Üçüncü Parti Servislerden Gelebilecek Riskleri Azaltın

Ağınıza ve verilerinize erişim sağlayabilen üçüncü parti servisler/uygulamalar güvenliğinizi riske atabilir. Üçüncü parti uygulamalar yüzünden güvenliğinde problemler yaşayan bazı şirketlerle ilgili haberimizi bir önceki blog yazımızda bulabilirsiniz.

Eğer ağınıza ve verilerinize erişimi olan bir üçüncü parti servis hacklenirse, sizde önemli verileri veya çalışan bilgileri gibi hassas bilgileri kaybedebilirsiniz. Eğer yapılan siber saldırı büyük çaplı bir saldırıysa, şirketiniz para ve itibar kaybedebilir, medyanın elinde kötü haber olarak dolaşabilir hatta iflas bile edebilir.

Son birkaç yıl içerisinde üçüncü parti ve servislerden kaynaklanan güvenlik sorunları oldukça fazla iken, saldırıları yapan kişilerin saldırmak istedikleri ana şirketten ziyade, o şirketin üçüncü parti hizmet aldıkları yerlere saldırmayı tercih ettiklerini açıklaması sorunun ne kadar büyük olduğuna dair bir fikir verebilir.

Üçüncü partiden gelebilecek hasarları tamamen engellemek her ne kadar mümkün olmasa da, güvenliğinizi sağlamak için daha iyi bir plan yapabilirsiniz. Tamamen engelleyemeyecek olsanız bile yapabileceğiniz birkaç şey mevcut.

Kendi Güvenlik Önlemleriniz ve Çok Katmanlı Koruma

Başka servisler ve uygulamalar ile birlikte çalışıyor olsanız bile, şirketinizi korumanın en etkili yolu kendi güvenliğinizi içten sağlamaktır. Çok katmanlı doğrulama ve savunma sistemlerini şirketinize ait bütün cihazlara, ağlara, veri içeren bütün donanımlara ve yazılımlara uygulayın. Bu katmanlardan en az bir tanesi şifreleme olmalıdır. İki farklı doğrulama yöntemi uygulayabileceğiniz gibi, üç yada daha fazla da uygulayabilirsiniz. Bu çok katmanlı güvenlik sistemini üçüncü parti hizmetinizden gelen bütün isteklere uygulayın. Eğer IT departmanınızda çalışanlar yazılım güncellemesi ve yama yapmak konusunda aşırı titiz davranmıyorsa, bu çok katmanlı güvenlik sistemleri elbette işe yaramayacaktır.

Dolayısıyla çalışanlarınıza oldukça kapsamlı bir güvenlik politikası oluşturmalısınız ve çalışanlarınıza bu konu ile ilgili sürekli eğitimler vermelisiniz. Departmanlar içinde kişileri sahip olduğu yetkilere göre ayırabilir ve yetkisiz veya yetkisi az olan kişilere önemli giriş bilgilerini vermeyebilirsiniz.

Savunmanın Gücünü Unutmayın

Bir savunmanın bin tedaviden daha değerli olduğunu hatırlatmak isteriz. Bu söz üçüncü partilerden gelebilecek güvenlik risklerini hatırlatmak içinde oldukça etkili. Çalışanlarınıza ve birlikte çalıştığınız üçüncü parti hizmetlere, savunmanın ne kadar önemli olduğu konusunda hatırlatmalar yapın. Savunmanın en iyi yöntemlerden biri olduğu hakkındaki eğitimler sadece çalışanlara değil aynı zamanda CEO, CFO, CMO gibi yetkili kişilere de verilmesi gerekir. Çoğu üst düzey yönetici henüz bir tehlike görmedikleri için önceden alınabilecek önlemler için para ve zaman harcamak istemezler. Fakat şirketleri bir saldırıya maruz kaldığında bu saldırıyı sonlandırmak için ellerinden gelen her şeyi yapabilirler. Üstelik saldırı gerçekleştikten sonra yapacakları şeyler çoğu zaman veri kaybını %100 olarak engelleyemez. Ayrıca saldırı gerçekleştikten sonra yapılabilecek şeyler, önlem almaktan daha pahalıya patlayacaktır. IT çalışanlarının ve eğitimcilerin üst düzey yöneticileri var olan riskler konusunda sıklıkla uyarmaları gerekmektedir.

Üçüncü Parti Hizmet Sağlayıcınızı Değerlendirin

Gerçek şu ki; en güvendiğiniz üçüncü parti hizmet sağlayıcınız bile güvenliğiniz için bir tehdit haline gelebilir.

Bazı üçüncü partiler sadece sizin ağınıza erişmek isterken, bazıları daha spesifik verilere erişim talep eder. Dolayısıyla sizin üçüncü parti hizmet değerlendirmeniz erişime odaklı olmalıdır. Şirketiniz “en az ayrıcalık” politikası ile kimin verilerinize ulaşacağı ve tam olarak nelere ulaşabileceği konusunda kesin çizgiler çekmelidir. Kimin nereye ulaşacağını siz seçmiş olsanız bile, karşı tarafta yaşanabilecek veri sızdırmalarını göz önünde bulundurarak, şirketinizin bilgilerine kimin ulaştığını düzenli olarak takip etmelisiniz. Ayrıca herhangi bir önemli veriye geçici erişim sağlamanızda, güvenlik risklerinizi büyük ölçüde arttıracaktır.

Birlikte çalıştığınız üçüncü parti hizmeti ne kadar iyi tanıyor olduğunuz veya onlarla ne kadar uzun süredir çalıştığınız hiç fark etmez. Karşı tarafın güvenlik standartları ile sizin şirketinizin güvenlik standartlarının birlikte çalışabileceğinden emin olun. Üçüncü parti hizmet aldığınız şirketi de düzenli olarak yapacağınız güvenlik değerlendirmelerine katılmaya ikna edin. Kendi çalışanlarınıza ve hizmet aldığınız şirketin çalışanlarına düzenli olarak güvenlik eğitimleri sağlayın.

Servis Seviyesi Anlaşması ile Güvenliği Bir Adım Daha İleri Götürün

Bir servis seviyesi anlaşması (SLA) üçüncü parti ile aranızdaki güvenlik sorunlarını bir nebze olsun azaltabilir. Temelde sizin servis seviyesi anlaşmanız karşı tarafın güvenlik poliçeleriyle uyumlu olmalıdır. Servis seviyesi anlaşması şirketinize karşı tarafı güvenlik poliçeleri konusunda denetleme hakkı verir. Bir servis seviyesi anlaşması şunları içermelidir: bilgi güvenliği, bilgi gizliliği, tehdit ve risk analizi, ağ ve veri erişimi, ifşa ve ihlal raporlama gereksinimleri ve tabiki bu maddelerin karşı tarafın güvenlik poliçesiyle uyumunu kontrol etme yetkisi.

Üçüncü partilerden gelebilecek risklerin büyük oranda arttığı şu günlerde, sizin de birlikte çalıştığınız üçüncü parti hizmet sağlayıcılarına karşı önlem almanız gerekmektedir. Kesinlikle herhangi bir üçüncü parti hizmet sağlayıcısını zan altında bırakmak istemeyiz fakat dediğimiz gibi “bir savunma bin tedaviden daha değerlidir”. Bu yazıyı okumadan önce gelebilecek tehditlere karşı bir güvenlik planı oluşturmadıysanız hemen oluşturmaya başlayabilirsiniz. Eğer bu konuda yardım almak isterseniz Cyberage olarak size ve şirketinize yardımcı olmaktan memnuniyet duyarız.