Tedarikçi Risk Yönetimi Nedir ve Nasıl Yapılır?
Siz ne kadar iyi korunursanız korunun, iş birliği yaptığınız bir firmanın yaptığı tek bir hata tüm şirketinizi tehlikeye atabilir. Bu rehberde teknik karmaşadan uzaklaşarak tedarikçilerinizin güvenliğini nasıl kontrol altında tutabileceğinizi anlatıyoruz. Nesil Teknoloji olarak Türkiye’deki üretim tesisleri ve kamu kurumları için hazırladığımız bu yol haritası siber güvenliğinizi bir üst seviyeye taşıyacaktır.
Tedarikçi risklerini yönetmek için önce onları kritikliğine göre ayırın. Ardından her birine uygun sorular sorun. Çıkan sonuçları puanlayarak kiminle çalışmaya devam edeceğinize karar verin. Bu kadar basit!
Neden Tedarikçi Güvenliğiyle Uğraşıyoruz?
Düşünün ki evinizin kapısını dünyanın en sağlam çelik kapısıyla değiştirdiniz. Fakat evdeki klimanın bakımı için gelen teknik servise evin anahtarının bir kopyasını verdiniz. Eğer o teknik servis anahtarı kaybederse sizin kapınızın ne kadar sağlam olduğunun hiçbir önemi kalmaz. Siber dünyada da durum tam olarak böyledir.
Nesil Teknoloji ekiplerinin yaptığı TSE A Sınıfı denetimler gösteriyor ki şirketlerin yarısından fazlası aslında kendi içindeki bir açıktan değil tedarikçisinin sistemindeki bir zayıflıktan dolayı hackleniyor. Bu yüzden iş ortaklarınızı sadece verdikleri fiyatla değil güvenlik seviyeleriyle de değerlendirmeniz gerekiyor. Regülasyonlar ve ISO 27001 gibi standartlar artık bu denetimleri zorunlu kılıyor.
Tedarikçileri Gruplara Ayırın
Her tedarikçi aynı risk derecesine sahip değildir. Örneğin şirketinizin verilerini saklayan bulut firmasıyla ofise su getiren firmanın risk seviyesi bir olamaz. Bu yüzden bütçenizi ve vaktinizi doğru kullanmak için onları katmanlara ayırıyoruz.
| Grup | Özellik | Ne Yapmalı? |
|---|---|---|
| Çok Kritik | Sistemlerinize doğrudan erişir ve hassas verileri tutar. | Yerinde denetim ve sızma testi şart. |
| Yüksek Risk | Önemli operasyonları yönetir ama tam yetkili değildir. | Detaylı güvenlik anketi uygulanmalı. |
| Orta Risk | Sınırlı veri görür veya operasyonel etkisi düşüktür. | Taahhütname ve basit formlar yeterli. |
| Düşük Risk | Veri görmez ve sistemlere asla bağlanmaz. | Sözleşmeye standart maddeler eklemek kafi. |
Gruplandırma yaparken kendinize şu soruyu sorun. Bu firma yarın hacklenirse veya iflas ederse işimiz ne kadar sürede durur? Yanıt “hemen” ise o firma Çok Kritik gruptadır.
Odaklanmanız Gereken 5 Büyük Risk
Bir tedarikçiyi incelerken şu beş alandaki performansına mutlaka bakmalısınız. Biz Nesil Teknoloji olarak bu alanları profesyonel siber güvenlik araçlarıyla ölçüyoruz.
1. Siber Güvenlik Durumu
Firmanın şifreleri ne kadar güçlü? Güncellemeleri yapıyorlar mı? Çalışanlarına güvenlik eğitimi veriyorlar mı? Bunlar en temel ama en çok açık verilen noktalardır. Sadece bir kağıt parçasına “evet güvenliyiz” yazmaları yeterli değildir; kanıt istemek gerekir.
2. Veri Gizliliği (KVKK)
Sizin müşterilerinizin verileri bu firmanın eline geçiyor mu? Bu verileri yurt dışındaki sunucularda mı tutuyorlar? Eğer öyleyse Türkiye’deki yasalara uyum sağlamaları çok zor olabilir. Veri güvenliği ihlallerinde ceza sadece onlara değil size de gelir.
3. Maddi Durum
Ekonomik kriz yaşayan bir firma önce güvenlik harcamalarını keser. Bu da sizin verilerinizin daha az korunması demektir. Firmanın iflas etme riski olup olmadığını basit finansal oranlarla kontrol edin.
4. İşlerin Sürekliliği
Tedarikçinin binasında yangın çıkarsa veya sistemlerine virüs bulaşırsa size olan hizmeti ne kadar sürede geri döner? Yedekleri var mı? Bu planları düzenli olarak deniyorlar mı? Bunlar operasyonel dayanıklılık için kritiktir.
5. Marka İtibarı
Birlikte çalıştığınız firma bir yolsuzluğa karışırsa veya çocuk işçi çalıştırırsa bu sizin markanıza da zarar verir. İtibar riskini asla küçümsemeyin.
Risk Puanı Nasıl Hesaplanır?
Karmaşık formülleri bir kenara bırakalım. Her alana 100 üzerinden bir not verin ve bu notları ağırlıklarına göre toplayın. Sonuç size o firmanın karnesini verecektir.
- Siber Güvenlik: Notunuzun %40’ı
- Veri Gizliliği: Notunuzun %20’si
- Diğer Alanlar: Kalan %40
Eğer bir firmanın puanı 75’in altındaysa o firmaya “dur” demelisiniz. 90 üzerindeki firmalar ise en güvenli limanlardır. Bu puanlama sistemi sayesinde yöneticilerinize “Neden bu firmayla çalışmıyoruz?” sorusunun yanıtını verilerle verebilirsiniz.
Yasalar Ne Diyor? (KVKK ve Ötesi)
Türkiye’de KVKK yasası çok nettir. Veri sorumlusu olarak siz tedarikçinizi denetlemek zorundasınız. “Biz işi onlara verdik, sorumluluk onlarda” diyerek işin içinden çıkamazsınız. Eğer tedarikçiniz sizin verinizi çaldırırsa mahkeme önce sizin denetim yapıp yapmadığınıza bakar.
Ayrıca ISO 27001 belgesi almak isteyen her kurum tedarikçi risklerini yönettiğini ispatlamak zorundadır. Nesil Teknoloji olarak bizler TSE A Sınıfı yetkimizle bu denetimlerin teknik kısmını raporlayarak yasal süreçlerinizi kolaylaştırıyoruz.
Başımıza Gelenlerden Ders Alalım
Tarihteki en büyük hacklenme olaylarının çoğunun arkasında “küçük bir tedarikçi” var.
Target Vakası
Dev bir perakende zinciri bir klima servisinin şifrelerinin çalınmasıyla hacklendi. Saldırganlar klima servisinin yetkileriyle içeri sızıp milyonlarca kredi kartını çaldı. Ders basit; her türlü dış erişim risklidir.
SolarWinds Vakası
Çok güvenilen bir yazılım firmasının güncelleme dosyasına virüs enjekte edildi. Bu yazılımı kullanan devlet kurumları kendi elleriyle virüsü sisteme yükledi. Ders; yazılım aldığınız firmaların kod yazma süreçlerini bile sorgulamalısınız.
Güvenliğinizi Şansa Bırakmayın
Tedarikçi risklerini yönetmek hem teknik hem de hukuki bir uzmanlık gerektirir. Nesil Teknoloji’nin deneyimli siber güvenlik uzmanları ve TSE A Sınıfı yetkinliği ile tedarikçilerinizi tek tek tarayalım ve size net bir risk raporu sunalım.
