YORUM
Gelen çok sayıda düzenleme ve siber suçluların giderek daha gelişmiş taktikleri göz önüne alındığında, üçüncü taraf riskini azaltmak göz korkutucu görünebilir. Ancak çoğu kuruluş, düşündüklerinden daha fazla temsilciliğe ve esnekliğe sahiptir. Üçüncü taraf risk yönetimi, halihazırda şirkette uygulanan mevcut risk yönetimi uygulamaları ve güvenlik kontrollerinin üzerine inşa edilebilir. Bu modelin güven verici yanı, kuruluşların üçüncü taraf riskini başarılı bir şekilde azaltmak için mevcut korumalarını tamamen hurdaya çıkarmak zorunda kalmamaları anlamına gelmesidir ve bu da kademeli, sürekli iyileştirme kültürünü teşvik eder.
Üçüncü taraf riski kuruluşlar için benzersiz bir zorluk teşkil etmektedir. Görünüşte üçüncü bir taraf güvenilir görünebilir. Ancak üçüncü taraf satıcının iç işleyişine ilişkin tam bir şeffaflık olmadan, bir kuruluş kendisine emanet edilen verilerin güvenli olduğundan nasıl emin olabilir?
Çoğu zaman kuruluşlar, üçüncü taraf tedarikçileriyle uzun süredir devam eden ilişkileri nedeniyle bu acil soruyu hafife alıyor. 15 yıldır üçüncü taraf bir satıcıyla çalıştıkları için, “kaportanın altına bakmayı” isteyerek ilişkilerini tehlikeye atmak için hiçbir neden göremeyecekler. Ancak bu düşünce tarzı tehlikelidir; bir siber olay, en az beklendiği zamanda veya yerde gerçekleşebilir.
Değişen Bir Manzara
Bir veri ihlali meydana geldiğinde, yalnızca kuruluş bir kuruluş olarak para cezasına çarptırılmakla kalmaz, aynı zamanda kişisel sonuçlar da ortaya çıkabilir. Geçen sene, FDIC üçüncü taraf riskine ilişkin yönergelerini sıkılaştırdıdiğer endüstrilerin de aynı yolu izlemesi için zemin hazırlıyor. Yapay zeka gibi yeni teknolojilerin ortaya çıkmasıyla birlikte verilerin üçüncü bir tarafça yanlış yönetilmesinin sonuçları korkunç olabilir. Gelecek düzenlemeler, güçlü kontroller geliştiremeyenlere sert cezalar vererek bu ciddi sonuçları yansıtacaktır.
Yeni düzenlemelerin yanı sıra, dördüncü ve hatta beşinci taraf satıcıların ortaya çıkması, kuruluşları harici verilerinin güvenliğini sağlamaya teşvik etmelidir. Yazılım, 10 yıl önceki kadar basit, şirket içi bir uygulama değil; günümüzde veriler birçok elden geçiyor ve veri zincirine eklenen her bağlantıyla birlikte güvenlik tehditleri artıyor ve gözetim daha da zorlaşıyor. Örneğin, incelenen üçüncü tarafın özel müşteri verilerini ihmalkar bir dördüncü tarafa dış kaynaklardan sağlaması ve kuruluşun bundan haberi olmaması durumunda, bir üçüncü taraf satıcı üzerinde uygun şekilde durum tespiti yapmanın pek faydası yoktur.
Kullanıma Hazır Beş Basit Adım
Doğru yol haritasıyla organizasyonlar üçüncü taraf riskini başarıyla azaltabilir. Daha da iyisi, maliyetli ve yıkıcı teknoloji yatırımları her zaman gerekli değildir. Başlangıç olarak, kuruluşların durum tespiti yaparken ihtiyaç duyduğu şey, mantıklı bir plan, katılmaya istekli yetenekli personel ve BT, güvenlik ve iş ekipleri arasında artırılmış iletişimdir.
İlk adım satıcı ortamını iyice anlamaktır. Bu çok açık görünse de birçok kuruluş, özellikle de bütçeleri dış kaynaklara aktarılacak büyük şirketler bu önemli adımı ihmal ediyor. Aceleyle bir üçüncü taraf satıcı ilişkisi kurmak kısa vadede para tasarrufu sağlayabilirken, bir veri ihlali meydana gelirse ve kuruluş ağır para cezalarıyla karşı karşıya kalırsa tüm bu tasarruflar silinecektir.
Tedarikçi ortamını araştırdıktan sonra kuruluşların hangi üçüncü taraf rollerinin “kritik” olduğunu belirlemesi gerekir; bu roller operasyonel açıdan kritik olabilir veya hassas verileri işleyebilir. Kritikliğe bağlı olarak satıcılar katmanlara göre gruplandırılmalıdır; bu, kuruluşun satıcıyı değerlendirme, inceleme ve yönetme şekli konusunda esneklik sağlar.
Satıcıları kritikliklerine göre sıralamak, kuruluşların üçüncü taraf sağlayıcılara olan aşırı güvenine ışık tutabilir. Bu kuruluşların kendilerine şu soruyu sorması gerekiyor: Eğer bu ilişki birdenbire sona ererse, bir yedek planımız var mı? Günlük operasyonlarımızı sorunsuz bir şekilde sürdürürken bu işlevi nasıl değiştirebiliriz?
Üçüncü adım, yönetim için bir plan geliştirmektir. Durum tespitini etkili bir şekilde gerçekleştirmek ve riski yönetmek için bir kuruluşun üç ana kolu arasında sinerji olmalıdır; güvenlik ekibi satıcının güvenlik programındaki deliklere ışık tutar, hukuk ekibi yasal riski belirler ve iş ekibi olumsuz basamakları tahmin eder Verilerin veya operasyonların tehlikeye atılması durumunda operasyonlar üzerindeki etkisi. Sağlam yönetişim oluşturmanın anahtarı, planı bir kuruluşun benzersiz ihtiyaçlarına uyacak şekilde uyarlamaktır. Bu özellikle daha az düzenlemeye tabi sektörlerdeki kuruluşlar için geçerlidir.
Yönetişim adımı, sözleşme yükümlülüklerinin taslağının hazırlanmasını içerir. Örneğin, bulut bilişimde iş dünyası liderleri, belirli güvenlik önlemlerinin temel pakete dahil edilip edilemeyeceğini anlamadan yanlışlıkla bir sözleşmeyi imzalamak için acele ederler. Sözleşmeden doğan yükümlülükler genellikle sektöre bağlıdır, ancak standartlaştırılmış bir güvenlik maddesi de geliştirilmelidir. Örneğin, bir dağıtım şirketini değerlendiriyorsak, satıcının yazılım geliştirme yaşam döngüsü (SDLC) sürecine daha az, dayanıklılık önlemlerine ise daha fazla odaklanılabilir. Bununla birlikte, bir yazılım şirketini değerlendiriyorsak, kodun nasıl incelendiği ve üretime aktarılacak önlemlerin nasıl göründüğü gibi satıcının SDLC süreçlerine odaklanmak isteyeceğiz.
Son olarak kuruluşların bir çıkış stratejisi geliştirmeleri gerekir. Bir kuruluş, müşteri verilerinin temizlendiğinden emin olurken üçüncü taraftan nasıl temiz bir şekilde ayrılabilir? Bir şirketin bir satıcıyla bağlarını koparıp yıllar sonra, eski ortaklarının veri ihlaline uğradığını ve müşteri verilerinin açığa çıktığını – bu verilerin silindiği varsayımına rağmen – bildiren bir telefon aldıkları durumlar olmuştur. Hikayenin dersi: Varsaymayın. Kazara meydana gelen bir veri ihlalinin yanı sıra, üçüncü taraf satıcıların eski bir iş ortağının verilerini, örneğin bu verileri makine öğrenimi modelleri oluşturmak için kullanmak gibi dahili geliştirme amacıyla kullanma olasılığı da vardır. Kuruluşlar, ortaklığın sona ermesi durumunda satıcıların verileri nasıl sileceğini ve silmemeleri halinde sonuçların ne olacağını açık, spesifik ve yasal olarak bağlayıcı şartlarla belirterek bunu önlemelidir.
Ortak Sorumluluk ve Sürekli İyileştirme Kültürü Oluşturun
Durum tespiti yaparken bir ekip yaklaşımı benimsemek, bilgi güvenliği şefinin (CISO) üçüncü taraf bir satıcının riskini ortadan kaldırma sorumluluğunu tam olarak üstlenmek zorunda olmadığı anlamına gelir. SEC’in SolarWinds’e yönelik suçlamaları endişe verici bir emsal teşkil eder; sorun organizasyon çapındaki işlev bozukluğundan kaynaklansa bile bir CISO bu suçu üstlenebilir. BT ve iş ekipleri, üçüncü taraf satıcıların incelenmesinde CISO’yu desteklerse, bu gelecekteki ekipler arası işbirlikleri için zemin hazırlar, kuruluşun katılımını artırır ve güvenlik söz konusu olduğunda daha iyi sonuçlar üretir.
