Principle of Least Privilege
Hasan Baltalar
5 Eylül 2016 Pazartesi
1992 Görüntülenme
1 Yorum

Size, insan kaynakları (İK) alanında adı bilinmeden yaygın uygulama alanı bulan yabancı bir olgudan bahsedeceğim: “Principle of Least Privilege”. Kısaltması: PoLP.

Literatür

“Principle of Least Privilege” kavramı, bilişim literatüründe geçiyor. Anlamı, “erişimde bulunan özneye, kendisine atanmış olan görevlerini gerçekleştirmesine yetecek en düşük seviyede erişim hakkı verilmesi” demek. Bilgisayar güvenliğinde bu ilke önemli ve olası sızma girişimlerinde mahrem alanı korumak amacıyla düşünülmüş. Yani bu ilke, tanınan gereksiz ayrıcalıkları ortadan kaldırarak bilgisayarın “saldırı yüzeyini” azaltmaya yardımcı oluyor.1

PoLP ve İK

“Principle of Least Privilege” kavramı, diğer bir deyimle “mümkün olan en az yetki” demek. İK ile bağlantı da burada başlıyor.

Bildiğiniz gibi işyerlerinde çalışanlara bazı görevler verilir. Kurumsallaşmış olanlarda bunlar yazıya da dökülür. Bu görevler, çalışana bazı sorumluluklar yükler. Bu sorumlulukların yerine getirilmesi ise bazı yetkileri gerekli kılar.

Buraya kadar bir sorun yok. Sorun, yetkilerle sorumlulukların birbirine oranında başlıyor.

Yetki ve Sorumluluk Oranı

Normal şartlar altında, sorumlulukların yerine getirilebileceği yetkilerin birebir oranda tanımlanması gerekiyor. Pekiyi, bu oran değişirse ne olur?

ip_1973545.jpgResim: Metro UK

Fazla yetkinin, kullanılmadığı durumda atıl kalacağı için verilmesinin de gereksiz olacağı kabul edilebilir. Ayrıca belirli bir sorumluluğu karşılamayan yetkinin, hiç gerekmeyen bir sorumluluğu sonradan getireceği de düşünülebilir.

Yetki suiistimaline girmiyorum, çünkü bu bir etik meselesidir ve normal oranda yetki için de söz konusu olabilir.

Gelelim yetki azlığına…

İşin bu kısmı, bu yazıya konu ettiğim PoLP kavramını karşımıza çıkarıyor. İş kültürünün vazgeçilmez bir öğesi haline gelen bu anlayışın bilişim sektörüne İK, dolayısıyla yönetim alanından sıçradığını düşünüyorum.

PoLP ilkesinin, bilişimde mantığımızın rahatlıkla kabul edebileceği bir uygulaması var. Çünkü yetkilerin tanımlandığı özne, bilgisayar yazılımı ve “least (en az)” kavramının net bir şekilde düzenlenmesi mümkün olabiliyor.

Ancak İK alanında, “en az” olarak geçen bu miktarın net bir tanımını yapmak çoğu zaman başarılamıyor. Bu durumda da kırpıla kırpıla kuşa döndürülen yetki tanımları, çok yerde sorumlulukları ifa edilemez duruma getiriyor.

Alınır mı, verilir mi?

Twitter’da yaptığım bir ankette %40 gibi bir orandaki katılımcının “yetki-metki istemiyorum” şeklinde oy kullanmasının altında işte bu neden yatıyor. Çünkü yetkisiz sorumluluk, insanları strese sokuyor ve tercih edilmiyor.

Bu arada, anketteki soru için kendi görüşümü de burada ifade edeyim. Yetki alınmaz ve gereği gibi verilmek zorundadır. Kurumsal işleyişte yetkinin, işi isteyen ve sorumluluğu da tanımlayan merci tarafından belirlenmesi zorunludur. Aksi halde yetkinin göreve göre tanımlanması değil, görevi yerine getiren kişinin kendi iş yapış tarzına göre tanımlaması ve “istediğinde” onu kopararak alması söz konusu olur.

Dipnotlar

  1. Indiana University Knowledge Base. kb.iu.edu

Lütfen sitenin kullanım politikasına uyunuz ve kaynak göstermeksizin alıntı yapmayınız.
 

Yorumlar

Tamer Çemenli
Konuk
Comment
Principle of Least Privilege
Yorum 1 (05 Eylül 2016 18:24)
Teşekkür ederim, haddim değil ama blog yazınızı beğendim. Ama çok lâfazanlığımdan mıdır nedir, bir-iki cümle yazmak istedim.

Çok derli toplu ama bana öyle de gelmiş olabilir. Ya da akademik dil olduğu için de olabilir, ‘amma süslü bir açıklama olmuş’. Biz kısaca eğer kullanıcının noktaya ihtiyacı yok ise ona noktayı vermeyin diyoruz, yaklaşık son 30 yıldır.

Tabi ağlar o zamanlar çok yaygın değildi, internet yoktu (gerçi BBS’ler vardı). Şirket içinde ağlar çok kısıtlı idi, hatta Microsoft For Workgroups 3.11’i daha çıkarmamıştı ☺ Novell Netware de çok bilinmediği için (ülkemize ilk giren ana bilgisayar ve hatta metin tabanlı işletim sistemidir) hackerler (korsanlar) da o zaman digital yerine analog çalışıyorlardı tabi! Ama yine de dediğim gibi “noktaya lâzım değil ise vermeyin” derdik.

Şimdi ‘Principle Of Least Privilege’ olmuş.

Yorumunuzla katkıda bulunun

  • Bilgi girilmesi zorunlu alanlar * ile işaretlenmiştir.
  • E-Posta adresiniz yayınlanmayacak ve aramızda kalacaktır.
  • Yorumunuz içinde, lütfen bağlantı (link) kullanmayınız.