CISSP Domain 5: Kimlik ve Erişim Yönetimi (IAM) - Güvenliğin Temel Taşı
CISSP sınavına giren her adayın en az bir kez karşılaştığı o klasik soru: "Bir çalışan sistemde aşırı yetkiye sahip, ne yapmalısınız?". Cevap asla "Hemen yetkisini silin" değildir. Cevap, kurumsal politikalar ve güvenlik prensipleri çerçevesinde atılacak "yönetici" adımıdır. Bilgi güvenliğinin en kritik domainlerinden biri olan IAM (Identity and Access Management), sadece şifre yönetmek değil; kimin, neye, ne zaman ve hangi hakla erişebileceğinin uçtan uca yönetimidir. 1. Temel Prensipleri Adınız Gibi Bilin Sınavda teknik bilgiden ziyade şu iki "altın kuralı" nasıl uygulayacağınız sorulur: Least Privilege (En Az Ayrıcalık): Bir kullanıcıya, işini yapması için gerekenin bir gram fazlası bile verilmez. Separation of Duties (Görevler Ayrılığı): Kritik bir işlemi (örneğin ödeme onayı) tek bir kişinin yapması engellenir. Bir kişi hazırlar, diğeri onaylar. 2. Erişim Kontrol Modelleri (Kafanızı Karıştırmayın) Sınavda size "Hangi erişim modeli daha güvenlidir?" diye sormazlar, "Bu senaryoda hangi model daha uygundur?" diye sorarlar. DAC (Discretionary Access Control): Yetki sahibi kaynak üzerinde tam hakimdir. (Esnektir ama risklidir). MAC (Mandatory Access Control): Sistem yöneticisi ve güvenlik etiketi esastır. (Askeri/Devlet kurumları için idealdir). RBAC (Role-Based Access Control): Yetkiler kişiye değil, role tanımlanır. (Kurumsal yapılar için en ideal olanıdır). 3. "Authentication" vs. "Authorization" (En Sık Karıştırılan Hata) Authentication: Kim olduğunuzu kanıtlarsınız (Password, MFA, Biyometri). Authorization: Kim olduğunuzu kanıtladıktan sonra size hangi kaynaklara erişim izni verildiğidir. Unutmayın: Sınavda biri başarısız olduğunda sistemin ne tepki vereceğini ayırt etmeniz gerekir. IAM Mantığınızı Test Etmeye Hazır Mısınız? IAM, CISSP sınavının geçiş bileti gibidir. Eğer bu mantığı anlarsanız, sınavın diğer domainlerindeki senaryoları da çözmek çok daha kolaylaşır. Gerçek bir güvenlik yöneticisi gibi IAM senaryolarını çözüp çözemeyeceğinizi görmek için hazırladığımız mini deneme sınavımızı hemen çözün!
Hazır mısınız?
CISSP sınavına girin ve kendinizi test edin.