Bilgi Güvenliği Riskleri: Satıcılar/3. Taraflarla Kontrol Listesi


Bilgi Güvenliği Riskleri

Bilgi Güvenliği Riskleri destekli Bankacılık ve finansal hizmetler (BFS) kurumları için iş modelleri, monolitik bir bankacılık varlığı olmaktan çok katmanlı hizmet varlığına dönüşmüştür.

Bunun BFS şirketleri için anlamı, teknoloji ve müşterilerine sağlanan tüm hizmetlerin kalitesi açısından daha güncel ve ilgili olmaları gerektiğidir. Bugün bunu yapmak için en çok tercih edilen metodoloji, hizmetleri satıcılara dış kaynak sağlamak ve 3rd partiler.

Dış kaynak kullanımı şirketler için maliyet açısından faydalı olsa da, bu yaklaşımın kendi dezavantajları vardır. Her dış kaynak kullanan kuruluşun, satıcıların masaya getirdiği risklerin farkında olması gerektiğini söylemek mantıklıdır.

DÖRT

Satıcılar, iş ilişkisine bağlı olarak çok sayıda operasyonel Bilgi Güvenliği Riski getirse de, yalnızca 3’ü yönetmek için bir metodolojird taraf Bilgi Güvenliği Riskleri burada tartışılmaktadır.

Satıcı Bilgi Güvenliği Risklerinin kuruluşlara getirdiği etki hakkında bir fikir vermek için aşağıda, aşağıdaki gibi Big 4 danışmanlık şirketleri tarafından yürütülen anketlerden bazı gerçekler verilmiştir: PwC & Deloitte.

“3’e atfedilen veri ihlallerinin sayısırd parti satıcıları 2015’ten bu yana %22 arttı”- Source PwC

Deloitte’a göre “yöneticilerin %94,3’ü üçüncü taraf risk yönetimi araçlarına ve teknolojisine düşük ila orta düzeyde güvene sahiptir ve %88,6’sı temel Bilgi Güvenliği Riskleri yönetim sürecinin kalitesine düşük ila orta düzeyde güvenir” .

Artık sorunu biliyoruz, nasıl çözmeye başlıyorsunuz?

Başlamak için mükemmel bir yer, tedarik ekibi ve/veya tedarik ekibi kuruluşunuzun nasıl kurulduğuna bağlı olarak. İdeal bir dünyada, bu ekiplerin tüm satıcıların envanterine sahip olması beklenir, 3rd kuruluşunuzun tarafları ve Ortakları.

Bu envanteri yerleştirdikten sonra, BT satıcı risk yönetimi (IT-VRM) ekibinin BT satıcılarını BT dışı satıcılardan ayırması gerekir. Bu bir kerelik bir aktivitedir. Gelecekteki ihtiyaçlar için, kaynak bulma ekibinin satıcıları iş etkileşimlerine göre ayırması önerilir (BT ve BT Dışı).

Tedarikçilerinizi ve Taşıdıkları Bilgi Güvenliği Risklerini Anlamak:

Satıcılarınızı anlamanın en basit ve etkili yollarından biri, kuruluşunuzla satıcı işini, veri temas noktalarının ve alışverişlerinin türünü, kuruluşunuzun bu dış kaynaklı iş tarafından maruz kaldığı Bilgi Güvenliği Risklerinin türünü ayrıntılandıran bir kapsam belirleme kontrol listesine sahip olmaktır.

Bu bilgiler genellikle satıcı yöneticisi satıcı ilişkilerinde kuruluşunuzu temsil etmek.

Aşağıda, satıcı yöneticinize sormak isteyebileceğiniz Bilgi Güvenliği Riskleri işaretçilerinin (bunlarla sınırlı değildir) listesi bulunmaktadır.

  • düzenleyici risk – Bu ilişki düzenleyici duruşunuzu etkiliyor mu? Bu tür düzenlemelere uymamanın cezası nedir?
  • itibar riski– Bu hizmet müşterilerinizi ve onlarla sahip olduğunuz itibarı etkiliyor mu?
  • Finansal risk– İş katılımıyla ilgili herhangi bir finansal Bilgi Güvenliği Riski var mı?
  • Bilgi güvenliği riskleri – satıcıyla iş ilişkisinin bir parçası olarak hangi veriler paylaşılıyor? satıcı kuruluş verilerinizi koruma konusunda ne kadar güvenli?
  • Esneklik riskleri – Satıcı, iş uygulamalarınıza herhangi bir tek hata noktası getiriyor mu?

Satıcıyla gerçekleştirilecek değerlendirme düzeyini anlamak için satıcının iş işletim modelini anlamanız gerekir.

Aşağıda, satıcı değerlendirmesinin kapsamını anlamak için satıcı yöneticisiyle görüşmek isteyebileceğiniz konuların gösterge niteliğinde bir listesi bulunmaktadır.

  • Satıcıyla paylaşılan ve alınan veri özellikleri, veri hacmi ve sıklığı
  • Bir satıcıyla iletişim modu/arayüzler – Posta, satıcı ağına uzaktan bağlantı, satıcıdan dahili ağınıza uzak bağlantı, yalnızca veri yükleme, yalnızca veri indirme, satıcılar sahaya getirilir ve hizmetleri sağlamak için ofislerinizden bağlanır
  • Sağlanan hizmetler – Veri merkezi hizmetleri, Uygulama sağlayıcısı, Bulut hizmeti sağlayıcısı, Veri işleme hizmetleri ve diğerleri.

Bilgi Güvenliği Riskleri Derecelendirmesi, Değerlendirme tekrarı ve Değerlendirme türü:

Bilgi Güvenliği Risklerinde, bir önceki adımın sonuçlarına dayanarak, satıcının toplam etkisi ve olasılığı ile konsolide bir risk matrisi geliştirilebilir. Aşağıda bir Nitel risk matrisi örneği gösterilmiştir.

Satıcı değerlendirmesinin tekrarı, daha önce elde edilen Bilgi Güvenliği Riskleri derecelendirmesine bağlıdır. Sektördeki en iyi uygulama, kritik satıcılar için diğer satıcılardan daha sık ve sıkı değerlendirmeler yapmaktır.

Ayrıca, her satıcı için değerlendirme derecesi, satıcının taşıdığı Bilgi Güvenliği Risklerine bağlı olarak değişebilir. Örneğin, altyapı hizmetleri sağlayan kritik bir satıcı, Yüksek/kritik bir satıcı olarak derecelendirilebilir ve bu nedenle daha ayrıntılı bir BT değerlendirmesine ihtiyaç duyabilir.

Şekil-4: değerlendirme döngüsü ile birlikte çeşitli satıcı türleri için yapılması gereken çeşitli kontrol türlerini gösterir. Bu yalnızca gösterge niteliğinde bir listedir ve kuruluşa göre değişiklik gösterebilir.

Aşağıdaki liste, herhangi bir Satıcı için gerçekleştirilebilecek test türlerinin bir tanımını verir.

  1. Tasarım testi: Satıcı organizasyonun Politikasını, prosedürlerini, standartlarını ve sözleşmelerini değerlendirin, gözden geçirin
  2. Etkinlik Testi: Çeşitli kontroller için satıcı tarafından üretilen tasarım kanıtlarını destekleyen kanıtları değerlendirin ve gözden geçirin.
  3. Fiziksel Saha ziyareti: IT-VRM ekibi, çok daha geniş bir değerlendirme için satıcı binasını ziyaret etmeyi planlayabilir, bu en kapsamlı test şeklidir ve yalnızca Kritik/yüksek satıcılar için gerçekleştirilmek üzere sınırlandırılabilir.

Örneğin, kontrol listeniz satıcının en az yılda bir kez güncellenmiş/incelenmiş bir bilgi güvenliği politikasına sahip olmasını bekliyorsa. Tasarım testiniz politikanın bilgi güvenliği ekibini (veya yetkili ekibi) politikayı yıllık olarak gözden geçirmesini zorunlu kılıp kılmadığını kontrol etmelidir. Etkinlik Testiniz son güncellemeler için gerçek satıcı bilgi güvenliği politikasını kontrol etmeli ve yıllık olarak gözden geçirilip incelenmediğini görmelidir.

Değerlendirme Kontrol Listesi ve Metodolojisi:

Artık Tedarikçilerimizin kim olduğunu, ne yaptıklarını, kuruluşa hangi Bilgi Güvenliği Risklerini getirdiklerini, ne tür değerlendirmelerin gerçekleştirileceğini ve ne sıklıkta yapılacağını bildiğimize göre, değerlendirme kontrol listesi ve metodolojisinin kesinleştirilmesi gerekiyor. Birçok kuruluş, ait oldukları iş sektörüne bağlı olarak bunu yapmak için farklı kontrol çerçeveleri kullanır. Ortak kontrol çerçevelerinden bazıları aşağıda listelenmiştir,

  1. SIG (Standart Bilgi toplama)
  2. COBIT
  3. ISO27001:2013
  4. NIST SP -800:35
  5. PCI DSS’nin en son sürümü
  6. HIPAA

SIG, burada listelenen tüm ana kontrol çerçevelerini kapsadığı için listeden en çok aranan çözümdür.

Bu nedenle, doğası gereği daha kapsamlıdır. Hangi kontrol çerçevesinin benimsendiğine bakılmaksızın, satıcı tarafından sağlanan iş hizmetiyle ilgili olarak bir kontrol anketi hazırlanmalıdır.

Bir kontrol anketinin her satıcı için dinamik olması ve satıcıya bir anket yayınlamadan önce IT-VRM ekibi tarafından yeterlilik ve uygunluk açısından kontrol edilmesi gerekir.

Aşağıdaki Şekil :5, bir kontrol anketi oluşturmak için dikkate alınabilecek farklı kontrol alanlarının listesini göstermektedir. Anket oluşturulduktan sonra, yanıtlarını toplamak için ilgili satıcı personeliyle paylaşılması gerekir.

Satıcı değerlendirmesi için kullanılan Kontrol Listesine dayalı olarak, satıcı personelinin her kontrole karşılık gelen ilgili kanıtlarla anketi yanıtlaması gerekir. Bu, gerçekleştirilen değerlendirmenin türü ile ilgilidir (Tasarım (veya) Uygulama (veya) Fiziksel saha ziyareti). Genellikle satıcı personeli ile ankete nasıl yanıt verileceği ve doldurulması için zaman çizelgeleri hakkında yönergeler hakkında bir iletişim paylaşılır.

Satıcı değerlendirme aşamasındaki zorluklar ve endişeler:

Satıcının anketinize yanıt vermede bazı sorunları olabilir, aşağıda listelenen örnek durumlardan bazıları,

1. Kritik belgelerin paylaşılmasında gizlilik sorunları – Politikaları bunu yapmalarını kısıtlayabileceğinden, bazı satıcıların dahili belgelerini paylaşmalarına izin verilmeyebilir. Bu gibi durumlarda, birGizlilik Sözleşmesi kritik belgeleri paylaşmak için kuruluşunuz ve satıcınız arasında imzalanabilir. Alternatif olarak, bir ekran paylaşımı oturum satıcıyla birlikte belgelerin uzaktan gözden geçirilmesine yardımcı olabilir. En kötü durum senaryosu, bir fiziksel ziyaret satıcının ofisine gitmek tek çözüm olabilir.

2. Büyük bir ankete yanıt vermek zaman alabilir–Anketin 200’den fazla soruyu toplayabildiği belirli durumlarda, satıcının anketinize yanıt vermesinin zaman alabileceği açıktır.

Bu gibi durumlara bir çözüm, onların 3’ünü almaktır.rd 4 büyük danışman (veya) harici danışmanlar tarafından gerçekleştirilen satıcı kontrollerine ilişkin taraf tasdik raporları.

Bu tür raporlara örnek SOC1,2 raporları. Bu raporlar, bağımsız bir görünümden bir kontrol alanı için yerinde kontrol kurulumunu doğrular. Bu raporlar, satıcıda mevcut olan kontroller hakkında bilgi edinme sürecini hızlandırır ve gerçek kanıtlara alternatif olarak kullanılabilir.

Son Satıcı değerlendirmesi ve Raporlama:

Satıcı tarafından ankette sağlanan kanıtların gözden geçirilmesi, satıcı Bilgi Güvenliği Risklerini değerlendirmede önemli adımlardan biridir. Her soru/kontrol, organizasyonunuzdaki IT-VRM ekibi tarafından yeterlilik ve uygunluk açısından gözden geçirilmelidir.

Yanıtların beklenen kalitesini/miktarını karşılamayan kontroller işaretlenmelidir. Bu işaretli kontroller derlenmeli ve kuruluşunuza etkisi için değerlendirilmelidir. Boşluklar, kuruluşunuza yönelik bir tehdidin etkisine ve olasılığına göre sınıflandırılmalıdır.

İncelemeye dayalı bir rapor satıcıya yayınlanmalıdır. Bu rapor, asgari olarak aşağıdaki bölümleri ve ayrıntıları içermelidir.

  1. Ticari hizmetlerin satıcı açıklaması
  2. Bilgi Güvenliği Risklerinin yönetici özeti ve satıcıların artık risk derecelendirmesi
  3. Bir sonraki planlanmış değerlendirme tarihi (kalıntı risk düzeyine ve sıklığına bağlı olarak)
  4. Ankette tanımlanan riskler/boşluklar hakkında ayrıntılı bilgi.
  5. Çözüm için zaman çizelgeleri ile bireysel Bilgi Güvenliği Riskleri için üzerinde anlaşmaya varılmış eylem planı. Bunun ayrıca, eylem planına sahip olması gereken satıcı kuruluştan sorumlu bir tarafı olmalıdır.

Satıcı boşluk yönetimi:

Satıcı risk yönetiminin tüm süreci, yalnızca bildirilen tüm boşluklar satıcı tarafından giderildiğinde/tedavi edildiğinde tamamlanır. Bu, satıcıyı sık sık takip ederek elde edilir.

İlk değerlendirme sırasında tespit edilen boşlukları gözden geçirirken/kapatırken, düzeltmek için uygulanan kontrolün eksiksizliğini doğrulamak için gerekli özen gösterilmelidir.

Uygun bir imzaya hak kazanan beklenen çıktılar, eylem planının bir parçası olmalıdır. Bu çıktıların, boşluklar kapatılırken doğrulanması gerekecektir. Aşağıdaki Şekil-6, tartışılan BT sağlayıcı risk yönetimi sürecinin genel sürecini göstermektedir.

Çözüm:

BT Satıcısı Risk yönetimi, ITVRM ekibi gibi özel bir ekip tarafından yönetilmesi gereken (veya) iç denetim ekibi tarafından yönetilebilen bir hizmettir. Her iki durumda da yaşam döngüsü açıklanana çok benzer olacaktır.

Çoğu kuruluş dış kaynak kullanımını Bilgi Güvenliği Risklerinden ve maliyetlerinden kaçmak için bir teknik olarak görür, ancak dış kaynak kullanımı kuruluşları hala risklerin sahibidir.

Dış kaynak kullanımı, yalnızca satıcı ilişkisinden kaynaklanan tüm riskler ve faydalar göz önünde bulundurulduktan sonra benimsenmelidir, eğer faydalar risklerden ağır basıyorsa, dış kaynak kullanımı akıllıca bir karar olacaktır.

Ayrıca, satıcıların risk profillerini tutarlı bir şekilde değerlendirmek için sağlam bir satıcı risk yönetimi süreci mevcut olmalıdır. Bu riskler, kuruluşunuzun tuttuğu genel risk listesinin bir parçası olmalıdır.

Yazar Kredisi: Bu Büyük İş Shriram Kumar NS tarafından yapılmıştır.



Source link