Barikat Siber Güvenlik Logo

Tedarikçi Güvenliği

Tedarikçi Güvenliği  | Barikat Siber Güvenlik

Tedarikçi Güvenliği

15/06/2023

Günümüzde kuruluşlar, ihtiyaçlarının artmasıyla birlikte dış kaynak kullanımına ihtiyaç duymaktadır. Dış kaynak kullanımı yazılım geliştirme, bilgi sistem varlıklarını satın alma, internet altyapısı vb. konularda öne çıkmasıyla birlikte tedarikçi bilgi güvenliği denetim ihtiyacı ortaya çıkmıştır.

Tedarikçi firmalar artık kuruluş çalışanı ile aynı fiziksel giriş kontrollerine sahip olma, kuruma uzaktan bağlantı kurma gibi ayrıcalıklı haklara sahip olabilmektedir. Bu sebeple, tedarikçi ile çalışmada bilgi güvenliği anlamında dikkat edilmesi gereken hususların analiz edilmesi gereklilik haline gelmiştir. Tedarikçi ilişkileri için bir politika oluşturulması ve güvenliğin ifade edilmesi sağlanmalıdır. Ayrıca tedarik zinciri sistemi incelenerek güvenlik teknolojilerinin ve kaynakların etkin kullanımı için değerlendirilmesi gerekmektedir.

Tedarikçi Güvenliği Nedir?

Tedarikçi Güvenliği operasyonel ve iş yönetimi süreçlerinde dışa bağımlılığı olan organizasyonların, bağlı oldukları üçüncü taraf firmalardan kaynaklanan riskleri analiz ederek bu riskleri minimize eden süreçtir.

Kuruluşlar, kendi uzmanlık alanları dışında kalan ihtiyaç duydukları ürün ve hizmetler için tedarik hizmetlerinden faydalanmaktadır. Dolayısıyla tedarik hizmetlerini kullanırken kuruluşların kurumsal ve gizli verileri tedarikçileri ile paylaşmaları söz konusu olabilmektedir.

Tedarik hizmetlerinde bilgi akışını dikkate alarak, kurumsal verilerinizin güvenliğinin ve gizliliğinin sağlanması için alınması gereken güvenlik önlemlerini almanızı sağlar. Tedarik zinciri süreç ve uygulamalarında güvenlik önlemlerinin alınmasını ve güvenli bir yapı oluşturur.

Operasyonel ve yönetsel süreçlerde dış bağımlılığı olan kurum ve kuruluşların, hizmet aldıkları 3. taraflardan kaynaklanan bilgi güvenliği risklerini minimize etmeyi sağlar.

Sürdürülebilir ve güvenilir bir tedarik zinciri oluşturulması amacıyla kurumsal yapı altında yer alan paydaşların işlettiği süreçlerin, varlıkların, verilerin ve erişimlerinin doğru ve detaylı bir biçimde tanımlanması, güvenlik zafiyetlerinin tespit edilmesi, bu zafiyetlere yönelik çözümlerin belirlenmesi, bilgi güvenliği ve tedarik zinciri yönetimi ile ilgili uluslararası standartlarla uyumluluğun sağlanması ve nihayetinde tedarikçi ağı kaynaklı veri, hizmet, operasyon, iş gücü, zaman, itibar ve mali kayıpların önüne geçilmesi açısından tedarikçi güvenliğinin sağlanması büyük önem arz etmektedir.

Tedarikçi Güvenliği Neden Önemlidir?

Kuruluşların itibarının ve güvenilirliğinin zedelenmesini önlemek ve kuruluşun gizli ve özel bilgilerinin ifşa olmamasını sağlamak için tedarikçi güvenliğinin sağlanması oldukça kritik bir süreçtir. Aynı zamanda tedarikçi güvenliğinin sağlanması ulusal ve uluslarası bazı regülatif gereksinimler ile de zorunlu kılınmıştır.

Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında veri sorumlulularının, hizmet alırken söz konusu veri işleyenlerin (tedarikçilerin), kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları gerekmektedir. Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.

Aynı şekilde ulusal düzeyde Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi kapsamında olan kurum ve kuruluşların, Rehberin 3.5.3 Tedarikçi İlişkileri Güvenliği maddesi uyarınca tedarikçi güvenliği konusunda alması gereken aksiyonlar mevcuttur.

Tedarikçi Güvenliği yönetiminin faydalarından biri de kuruluşların tedarik zincirinde var olan veya ortaya çıkabilecek, kuruluşun bilgi güvenliği ve güvenilirliği açısından risk yaratan durumların belirlenmesini kolaylaştırmasıdır.

Tedarikçi Güvenliğinin Faydaları

  • Ürün/hizmet sağlayan kuruluşların güvenini arttırmaktadır.
  • Müşteri ihtiyaçlarının karşılanabilmesi yolu ile müşteri memnuniyetinde artış sağlamaktadır.
  • Güvenlik risklerinin doğru bir şekilde belirlenmesini ve gerekli önlemlerin alınmasını sağlamaktadır.
  • Kuruluşun bütünsel imajının artmasını sağlamaktadır.
  • Tedarikçi Güvenliğine İlişkin Regülasyonlar ve İlgili Standartlar

  • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı ISO 27002 Ek-A Kontrolleri
  • DDO Bilgi ve İletişim Güvenliği Rehberi
  • Kişisel Verilerin Korunması Kanunu ve Kurul Kararları
  • ISO 27008 Tedarik Zinciri Yönetiminde Bilgi Güvenliği Standardı
  • NIST SP800-161 Tedarik Zinciri Risk Yönetimi Standardı
  • Yazar

    Nazlı NALCI SÖLPÜKER

    Güvenlik Analiz ve Uyumluluk Hizmetleri Takım Lideri

    Sosyal Medyada Paylaş