Etkili kimlik yönetimi, kurumsal güvenlik, etkinleştirme ve sonuçta başarı için çok önemlidir. Ancak önemine rağmen, BT ve güvenlik alanı dışındaki iş liderleri genellikle kimlik güvenliği konusunda yalnızca yüzeysel düzeyde bir anlayışa sahiptir.
Bu karmaşık bir konudur ve erişim, yönetim, yetkiler ve izinlerle ilgili nüansları sağlam bir şekilde kavramak zor ve kafa karıştırıcı olabilir. Daha da zorlu olanı, şirket içi çözümlerin, bulut ortamlarının ve çok kiracılı hizmet olarak yazılım (SaaS) araçlarının nasıl korunacağını anlamaktır. Üçüncü taraf risk yönetimi (TPRM) kritik öneme sahiptir ve potansiyel yeni tedarikçileri, özellikle de güvenlik sağlayıcılarını incelemek, hangi soruların sorulacağını ve hangi tehlike işaretlerinin aranacağını bilmeyi gerektirir.
Satıcıları ve Tedarikçileri Neden Değerlendirmeliyiz?
Satıcı değerlendirmelerinin çoğu tedarikçinin teknik ve işlevsel becerisine odaklanır. Bunlar önemli hususlar olsa da, başarılı bir uzun vadeli ortaklık ve sonuç için tek başına karar verme kriterleri olamazlar. Bir satıcıyı yalnızca teknik yeteneklerinin ötesinde kapsamlı bir şekilde değerlendirmek önemlidir.
Örneğin, güvenlik satıcıları için uzun vadeli sürdürülebilirlik zorunludur. Etkili bir kimlik güvenliği çözümü tüm ortamlara entegre edilmeli ve on (yüzler olmasa da) binlerce kimliği korumalıdır. Şirketin iki yıl sonra mı, beş yıl mı, yoksa on yıl sonra mı varlığını sürdüreceğini bilmeniz gerekir. Güvenlik sağlayıcılarını değiştirmek çetrefilli bir iştir, bu da mali açıdan istikrarlı ve geçerli bir ortak seçmenin ciddi bir husus olduğu anlamına gelir.
Şirketin yalnızca şu anda ne yaptığına değil, teknik yenilik geçmişine de bakmak önemlidir. Bir şirket şu anda ilgi çekici görünen bir teknolojiye sahip olabilir, ancak yeni trendlere hızlı bir şekilde uyum sağlama geçmişi var mı, yoksa düzenli olarak geride mi kalıyor?
Belki de en önemlisi, tedarikçinin risk düzeyi nedir? Yakın zamanda ihlal edildi mi? Eğer öyleyse, nasıl tepki verdi? Hiçbir bilgi güvenliği sorumlusu (CISO) veya bilgi güvenliği sorumlusu (CIO), milyonlarca dolara mal olan ve markaya zarar veren bir ihlalden sorumlu tutulmak istemez.
Potansiyel Satıcılara Sorulacak Sorular
Yeni bir satıcıyla iş yapmadan önce şirketinizin riskini etkileyebilecek teknik olmayan yetenekleri değerlendirmek için sorular sormanız gerekir.
İlk olarak satıcının mali durumunu değerlendirin. Bu, denetlenmiş mali tabloların istenmesi ve şirketin finansman ve sahiplik modelinin gözden geçirilmesi anlamına gelebilir. Kötü yapılandırılmış bir şirket ciddi bir tehlike işareti olabilir. Bu süreç aynı zamanda şirketin önceliklerini ölçmeye de yardımcı olabilir; örneğin, çalışanların yüzde kaçı Ar-Ge veya çözüm mimarisi gibi ileri görüşlü alanlarda çalışıyor? Ayrıcalıklı bir kimliğe erişimi olan hoşnutsuz bir çalışanın ciddi hasara neden olma potansiyeli olduğundan, iş kültürünü anlamak da iyi bir fikirdir. Ayrıca, nasıl çalıştığına ve müşterilerle nasıl etkileşime girdiğine dair bir fikir edinmek için hizmet düzeyi anlaşmalarına (SLA’lar) ve sözleşmelere de bakmak istersiniz.
Daha sonra mevcut (ve geçmiş) müşterilerini ve olumlu referanslar sağlayıp sağlayamayacaklarını değerlendirin. Net Tavsiye Puanı (NPS) ve Müşteri Memnuniyeti Puanı (CSAT) gibi istatistikler, müşterilerin şirketin hizmetleri hakkında ne hissettiğini ortaya çıkarabilir ve müşteriyi elde tutma oranı, onların ne kadar süre şirkette kalma eğiliminde olduklarını size söyler. Şirketlerin neden ayrılma eğiliminde olduğunu sorun. Kötü hizmet ve güvenlik kaygıları tehlike işaretleridir.
Tüm bunlar satıcının sağlığını ve güvenliğini etkiler ancak doğrudan güvenlik ve uyumluluk durumuna bakmak da önemlidir. Güvenlik sertifikalarını ve veri yerleşimini sorun; öncelikli olarak şirket içi çözümler mi yoksa bulut çözümleri mi kullanıyor? Kaç bulut çözümü? Güvenlik desteğini nereden alıyor? Şirket içinden mi yoksa üçüncü bir taraftan mı? Genel Veri Koruma Yönetmeliği (GDPR) ve Kaliforniya Gizlilik Hakları Yasası (CPRA) gibi veri gizliliği düzenlemeleriyle nasıl uyumludur? SOC 2 uyumlu mu yoksa ISO 27001 sertifikalı mı? Bu yanıtlar size resmin tamamını göstermeyebilir ancak satıcının güvenliğe nasıl yaklaştığı ve kimlik güvenliğinizin tehlikeye girme ihtimalinin ne kadar yüksek olduğu konusunda değerli bir fikir verebilir.
Oyunun Adı Riski Sınırlandırmak
Üçüncü taraf saldırıları artmaya devam ederken günümüz işletmelerinin, yeni satıcıları ve iş ortaklarını düşünmeye başladıkları andan itibaren üçüncü taraf riskini sınırlandırdıklarından emin olmaları gerekiyor.
Yetersiz bir güvenlik programı şirketiniz için çok fazla potansiyel risk oluşturur. Yeni güvenlik sağlayıcıları getiren kuruluşların değerlendirmelerinde acımasız olmaları gerekir. Yeni satıcıların mali durumunun iyi olmasını sağlamak, güçlü bir şirket kültürünü teşvik etmek ve güvenliğe yönelik düşünceli ve ihtiyatlı bir yaklaşıma sahip olmak, işletmenizin maruz kaldığı riski sınırlamanın en önemli yollarından biridir. Hiç kimse, “yeterince iyi” bir satıcıyla yetindikleri için şirketlerine milyonlarca dolara (ve sonuçta ortaya çıkan itibar kaybına) mal olacak bir ihlalin tuzağına düşmek istemez. Doğru ortağı seçmek başarılı bir kimlik güvenliği programının çok önemli bir unsurudur.
yazar hakkında
SailPoint’in Dünya Çapında Saha Operasyonları Başkanı olan Matt Mills, kurumsal yazılım ve karmaşık çözümler satma konusunda 30 yılı aşkın deneyiminin yanı sıra yüksek büyüme gösteren satış organizasyonlarına liderlik etme konusunda kanıtlanmış bir performans geçmişine sahiptir.
En son MapR’ın CEO’su olarak görev yaptı ve burada şirketi kurumsal sınıf birleştirilmiş veri platformu olarak yeniden konumlandırdı ve satış ekibini şirketin büyümesine ayak uyduracak şekilde oluşturdu. Bundan önce Oracle’da 15 yıl boyunca şirketin Kuzey Amerika satış organizasyonundaki iki bölümü yöneterek çalışmıştır.