Üçüncü Taraf Risk Yönetimine Dair...

Bugün sizlere birçok kurumsal firma tarafından önem arz eden üçüncü taraf firma risk yönetimi sürecinden bahsedeceğim...

Bilindiği üzere teknolojinin hızlı gelişmesi ve operasyonel süreçlerdeki maliyetlerin artması sebebiyle dış kaynak kullanım talebi ve bu kullanıma bağlı olarak üçüncü taraf firmalar ile çalışma istekleri giderek artmıştır. Üçüncü taraf firmalar, hizmet edilen şirketin kendi faaliyet ve işlerinin sürekliliği, erişebilirliği açısından büyük önem taşımasından dolayı oluşabilecek riskler şirketin risk yönetimi sürecinin vazgeçilmez bir parçası olmalıdır. Bu üçüncü taraf risklerinin yönetilmesi şirketlerin uyumluluk, itibar ve finansal kayıplarını önlemek için etkin bir şekilde sürekli olarak gerçekleştirilmelidir.

“Peki risk yönetiminden kastımız nedir? Hep kullanılan risk tanımlanması, riskin azaltılması, transfer edilmesi terimleri ne anlama gelmektedir?”

ISACA dokümanlarını incelediğimizde Bilgi Teknolojileri Risk Yönetimi, devir daim eden ve dört adımdan oluşan bir süreç olarak nitelendirilmektedir.

Risklerin Belirlenmesi; Risklerin tespit edilmesi, tespit edilen risklerin listelenmesi ve dokümante edilmesi aşamalarından oluşmaktadır.

Risk Değerlendirmesi; Risk IT Framework ve NIST Framework BT risk değerlendirmesinde kullanılabilecek önemli BT risk değerlendirme çerçeveleridir. Risklerin önceliklendirilmesi dâhil riskin değerlendirilmesi faaliyetleri, risklerin cevaplanması ve izleme safhalarında göz önünde bulundurmak üzere yönetim için gerekli bilgiyi sağlayacaktır.

Risklerin Cevaplanması; Organizasyonun risk iştahı ve toleransına uygun olarak gerçekleştirilir ve risklerin karşılanması için “maliyet etkin” çözümlerin bulunmasını sağlar.

Risk İzleme ile Raporlama; Bu safhada, kontroller ve risk yönetim çabaları, riskin güncel durumu dahil izlenir. Sonuçlar gerekli halde ilgili safhaya geri dönülmesine karar verecek üst yönetime raporlanır.

“Üçüncü taraf firmalar, şirketlere ne tür riskler getirebilir?”

Operasyonel Risk: Üçüncü tarafın faaliyetlerde aksamaya neden olma riski, iş operasyonlarını kesintiye uğratır. Bu, genellikle sözleşmeye dayalı hizmet düzeyi anlaşmaları (SLA) ve iş sürekliliği ve olay müdahale planları tarafından yönetilir.

Yasal, Düzenleyici ve Uyumluluk Riski: Üçüncü bir tarafın yerel yasalara, düzenlemelere veya sözleşmelere uygunluğu etkileme riski.

İtibar Riski: Üçüncü bir taraf nedeniyle olumsuz kamuoyu riski.

Finansal Risk: Bir üçüncü taraf firmanın kuruluşunuzun finansal başarısı üzerinde olumsuz bir etkiye sahip olma riski.

Stratejik Risk: Kuruluşunuzun üçüncü taraf bir firma nedeniyle iş hedeflerine ulaşamaması riski.

Siber Güvenlik Riski: Siber saldırı, güvenlik ihlali veya diğer güvenlik olayları nedeniyle maruz kalma veya kayıp riski.

Üçüncü taraf firmalardan alınan hizmetin komponentlerinin yanında üçüncü taraf firmaların kendilerinden kaynaklı risklerin de göz önünde bulundurulmasıyla ve tüm bu bileşenlere bütünsellik penceresinden baktığımızda risk değerlendirme sürecini kapsamlı ve doğru analizler doğrultusunda gerçekleştirebiliriz diye düşünüyorum. Bu süreçte üçüncü taraf firmalarında hizmet alan tarafta olabileceğini unutmamak gerekiyor ki asıl risk değerlendirme süreci bu noktada önemini artırıyor.

Diğer yandan elde edilen verilerin çokluğu, depolanması ve kişisel verilere yönelik ortaya çıkan KVKK, GDPR benzeri yerel ve global mevzuatlar hem uyum hem de itibar riski açısından üçüncü taraf risk yönetimi süreçlerinin önemini arttırdığını göstermiştir. Bu noktada operasyonel risk yönetimi süreci ve üçüncü taraf risklerinin yönetimi birlikte değerlendirilmelidir.

Uyum ve itibar risklerinin yanı sıra siber güvenlik risklerininde göz önüne alınması büyük önem arz etmekte olup, şirketlerin çalıştığı bütün üçüncü taraflara yönelik bir güvenlik değerlendirmesi yapması ve gerekli aksiyonların sağlanması noktasının takip edilmesi kritik bir noktadır. Her üçüncü taraf firma aslında potansiyel bir siber saldırı vektörüdür. Ne kadar çok üçüncü taraf firma ile çalışılıyorsa o kadar fazla siber saldırı olasılığı doğru orantılı olarak artmaktadır.

“Sağlam bir üçüncü taraf firma risk yönetimi sürecini işletebilmenin beş adımlık proses ile oluşturulması”

1.Adım: Analiz

Üçüncü taraf firmaya yönelik gerçekleştirilen anlaşma öncesi değerlendirme ve durum tespitidir. Bunu yapmanın amacı üçüncü taraf firmanın sizin şirketinizin belirlediği minimum güvenlik değerini karşılayıp karşılamadığını değerlendirerek anlaşma öncesinde önlem

almanızdır.

2.Adım: Sözleşme/Etkileşim

Analiz aşaması yeterli olan üçüncü taraf firma ile şirket arasında gerçekleştirilen anlaşmanın sağlanması adımıdır.

3.Adım: İyileştirme

Üçüncü taraf firmaya ait kabul edilemez risklerin değerlendirilmesi ve iyileştirilmesi adımıdır.

4.Adım: Onay

Risklerin değerlendirilmesi ve iyileştirilmesi sonucunda; şirketin risk iştahı, firmanın kritikliği ve yasal mevzuatlara uyumluluk noktasında gerekli gereksinimlerin sağlanmasına bağlı olarak firma ile devam edilip edilmeyeceğinin kararının verildiği adımdır.

5.Adım: İzleme

Üçüncü taraf firma ile anlaşma sağlandıktan sonra risk yönetimi sürecini sonlandırmamak en önemli püf noktalarından bir tanesidir. Hassas verilerin paylaşılması, sistemlere erişimlerin verilmesi gibi konularda göz önünde bulundurulduğunda süreci izlemek artık daha büyük önem kazanmaktadır.

Genel olarak kurumsal risk yönetimi süreçlerini efektif bir şekilde besleyecek üçüncü taraf firma risk yönetimi çerçevesini bu beş adımı izleyerek oluşturmak risk yönetimi planının vazgeçilmez bir parçası olacaktır!

Doğukan Hacıoğlu | Bilgi Güvenliği & BT Risk Yönetimi Uzmanı