YORUM
Aralık ayı, sektörün en manşetlere çıkan veri ihlallerinden birinin üçüncü yıldönümünü kutladı. SolarRüzgarlar. Muazzam iken maliyet ve son zamanlarda yasal başvurular 2020’deki bu son derece zarar verici tedarik zinciri saldırısı, üçüncü taraf risk değerlendirmesinin önemine ışık tuttu; kötü aktörler üçüncü taraf yazılımlardan yararlanmaya devam etti.
Buna göre Forrester Research’ün 2022 güvenlik anketiTedarik zincirleri en büyük ihlal nedenidir. Örneğin, sayı durumdan etkilenen kuruluşların MOVEit tedarik zinciri hack’i 3.000’e yakın ve bu sayı artıyor. Mevcut üçüncü taraf risk değerlendirme programınızı yeniden incelemenin ve riskinizi azaltmak için yeni en iyi uygulamaları benimsemenin zamanı geldi.
SaaS Aboneliklerinin Yükselişi
Üçüncü taraf riskleri hiç bu kadar yüksek olmamıştı. Endüstri analisti firması Gartner kısa süre önce açıkladı Son iki yılda üçüncü taraf siber güvenlik risk yönetimine yapılan yatırımların artmasına rağmen kuruluşların %45’inin üçüncü taraflarla ilgili iş kesintileri yaşadığı görüldü. Buraya nasıl geldik? Gartner’a göre, Kuruluşların %60’ı 1.000’den fazla üçüncü tarafla çalışın. Ortalama olarak, kuruluşlar şunu kullanıyor: 370 hizmet olarak yazılım (SaaS) uygulaması; şimdi ortalama departman 87 SaaS uygulaması kullanıyor. Her yeni uygulamayla birlikte saldırı vektörü artıyor. Sorunun boyutu çok büyük.
Geçmişte, kurumsal yazılım tedariki çok fazla gözetim gerektiren uzun ve yorucu bir süreçti. Bazen sıkıcı, uzun kurumsal satış döngüleri uygun durum tespiti için bir fırsat sağlıyordu, bu nedenle kuruluşlar çok fazla üçüncü taraf sistemi benimsemedi. SaaS’ın yaygınlaşmasıyla birlikte, kuruluşların ve bireylerin yeni yazılım abonelikleri eklemesi, bazen çok az gözetim veya risk değerlendirmesi gerektirerek, her zamankinden daha kolay hale geldi.
SaaS aboneliklerinin hacmi ve hızı, kuruluşların artık bu kadar çok üçüncü taraf satıcıya sahip olmasının en büyük nedenlerinden biridir. Bu uygulamaları satın alma ve kullanıma sunma konusundaki karar verme gücü giderek merkezi olmaktan çıkıyor; Yazılımın ücretsiz deneme sürümüne katılmak isteyen bireysel çalışanlardan yetkili ekip üyelerine kadar. Üçüncü taraf çözümleri birçok yolla bir kuruluşa getiriliyor; bu da güvenlik sorununu artırmaktan ve risk değerlendirmesini daha da zorlaştırmaktan başka bir işe yaramıyor.
Yapay zeka tarafından desteklenen üretkenliği artıran araçların ortaya çıkmasıyla birlikte SaaS yaygınlığının ve buna bağlı üçüncü taraf riskinin artmasını bekleyebiliriz. Dahası, çalışanlar arasında yenilikçi, tüketici sınıfı ürünlere yönelik artan bir talep var. Kuruluşlar satıcı ilişkilerini birleştirmeyi tercih edebilirken, çalışanların üst düzey ürünlere olan talebi bu çabayı boşa çıkarabilir ve satıcı katılımındaki ivmeyi devam ettirebilir.
Daha İyi Üçüncü Taraf Risk Değerlendirmesi için İleriye Dönük Bir Yol
Üçüncü taraf risk değerlendirmesiyle ilgili en büyük efsanelerden biri, bunun tek seferlik bir faaliyet olduğudur. Birçok kuruluş yanlışlıkla bunu yalnızca ilk satıcı katılım süreci sırasında gerçekleştirilen bir onay kutusu alıştırması olarak görür. Bu yaklaşım, üçüncü tarafın iş uygulamalarında, güvenlik duruşunda veya düzenleyici ortamda zaman içinde meydana gelen değişiklikleri hesaba katmayarak riskin dinamik doğasını göz ardı eder.
Riski azaltırken verimliliği artırmak ve üçüncü taraf risk değerlendirmesini geliştirmek için kuruluşların aşağıdaki adımları atması gerekir:
-
Satıcıları risk düzeyine göre sınıflandırın poz veriyorlar. Daha düşük riskli satıcılar için kolaylaştırılmış süreçler uygularken daha yoğun değerlendirmeleri daha yüksek riskli satıcılara odaklayın.
-
Periyodik incelemelerden üçüncü taraf risklerinin sürekli izlenmesine geçiş gerçek zamanlı veri akışlarını kullanma. Bu, ortaya çıkan risklerin derhal tespit edilmesine ve bunlara yanıt verilmesine yardımcı olur.
-
Risk değerlendirmesi için standartlaştırılmış prosedürler ve şablonlar geliştirin Tutarlılığı sağlamak, fazlalığı azaltmak ve değerlendirme döngüsünü hızlandırmak için. Bir satıcının risk değerlendirmesi zamanı geldiğinde size otomatik olarak hatırlatan bir sistem oluşturun.
-
Üçüncü tarafların sağlanması Bölgeye göre önemli ölçüde farklılık gösterebilen uluslararası veri gizliliği yasalarına ve düzenlemelerine uymak.
-
Üçüncü tarafların hazırlıklılığını değerlendirin güvenlik olaylarına veya operasyonel kesintilere yanıt vermek.
-
Dikkate almak dördüncü taraf riskleri Bir kuruluşun üçüncü taraf tedarikçilerinin alt yüklenicileri veya ortakları tarafından ortaya çıkan ve risk ortamını önemli ölçüde etkileyebilen risklerdir.
-
Üçüncü tarafın tedarik zincirinin sağlamlığını değerlendirin Kesintilere ve bunların kuruluşun faaliyetleri üzerindeki etkilerine karşı.
-
Risk değerlendirme programlarını genişletin iş büyümesine ve artan sayıda üçüncü taraf ilişkilerine uyum sağlamak için.
-
Yapay zeka ve makine öğrenimi gibi gelişmiş teknolojileri uygulayın Otomatik veri toplama ve analiz için yapay zekadan yararlanın ve satıcılarınıza soracağınız doğru soruları geliştirmenize yardımcı olun. Zorlukların büyüklüğüyle mücadele etmek ve geniş ölçekte hızlı bir şekilde güvence altına almak için en son teknolojiyi ve otomasyon süreçlerini benimseyin.
Çözüm
Kuruluşlar yeni satıcıları bünyesine katmaya devam ettikçe tedarik zinciri ve diğer üçüncü taraf riskleri de artmaya devam edecek. Kuruluşunuzun üçüncü taraf risk değerlendirme programını sürekli olarak değerlendirip güncelleyerek, güvenlik duruşunuzu önemli ölçüde iyileştirebilir ve şirketinizin bir sonraki manşet olma olayıyla karşılaşmadığından emin olabilirsiniz.