Kuruluşlar, operasyonları düzene sokmak, işlerini ölçeklendirmek, uzmanlıklarını genişletmek ve bunlardan yararlanmak ve maliyetleri azaltmak için her zamankinden daha fazla üçüncü taraflara güveniyor.
Karmaşık ve hızlı hareket eden siber güvenlik düzenlemeleriyle buluşuyor dünyasında, üçüncü taraflarla çalışmak, veri yönetimini ve süreçleri izlemek için özenli bir üçüncü taraf risk yönetimi gözetimi gerektirir. InfoSec risk yönetiminin iyileştirilmesi, verilerin nasıl işlendiğine, bu verileri korumak için uygulanan güvenlik önlemlerine, olası güvenlik zayıflıklarına ve çok sayıda veriye, güvenlik ve gizlilik düzenlemelerine daha iyi uyulmasına ilişkin içgörüler sağlayabilir.
Gartner’a göre, üçüncü taraflarınızın riskine ilişkin görünürlüğe sahip olmak kritik öneme sahiptir ve riskler yüksektir — risk yönetimi ekiplerinin yüzde 84’ü bir üçüncü taraf sorununu gözden kaçırmıştır. Bunun sana olmasına izin verme.
Üçüncü taraf risk yönetimi yaklaşımınıza ince ayar yapın
Teleperformance, Fortune 1000 şirketlerinin 850’si için güvenilir çok kanallı çözümler sağlayıcısı ve dünyanın en fazla üçüncü tarafça yönetilen şirketidir. Geçen yıl 400’den fazla iç denetime nezaret ederek, kuruluşların üçüncü taraf risk yönetimi, InfoSec durum tespiti ve güvenlik stratejisiyle uyum konularını nasıl daha iyi ele alabilecekleri konusunda ilk elden deneyime sahibiz:
Düzenlemelerle ilgili net sözleşme gerekliliklerine sahip olun… ve bunları güncelleyin
Herkes aynı uyumluluk sayfasında mı? Üçüncü şahıs kuruluşunuz, şirketinizin beklentilerini anlıyor mu? Verilerle ilgili sayısız düzenleme, standart, eyalete özgü yasa ve küresel yasa ile — ISO/IEC 27001, PCI DSS, SOC 1, SOC 2, GDPR, California Tüketici Gizliliği Yasası, HIPAA, HITRUST (birkaç isim) — sözleşmelerinizin en son düzenlemeleri yansıtacak şekilde düzenli olarak güncellendiğinden emin olun.
Şunu göz önünde bulundurun: Sertifikaların kapsadığı gereksinimleri ISO 27001 veya PCI DSS gibi sözleşme dilinde açıklamanız gerekmeyebilir. Dış denetimler tamamlanırken, üçüncü tarafınızın sertifika belgelerini yıllık olarak sağlamasını istiyorsanız, bu ekstra adım gerekli değildir.
En önemli risklere odaklanın
Hizmetleri dışarıdan temin ederken, kuruluşunuzun en önemli risk öncelikleri nelerdir? Siber güvenlik? Bilgi Güvenliği? Uyma? Fiziksel güvenlik? İnsan kaynakları güvenliği? Her ne iseler, onları üçüncü taraflarınızın uyum sağlaması ve bu öncelikleri düzenli olarak kontrol etmesi için bir öncelik haline getirin.
Örneğin, kredi kartı işleme veya sağlık hizmetleri için dışarıdan hizmet alıyorsanız, üçüncü tarafınızın en azından PCI DSS, HIPAA ve HITRUST kontrollerine ve gereksinimlerine uyması gerekir.
Bir müşteri risk değerlendirmesi başlatın
Bir risk değerlendirmesi, olası riskleri, tehditleri ve tehlikeleri belirlemek için bilgi güvenliğinin tüm alanlarını, politikalarını ve standartlarını inceleyecektir. Bunlar belirlendikten sonra kontroller, süreçler veya kişilerle ilgili riskleri azaltıp azaltamayacağınızı ve nasıl azaltabileceğinizi değerlendirebilirsiniz. Neyin mükemmel olmadığını belirleyin ve ardından oradan iyileştirin.
Yerinde denetimler yapın
Tüm üçüncü taraflarınız aynı riskleri taşımaz. BT ortamınıza erişimi olan veya şirketinizin verilerini depolayanlar için yerinde denetimler, kabul ettiğiniz riskleri gerçekten anlamanın ve üçüncü tarafın sözleşme gerekliliklerinizi karşılamasını sağlamanın tek yoludur. Üçüncü şahıs anlaşmaları, üçüncü şahsın anlaşmaya uygun hareket edip etmediğini değerlendirmenizi sağlayacak bir denetim hakkı maddesi içermelidir.
Belgeleri ve kanıtları görmek isteyin
Uyumluluk ve denetim gerekliliklerinin karşılandığından emin olmak için sertifikaları ve denetim izi evraklarını görmeyi isteyin. Veri koruma, bir onay kutusundan daha fazlasıdır. Üçüncü taraflarınızın siber güvenlik politikalarını düzenli olarak gözden geçirmeniz önemlidir. Üçüncü tarafınızın uygun güvenlik kontrollerini sürdürdüğünden ve düzenlemeleri sürekli olarak izlediğinden ve bunlara bağlı kaldığından emin olun.
Bir üçüncü taraf risk yöneticisinden elde ettiğiniz değeri değerlendirin
Kulağa ne kadar ironik gelse de, birçok müşteri kendi adlarına InfoSec durum tespiti yapmak için üçüncü tarafları kullanıyor. Halihazırda üçüncü taraflarınızın sektör çapında tanınan sertifikalara sahip olmasını istiyorsanız, ayrı bir üçüncü taraf risk yöneticisi tutmak gereksiz olabilir.
Bu, büyüyen bir pazar nişi olsa da, bu hizmetlerin çoğu, akredite dış denetçileri ve yerinde denetimleri içeren titiz ISO, PCI ve HIPAA sertifikasyon süreçlerinde gereksizdir.
Sorular sor
Satıcılarınızı tetikte tutun. Üçüncü taraf çalışanların siber güvenlik uygulamaları konusunda eğitim alıp almadığını sorun. Hassas verilerinizi ele alan veya işleyen kişiler siber anlayışa sahip mi? Örneğin, kimlik avı ve bilgisayar korsanlığı konusunda düzenli eğitim alıyorlar mı?
Üçüncü taraf risk yönetimi, özellikle siber güvenlik, düzenleyici, itibar ve operasyonel riskler arasında gezinirken bir kontrol listesinden daha fazlasıdır. Hassas bilgileri etkili bir şekilde korumak, marka itibarı oluşturmak, küresel olarak ölçeklendirmek ve uyumluluk uyumu, kuruluşların üçüncü taraf risk yönetimi oyunlarını geliştirmesi gereken nedenlerden sadece birkaçıdır.