İçindekiler
- Güvenlik yönetişimi
- Olayları yönetme ve kurtarma
- Ağlarını korumak
- Verilerin korunması
- Offshoring
- Kişisel veriler
- Personel güvenliği
- Fiziksel güvenlik
- Bağımsız test ve güvence
- Sözleşmeyle ilgili diğer hususlar
Güvenlik yönetişimi
Tedarikçi kuruluşta siber güvenlikten kimin sorumlu olduğunu anlamalısınız. Risk sahiplerinin kim olduğunu bilmek, tedarikçinize güven kazanmanın önemli bir parçasıdır.
Tedarikçiniz, etkilenen herkes tarafından erişilebilir olan politikalara sahip olmalıdır. İdeal olarak, politikaların uygulamada takip edilip edilmediğini belirlemek ve eğer değilse, neden olmadığını açıklamaya yardımcı olmak için geri bildirim mekanizmaları yürürlükte olmalıdır.
Uygun becerilere ve deneyime sahip kişilerin güvenlik rollerinde olması da çok önemlidir. Uygun beceriler ve deneyim, iş bağlamına bağlı olarak değişebilir, ancak profesyonel eğitim, uygulamalı deneyim ve sertifikasyonun bir kombinasyonu yoluyla olabilir.
- Tedarikçinin siber güvenlikten sorumlu kişi ve süreçleri var mı?
- Güvenlik rollerini üstlenen kişiler uygun becerilere ve tecrübeye sahip mi?
- Üst düzey karar vericiler siber güvenlik sorumluluklarının farkında mı?
Olayları yönetme ve kurtarma
Veri ihlalleri yaygındır. Henüz başınıza bir şey gelmemiş olması, asla olmayacağı anlamına gelmez. Bu nedenle, bir ihlalin neden olabileceği olası zararı azaltmak çok önemlidir.
Kuruluşlar her olayda öğrenmeli ve buna uyum sağlamalıdır. Örneğin, tedarikçilerinizden biri ayrı yedekleri olmadığı için bir fidye yazılımı saldırısına maruz kaldıysa, kritik verileri yedeklediler mi, yoksa yine de aynı derecede duyarlılar mı? Tedarik zincirinizdeki birinin ne zaman ihlal edildiğini bilmek gerçekten önemlidir.
- Tedarikçinin bir olayla başa çıkmak ve olaydan kurtulmak için planları ve süreçleri var mı?
- Tedarikçi beyan etmesi gereken herhangi bir maddi güvenlik ihlali veya taviz verdi mi?
- Tedarikçinin size minimum hizmet seviyelerini korumak için hangi iş sürekliliği planı var mı, örneğin bir fidye yazılımı saldırısına maruz kaldıklarında ne yapacaklarını biliyorlar mı?
- Tedarikçiyle olan sözleşmeniz, zaman çizelgelerinin bildirilmesi, kime rapor verileceği ve beklenen eylemler dahil olmak üzere olayları yönetmek ve raporlamak için gerekenleri açıkça belirtiyor mu?
Not: GDPR gereği kişisel verileri ihlallerini bildirmek olayın keşfedilmesinden itibaren 72 saat içerisinde olmalıdır.
Ağlarını korumak
Bir tedarikçinin network ağını dış ve iç zararlardan nasıl koruduğunu anlamalı ve bundan memnun olmalısınız.
Güncel antivirüs programları ve firewall gibi temel şeyler, kimin bir ağa erişimi olduğunu anlamak ve kontrol etmekle birlikte, bir kuruluşu İnternet’ten ve diğer güvenilmeyen ağlardan korumak için güvenli bir yoldur.
Bir tedarikçi size verdiği hizmette Bulut hizmetlerini kullanıyorsa, bu yine de ağının bir parçasını oluşturur.
- Tedarikçi, ağını internetten veya diğer güvenilmeyen ağlardan nasıl koruyor?
- Tedarikçi Bulut hizmetlerini (kullanılıyorsa) nasıl yapılandırdı ve korudu?
- Tedarikçi, ağlarına hangi cihazların bağlandığını ve bunlara kimin erişimi olduğunu biliyor mu?
- Hangi kullanıcıların ağlarına ayrıcalıklı erişime sahip olduğunu kontrol etmek için yürürlükte süreçleri var mı?
- Kullanıcıları, işlerini yapmak için gereken verilere ve ağlara minimum düzeyde erişime sahip mi ve daha fazlası yok mu?
- Tedarikçi, uzak kullanıcıları tanımlamak ve doğrulamak için sağlam bir süreçle kendi ağına uzak bağlantıları güvence altına alıyor mu?
- Ağlara veya hizmetlere erişim verilmeden önce tüm kullanıcıların kimlik doğrulaması uygun şekilde yapılıyor mu?
- Tedarikçi, size verdiği hizmette hazır/3rd party veya şirket içi geliştirilmiş yazılım uygulamaları kullanırsa, bunlar nasıl güvence altına alınır?
- Kendi Cihazını Getir’e (BYOD) izin verirlerse, ağlarını BYOD cihazlarının olası zararlarından nasıl korurlar?
Verilerin korunması
Bir tedarikçinin ağlarındaki verileri nasıl koruduğunu anlamalısınız. Temel kontroller, bir ağdaki verilerin başına gelebilecek birçok zararı hafifletmek için uzun bir yol kat edebilir.
- Kayıp veya hırsızlık durumunda dizüstü bilgisayarlar, cep telefonları, tabletler ve çıkarılabilir medya gibi taşınabilir cihazlardaki verileri şifreliyorlar mı?
- Tedarikçi, atmadan veya yeniden kullanmadan önce tüm saklama ortamlarını güvenli bir şekilde siliyor veya imha ediyor mu?
- BYOD’ye izin verirlerse, BYOD cihazlarındaki verileri nasıl korurlar?
- Ağlarından yetkisiz veya olağandışı (örneğin çok büyük) veri aktarımlarını tespit etmek ve önlemek için yürürlükte süreçleri var mı?
- Geçiş halindeki verileri korumak için ağlarına güvenli e-posta ve güvenli veri bağlantıları kullanıyorlar mı?
- Hassas verilere erişimi nasıl kısıtlarlar?
Offshoring
Tedarikçinin size sunduğu hizmetlerden herhangi birinin denizaşırı olup olmadığını ve eğer öyleyse, bu hizmetlerin ilgili bilgi güvenliği kontrollerini nasıl karşıladığını bilmeniz önemlidir.
Tedarikçinin size sunduğu hizmetlerden herhangi birinin diğer ülkelerin yargı yetkilerine tabi olup olmadığını anlamalısınız – örneğin, kişisel verilerin toplanmasını ve depolanmasını koruyan yasalar. Diğer yargı alanlarının söz konusu olduğu durumlarda, söz konusu ülkenin veri koruma standartlarının Birleşik Krallık’ın koruma gerekliliğine eşdeğer olup olmadığı ve bu denkliğin resmi olarak tanınıp tanınmadığı konusunda net olmalısınız.
AB ve Birleşik Krallık’ta, GDPR kapsamında, kişisel verileri işleyen ve depolayan kuruluşların verileri yeterince korumasını ve bu tür verilerin AB / İngiltere dışına herhangi bir şekilde aktarılmasını uygun bir şekilde ele alınmasını sağlamak için hüküm vardır.
Kullandığınız tedarikçilerin mülkiyeti ve kontrolünün farkında olmanız ve bazı ülkelerde bölge dışı etki yaratmayı amaçlayan yasaların olması gerekir.
- Tedarikçi, veri depolama, veri işleme, destek, geliştirme veya hizmetlerin bakımı gibi hizmetlerinin herhangi bir bileşenini size denizaşırı kullanıyor mu?
- Öyleyse, bu açık deniz bileşenlerinin çevresinde hangi konumlarda ve hangi güvenlik kontrolleri uygulanmaktadır?
- Konumlardan herhangi biri değişirse veya açık deniz taşeronlarından herhangi birini değiştirirlerse size haber verecekler mi?
- Kişisel verilerinizden herhangi biri açık denizde depolamaya veya işlemeye tabi olacak mı?
Kişisel veri
İngiltere ve AB, GDPR’ye tabidir. Bu mevzuat kapsamında kişisel veriler, kimliği belirli veya belirlenebilir bir kişi ile ilgili bilgilerdir. Yalnızca doğrudan söz konusu bilgilerden tanımlanabilen gerçek kişilerle ilgili bilgileri veya diğer bilgilerle birlikte bu bilgilerden dolaylı olarak tanımlanabilen bilgileri içerir.
Vefat etmiş bir kişi hakkındaki bilgiler kişisel veri oluşturmaz ve bu nedenle GDPR’ye tabi değildir.
GDPR, kişisel verilerin korunmasına yönelik bir dizi güvenlik ilkesine sahiptir. Kısaca bunlar Hukuka uygunluk; Adalet ve Şeffaflık; Amaç sınırlaması; Veri minimizasyonu; Veri doğruluğu; Depolama sınırlaması; Bütünlük ve gizlilik (güvenlik); ve Hesap Verebilirlik.
Tedarikçi, size sunduğu hizmetin bir parçası olarak herhangi bir kişisel veriyi işliyor mu? Bu işleme GDPR güvenlik ilkelerini karşılıyor mu?
- Kişisel verileri kullanımları yasal, adil ve şeffaf mı?
- Yalnızca toplandığı amaçlar için mi kullanılıyor, başka hiçbir şey yapmıyor mu?
- Yalnızca gereken minimum miktarda kişisel veri mi topluyorlar?
- Kişisel veriler doğru, güncel, korunuyor ve artık gerekmediğinde siliniyor mu?
Personel güvenliği
Hangi personel güvenlik kontrollerinin yürürlükte olduğunu anlamak, tedarikçinize güven kazanmanın bir parçasıdır.
Bu sadece istihdam öncesi kontrolleri ve kurum içi personel güvenlik kontrollerini değil, aynı zamanda güvenlik bilinci eğitimi ve daha da önemlisi kültürel hususları da kapsar.
Farkındalık eğitimi vermek, bunun yapıldığını göstermek için bir kutuyu işaretlemekten daha fazlasıdır, aynı zamanda bunun herhangi bir etkisi olup olmadığını anlamak ve güvenli olmayan davranışlara neden olabilecek veya çalışanların işlerini yapmak için güvenlik çözümleri geliştirmelerine neden olabilecek altta yatan kültürel sorunları ele almakla da ilgilidir.
Birleşik Krallık hükümet daireleri ve CNI için, Ulusal Altyapıyı Koruma Merkezi (CPNI) personel ve fiziksel güvenlik konusunda tavsiyelerde bulunur.
- Tedarikçi, çalışanlar üzerinde uygun özgeçmiş kontrolleri yapıyor mu ve şirket içi personel güvenlik kontrolleri için yerinde süreçler var mı?
- Tedarikçinin, kimlik avı ve kullanıcıları hassas bilgileri ifşa etmeye veya yetkisiz kod indirmeye teşvik etmenin diğer yolları gibi kullanıcılara yönelik yaygın saldırıları kapsayan güvenlik bilinci eğitimi var mı?
- Tedarikçi, pozitif bir güvenlik kültürünü teşvik ediyor mu? Örneğin, kullanıcıları şüpheli veya gerçek olayları suçsuz bir ortamda derhal rapor etmeye teşvik ediyorlar mı?
- Tedarikçi, içeriden gelen tehditleri anlamak için bir risk değerlendirmesi yaptı mı?
Fiziksel güvenlik
Tedarikçinizin tesislerini, verilerini ve varlıklarını fiziksel olarak nasıl koruduğunu anlamalısınız. Bu, onların güvenliğe yaklaşımları konusunda güven kazanmanıza yardımcı olacaktır.
Fiziksel kontroller, çevre savunmaları, sitedeki ziyaretçilerin yönetimi ve veri merkezleri veya sunucuların bulunduğu siteler gibi daha hassas alanların kontrolleri ve basılı bilgilerin güvenli bir şekilde imha edilmesi ve imhası gibi şeyleri içerir.
Kontroller riskle orantılı olmalıdır. CPNI, Birleşik Krallık devlet daireleri ve CNI için personel ve fiziksel güvenlik konusunda tavsiyelerde bulunur.
- Tedarikçinin verileri, ağları ve tesisleri korumak için uygun fiziksel kontrolleri var mı?
- Hassas basılı bilgileri güvenli bir şekilde imha ediyorlar mı?
Bağımsız test ve güvence
Tedarikçinin, güvenlik kontrollerinin pratikte çalıştığına dair nasıl güven kazandığını anlamalısınız.
Güvenlik sürekli gelişen bir süreçtir, bu nedenle tedarikçinin kendi güvenlik önlemlerinin ne kadar iyi performans gösterdiğinin farkında olması önemlidir.
Örneğin, bağımsız bir test ve güvence programı, size güvenlik kontrolleri hakkında bazı yararlı bakış açıları verecektir. CHECK (kırmızı ve yeşil olmak üzere) veya CREST (Kayıtlı Etik Güvenlik Test Cihazları Konseyi) programları dahil burada çeşitli seçenekler vardır.
NCSC tarafından CHECK şeması altında akredite olan şirketler, genel olarak bilinen güvenlik açıklarını ve yaygın yapılandırma hatalarını tanımlamak için tasarlanmış testler yaparak güvendiğiniz sistemleri veya ağları analiz edebilir.
CREST (Kayıtlı Etik Güvenlik Testçileri Konseyi), sızma testi, siber olay müdahalesi, tehdit istihbaratı ve Güvenlik Operasyon Merkezi hizmetleri sağlayan kuruluşlar ve kişiler için uluslararası kabul görmüş akreditasyonlar sağlar.
- Tedarikçi, dahili ve harici BT altyapısının sızma testleri gibi bağımsız güvenlik testleri gerçekleştiriyor ve herhangi bir bulguyu iyileştiriyor mu?
Sözleşmeyle ilgili diğer hususlar
Dikkate alınması gereken başka birkaç önemli nokta vardır, bu nedenle tedarikçiyle olan sözleşmenizin aşağıdakilerden herhangi birini içerip içermemesi gerektiğini düşünmeye değer:
- Tedarikçiyle olan sözleşmenizde tüm alt yüklenicilere aktarılması gereken belirli risk azaltma önlemleri veya kontroller var mı?
- Tedarikçinin taşeron değiştirmesi durumunda bilgilendirilmek ister misiniz?
- Tedarikçi, Cyber Essentials, Cyber Essentials Plus veya ISO 27001 gibi herhangi bir siber güvenlik sertifikasına sahip mi?
- Varsa, sertifikaların kapsamı, kullanacağınız hizmetin bölümlerini ve onu nasıl kullanacağınızı kapsıyor mu?
- Tedarikçi (veya tedarikçi tarafından istihdam edilen herhangi bir alt yüklenici) verilerinize, BT ağınıza veya tesislerinize bağlanacak veya erişebilecek mi?
- Varsa, bu nasıl sınırlandırılacak, kontrol edilecek ve izlenecek?
- Verilerinize veya BT ağınıza herhangi bir uzaktan erişim için (örneğin, dış kaynaklı BT desteği durumlarında), yerinde bir uzaktan erişim destek anlaşmanız var mı?
- Yapılan işi yansıtmak için kaydedilen günlüklerle, uzaktan erişim oturumlarını sistemlerinize kaydediyor musunuz?
- Sözleşmeden çıkış – hizmetlerin, verilerin veya varlıkların başka bir tedarikçiye aktarılması dahil, sözleşme çıkışında verilerinizin / varlıklarınızın güvenli bir şekilde silinmesi veya iade edilmesi için sözleşmede hangi hükümler var?
- Zaman içinde tedarikçinin bilgi riski profilindeki değişiklikleri nasıl izleyeceksiniz? Bu, örneğin tedarikçi tarafından işlenmekte olan veri hacmi önemli ölçüde arttığında, farklı veri türleri sunulduğunda (örneğin kişisel veriler veya ticari olarak hassas veriler) veya yeni teknoloji sunulduğunda (ör. Mobil erişim platformları) meydana gelebilir.
- Tedarikçiyle olan sözleşmenize bir “denetim hakkı” ve / veya güvenliğe ilişkin düzenli raporlamayı eklemeli misiniz? Tedarikçinizden, tedarikçileri / alt yüklenicileriyle yaptığınız sözleşmelerde, bu size hizmeti etkileyen bir “denetim hakkı” oluşturmasını zorunlu kılmalı mısınız?
İçeriğin Orjinaline NCSC‘den erişebilirsiniz.