← Bilgi Bankasına dön← Önceki soruSonraki soru →
Sistem AnaliziSistem Analisti

Bir sistem analisti karmaşık çok modüllü bir BT sisteminde kullanıcı rolleri ve erişim haklarını nasıl tanımlar ve belgeler?

Hintsage yapay zeka asistanı ile mülakatları geçin

Cevap.

Sorunun geçmişi:

BT sistemlerindeki kullanıcı ve modül sayısındaki artışla birlikte, rollerin dağılımı ve hakların belirlenmesi kritik bir görev haline gelmiştir. Erişim şemasının tasarımındaki hatalar, güvenlik açığı, çalışmayan işlevler ve veri sızıntısı risklerine yol açmaktadır.

Sorun:

Erişim hakları matrisinin oluşturulması için tek bir metodolojinin eksikliği, farklı modüller arasında uyumsuzluk ve erişim senaryolarının yanlış tanımlanması, sonuçta kullanıcılar için rahatsızlıklara ve çatışmalara yol açar, bazen de hukuki sonuçlara neden olur.

Çözüm:

Her bir sistem modülü için rollerin (Role-Based Access Control, RBAC) tanımlandığı, operasyon türlerinin ve ilgili kullanım senaryolarının açıklandığı bir erişim matris yöntemi uygulanmaktadır. Belgelenmektedir:

  • Açıklamalı rol listesi: yönetici, operatör, kullanıcı, misafir vb.
  • Her role sunulan işlemler (CRUD, süreç başlatma, veri dışa aktarma vb.)
  • Özel durumlar için kısıtlamalar ve istisnalar
  • Kullanıcı senaryolarının örnekleri: kim, ne zaman ne yapar, sonuçlar nelerdir

Tüm bunlar genellikle elektronik tablolar, şema oluşturucular veya özel UML diyagramları (örneğin, Kullanım Durumu) kullanılarak “rol ve haklar” özet tablosuna kaydedilmektedir.

Ana özellikler:

  • Organizasyon yapısından bağımsız olarak rollerin formale edilmesi
  • Modüller arasındaki uyumun kontrol edilmesi
  • Hakların sağlanması, geri alınması/değiştirilmesi sürecinin işlenmesi

Aldatıcı sorular.

Tüm sistem için sadece temel rollerin (admin, kullanıcı) belirtilmesi yeterli mi?

Hayır, rollerin görev ve modül düzeyinde detaylandırılması gerekmektedir, aksi takdirde gri alanlar ve güvenlik açıkları olacaktır.

Erişim hakları yalnızca mevcut organizasyon yapısına dayanarak mı belirlenebilir?

Hayır, organizasyon yapısı hızla değişirken, iş süreçleri daha uzun süre varlığını sürdürmektedir. Roller iş senaryoları ve sorumluluk alanlarına göre belirlenmelidir.

Sadece izinli erişim haklarını mı belgelemek gerekir?

Hayır, sadece izinleri değil, aynı zamanda yasakları (deny rules) da tanımlamak ve hakların geçici olarak sağlanması ve yükseltilmesi prosedürlerini göz önünde bulundurmak zorunludur.

Yaygın hatalar ve anti-paternler

  • Tüm sistemde “düz” bir hak şeması, modül düzeyinde detaylandırmanın eksikliği
  • BT rollerine organizasyon hiyerarşisinin aktarılması, özel durumlar göz önünde bulundurulmadan
  • Geri alma veya geçici erişim senaryoları olmadan yalnızca olumlu (izin verici) hakların belgelenmesi

Gerçek hayattan örnek

Olumsuz durum:

Büyük bir CRM sisteminde tüm haklar yalnızca iki temel rol düzeyinde tanımlanmıştı. Pratikte birçok çatışma ortaya çıktı: sıradan yöneticiler önemli verileri yanlışlıkla sildi, operatörler ise kendi fonksiyonlarına erişim sağlayamadı.

Artılar:

  • Kullanıma alma süreci kolaylaştı

Eksiler:

  • Kritik verilere erişim riski arttı, uyumsuzluk nedeniyle hata sayısı yükseldi

Olumlu durum:

Analist hakları roller ve modüller arasında ayırdı, kullanıcılarla bir tasarım atölyesi düzenledi, yetki devri ve geri alma durumlarını tanımladı. Bir erişim matrisini özetledi, farklı çalışan tipleri için kullanıcı yolculuk şablonlarını onayladı.

Artılar:

  • Risklerin minimize edilmesi, şeffaflık ve yönetimde kolaylık

Eksiler:

  • Bölümler arasında ek bir onay süreci gerekiyordu