Sananda Dasgupta, Coloco’da Teknoloji Endüstrisi ve Siber Güvenlik Yazarı
İşletmeler, çeşitli operasyonları için üçüncü taraf hizmetlerine giderek daha fazla bağımlı hale geliyor. Günümüzün birbirine bağlı iş ortamında, herhangi bir işletmenin üçüncü taraf satıcılar, tedarikçiler, ortaklar, yükleniciler ve hizmet sağlayıcılarla işbirliği yapmadan hayatta kalması neredeyse imkansızdır. Bu işbirliği dijital bir alanda gerçekleştiğinde, mevcut siber güvenlik tehditlerine eklenir.
Bu üçüncü taraf varlıklar, BT altyapınızla düzenli olarak etkileşime girer ve gizli verilerinize ve ayrıcalıklı bilgilerinize erişim sağlayabilir. Bilgilerinizi çalmak veya çevrimiçi bir saldırı başlatmak için üçüncü taraf sistemdeki güvenlik açıklarını kullanabilen bilgisayar korsanları için saldırı yüzeyini artırır.
Üçüncü Taraf Siber Güvenlik Risk Yönetimi – Neden Önemli?
Üçüncü taraf siber güvenlik riski, her boyuttan ve sektörden işletme için acil bir endişe haline geliyor. Veriler, dünya çapındaki kuruluşların ortalama 110 hizmet olarak yazılım (SaaS) uygulaması kullandığını ve sayının sürekli arttığını gösteriyor.
Şimdi bu SaaS satıcılarının her birinin yüzlerce hatta binlerce müşteriye hizmet sunduğunu düşünün. Yazılım tedarik zinciri saldırılarında, bilgisayar korsanları tüm kullanıcıları etkilemek için bir uygulamaya kötü amaçlı kod enjekte eder.
Teknoloji araştırma ve danışmanlık şirketi Gartner, 2025 yılına kadar dünya çapındaki kuruluşların en az %45’inin tedarik zinciri saldırılarından etkileneceğini tahmin ediyor.
Bu tür saldırıların alıcı tarafındaki şirketler, doğrudan kontrolleri dışındaki olaylar nedeniyle milyonlarca dolar kaybediyor. Ayrıca, her veri ihlali olayı, kuruluşun itibarını ciddi şekilde etkiler. Ulusal Siber Güvenlik Birliği tarafından toplanan verilere göre, küçük işletmelerin %60’a varan bir oranı, bir veri ihlali veya diğer siber güvenlik olaylarından muzdarip olduktan sonraki 6 ay içinde işsiz kalıyor ve iflas başvurusunda bulunuyor.
Bu nedenle, artan üçüncü taraf siber güvenlik riski tehdidi ortamında, şirketlerin riski azaltmak için iyi planlanmış bir stratejisi olmalıdır.
Üçüncü Taraf Siber Güvenlik Risk Yönetimi – En İyi 5 Uygulama
Etkili üçüncü taraf siber güvenlik risk yönetimi stratejisi, her bir üçüncü taraf ilişkisiyle ilişkili potansiyel risklerin değerlendirilmesini, uygun kontrollerin ve önlemlerin uygulanmasını ve potansiyel güvenlik açıkları ve tehditlerin sürekli olarak izlenmesini içerir.
İşletmenizin sistemlerine, verilerine veya ağına erişimi olan üçüncü taraf satıcıların, tedarikçilerin veya iş ortaklarının kullanımından kaynaklanan potansiyel güvenlik açıklarını ve tehditleri en aza indirmek için kuruluşunuzun benimsemesi gereken en iyi 5 uygulama aşağıda verilmiştir.
Satıcılarınız tarafından uygulanan güvenlik önlemlerini değerlendirin
Yakın tarihli Gartner raporu, işletmelerin %80’inden fazlasının üçüncü taraf riskini ancak ilk katılım ve durum tespiti sonrasında tespit edebildiğini gösteriyor. Geleneksel değerlendirme yönteminin yeni ve gelişen siber güvenlik tehditlerini tespit etmekte başarısız olduğunu gösteriyor. Tüm risk faktörlerini belirlemek için durum tespiti sürecinizi güncellemelisiniz.
Bir satıcı, hizmet sağlayıcı veya başka herhangi bir üçüncü taraf kuruluşla sözleşme yapmadan önce, onların güvenlik protokollerini tamamen güncellediğinizden emin olun. Güvenlik politikası belgelerinde şeffaflık eksikliği varsa, sistemi korumak için hangi güvenlik önlemlerini uyguladıklarını bildiğinizden emin olmak için ilgili sorular sorun. Şirketin etkili tespit ve yanıt planına sahip olduğunu doğrulamak için satıcının güvenlik testini değerlendirin. Ayrıca satıcı tarafından geçmişte yaşanan siber güvenlik olayları ve bu olayların müşterilerini nasıl etkilediği hakkında bilgi alın.
Sözleşmede net güvenlik gereksinimleri oluşturun
Bir şirketin güvenlik gereksinimleri, risk tolerans düzeyine bağlıdır. Satıcınıza güvenlik beklentilerinizi bildirmeniz önemlidir. Veri güvenliği ve gizlilik standartları, olay müdahale protokolleri ve izleme ve raporlama yükümlülükleri dahil olmak üzere tüm üçüncü taraf sağlayıcılar için net güvenlik gereksinimleri belirleyin. Bu gereklilikleri tüm satıcı sözleşmelerine ve anlaşmalarına dahil edin ve uyumluluğu sağlamak için düzenli denetimler yapın.
Güvenlik gereksinimleri, üçüncü taraf satıcının erişebileceği veri türünü belirtmeli ve satıcının verileri korumak için alması gereken önlemleri ana hatlarıyla belirtmelidir. Üçüncü taraf satıcı kişisel verileri veya hassas bilgileri işliyorsa, güvenlik gereksinimleri gizlilik gereksinimlerini de kapsamalıdır. Bu gereksinimler, GDPR veya CCPA gibi ilgili veri koruma yasalarına uyumu ve hassas bilgileri korumak için uygun gizlilik kontrollerinin uygulanmasını içerebilir.
Ayrıca, bir güvenlik ihlali durumunda üçüncü taraf satıcının izlemesi gereken prosedürleri belirtin. Bu, bildirim protokollerini, hafifletme önlemlerini ve olayı kontrol altına alıp çözmeye yönelik adımları içerir. Sözleşme belgeniz, üçüncü taraf satıcının uyması gereken izleme ve raporlama yükümlülüklerini de ana hatlarıyla belirtmelidir. Bunlar, düzenli güvenlik denetimlerini, güvenlik olaylarını veya ihlallerini bildirmeyi ve satıcının güvenlik uygulamalarıyla ilgili olarak işletmeyle düzenli iletişimi içerebilir.
Satıcı listenizde kendinizi güncel tutun
Kuruluşlar genellikle kullandıkları hizmetleri ve satıcıların erişebildiği verileri kaybederler. Üçüncü taraf siber güvenlik risk yönetimi stratejiniz için felaket olabilir.
Doğru bir satıcı listesi tutun ve hassas verilerin ifşasını yalnızca ona ihtiyacı olan kişilerle sınırlandırmak için verilere erişimlerini düzenli olarak gözden geçirin. Veri ihlalleri veya sızıntıları riskini azaltacak ve hassas verilere yetkisiz erişimi veya kötüye kullanımı sınırlayacaktır.
Ayrıca, tedarikçileriniz ve onların verilere erişimleri hakkında net bilgiye sahip olduğunuzda, sisteminiz üzerinde daha fazla kontrole sahip olacaksınız. Örneğin, bir üçüncü taraf satıcının çok hassas verilere erişimi varsa, ek güvenlik denetimleri uygulayabilir veya satıcıdan söz konusu veri kümesi için daha sıkı bir güvenlik protokolü dağıtmasını isteyebilirsiniz.
Güncellenmiş bir satıcı listesi, bir güvenlik olayı meydana geldiğinde hızlı bir şekilde yanıt vermenize de yardımcı olacaktır. Verilere kimlerin erişebileceğini bildiğinizde, ilgili sağlayıcıyı hemen tanımlayabilir ve uygun önlemleri alabilirsiniz.
Sürekli izleme uygulayın ve erişimi sınırlayın
Sürekli ağ izleme, potansiyel siber güvenlik risklerini gerçek zamanlı olarak belirlemek ve ele almak için kritik öneme sahiptir. Düzensizlikleri tespit etmek için ağ trafiğinizi sürekli olarak izleyin. Üçüncü taraf bir sistem aracılığıyla gerçekleşen bir siber saldırı olayı meydana geldiğinde hızlı bir şekilde toparlanmanıza yardımcı olacaktır.
Ekibiniz ayrıca satıcıları güvenlik riskleri açısından sürekli olarak izlemelidir. İzleme, düzenli güvenlik denetimlerini, sızma testini, güvenlik açığı taramasını ve devam eden risk değerlendirmesini içermelidir. Üçüncü taraf satıcıların güvenlik uygulamalarının etkinliğini değerlendirmenize ve sistemlerindeki ve uygulamalarındaki güvenlik açıklarını ve zayıflıkları tespit etmenize yardımcı olacaktır. Uzmanlıklarını kullanmaları için üçüncü taraf denetçiler tutmayı düşünebilirsiniz.
Ayrıca, güçlü rol tabanlı erişim denetimi uygulamayı düşünün. Yalnızca erişim haklarına sahip satıcıların işlerini yapmak için buna ihtiyaç duyduğundan emin olun. Hizmetlerinin niteliğine bağlı olarak, sağlayıcıların verilere veya sistemlere yalnızca sınırlı bir süre için erişmesi gerekebilir. İş bittiğinde erişim haklarının geri çekildiğinden emin olun.
Bir yanıt planınız olsun
Hiçbir güvenlik önlemi, sisteminizi siber güvenlik tehditlerine karşı %100 bağışık hale getiremez. Siber suçlular sisteme sızmak için daha karmaşık yöntemler geliştiriyor. Bu, üçüncü taraf satıcılarınızın ve ortaklarınızın en iyi çabalarına rağmen siber güvenlik olaylarının meydana gelebileceği anlamına gelir. Bir üçüncü taraf satıcının dahil olduğu bir güvenlik ihlali durumunda atılacak adımları özetleyen ayrıntılı bir yanıt planınız olmalıdır.
Bir güvenlik ihlali olayı karmaşık olabilir ve hem çalışanlarınızın hem de satıcıların kafasını karıştırabilir. Bu tür olaylar meydana geldiğinde tüm çalışanlarınızın rollerini bildiklerinden emin olun. Müdahale planınız, etkilenen tarafları bilgilendirmek, ihlalin etkisini azaltmak ve ihlalin nedeni hakkında bir soruşturma yürütmek için prosedürler içermelidir.
Götürmek
Günümüzün karmaşık iş ekosisteminde, işletmelerin etkili bir üçüncü taraf siber güvenlik risk yönetimi stratejisi uygulayarak siber güvenlik tehditlerini yönetmek ve azaltmak için proaktif adımlar atması gerekiyor. Burada belirtilen adımlar, işletmelerin operasyonlarını yürütmeleri için güvenli bir ortam yaratmalarına ve üçüncü taraf satıcılardan, tedarikçilerden veya ortaklardan kaynaklanan güvenlik açıklarını ve tehditleri en aza indirmelerine yardımcı olacaktır. Şirketler, bu en iyi uygulamaları izleyerek siber güvenliklerini ve üretkenliklerini artırabilir ve bir güvenlik ihlali olayı meydana gelse bile hızla durumu düzeltebilir.
yazar hakkında
Sananda, teknoloji endüstrisi ve siber güvenlik üzerine yazdığı Coloco’da bir yazardır. Bağımsız bir yazar olarak çalışıyor ve çok çeşitli müşterilerle çalışıyor. Yazıları çeşitli çevrimiçi blog ve dergilerde düzenli olarak yayınlanmaktadır. Sananda’ya [email protected] veya https://www.linkedin.com/in/sananda-dasgupta adresinden çevrimiçi olarak ulaşılabilir.