3. Parti Uyum Yönetimi
Vermekle yükümlü olduğunuz altyapı ve hizmetleriniz çalıştığınız 3. partinin hizmetlerinin erişilebilirliğine bağlıysa ancak hizmetlerinde bir kesinti varsa ne olur?
3. partilerinizden biri iflas ederse, kuruluşunuz nasıl çalışmaya devam edecek?
Çalıştığınız 3. parti herhangi bir ihlal durumu ile karşılaşırsa, kuruluşunuz için sonuçları nelerdir?
Bunlar, 3. parti sağlayıcıları seçerken ve risklerini etkin bir şekilde değerlendirirken kuruluşunuzun dikkate alması gereken senaryo türleridir. Bir 3. partinin bilgi güvenliği ve mevzuata uygunluk kontrollerinin etkinliğini değerlendirmek, test etmek ve raporlamak için mutlaka 3. parti denetimleri yada ara uyumluluk değerlendirmeleri yapılmalıdır.
Peki, 3. partilerimiz için yapacağımız uyumluluk değerlendirmesinin maliyeti nedir?
Bir risk ve uyum değerlendirmesinin fiyatlandırması, iş uygulamaları, teknoloji platformları, fiziksel konumlar, denetlediğiniz üçüncü taraf sayısı ve değerlendirmenin diğer denetimlerle birleştirilmiş olup olmadığı dahil olmak üzere kapsam belirleme faktörlerine bağlıdır. Yani burada kullanacağınız iç ve dış kaynakları belirlerken bir dizi etmeni göz önünde bulundurmalısınız.
3. parti uyumluluk değerlendirmesinin ne sıklıkla yapılması gerekiyor?
Endüstri standardı, kontrol ortamını etkileyecek önemli değişiklikler yapıldığında veya bir 3. parti ile çalışmaya başladığınızda veya sonlandırdığınızda, yıllık olarak uyumluluk değerlendirmesi yapmak şeklindedir. Bundan daha düşük herhangi bir sıklık, genellikle kuruluşun 3. parti riskini uygun şekilde azaltmadığını gösterir.
3. parti uyumluluk değerlendirmesi sırasında değerlendirilen bazı kontrol örnekleri nelerdir?
3. parti uyumluluk değerlendirmesi sırasında, varlık yönetimi, fiziksel ve ortam güvenliği, erişim kontrolü, olay müdahalesi ve diğer bilgi güvenliği kontrolleriyle ilgili kontroller gözden geçirilir ve test edilir. Bununla birlikte iki tarafında uymakla yükümlü oldukları mevzuat, standart vb. var ise bunlarda sözleşmeler çerçevesinde değerlendirilmelidir.
Kuruluşlar ve 3. partileri inanılmaz derecede birbirine bağlıdır, bu nedenle 3. partilere yönelik saldırılar çok yaygındır. 3. partinizin (Vendor) eline büyük ölçüde kontrol veriyor olabilirsiniz, bu nedenle karşı taraf riskini yönetmek herhangi bir işin ayrılmaz bir parçası olmalıdır. 3. partileri denetlemek, güvenli yani sizin standartlarınıza uygun 3. partiler kullanmaya kararlı olduğunuzu proaktif olarak göstermenin bir yoludur. 3. parti uyumluluk değerlendirmeleri ayrıca kuruluşunuzdaki güvenlik olaylarını önleyebilir, ihlallerden kaynaklanan cezalardan kaçınmanıza yardımcı olabilir, daha verimli çalışmanıza yardımcı olabilir ve en önemlisi, müşterilerinize hassas verilerinin sizin elinizdeyken korunduğundan emin olmanızı sağlar.
Bununla ilgili tabii ki değerlendirilmesi gereken bir çok madde ve standart olmakla birlikte burada bahsettiğimiz sorulara verilmiş cevaplar ilk adımı atmanızda yardımcı olacaktır.
Şükrü Tarık Kapucu
