Kuruluşların üçüncü taraf sağlayıcılara giderek daha fazla bağımlı hale gelmesiyle birlikte, üçüncü taraf risk yönetimi (TPRM) oyununun geliştirilmesi, üçüncü taraf risklerinin etkilerini önlemek için zorunlu hale geldi.
Üçüncü taraf riskleri
SecurityScorecard yakın zamanda kuruluşların %98’inin son iki yılda veri ihlaline maruz kalan en az bir üçüncü taraf sağlayıcıyla bağlantılı olduğunu tespit etti.
Bir üçüncü taraf satıcının bir kuruluşun ağına erişmesine izin verildiğinde, potansiyel güvenlik açıkları onların ortak sorunu haline gelir ve bir uzlaşmanın her ikisi için de ciddi sonuçları olabilir. Şunlarla sonuçlanabilir:
- Müşteri hizmetleri kesintisi
- Düzenlemelerin veya yasaların ihlali
- İtibar hasarı
- Tedarik zincirinin bozulması
- Mali dolandırıcılık veya ifşa
Özellikle 2023 yılına damgasını vuran bir üçüncü taraf uzlaşması: Popüler bir dosya aktarım yazılımı olan MOVEit’teki bir güvenlik açığının toplu olarak kullanılması nedeniyle bir dizi veri ihlali meydana geldi ve çeşitli uluslararası devlet kurumları ve işletmelerinin veri hırsızlığına yol açtı.
Progress Software’in Mayıs ayında kusuru düzeltmesine rağmen, Cl0p veri gaspı çetesi bu güvenlik açığından zaten kapsamlı bir şekilde yararlanmıştı ve etkilenen kuruluşlar MOVEit ile ilgili olayları açıklamaya devam ediyordu.
Neden TPRM yapmalısınız?
Üçüncü taraf risk yönetimi şirketlere çok sayıda avantaj sunuyor.
Kuruluşların, üçüncü taraf satıcıların kullanılabilirliğini izleyerek iş kesintilerinden kaçınmasına olanak tanır, böylece yöneticilerin hızlı harekete geçmesine olanak tanıyan erken uyarı sinyalleri sağlar.
TPRM ayrıca olası olayları izleyerek ve üçüncü taraf ilişkilerinde BT ve siber risklere maruz kalmayı azaltarak marka itibarını korur. Bu, tedarik zincirinden kaynaklanan potansiyel sistem açıklarına karşı zamanında savunma sağlar.
Tüm bu faktörler müşteri güveninin artırılmasında, maliyetlerin azaltılmasında ve genel operasyonel riskin en aza indirilmesinde çok önemli bir rol oynamaktadır.
TPRM’nin en iyi uygulamaları
Kuruluşların satıcı ağlarını net bir şekilde anlamaları ve görünür olmaları gerekir.
Bu, en iyi uygulamaları ve TPRM yaşam döngüsünün tüm adımlarını bilerek ve uygulayarak gerçekleştirilebilir:
- Satıcı tanımlama ve tarama
- Değerlendirme ve seçim
- Risk değerlendirmesi
- Risk azaltma
- Taahhüt ve satın alma
- Raporlama ve kayıt tutma
- Sürekli izleme
- Satıcının işten ayrılması
Kuruluşlar, üçüncü taraf satıcıları sürekli olarak izlemek için güçlü bir risk istihbarat ekibi kurmalı ve durum tespiti ve mevzuat uyumluluğuna yatırım yaparken liderlik desteğine sahip olduklarından emin olmalıdır.
Ayrıca satıcıların güvenlik, sağlık ve yönetişim standartlarına uyumunu değerlendirmek için düzenli denetimler yapmalı ve dış tehditlere karşı savunmayı güçlendirmek için BT altyapısına ve güvenliğe akıllıca yatırım yapmalıdırlar.
“Daha yüksek TPRM olgunluğuna sahip kuruluşlar, sürekli değişen dış ortamdaki zorluklara uyum sağlama konusunda daha dirençli ve daha çevikti. En iyi kuruluşlar, kapsamlı bir çerçevenin (birbirine bağlı riskler, gerçek zamanlı izleme, iyi görüşlü paydaşlar) herhangi bir olumsuz olayın etkisine daha hızlı tepki verdiğini göstermiştir.” Deloitte 2023 Küresel üçüncü taraf risk yönetimi araştırmasında ortaya çıktı.
İleriye doğru atılan bir diğer adım, merkezi risk yönetiminin uygulanmasından ibarettir. 2023 EY küresel üçüncü taraf risk yönetimi anketi, kuruluşların %90’ının merkezi risk yönetimine yöneldiğini ve bu durumun onlara “değerlendirme” olanağı sağladığını ortaya koydu. [their] üçüncü taraf riskini bir bütün olarak değerlendirin, tutarlılık uygulayın, riski önceliklendirin ve riski yönetmek veya azaltmak için kaynakların en iyi şekilde kullanılmasını planlayın.