Jeopolitik gerilimler, tedarik zinciri belirsizlikleri ve hızlı hareket eden düzenleyici değişiklikler sırasında kuruluşlar, özellikle diğer kuruluşlarla iş ilişkilerinin doğasında var olan riskleri azaltırken risk yönetimi programlarını hızlandırır.
Yüzleşecek birçok zorluk ve rüzgarla, risk yöneticileri, yasa sınırları içinde kalırken güvenlik tehditlerinin önünde kalmak için araç setlerindeki her aracı kullanmaya giderek daha fazla baskı yapıyor.
En değerli araçları arasında, kuruluşların üçüncü taraf hizmet sağlayıcılarının ve satıcılarının güvenlik, gizlilik ve uyum risklerini değerlendirmelerine yardımcı olan yaygın olarak kullanılan bir değerlendirme olan Standart Bilgi Toplama (SIG) anketi bulunmaktadır. Geliştirilen paylaşılan değerlendirmeleri paylaşan SIG anketi, satıcılar ve güvenlik protokolleri hakkında kritik kritik bilgiler toplama sürecini standartlaştırmak, kuruluşları her bir değerlendirme için özel anketler oluşturma çabasını korumaktadır.
Birçok iş lideri SIG anketini kullanma konusunda becerikli hale geldi, ancak bu yıl her kuruluşun bilmesi gereken şekillerde güncellendi.
SIG 2025’te bulunan güncellemeler, daha katı düzenleyici uyum ve üçüncü taraf risk yönetişimine doğru bir kaymayı yansıtmaktadır.
Bu değişikliklere erken uyum sağlayan kuruluşlar, giderek daha karmaşık bir satıcı manzarasına daha dayanıklı, güvenli ve uyumlu hale gelecektir.
SIG’nin üçüncü taraf risk yönetiminde rolü
Kadrodaki her servis sağlayıcı ve satıcı için özel risk profilleri, çoğu kuruluştan daha fazla zaman ve kaynak tüketecektir. Bu yüzden SIG anketi geliştirildi. Avantajları şunları içerir:
- Satıcıları değerlendirmek için tutarlı bir çerçeve aracılığıyla standardizasyon, risk değerlendirmelerini kapsamlı ve karşılaştırılabilir hale getirir.
- İş yüklemelerini hem kuruluşlar hem de satıcılar için iş yükünü azaltarak ve risk değerlendirme sürecini kolaylaştırarak daha iyi verimlilik.
- Kapsamlı analiz, siber güvenlik, veri gizliliği, operasyonel esneklik, düzenleyici uyum ve iş sürekliliği.
- Karmaşık uyumluluk gereksinimlerini basitleştiren ISO 27001, NIST, GDPR, HIPAA, SOC 2 ve diğer yasalar dahil olmak üzere düzenlemelerle uyum.
Yeni bir satıcıya katılmadan önce, kuruluşlar güvenlik duruşlarını anlamaları için SIG anketini onlara gönderir. Tedarikçiler ve servis sağlayıcıları, anketi bir kez tamamlayabilir ve birden fazla istemci ile paylaşabilir, zaman ve çaba tasarrufu sağlayabilirler.
Risk yönetimi ekipleri daha sonra boşluklar bulmak için yanıtları analiz eder ve sağlayıcıya dahil edilmeden önce ek kontrollerin veya denetimlerin gerekip gerekmediğini belirler.
Sistem iyi çalışırken, zamanla da değişir. Bu yıl SIG anketine önemli güncellemeler getirecek ve bunları anlamak, üçüncü taraf risk yönetimi programlarını olabildiğince etkili hale getirmede çok önemlidir.
Değişiklikleri anlamak
2025 SIG güncellemesi yeni sorular, genişletilmiş içerik eşlemeleri ve gelişmiş düzenleyici hizalama içerir. Yeni risk alanı eklenmemiş olsa da, aşağıdakileri içeren başka önemli değişiklikler de vardır:
- Yanıt gereksinimleri ve dış kaynaklı olay raporlaması hakkında beş yeni soru.
- Beklenmedik durum planlaması, veri yönetişimi ve esneklik stratejilerini değerlendiren dört yeni soru.
- Gelişen tehditleri ele alan üç yeni soru.
Kullanıcılar ayrıca gelişmiş işlevsellik ve genişletilmiş uyumluluk eşlemesi bekleyebilir. İkincisi daha yakından bakmayı hak ediyor.
Eşleme uyumluluğu
2025 SIG, yeni standartlar ve düzenlemeler de dahil olmak üzere doğrudan 31 referans belgesiyle eşleşir. Bu, düzenleyici uyumluluğu kolaylaştırır ve zaman kazandırır.
SIG 2025, küresel siber güvenlik ve risk yönetimi eğilimleriyle uyumlu olmak için üç temel düzenleyici çerçeveyi ve risk ekipleri için yeni kontrolleri içerir:
- AB Dijital Operasyonel Esneklik Yasası (DORA)finans sektörünün siber tehditlere ve operasyonel aksamalara dayanma yeteneğini güçlendiren. SIG 2025, bir kuruluşun olay raporlama sorumluluklarını dış kaynak kullanıp kullanmadığını ve Dora Maddesi 18 ile uyumlu olup olmadığını değerlendiren kontrol J.11’i içerir.
- AB Ağı ve Bilgi Güvenliği Direktifi 2 (NIS2)bu, tedarik zinciri güvenliği için daha katı güvenlik önlemlerini zorunlu kılar, kuruluşların üçüncü taraf riske maruz kalmasını değerlendirmesini gerektirir. Sig 2025 kontrolleri C.11 ve C.12, 29. maddeyi ele almak için siber tehditler, güvenlik açıkları ve güvenlik olayları hakkında bilgi paylaşımını vurgulayarak eklendi.
- NIST Siber Güvenlik Çerçevesi (CSF) 2.0: yönetişim işlevlerini güçlendiren ve siber güvenlik uygulamalarını kurumsal risk yönetimi ile hizalayan. SIG 2025, üçüncü taraf siber güvenlik yönetişimini ve risk görünürlüğünü geliştirmek için NIST CSF ilkelerini içeriyor.
Kuruluşların kesinlikle farkında olduğu gibi, SIG anketindeki güncellemeler önemlidir. Peki, risk yöneticileri onlar için en iyi nasıl hazırlanmalıdır?
Geleceğe Hazır
Organizasyonların zaman kazandıracak ve uyumluluktan düşme riskini azaltacak SIG’ye olan önemli güncellemeleri etkili bir şekilde entegre etmek için Risk ekipleri yeni işlevlere aşina olur ve değerlendirme sürecini kolaylaştırmak için SIG yöneticisinin gelişmiş özelliklerini keşfeder. Ayrıca, en son düzenleyici eşlemeleri dahil etmek için değerlendirme şablonlarını güncellemeli ve değerlendirmelerin kapsamlı ve uyumlu olmasını sağlamak için özel kapsam kullanmalıdır.
Risk ekipleri ayrıca en son değişiklikler ve en iyi uygulamalarda güncel kalmak için ortak değerlendirmelerle sunulan web seminerlerine ve diğer eğitim oturumlarına katılmalıdır.
Proaktif olarak bu geliştirmelere uyum sağlayarak, risk ekipleri üçüncü taraf risk yönetimi programlarını güçlendirecek ve gelişen standartlara uyumu sürdürecektir.
SIG’nin kademeli olarak evrimi, işletmelerin bugün kendilerini buldukları dünyanın bir yansımasıdır. Jeopolitik ticaret ve tedarik zincirlerini etkilemeye devam etmektedir. Gizliliği ve güvenliği koruyan düzenlemeler çoğalmaya devam etmektedir.
Aynı zamanda, kuruluşlar, hepsi kendi benzersiz risklerini masaya getiren sürekli büyüyen bir satıcı ve hizmet sağlayıcıları listesi ile iş yapmaları gerektiğini buluyorlar.
Güvenlik ve iş sürekliliği zorlukları çoğalmaya devam ettikçe, birden fazla risk alanını kapsayan daha geniş satıcı risk yönetimi çok önemlidir. Risk ekiplerinin elinde olası her araca ihtiyacı vardır – ve güncellenmiş SIG anketi en değerli olanlar arasındadır.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!