HİZMETLERİMİZ
TRiM Risk Yönetimi Hizmeti
3.Taraflar ve tedarik edilen hizmetler şirketin kendi faaliyetlerinin sürekliliği ve kendi hizmetlerinin erişilebilirliği için kritik olduğundan, bundan kaynaklı risklerin de şirketin risk yönetim sürecinin bir parçası olması kaçınılmazdır.
Özellikle kritik altyapı sektörleri için söz konusu riskler şirkete etkilerinin yanı sıra, ulusal düzeyde ve kamu düzeninde etkilere yol açabilmektedir.
3. Taraflara ait risklere, kurumların genel risk yönetim sürecinde ele alınan Operasyonel Riskler altında yer verilmektedir. Bu riskleri ele alırken 3. Taraflardan tedarik edilen hizmetin bileşenlerine ait risklerin yanı sıra, tedarikçinin kendisinden kaynaklı finansal, itibar, uyumluluk, alt yüklenici risklerinin de hesaba katılması önemlidir. Bu bütünsel bakış çerçevesinde, aday tedarikçilerin belirlenmesinden başlayan, tedarikçi seçimi ve hizmetin tedarik aşamasındaki servis seviyeleri ve hizmetin sonlanmasına dek tüm aşamaların risk değerlendirme sürecinin içinde ele alınması gereklidir. 3. Taraflardan tedarik edilen hizmetleri sağlayan insan kaynakları, bu hizmetin sağlanması için yürüttüğü süreçler ve kullandığı teknolojiler bir bütün olarak değerlendirilmelidir.
Tedarikçi Riskleri Kurumlara Yansıyor
ABD’li telekomünikasyon şirketi T-Mobile, son yıllarda pek çok güvenlik ihlaline maruz kaldı. Ocak 2023’te ortaya çıkan ihlal, şirket tarihindeki en büyük veri ihlallerinden biri oldu. Bu ihlalde, bir tehdit aktörü tarafından çalınan müşteri adresleri, telefon numaraları ve doğum tarihleri ile 37 milyon müşteri etkilendi.
Nisan 2023’te açıklanan ikinci bir olay ise sadece 800 küsur müşteriyi etkiledi. Ancak bu olay, T-Mobile hesap PIN’leri, sosyal güvenlik numaraları, resmi kimlik bilgileri, doğum tarihleri ve firmanın müşteri hesaplarına hizmet vermek için kullandığı dahili kodlar da dahil olmak üzere çok daha fazla veri noktası içeriyordu.
ABD merkezli genetik ve araştırma şirketi 23andMe, 20 milyon kadar kullanıcı verisinin çalındığını duyurdu. Veri ihlalinin, kullanıcı hesaplarına erişmek için klasik kimlik bilgisi doldurma teknikleri kullanan bir tehdit aktörü tarafından gerçekleştirildiği belirtildi.
İhlalden etkilenen kullanıcılar arasında, DNA Akrabaları hizmetini kullananlar da bulunuyor. Bu hizmet, kullanıcıların, genetik soylarını paylaşan akrabalarını bulmalarını sağlıyor. Tehdit aktörü, bu hizmet üzerinden, kullanıcıların profil fotoğrafları, cinsiyetleri, doğum yılları, konumları ve genetik soy sonuçları gibi çok daha fazla veri noktasına erişebildi.
Birleşik Krallık’ın parti ve seçim finansmanından sorumlu bağımsız düzenleyici kurumu Electoral Commission, Ağustos ayında tehdit aktörlerinin, tahmini 40 milyon seçmene ait kişisel bilgileri çaldığını açıkladı.
İhlalden etkilenen veriler arasında, seçmenlerin adları, adresleri, doğum tarihleri, telefon numaraları ve e-posta adresleri yer alıyor. Tehdit aktörleri, bu verileri çeşitli şekillerde kullanabilir. Örneğin, bu verileri kullanarak kimlik avı saldırıları başlatabilir, reklam hedefleme yapabilir veya seçmenleri şantaj edebilir.
3. Taraf Risk Yönetimi Nedir
- Risklerin Tanımlanması : Bir şirket için kayba sebep olabilecek tüm sebeplerin tanımlanması
- Risklerin Analizi : Şirket için kayıp potansiyeli yaratabilecek risklerin değerlendirilip ölçümlenmesi
- Riske Yanıtının Belirlenmesi : Kaçınma, azaltma, transfer ya da kabul seçeneklerinden hangisi olacağının tanımlanması
- Riski Azaltmak & Transfer Etmek : Azaltmak veya transfer etmek için iç kontrollerin uygulanması
- Risk Yanıtı Sonucu : Uygulanan yanıtın sonucunun izlenmesi için bir metod belirlenmesi ve uygulanması
Tüm kurumların itibar ve finansal kayıpları önlemek için; sürekli ve etkin bir biçimde 3ncü taraf risklerini yönetmelidirler.
Ülkemizdeki yasal mevzuatlar gereği; kritik altyapıya sahip olan “Elektronik Haberleşme”, “Enerji”, “Finans”, “Ulaştırma”, “Su Yönetimi” ve “Kritik Kamu Hizmetleri” kurumları 3.ncü taraf riskleri yönetiminde yasal olarak yükümlüdürler.
Forcerta TRiM (Third Party Risk Management) Hizmeti Kapsamı Nedir?
Forcerta olarak ülkemizdeki yasal mevzuata uygun olarak yetkin teknik uzmanlarımıza kurumların ihtiyacı olan 3. Taraf Risk Yönetimini uçtan uca gerçekleştirmek için Forcerta TRiM Hizmet paketlerini oluşturduk. Bu hizmet kapsamı genel hatlarıyla aşağıdaki gibidir:
- Özelleştirilmiş Risk Programları : 3. Tarafın sağladığı hizmet tipine göre özelleştirilmiş olarak, tedarikçileri coğrafya, risk ve gider açısından değerlendirme
- Veriyi Doğrulama : Risk değerlendirme verilen bilgilerin geçerlilik kontrolleri
- Mevcut Durum ve Gelişim Ölçümü : KPI’ların tanımlanması sonrası mevcut durumun belirlenmesi ve gelişimin sürekli takibi
- Doküman Doğrulama ve Yönetimi : Elde edilen tüm dokümanların inceleme ve doğrulanması
- Sürekli İzleme : Sürekli izleme ile gerçek zamanlı tedarikçi risk bilgisi doğrulama ve raporlama
- Raporlama : Yönetmelikler doğrultusunda ölçülebilir standarlar ve raporlar sunmak
Forcerta TRiM – Hizmet Paketleri
Kurumların ihtiyaçlarına uygun olarak Forcerta, üç farklı TRiM Hizmet Paketi ve Opsiyonel İlave Hizmet Paketleri oluşturmuştur. Bu hizmet paketlerinin tümü hizmeti alan kurumun kendi risklerinin de aynı kapsamda yönetilmesini içermektedir.
Forcerta TRiM Standard :
- Kapsamdaki 3.Taraf Envanterinin Oluşturulması
- Risk Skorlama Platformuna Tanımlanması
- Risklerinin Skorlarının Sürekli İzlenmesi
- Risk Aksiyonlarının ve Gelişimin Platforma Kaydı
- Platform Üzerinden Düzenli Takip
- İyileştirme Aksiyonları için Rehberlik ve Danışmanlık
Forcerta TRiM Professional :
- (Standard paketinin tamamına ilave olarak)
- Detaylı Risk ve Olgunluk Analizi, Raporlaması ve Takibi
Forcerta TRiM Enhanced :
- (Professional paketinin tamamına ilave olarak)
- Dış Kaynak Tedariğiyle Kurum içi Süreçler ve Raporlama Desteği
Opsiyonel TRiM Hizmetleri:
- 3.Taraf Sızma Testi ve Zafiyet Taraması
- 3.Taraf Güvenlik Farkındalığı ve Oltalama Tatbikatları
- 3.Taraf Tehdit İstihbaratı Takibi
- 3.Taraf Güvenlik Çözümleri Etkinliğinin Artırılması
3.Taraf Risk Yönetim Programında Dönüşüm
Kurumunuza ait mevcut 3ncü taraf risklerinizi ortaya koyup, sürekli ve gerçek zamanlı izlenebilir, sektörel olarak kıyaslamalı 3ncü taraf risk yönetimi gerçekleştirmek istiyorsanız hemen bizimle iletişime geçin.
Yasal mevzuata uygun uçtan uca 3. taraf risk yönetimi hizmetimizle yanınızdayız.
Forcerta TRiM Hizmetimizle ilgili daha detaylı bilgi almak isterseniz lütfen aşağıdaki formu doldurunuz.