Veri ihlallerine üçüncü tarafların katılımı bu yıl yüzde 15’ten yaklaşık yüzde 30’a iki katına çıktı. Buna karşılık, birçok kuruluş üçüncü taraf risk yönetimi üzerindeki odaklanmalarını keskinleştirerek satıcılarının güvenlik uygulamalarını dikkatlice incelemiştir. Bununla birlikte, birçok kuruluşun göz ardı ettiği kritik bir boşluk olmaya devam etmektedir: dördüncü taraf riski.
Dördüncü partili satıcıların sessiz tehdidi
Çoğu kuruluş sadece satıcılara doğrudan yörüngelerinde odaklanırken, bu satıcıların hizmetlerini sunmak için güvendiğine bir adım daha derinlemesine kazmayı ihmal eder.
Dördüncü taraf riskleri özellikle zordur çünkü görülmesi daha zordur. Satıcınız onları açıklamadığı sürece var olduklarını bile bilmiyor olabilirsiniz. Ne olursa olsun, dördüncü taraf bir güvenlik açığı bir veri ihlali veya operasyonel aksamaya yol açarsa düzenleyiciler ve müşteriler kuruluşunuzu sorumlu tutacaktır.
Gerçek şu ki, en kritik satıcılarınız genellikle en önemli riski oluştururlar, çünkü operasyonlarınıza derinlemesine yerleştirilirler ve genellikle hizmet sunmak için çeşitli alt işlemcilere güvenirler. Satıcınız, donanım, yazılım, şirket içi, eski teknoloji veya bulut yoluyla ortamınıza erişebilirse, risk getirebilir. Bu riskleri yönetmek için verileri izleyerek başlayın:
- Hangi veriler toplanıyor ve neden? Satıcılarınızın ve alt işlemcilerinizin sizin adınıza topladığı belirli verileri, toplama amacını ve hizmet sunumu için gerekli olup olmadığını anlayın.
- Veriler nereye gidiyor? Verilerinizin dördüncü taraflarda nerede seyahat ettiğini görmek ve daha zayıf gizlilik veya güvenlik yasalarına sahip yargı bölgelerini belirlemek için verileri akışlarını eşleyin.
- Verilere kim erişecek? Alt işlemciler de dahil olmak üzere tüm varlıkları verilerinize doğrudan veya dolaylı erişimle tanımlayın ve kontrollerini değerlendirin.
- Veriler ne kadar tutulur? Bilinmeyen veya teminatsız konumlarda verileri önlemek için satıcınızın tedarik zincirindeki tutma ve silme uygulamalarını belirleyin.
- Veriler yaşam döngüsü boyunca nasıl korunur? Üçüncü ve dördüncü taraflarınızın verilerinizi korumak için kullandığı şifrelemeyi, erişim kontrollerini ve güvenlik standartlarını değerlendirin.
Birçok kuruluş üçüncü taraf risk yönetimini güçlendirmek için adımlar atmış olsa da, yalnızca doğrudan satıcı ilişkilerine odaklanmak yeterli değildir. Dördüncü partili riskler genellikle mevcut tedarik zinciri güvenlik uygulamalarınızda düz bir şekilde gizlenerek genel duruşunuzu zayıflatabilecek kör noktalar yaratır.
Kuruluşlar, geçiş yükümlülüklerini uygulamalıdır
Dördüncü partili riski yönetmek için en etkili stratejilerden biri, satıcı sözleşmelerindeki geçiş yükümlülüklerini uygulamaktır. Bu, satıcılarınızın hem satıcılarını hem de satıcılarının satıcılarını sahip olduğunuz aynı güvenlik ve gizlilik uyum standartlarına sahip olmalarını gerektirir.
Kuruluşunuzun doğrudan satıcılarınızın belirli şifreleme standartlarını uygulamasını, düzenli güvenlik denetimlerinden geçmesini, veri tutmayı belirli bir süreyle sınırlamasını ve tanımlanmış bir zaman dilimi içinde güvenlik olaylarını rapor etmelerini gerektirdiğini varsayalım. Bu durumda, bu gereksinimler satıcılarınızın devreye girdiği taşeronlar için geçerli olmalıdır. Dördüncü partili gayretini korumak, sınırlı kaynaklara sahip herhangi bir kuruluş için göz korkutucu görünse de, yük satıcı sözleşmelerindeki üçüncü taraflara atanmalıdır.
Her satıcı sözleşmesinde ne olmalı?
Satıcı erişim yönetimi bu prensiplerden kaynaklanan sözleşmelerle başlar: verileri takip edin, hesap verebilirliği uygulayın ve artık riski en aza indirin. Satıcı anlaşmalarınızı şu şekilde yapılandırın:
- Alt işlemcileri ifşa edin: Tedarikçilerinizin verilerinize veya sistemlerinize erişimle (yasal olarak GDPR kapsamında zorunlu oldukları için) kullandıkları alt işlemcileri açıklamalarını isteyin, bu da verilerinizin aktığı her yerde riski izleyebileceğinizden emin olun.
- Hızlı Olay Bildirimini Uygulama: Alt yüklenicileri içeren herhangi bir güvenlik olayının sistemlerinizi veya verilerinizi etkileyebileceği takdirde, satıcılar sizi hızlı bir şekilde bilgilendirmelidir.
- Denetim haklarını saklayın: Paylaşılan hesapları değil, adlandırılmış kimlikleri onaylama yeteneği de dahil olmak üzere satıcı ve taşeron uyumluluğunu denetleme hakkını koruyun.
- Güverte Kontrolü: Kalan riskleri önlemek için tüm erişimin sözleşmenin sona ermesi veya hareketsizliği ile sona erdiğinden emin olun.
- Yetkili geçiş yükümlülükleri: Tedarikçilerin aynı güvenlik ve uyumluluk standartlarını karşılamaları için taşeronların talep etmesi gerekir.
Bu gereksinimleri resmileştirmek, bir alt yüklenicinin standartları karşılamaması nedeniyle fark edilmeden kayma riskini önemli ölçüde azaltan bir hesap verebilirlik zinciri oluşturur. El sıkışma vaatleri veya abartılı sigorta kapsamı, uygulanamazlarsa hiçbir şey ifade etmiyor.
Tam tedarik zincirini sabitleyin
İleride kalmak için kuruluşlar doğrudan satıcıları yönetmenin ötesine geçmeli ve alt yüklenicilerin tüm zincirini aşağıya indiren uygulanabilir kontrolleri zorlamalıdır. Geçiş yükümlülüklerini yerleştirerek, gözetimi sıkılaştırarak ve katmanlı, riske dayalı bir yaklaşım alarak, işletmeler kör noktaları kapatabilir ve tasarıma göre dirençli ve bir sonraki tehditlere hazır bir satıcı ekosistemi oluşturabilir.