Yeni Normalde Üçüncü Parti Tedarikçilere Yönelik Güvenlik Önlemleri Konusunda Arayışlar Artacak
Admin 11 Eylül 2020

Yeni Normalde Üçüncü Parti Tedarikçilere Yönelik Güvenlik Önlemleri Konusunda Arayışlar Artacak

Yeni Normalde Üçüncü Parti Tedarikçilere Yönelik Güvenlik Önlemleri Konusunda Arayışlar Artacak

Deloitte’un üçüncü parti tedarikçiler üzerine hazırladığı "Third Party Governance & Risk" raporuna göre, kuruluşların %83'ü son üç yıllık dönemde en az bir defa üçüncü taraflardan kaynaklı olumsuzluklar yaşamış, bu olumsuzlukların %11'i de kuruluşun ciddi bir şekilde etkilenmesine neden olmuştur. Yaşanan bu olumsuzlukların %35'i müşteri hizmetleri, finansal konum, itibar veya yasal uyumluluk üzerinde önemli bir etki yaratmıştır.

Bu durum, dünyada küresel salgın etkisiyle dengelerin tamamen değişmesinden önce meydana gelmiştir.

Şirketlerin, rekabet güçlerini artırmak veya maliyetlerini düşürmek için üçüncü parti tedarikçiler, satış kanalları, dağıtım kanalları ve entegre Bilgi Teknoloji sistemleriyle çalışması oldukça sık rastlanan bir durumdur. Pek çok faydası olsa da, bu ilişkiler, giderek dijital olarak birbirine bağlanan bir dünyada işletmeler için yeni riskler de ortaya çıkarmıyor değil.

Düzenleyici (Regülatör) kuruluşlar bu durumun farkında olmakla birlikte, neredeyse her gün tüketici gizliliğini tehlikeye atan büyük veri ihlali haberleri çıktıkça daha katı standartlar uygulamaktadırlar. AB'nin Genel Veri Koruma Yönetmeliği (GDPR) ve Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK) bu düzenlemelere birer örnektir. Bu düzenlemeler, şirketleri yalnızca kendi eylemlerinden değil, aynı zamanda kendi adına iş yapan herhangi bir tarafın eylemlerinden de sorumlu tutar.

Risk, üçüncü parti hizmet sağlayıcılarından ve hatta bu hizmet sağlayıcıların işlerini yürütmek için kullandıkları BT platformu sağlayıcılarından kaynaklanabilmektedir. Şirketler COVID-19 salgını sırasında üçüncü taraf risklerini değerlendirmeye çalışırken, birden çok bulut sistemine, uygulamaya, bağlı sistemlere ve uzaktan çalışanlara sahip şirketler için söz konusu bu durumlar daha da fazla risk teşkil eder.

Birkaç örneğe göz atacak olursak:

2019'da, bir faturalama yüklenicisinde meydana gelen bir veri ihlali, klinik laboratuvar hizmetleri sunan ve Fortune 500 listesinde yer alan bir şirketin yaklaşık 12 milyon müşterisinin özel verilerinin yayılmasına neden olmuş ancak faturalama yüklenicisinin neden olduğu bu ihlale rağmen, açığa çıkan maddi zarar laboratuvar hizmetleri sunan şirket tarafından karşılanmıştır.

Risk yönetimindeki en büyük zorluklardan biri, şirketlerin çok sayıda diğer şirket, hizmet sağlayıcı ve yüklenici ile çalışırken genellikle farklı güvenlik açığı noktaları yaşamasıdır.

Ayrıcalıklı Erişim Yönetimi (Privileged Access Management, PAM) çözümlerini üçüncü şahısları kapsayacak şekilde genişletmek bu noktada oldukça önemli hale gelmektedir. Ayrıcalıklı (yetkilendirilmiş) kullanıcılar tarafından yapılan işlemler de dahil olmak üzere üçüncü taraf faaliyetlerinin takibi sürekli olarak yapılmalıdır ve takip süreci, tehditlerin ilk algılandığı andan itibaren hızlı bir şekilde uygulanabilecek önlemlerle otomatikleştirilmelidir.

Tedarikçiler için PAM kullanarak üçüncü taraf riskinin yönetilmesine yönelik yatırımın geri dönüşünü düşünürken, uygunsuzluğun toplam maliyetinin yalnızca markaya verilen zararı, kâr hanesini ve düzenleyicilerden gelen cezaları değil, aynı zamanda daha sert düzenlemelerle ilgili araştırma ve takip maliyetlerini de içerdiği göz önünde bulundurulmalıdır.

Peki kuruluşunuz önümüzdeki yeni normal olarak adlandırılan dönem için yeni düzenlemeler yaparken, sizler sistemlere üçüncü taraf erişimiyle ilgili bu temel sorunları göz önünde bulunduruyor musunuz?

  • Bir yüklenici kazara veya kötü niyetle bir kesintiye veya veri ihlaline neden olabilir.
  • Kurumsal sistemlere erişim yetkisiyle, kötü niyetli bir yüklenici, şirketin bir çalışanı gibi davranarak hassas verilere uygunsuz bir şekilde erişebilir.
  • Üçüncü parti bir firmanın eski bir çalışanı, şirketin uygun prosedürlere ve yazılıma sahip olmaması durumunda erişim hakkına, işten ayrıldığı durumda dahi, sahip olabilir.
  • Bir yüklenici, büyük suç örgütleriyle çalışmaya meyledebilir, belirsizliğin artmasıyla yükselen bir risk ve potansiyel olarak büyük miktarda para kazanma isteği, bu kişinin teslim olmasına ve hassas verilerden vazgeçmesine neden olabilir.
  • Uygunluk açısından bakıldığında, gizli verilere kimin eriştiğini, sistemleri kimin değiştirdiğini veya verileri kimin çaldığını bilememek, özellikle böyle bir zamanda pahalı ve yıkıcı olabilir.

Kron’un dünyanın sayılı PAM ürünleri arasında yer alan ve Gartner Magic Quadrant for Privileged Access Management 2020 raporuna da girmesini sağlayan Single Connect çözümü, üçüncü taraf yükleniciler de dahil olmak üzere tüm ayrıcalıklı kullanıcıların etkinliklerini yetkilendirmek, izlemek, yönetmek, kontrol etmek ve raporlamak için geliştirilmiş bir yöntem sunar.

Single Connect sayesinde tüm ortamı kapsayan son derece akıllı otomasyon ve tekniklerle, erişim yetkisi yalnızca ihtiyaç duyulduğunda verilebilir. İhtiyaç durumu sonlandığında veya sistem olağan dışı davranışları en kötü senaryo gerçekleşmeden önce tespit ettiğinde erişim anında iptal edilebilir.

Günler veya haftalar içinde kurulum imkânı tanıyan Single Connect’i sistemlerinize entegre ederek siber tehditlere karşı hazırlıklı olun, güvenlik operasyonlarınızı kolaylaştırın.

Paylaş: