IT Güvenlik Risk Değerlendirmesi İpuçları
06.03.2018Günümüzün birbirine geçmiş şirketler ve IT hizmet sağlayıcıları dünyasında, şirketlerin güvenlik uygulamaları hakkında teknoloji tedarikçilerine detaylı sorular sorması standart bir uygulama
Günümüzün birbirine geçmiş şirketler ve IT hizmet sağlayıcıları dünyasında, şirketlerin güvenlik uygulamaları hakkında teknoloji tedarikçilerine detaylı sorular sorması standart bir uygulama. Şirketler, tedarikçi seçerken bu bilgiyi kullanıyor. Şirketin itibarı ve müşterinin güveni gibi ortada riske atılacak çok şey olduğu için bilgi güvenliğinde detaycı olmak gerekiyor.
Peki ama şirketin IT güvenlik takımları, teknoloji satın alma sürecinde nasıl en etkin şekilde rol alabilir? İhtiyaçları olan tüm bilgileri nasıl elde edip aynı zamanda zamanlarını boşa harcamamak adına nelerin gerçekte önemli olduğuna odaklanabilirler? Oracle Baş Güvenlik Yöneticisi Mary Ann Davidson, yakın zamanda düzenlenen RSA Konferansında IT güvenlik risk değerlendirme süreçlerine dair ipuçları verdi. Oracle’daki teknoloji ve bulut teknolojisi tedarikçisi ve alıcısı olarak kapsamlı deneyimlerini temel alarak Davidson iki bakış açısından da tavsiyeler sundu.
İşletme Risk Değerlendirmesi Tavsiyeleri
Yeni teknoloji sağlayıcılarıyla iletişime geçmek veya mevcut hizmet sağlayıcıları üzerine yıllık değerlendirme yapmak için RFP’yi devreye almak gerektiğinde, bu gibi satıcılara ne tür güvenlik değerlendirme soruları soruyorsunuz? Bazıları özel endüstrilere bazıları ise düzenlenmiş sektörlere veya düzenlenmiş bilgilere odaklanan mevcut birçok belge ve şablon var. Davidson’a göre bunlar tüm değerlendirme süreçlerine kılavuzluk etmeli ama ele alınacak diğer faktörler de var. Bunları ihtiyacınız olan hayati verileri elde etmek için gerekli pratik ipuçları gibi düşünün ve verilerinizi güvende tutmanız için gerekli konulardan sizi uzaklaştıracak kadar çok bilgi toplamaktan kaçının.
Aklınızda açık ve net bir amacınız olsun. Satıcı güvenlik değerlendirme sorularının amacı, belirli bir projede kurumun risk toleransına bağlı olarak satıcının güvenlik performansını değerlendirmek olmalı.
Değerlendirmenin kapsamını tedarikçinin sunduğu hizmetler kapsamında potansiyel güvenlik riskleriyle sınırlı tutun. Bu hizmetler açık bir şekilde kritik öneme sahip olacak çünkü bunlar verilerinizi, operasyonlarınızı ve güvenliğini etkileyebilir. Eğer sizin verinizi içermiyorsa veya sizin verinizle bağlanmıyorsa, tedarikçinin iç sistemine odaklamanın bir değeri yoktur. Benzetme yapmak gerekirse Davidson’un dediği gibi “çocuk kreşi tesisinin güvenliğiyle ilgileniyorsunuz”. “Tesisin sahibinin Tahoe Gölündeki tatil evinin güvenliğiyle ilgili sorular sormanıza gerek yok.”
Mümkün olan durumlarda soruları uluslararası olarak tanınan, ilgili ve bağımsız olarak geliştirilen standartlara göre hazırlayın.Hizmet sağlayıcıların, gerçek endüstri standartlarına uyan hizmetler sunması oldukça makuldür. Sahte standartlara karşı dikkatli olun. Standartlar, endüstri fikir birliği etrafında tasarlanan teknik özelliklere göre teknoloji satın alacak kişileri teşvik edecek ama aynı zamanda teknoloji tedarikçisinin takvimini veya üçüncü parti sertifika işletmesin, zorlayacak şekilde tasarlanmalı.
Eğer isteklerden biri alışılmışın dışındaysa, dahil olan düzenleme veya uyum gereksinimleri olup olmadığını açığa kavuşturun. İlgili düzenlemeleri anlayarak, teknoloji tedarikçileri gerekli özeni gösterecek şekilde müşteri isteklerini karşılayacak sertifika gibi diğer belgeleri de sağlayabilir. Ayrıca tedarikçiler ve teknoloji kullanıcıları, açık olmayan veya mantıklı olmayan düzenlemeleri geride tutacak şekilde birlikte karar verebilir ve düzenlemeleri yapanların “istenmeyen ama talihsiz sonuçları” anlamalarına yardım edebilirler. Eğer isteklerden biri normların dışında kalırsa, arkasında yatan daha büyük nedenleri araştırabilirler. Davidson, “onlara “endişelendiğiniz şey ne” diye sorun” önerisinde bulunuyor.
Açık etkileşim kurallarınız ve kolay bir şekilde erişilebilir değerlendirme gereksinim belgeleriniz olsun. Bu durum gerekli bilgileri daha hızlı, daha az pahalı ve daha verimli sağlamaya yardımcı olacak.
Risk değerlendirme anketleri çok geniş olabilir ve tamamlamak ve sonuçları yorumlamak çok dazla kaynak tüketebilir. Süreci düşmanca bir değerlendirmeden iki potansiyel partner arasındaki güçlü diyaloga dönüştürün. Müşteriler ve tedarikçiler birlikte çalıştığı zaman, risk değerlendirme süreçleri daha az zahmetli, daha fazla bilgi verici ve tüm taraflar için daha yararlı hale gelir.
Oracle Bulut denemesi: Ücretsiz 3.500 saat alın