri olmalı, yani kim hangi dosyaya erişti bilginiz olur ise en azından arkanızı sağlama alırsınız.

https://www.cozumpark.com/lepide-ile-file-server-audit/