1. Tedarikçilerinizi Denetleyin
Tedarikçi denetimleri ile tedarikçilerinizin kritiklik risk analizine dayalı bir periyotta, saha denetimi, sözleşmelere uyumlarının değerlendirilmesi, iş sürekliliği kriterleri, bilgi güvenliği faaliyetlerinin değerlendirilmesi, bilgi teknolojileri alt yapı yeterlilikleri gibi konular kurum politika standartlarınızın gereklilikleri baz alınarak değerlendirilmektedir.
Elde edilen güvenlik reytingleriniz açıklıkların takibi açısından değerlidir.
Tedarikçi denetimi yaklaşımımıza göre seçenekler aşağıda listelenmiştir:
- Başlangıç Tedarikçi Denetimleri (Startup Audits)
- Düzenli Tedarikçi Denetimleri (Regular Audits)
- Tedarikçi Denetimleri Takip Çalışması ve İlerleme Raporu (Follow-up Audits & Progress Reporting)
- Acil Durum Tedarikçi Denetimleri (Emergency Audits)
- ISAE 3402 Tedarikçi Denetimleri
Değerlendirmelerin Security Checkup ürünleri ile desteklenmesi önerilmektedir.
2. Karar Aşaması Değerlidir
İşe başlamadan önce belirli kriterler doğrultusunda (ör: 900 puan gibi) bir puanlama sistemi oluşturarak, o puanın altında tedarikçi ile çalışmamak prensibi konulabilir.
Puanlama sisteminde felaketten kurtulma planları, kurumun ISO standartlarına sahip olması şart olarak konulabilir. Veya yine prensip olarak acil durum planı olmayan bir tedarikçi ile çalışmayabilirsiniz.
3. Tedarikçi Envanterinizi Hazırlayın
Tedarikçilerin tamamının puanları, isimleri, adresleri, müşterileri ile paylaştıkları sertifikasyon/ planları, acil durumda ulaşılacak kişilerinin iletişim bilgileri merkezi bir alanda kayıt altına alınmalıdır.
Yine ek olarak KVKK yeterlilikleri veya kendileri ile paylaşılan veri/alanlar veya erişim metotları bilinmeli ve gözden geçirilmelidir.
Envanterde sözleşme bilgileri ve tarihleri not düşülmeli, puanlama ve değerlendirmeler ile bilgi akışı sağlanmalıdır.
4. Düzenli Olarak Takip Edin
Düzenli olarak tedarikçilerinizi izlemeniz gerekmektedir. Yetkisiz veya anonim erişimlerin olmayacağı süreçler tasarlanmalı ve log yönetimi gerçekleştirilmelidir.
5. Tedarikçi Risklerinden Bahsetmeyi Unutmayın
Tedarikçi riskleri kullanılan teknik sistemler, KVKK vb. regülasyonlar açısından düzenli denetlenmelidir. Yıllık düzenlemelerde aşağıda belirtilen kriterlerden bahsetmeliyiz:
- Tedarikçi skor ortalamaları (teknik yeterlilik- felaketten kurtarma- standartlara uyum)
- En yüksek ve en az puanlı tedarikçiler
- Tedarikçilerin teknik sistemlerinin açıklıkları ve güncellemeleri
Güncel açıklıklar ve tehditlere zemin hazırlayan sistemleri kullanmaya devam eden tedarikçilerin operasyonlarımız adına da belli oranda risk taşıdıklarını bilmemiz gerekir.
Düzenli olarak raporlarınızı ve reyting değerlendirmelerinizi dilerseniz Siber Risk Yönetim Portalı uygulamamız üzerinden takip edebilirsiniz.