3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi
Sujit Christy, Kesişimlerinin Neden Bir Paradigma Değişimi Gerektirdiğini Anlatıyor
Sujit Christy •
8 Ağustos 2024
Günümüzün birbirine bağlı dijital ortamında ve küresel ekonomide, baş bilgi güvenliği yöneticileri giderek daha karmaşık bir zorlukla karşı karşıyadır: yalnızca kendi kuruluşlarını değil, aynı zamanda siber tedarik zincirlerini oluşturan tedarikçiler, satıcılar ve ortakların karmaşık ağını da güvence altına almak. Siber tedarik zinciri, donanım üreticileri, yazılım geliştiricileri, bulut hizmeti sağlayıcıları ve hatta doğrudan tedarikçiler tarafından kullanılan satıcılar dahil olmak üzere BT ürünleri ve hizmetlerinin geliştirilmesi, üretimi ve dağıtımında yer alan tüm kuruluşları kapsar.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
İşletmeler operasyonel verimlilik ve pazar rekabeti için üçüncü ve dördüncü taraf hizmetlerine daha fazla bağımlı hale geldikçe, saldırı yüzeyi katlanarak genişler. Riskler, tehlikeye atılmış veya hatalı yazılım güncellemeleri, güvenli olmayan donanım ve şirketleri çok sayıda siber güvenlik tehdidine maruz bırakan üçüncü taraf satıcılar arasındaki yetersiz güvenlik uygulamaları gibi çeşitli faktörlerden kaynaklanabilir. Bu nedenle, bir kuruluştaki bir güvenlik ihlali tüm ağa yayılabilir ve potansiyel olarak önemli operasyonel kesintilere, mali kayıplara ve itibar kaybına yol açabilir.
Üçüncü Taraf ve Dördüncü Taraf Riskleri
Üçüncü taraf riski, bir kuruluşun etkileşimde bulunduğu doğrudan tedarikçileri ve satıcıları içerir. Bu varlıklar genellikle hassas verilere erişebilir ve bu da onları siber suçlular için birincil hedef haline getirir. Üçüncü taraf riskleri, veri ihlalleri, hizmet kesintileri ve düzenleyici gerekliliklere uyulmaması yoluyla ortaya çıkabilir.
Dördüncü taraf riski, doğrudan tedarikçilerin ötesine geçerek üçüncü tarafların güvendiği alt yüklenicileri ve hizmet sağlayıcıları da kapsar. Bu dolaylı ilişki, olası güvenlik açıklarının görünürlüğünü engelleyebilir ve kuruluşların bu riskleri etkili bir şekilde değerlendirmesini ve azaltmasını zorlaştırabilir.
Etkili Tedarik Zinciri Risk Yönetimi Stratejileri
NIST, tedarik zinciri risk yönetimini veya SCRM’yi, BT/OT ürün ve hizmetlerinin dağıtılmış ve birbirine bağlı yapısıyla ilişkili riskleri belirleme, değerlendirme ve azaltma süreci olarak tanımlar. “Sistemler ve Organizasyonlar için Siber Tedarik Zinciri Risk Yönetimi Uygulamaları” başlıklı NIST Özel Yayını 800-161, tedarik zinciri risklerini ele almak için kapsamlı bir çerçeve sunar.
ISO/IEC 27001:2022 standardı, bir bilgi güvenliği yönetim sistemi kurmak, uygulamak, sürdürmek ve sürekli iyileştirmek için küresel olarak tanınan bir çerçeve sağlar. Siber SCRM çabalarını ISO/IEC 27001:2022 ile uyumlu hale getirmek, kuruluşların bilgi güvenliği risklerini yönetmek için yapılandırılmış bir yaklaşım benimsemesini sağlar.
İşte NIST Siber Güvenlik Çerçevesi işlevlerine göre düzenlenmiş etkili siber tedarik zinciri risk yönetiminin veya C-SCRM’nin temel bileşenlerinin bir tablosu: tanımlama, koruma, tespit etme, yanıt verme ve kurtarma. Siber tedarik zinciri güvenliğinin ve üçüncü ve dördüncü taraf risk yönetiminin karmaşık zorluklarını ele almak için CISO’lar aşağıdakileri uygulamayı düşünmelidir:
| İşlev | Bileşen | Tanım |
|---|---|---|
| Tanımlamak | Organizasyonun kapsamı | Üçüncü ve dördüncü taraf ilişkileri de dahil olmak üzere tedarik zincirinin ayrıntılı bir haritasını oluşturarak güvenlik açıklarını ve bağımlılıkları belirleyin. |
| Risk Değerlendirmesi ve Tedavisi | Anketler, yerinde denetimler ve sürekli izleme kullanarak her üçüncü veya dördüncü tarafın kritikliğini ve siber güvenlik duruşunu değerlendirmek için titiz bir süreç geliştirin. Yeni tedarikçiler veya teknoloji değişiklikleri gibi tedarik zincirindeki değişiklikleri olası risklere karşı sistematik olarak belirleyin ve değerlendirin. Değişikliklerin tedarik zincirinin güvenlik duruşunu nasıl etkileyebileceğini, değişikliklerin getirdiği yeni güvenlik açıkları da dahil olmak üzere değerlendirin. |
|
| Kapsamlı Durum Tespiti Yapın | Potansiyel üçüncü ve dördüncü taraf tedarikçiler hakkında kapsamlı bir durum tespiti yapın, siber güvenlik uygulamalarını, finansal istikrarlarını ve düzenlemelere uyumlarını değerlendirin. | |
| Kapsamlı Bir Politika Geliştirin | NIST yönergeleri ve ISO/IEC 27001:2022 gereklilikleriyle uyumlu net bir C-SCRM politikası oluşturun. | |
| Korumak | Destek ve Operasyon | Gerekli kaynakların, yeterliliklerin ve kontrollerin yerinde olduğundan emin olun. Olay bildirim maddeleri, denetim hakkı hükümleri ve ilgili standartlara uyum dahil olmak üzere güvenlik gereksinimlerini satıcı sözleşmelerine dahil edin. |
Güvenli Yazılım Geliştirme | Düzenli kod incelemeleri, güvenlik açığı taramaları ve sızma testleri de dahil olmak üzere güvenli kodlama uygulamalarını uygulayın. |
| Kontrollü Uygulama | Yeni güvenlik açıklarının ortaya çıkma olasılığını azaltmak için değişiklikleri kontrollü bir şekilde uygulayın. | |
| Onay Süreçleri | Uygulama öncesinde olası riskleri ele alarak güvenlik değerlendirmelerini içeren süreçler aracılığıyla değişikliklerin onaylandığından emin olun. | |
| Üçüncü Taraf Erişim Yönetimi | En az ayrıcalık ve tam zamanında erişim ilkelerini kullanarak, tüm üçüncü taraf bağlantıları için sıkı erişim kontrolleri ve izleme uygulayın. | |
| Tedarikçi Çeşitliliği ve Yedekliliği | Kritik bileşenler veya hizmetler için tek kaynaklara olan bağımlılığı azaltın ve tedarikçilerden kaynaklanan aksaklıklar için acil durum planları geliştirin. | |
| Güvenlik Farkındalığı Eğitimi | Özellikle tedarik ve tedarikçi yönetiminde görev alan çalışanları, tedarik zinciri riskleri ve güvenliği sağlamadaki rolleri konusunda eğitin. | |
| Tedarikçi İşbirliğini Geliştirin | Tedarikçilerle işbirliği ve bilgi paylaşımı için güçlü ilişkiler geliştirin. Düzenli ortak güvenlik tatbikatları yapın. | |
| Tespit etmek | Sürekli İzleme ve Tehdit İstihbaratı | Potansiyel tehditler ve güvenlik açıkları için tedarik zincirinin gerçek zamanlı izlenmesini uygulayın. Ortaya çıkan risklerin bir adım önünde olmak için tehdit istihbaratından yararlanın. |
| Performans değerlendirmesi | Uyumluluğu sağlamak ve güvenlik açıklarını derhal gidermek için tedarikçilerin güvenlik uygulamalarını sürekli olarak değerlendirin ve denetleyin. | |
| Kayıt tutma | Değişiklikleri ve bunların tedarik zinciri güvenliği üzerindeki etkilerini takip etmek ve anlamak için kapsamlı değişiklik kayıtları tutun. | |
| İletişim | Tedarikçiler ve dahili ekipler de dahil olmak üzere ilgili paydaşların, ilişkili risklere karşı hazırlıklı olmak ve bunları ele almak için değişikliklerden haberdar edilmesini sağlayın. | |
| Yanıtlamak | Olay Müdahalesi ve Kurtarma | Tedarik zinciri ihlallerine yönelik rolleri, iletişim protokollerini ve kurtarma adımlarını ana hatlarıyla belirten olay yanıt planları geliştirin ve düzenli olarak test edin. Olaylara katkıda bulunabilecek son değişiklikler hakkında bilgi sağlayın, daha hızlı ve etkili kurtarmayı kolaylaştırın. Ana tedarikçilerle net iletişim kanalları sağlayın. |
| Hazırlıklı olmak | Değişiklikleri etkin bir şekilde yöneterek kesintilerin olasılığını azaltın, değişikliklerle ilgili olası olaylara karşı hazırlığı artırın. | |
| İyileşmek | Olay Müdahalesi ve Kurtarma | Olaylar sırasında tedarikçilerle koordinasyon sağlayarak etkiyi en aza indirin ve hızlı bir şekilde kurtarmayı sağlayın. |
| Devamlı gelişme | Kuruluşun zaman içinde tedarik zinciri risklerini yönetme yeteneğini geliştirmek için sürekli iyileştirme kültürünü teşvik edin. Tedarik zinciri güvenlik uygulamalarını iyileştirmek ve değişim yönetimi süreçlerini ayarlamak için olaylardan ve risk değerlendirmelerinden gelen geri bildirimleri kullanın. |
|
| Standartlara Uygunluk | Değişikliklerin sektör standartlarına ve düzenleyici gerekliliklere uygun olmasını sağlayarak, uyumluluğun doğrulanması ve değerlendirilmesine yardımcı olun. | |
| Denetim İzleri | Uyumluluk doğrulamasını ve güvenlik denetimlerini desteklemek, kurtarma ve iyileştirmelere yardımcı olmak için değişikliklerin ayrıntılı belgelerini tutun. | |
| Eğit ve Öğret | Çalışanların ve tedarikçilerin C-SCRM ve risk azaltma stratejilerinin anlaşılmasını sağlamak için düzenli eğitim ve farkındalık programları sağlayın. |
Siber tedarik zinciri güvenliği ile üçüncü ve dördüncü taraf risk yönetiminin kesişimi, CISO’lar için önemli zorluklar sunar ve bir paradigma değişimi gerektirir. Siber tedarik zinciri risk yönetimine proaktif ve kapsamlı bir yaklaşım benimseyerek, kritik varlıkları koruyabilir ve gelişen tehditlere karşı dayanıklılığı artırabilirsiniz.