Her şirket, doğası gereği faaliyetlerinin bir kısmını dış kaynaklar(tedarikçiler) aracılığıyla gerçekleştiriyor. Durum böyleyken, tedarikçilerimizin birlikte çalıştığı tedarikçiler, adından da anlaşılacağı üzere, bizim için 4. taraf risklerini oluşturuyor.
Yapılan araştırmalara göre şirketlerin %60’ı 1000’den fazla tedarikçi ile çalışmakta. Hızla artan dijital dönüşümler, özellikle bankacılık ve finans sektörlerinde her zamankinden fazla tedarikçi ile çalışılmasına neden oluyor. Tedarikçilerin artması dolaylı yoldan dördüncü taraf risklerin de artmasına sebep oluyor.
Kontrol dışı gibi gözüken bu risklere dair biraz bilgi sahibi olmakta fayda var. Üçüncü taraflar kuruluşunuzla dördüncü taraflara göre daha doğrudan bağlantılı olsa da tedarikçilerinizin kritik tedarikçilerinin operasyonel ve siber risklerini belirlemek aynı derecede önem taşıyor.
Tedarikçi denetimlerine 4. taraflar mutlaka dahil edilmeli.
Siber olayların gerçekleşmesi durumunda veya öncesindeki önlemlerin alınması adına bu bilgiler hayati öneme sahip olacaktır.
Lostar olarak Tedarikçi Denetimlerimizi kritiklik risk analizine dayalı bir periyotta, saha denetimi, sözleşmelere uyumlarının değerlendirilmesi, iş sürekliliği kriterleri, bilgi güvenliği faaliyetlerinin değerlendirilmesi, bilgi teknolojileri alt yapı yeterlilikleri ve iletişimi gibi konuları COBIT standardı baz alınarak değerlendirilmekteyiz.
4. Taraf Risklerinin İzlenmesi
Risk yönetimi açısından kritik öneme sahip bu konuda ilk olarak söz konusu iletişim ve bağlantı uzantılarının/bilgi akışlarının belirlenmesi gerekir. Devamında tedarikçilerin kullanmakta olduğu ürünlerin listesi ile 4. taraf paylaşımları risk analizine tabi tutulmalıdır.
İş sürekliliği programlarına 4. Tarafların etkileri dahil edilmeli ve düzenli olarak test edilmelidir.
ISO 27001 veya ISO 22301 prensiplerini esas aldığımızda veya bir risk yönetim programı dahilinde yönetim söz konusuysa işimiz elbette daha kolay olacaktır.
4. taraf risklerin siber risk yönetim uygulamaları ile takip edilmesi oldukça önemlidir. Lostar Siber Risk Yönetimi Portalı ile ilgili ayrıntılı bilgi almak için lütfen iletişime geçiniz.