Karneniz, referans değeriniz!

Siber güvenlik risk ölçümleme ve üçüncü parti risk yönetim platformu uzmanlığı ile küresel bazda 40’ı aşkın ülkede binin üzerinde müşteriye hizmet veren SecurityScorecard, pandemi ile hayat bulan ‘yeni normal’ paralelinde kurumsal güvenlik algısını pekiştirme imkanını sunuyor.

İki yıldır Türkiye pazarında aktif olarak çalışmalarını yürüten SecurityScorecard, BThaber dijital etkinliğinde hem farklı sektör şirketlinin deneyimlerini paylaşmasına imkan sundu hem de SecurityScorecard’ı farklı kılan özellikleri paylaştı. 20 Ekim’de düzenlenen dijital etkinlikte BTHABER Şirketler Grubu Başkanı Murat Göçe‘nin açılış konuşmasının ardından sözü SecurityScorecard Uluslararası Satışlar Başkanı Matthew McKenna aldı. “Trust but Verify: How to Drive a Smart, Strategic, and Scalable Third-Party Risk Management Program” başlıklı sunumuyla McKenna, üçüncü parti risk yönetimi programının önemine, siber güvenlik ve kurumsal sürdürülebilirlik politikalarının devamlılığı adına gerekliliğine dikkat çekti. McKenna, pandemi ile birlikte güvenliğin ve kurumsal bilişim mimarisinin değişiminin, doğal olarak üçüncü partilerle işbirliklerini etkilediğini de hatırlattı. “Intertech Security Score Card Deneyimi” başlıklı sohbeti Murat Göçe yönetti. Katılımcılar ise SecurityScorecard Türkiye Satış ve İş Geliştirme Direktörü Ayşin Gök, Intertech Bilgi Güvenliği ve BT Risk Yönetimi Lideri Burak Dündar ve Intertech Bilgi Güvenliği ve BT Risk Yönetimi Mühendisi Ece Naz Yurdakul oldu. Göçe’nin sorusu üzerine Ayşin Gök, SecurityScorecard yapısını şöyle anlattı:

“SecurityScorecard; kurumların, organizasyonların, çalıştıkları üçüncü tarafların, paydaşların kullandığı bir kart. Üçüncü taraflar ise şirketlerin faaliyetlerinin geliştirilmesine aktif olarak destek veren dış destek aldıkları firmalar. Bunları; acenteler, distribütörler, yükleniciler, bayiler ve onların bağlı olduğu ekosistemler olarak tanımlayabiliriz. SecurityScorecard, hem kurumların kendilerini, hem de üçüncü taraflardaki risk analizlerini yapan üçüncü parti bir risk ölçüm platformu. Platform, 360 derece bakış açısı ve tamamen pasif bir taramayla teknik, uluslararası standart uyum süreçlerine göre analiz yaparak bunu skorlayan bir ölçme aracı. Platform tamamen açık veriler üzerinden hareket ediyor. Üçüncü partilerin bu tip bir risk ölçümleme aracından geçirilmesi gerekiyor. Bu firmalar çalıştıkları ekosistemleri çok daha anlık, sürekli takip edebilecekler, hızlı aksiyon alabilecekler. Firmaların kabul edilme süreçlerinde teknik yeterliliğine bakıldığı gibi, artık siber güvenlik duruşlarına da bakılması gerekiyor. Bu tip bir program insan hatasının önüne geçiyor.”

“BDDK’nın duruşu elimizi güçlendirdi”

Ece Naz Yurdakul’un dikkat çektiği gibi, üçüncü partilerden kaynaklanan riskler her zaman hayatımızda vardı. Murat Göçe’nin üçüncü parti risk yönetimi ve BDDK’nın tavrı odaklı sorusuna yanıt veren Ece Naz Yurdakul, “Yönetmelikten önce de bunları bir nebze yönetebiliyorduk, ama yönetmelikle birlikte elimiz daha da güçlenmiş oldu” bilgisini verdi. Yurdakul’a göre, bu noktada regülatif istemler ortaya konulmuş oluyor. Öncelikle üçüncü parti tanımlaması yapılması gerektiğine dikkat çeken Ece Naz Yurdakul, risk ve durum değerlendirilmesi yapılması gerektiğini de hatırlattı. “İşletmelerin üçüncü parti ile çalışmaya başlamadan önce risklerin bertaraf edilmesine ilişkin bir durum değerlendirmesi yapması, mümkünse buna sözleşmelerde yer verilmesi ve çalışanların bu konuda bilgilendirilmesi gerektiğini düşünüyoruz” diyen Ece Naz Yurdakul, şu bilgileri paylaştı:

“BDDK’da banka üst yönetiminin dış hizmet olarak alacağımız hizmetlerin banka açısından doğuracağı risklerin değerlendirilmesi ve üçüncü parti firmaların ilişkilerinin etkin şekilde yönetilmesi bizden bekleniyor. Üçüncü partilerin mevzuatlara ve bankaların risk yönetimlerine uygun olması bekleniyor. İşletmeler üçüncü partilerden kaynaklanan riskleri yönetebilmesi, bunları analiz etmesi gerektiğinin farkında olmalı ve buna yönelik aksiyonlar almalı.”

Karne, kurumsal beyandan ötesi

Bu noktada söz alan Burak Dündar, eskiden destek hizmeti yönetmeliği olduğunu, destek hizmeti kapsamına girip girmediğine bakıldığını hatırlattı. Sonrasında ise tüm tedarikçiler, çözüm ortakları kapsam dışında kalıyorlardı. “Yeni yönetmelikle maddenin oldukça geniş ve doğru tanımlanması doğru bir şekilde odağımızı sağlamamıza izin verdi” yorumunu yapan Burak Dündar, şu bilgileri verdi:

“Eskiden sözleşmelerde bir bilgi güvenliği gereksinimi oluyordu, bunların imzalanması ve taahhüdünün alınmasının ardından hayatımıza devam ediyorduk. Ancak artık evlerden çalışıyoruz, daha efektif bir yaklaşıma ihtiyacımız var. Bu noktada iki seçeneğiniz var: Ya firmaya gerçekten bir denetim firmasını göndereceksiniz ya da bu işi kendiniz yapacaksınız. Bu nokta, SecurityScorecard’a gidiyor. Karne, bizim için firmanın beyanlarından öteye giden bir süreç oluyor. Denizbank Hizmetler Grubu olarak banka, iştirakler, yurtdışı, Intertech, Intertech’in çözüm ortakları gibi çok büyük bir kapsamı yönetiyoruz. SecurityScorecard’ın Atlas yapısı ile soru setlerini otomatize hale getirip gönderebildiğiniz bir modül var. Biz öncelikli olarak burayı tasarladık. Bu soru setleri ile birlikte firmaların sorularını yönetmeye başladık. SecurityScorecard’ın yaptığı taramalardan, çıkardığı tespitlerle firmanın verdiği beyanı doğruluyoruz.”

Bilgi güvenliğinde açık kabul edilemez

Murat Göçe’niin bir kez daha yönetimini üstlendiği panel “Neden Güvenlik Risklerinin Bir Karnesi Çıkartılmalı?” başlığında farklı sektörlerden isimleri bir araya getirdi. SecurityScorecard Türkiye Satış ve İş Geliştirme Direktörü Ayşin Gök’ün yanı sıra n11.com Bilgi İşlem Direktörü Bahadır Aktan, Fibabanka Kıdemli Güvenlik Risk Yöneticisi Bülend Arıkan, GittiGidiyor Kıdemli Bilgi Güvenliği Mühendisi ve Uyum Uzmanı Emre Erkıran ile Amerikan Hastanesi Bilgi Güvenliği Uzmanı Mesud Adhami güvenlik risklerine karşı duruşta bir karnenin önemini değerlendirdi. İlk sözü alan isim Bahadır Aktan oldu ve SecurityScorecard’ın sağladığı faydaları şöyle anlattı:

“Güvenlik bizim için en önemli konu. Bilgi güvenliği açığının olmaması lazım. Ürün yönetimini yaparken ürünlerin geliştirilmesi sırasındaki geri dönüşleri geliştirmeye ilişkin talepler oluyor. Buradaki maddeler arasında güvenlik önemli. Bunu yaparken bir güvenlik açığımızın olup olmadığı ya da geliştirme sırasında hatamızın olup olmadığı gibi noktaları bilme ihtiyacımız var. Aksi takdirde, canlıya çıkmadan önce karşılaştığımız büyük bir güvenlik açığı, tüm planlarımızı değiştirip müşteriye yönelik teslimat süreçlerinde gecikmeye sebep olabilir. Dolayısıyla bizler için mevcuttaki ürünlerin, üçüncü partilerin diğer ürünlerle birlikte bir SecurityScorecard’ının olması ürünü yönetirken bize önemli bir katkı sağlıyor.”

Çok farklı araçların buluşma noktası

Fibabanka Kıdemli Güvenlik Risk Yöneticisi Bülend Arıkan ise şunları kaydetti:

“SecurityScorecard, sistemsel tarafta biraz daha klasik tarama araçlarının dışına çıkan bir yapı. Bu açıdan faydasını yüksek görüyoruz. Sistemsel zafiyetleri tespit eden çok farklı araçlar var. Security Scorecard’tan bunları kullanmasını talep edebilir, üçüncü partilerden çıktılarını size iletmesini isteyebilirsiniz. Araç sizdeyse, internet üzerinden aramayı siz de yaparsınız. Bu, dikkat çekmeyen pasif bir arama. Herhangi bir haklama aktivitesinde bulunmuyor. Bu anlamda mütecaviz bir ürün değil. Pasif olmasından kaynaklı olarak dışarıdan bu kurumla iletişim kuran herhangi bir istemci gibi davranarak bazı bilgiler topluyor. Bunlar da firmanın siber risklerini çok fazla ortaya çıkaracak şeyler değil. Eğer bir firma çok büyük yatırımlar gerektirmeyen zafiyetleri kapatmıyorsa, onun içeride işlediği süreçler ile ilgili bize çok iyi sonuçlar veriyor. Bu yeni zafiyetleri gördüğümüz zaman da firmanın işleyişi, güvenlik zafiyetlerini ne derece dikkate aldığı konusunda ciddi ipuçları veriyor. SecurityScorecard’tan aldığımız bazı raporlar var. Temel seviyedeki bazı bilgileri alıp banka içerisinde raporlama portföylerinin içinde kendilerinin de istedikleri zaman görebilecekleri şekilde yayınlayacağız. Fibabank olarak dış kuruma özellikle müşteri verisi olmak üzere verimizi emanet ediyorsak ve kurum tüm dünyaya Fibabank’a hizmet verdiğini anons ediyorsa, o firmanın güvenlik vitrinin herhangi bir defo içermemesi gerekir. Bizimle çalışan firmanın güvenlik vitrinin temiz olduğunun güvencesini bu şekilde sağlıyoruz.”

Kurumsal güvenlik riskleri izleniyor

Teknoloji gelişimine dair farklı ihtiyaçlar oluyor ve GittiGidiyor Kıdemli Bilgi Güvenliği Mühendisi ve Uyum Uzmanı Emre Erkıran’ın belirttiği gibi, kaynaklar doğrultusunda bazen içeriden cevap verilebilirken, bazen de dışarıdan hizmet almak gerekiyor. “Pazarlama, CRM ekibimizde farklı projeler gelişiyor. Bunun için öncelikli olarak firmayı tanıyor, değerlendirme süreçlerimizi başlatıyoruz” diyen Emre Erkıran eklemeden geçmedi: “Sözleşme aşamasına geçilmeden önce firma ile yapılacak projenin kapsamı, ne tür veri paylaşımlarının gerçekleştirileceği gibi değerlendirme süreçlerimizde farklı sertifikasyonları, dokümantasyonları firmaya iletiyoruz.” Bu süreçte firma ile uyum sağlandıysa yola devam ediliyor. Sonrasında firmaya yönelik bir risk metodolojisi çiziliyor. Erkıran, SecurityScorecard’ın bu noktada çok işlerine yaradığı vurgusunu yaptı.

Tek bir domain ile tam kontrol

Bir firma, SecurityScorecard çözümünü aldığında, esnek bir lisanslama modeli öne çıkıyor. “İsim değil, tamamen bilgisayar bazlı kullanıcı esas” açıklamasını yapan SecurityScorecard Türkiye Satış ve İş Geliştirme Direktörü Ayşin Gök, “Ekle-çıkar yaparak istediğiniz kadar firmaya bakabiliyorsunuz. O yüzden Türkiye’de çok hızlı bir şekilde penetre olabildik” dedi. Kullanıcılar, sadece bir domain adresi üzerinden ekosistemlerindeki tüm paydaşları göz önüne alarak bunu gerçekleştirebiliyor ve Ayşin Gök’ün dikkat çektiği gibi, burada kurum ve paydaşları arasında bağlı bir ilişki var. Yani sadece dış destek alınan firmalara değil; acenteler, distribütörler gibi gerçek zamanlı ve sürekli olarak tüm ekosisteme bakılması gerekiyor. Gök, bu yüzden domain bazlı esnek bir lisanslama modeli ile platformu sunduklarını vurguladı.

Denetim daha da sistemli hale geldi

“Üç hastanemiz, bir tıp merkezimiz, fakültelerimiz şeklindeki geniş kompleksimizde departmanlarımız, takip etmemiz gereken çok iş, ürün var” bilgisini vererek konuşmasına başlayan Amerikan Hastanesi Bilgi Güvenliği Uzmanı Mesud Adhami, “Bu noktada tedarikçi yönetimini uyguluyoruz. Hatta kendimizi de bir tedarikçi olarak sayıyoruz. Bizim yüz binlerce hastamız var” yorumunu yaptı. Ürünü almak kapsamında SecurityScorecard ve kendi domain’lerini eklemek istediklerini, kendi taraflarını izledikten sonra tedarikçi sürecini başlattıkları bilgisini veren Mesud Adhami, yapıyı şöyle anlattı:

“İçeride talimat, prosedür süreçlerimiz çerçevesinde bu işlemi yapıyoruz. Çalıştığımız firmalara öncelikli olarak tedarikçi yönetimi uyguladığımızdan bahsedip, onları da izlemeye aldığımızı ifade ederek karnelerini çıkarıyoruz. Bu noktada yaklaşık 3 aylık bir sürecimiz var. İmzadan önce eksikleri düzeltip düzeltemeyeceğimize bakıyoruz. Başarılı bir şekilde yönetilirse çalışmaya başlıyoruz. Sonrasında da 6 aylık periyotlarla incelemelerimizi yapıyoruz. Anlık değişimler oluyor. Bir gün içerisinde aynı firmadan 2-3 uyarı postası alabiliyoruz. Anlık müdahale edersek yanlış değerlendirebileceğimizden ötürü bunu ikiye bölüp, 6 aylık periyotlarda tedarikçilerimize yılda iki kez gidiyoruz. Aksiyonlar hızlı alınıyorsa ne mutlu. Ancak aksiyonlar hızlı alınamıyorsa sürecimizi gözden geçirip, gerekiyorsa süreci sonlandırıyoruz. Bu süreçler artık daha otomatize oldu. Bu işe ayıracağımız vakit azaldı. Kendi projelerimize, müşterilerimize, sistemlerimize ayıracak vaktimiz ise arttı.”

Dijital etkinlik, SecurityScorecard EMEA Kıdemli Satış Mühendisi Kalle Jaaskelainen’in demosu ile tamamlandı.