İşletmeler third party saldırıları için hangi önlemleri almalı?

Emre Erkıran | 26 Şubat 2025

İlgili Konular: Siber Güvenlik, Veri Güvenliği, Uç Nokta Güvenliği, Tedarikçi Güvenliği, Risk Yönetimi

Wise TV’ye konuşan QNB Invest Bilgi Güvenliği Yöneticisi Emre Erkıran, kurumlarda tedarikçi yönetiminin stratejik önemini ve güvenlik boyutunu anlattı.

Tedarikçi tarafındaki listelerden bahsedecek olursak, çeşitli iş amaçları doğrultusunda tedarikçiler iyi yönetildiği zaman kurumlara katkı sağlamaktadır. Bir kurumla tedarikçi gelmeden önce içeride bununla alakalı bir strateji belirlenmeli. Bu kurum hangi departmanla çalışıyor? Hangi yazılım tedarikçiyle hangi veriler paylaşılıyor? Bu veriler hangi yöntemle karşı tarafa iletiliyor? Tedarikçiyle alakalı yapılan sözleşmelerde denetim hakları gibi ibareler eklenmiş mi gibi durumlarla aslında tedarikçiler biraz daha izlenebilir hale gelebiliyor. Tedarik süreçleri aslında kuruma gelip de bir seferlik çalışılacak değil de sürekli olarak gözlemlenmesi gereken bir durum. Sürekli olarak monitör edilmesi, yaşayan bir süreç olarak değerlendirilmesi gerekiyor. Belli dönemlerde tedarikçilerle alakalı zafiyet testleri onlardan talep edilmeli, pentest hizmet testleri talep edilmeli. Bunlarla alakalı toplantılar koordine edilmeli, sonuçlar birlikte değerlendirilmeli. Yönetime çeşitli dönemlerdeki tedarikçinin durumlarıyla alakalı listeler hakkında bilgi verilmeli ve bu şekilde tedarikçi sürecinin doğru yönetildiğini düşünüyorum.

Tedarikçi Yönetiminin Önemi

Tedarikçi yönetimi, işletmelerin başarısı için kritik bir rol oynar. Doğru yönetilen tedarikçi ilişkileri, maliyetleri düşürmek, kaliteyi artırmak ve yenilikçi çözümler geliştirmek için fırsatlar sunar. Ancak, bu sürecin etkili bir şekilde yönetilmesi için stratejik bir yaklaşım benimsenmelidir.

Stratejik Planlama ve Tedarikçi Seçimi

Tedarikçi ile çalışmaya başlamadan önce, işletmenin ihtiyaçlarına uygun bir strateji belirlenmelidir. Bu strateji, hangi departmanın hangi tedarikçiyle çalışacağını, hangi verilerin paylaşılacağını ve bu verilerin nasıl iletileceğini kapsamalıdır. Ayrıca, tedarikçi seçiminde kalite, maliyet ve güvenilirlik gibi kriterler göz önünde bulundurulmalıdır.

Sözleşme Yönetimi ve Denetim Hakları

Tedarikçilerle yapılan sözleşmelerde denetim hakları gibi önemli maddelerin yer alması, işletmenin tedarikçiyi izleyebilmesi açısından önemlidir. Bu maddeler, tedarikçinin performansını değerlendirmek ve gerektiğinde müdahale edebilmek için bir temel oluşturur.

Sürekli İzleme ve Değerlendirme

Tedarikçi süreçleri, bir defalık bir işlem değil, sürekli izlenmesi gereken bir süreçtir. Tedarikçilerin performansı düzenli olarak izlenmeli ve değerlendirilmelidir. Bu, işletmenin tedarikçi ilişkilerini optimize etmesine ve olası sorunları erken aşamada tespit etmesine yardımcı olur.

Zafiyet Testleri ve Güvenlik Değerlendirmeleri

Tedarikçilerden düzenli olarak zafiyet testleri ve pentest hizmetleri talep edilmelidir. Bu testler, tedarikçinin güvenlik açıklarını belirlemek ve işletmenin veri güvenliğini sağlamak için kritik öneme sahiptir. Test sonuçları, tedarikçi ile birlikte değerlendirilmeli ve gerekli önlemler alınmalıdır.

Yönetim Raporlaması ve İletişim

Tedarikçi süreçleri hakkında yönetime düzenli olarak raporlar sunulmalıdır. Bu raporlar, tedarikçinin performansı ve süreçlerin etkinliği hakkında bilgi verir. Ayrıca, tedarikçi ile düzenli iletişim kurmak, işbirliğini güçlendirmek ve olası sorunları çözmek için önemlidir.

Sonuç

Tedarikçi yönetimi, işletmelerin başarısı için stratejik bir öneme sahiptir. Doğru bir strateji ve sürekli izleme ile tedarikçi ilişkileri optimize edilebilir. Bu süreçte, sözleşme yönetimi, güvenlik değerlendirmeleri ve etkili iletişim gibi unsurlar kritik rol oynar. İşletmeler, tedarikçi yönetimini bir rekabet avantajı olarak kullanabilir ve bu sayede sürdürülebilir bir başarı elde edebilir.