Person Top Mountain

EY Türkiye Üçüncü Taraf Kaynaklı Teknoloji ve Siber Risk Yönetimi Değerlendirme Raporu

Günümüzün daha dijital, birbirine bağlı ve rekabete dayalı şartları altında, üçüncü taraf firmalar ile yapılan iş birlikleri, organizasyonlara üretim ve teslimat süreleri ile birlikte maliyetleri de azaltma imkânı sunmaktadır. Ancak, birbirlerine bağımlı bu ekosistemlerin, organizasyonlara müşteri deneyimi ve kârlı büyüme açısından büyük fırsatlar sunarken birçok yeni riski de beraberinde getirdiği gözlemlenmektedir.

Yaşadığımız dijital çağda, organizasyonların başarılı ve etkin bir şekilde faaliyetlerini yürütebilmeleri için, iş ve tedarik zinciri yönetimi açısından, karşı karşıya oldukları risklerden değer yaratacak kabiliyetlere sahip olmaları gerektiğine inanıyoruz.

Son zamanlarda birçok organizasyonun, siber saldırılar, veri ihlal vakaları, düzenleyici otoriteler tarafından uygulanan idari yaptırımlar ve hatta yürütülen yasal işlemler ile üçüncü taraf firma kaynaklı risklerle gündeme geldiğini görmekteyiz. Bu durum, ciddi itibar kayıplarına neden olarak müşterilerin organizasyonlara olan güvenini sarsmaktadır. Organizasyonlar rekabetçi piyasa koşullarında ayakta kalabilmek için sadece karşılaştıkları risklerin barındırdığı tehditleri yönetmekle kalmayıp, yine bu risklerin beraberinde getirdiği fırsatlardan da yararlanabilmelidir. Tüm bunlar göz önüne alındığında, güçlü ve sürdürülebilir bir üçüncü taraf risk yönetimi programına sahip olunması, organizasyonların birbirlerine olan bağımlılığının arttığı bu dönemde daha da kritik hale geliyor.

Bu bağımlılık, organizasyonların tabi olduğu yasal yükümlülükler bir yana, iyi bir yönetişim yapısının gereği üst yönetimleri, üçüncü taraf firma eylemlerinden de sorumlu hale getirmektedir. Örneğin; 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında verinin gizliliğinden ve güvenliğinden, veri sorumlusu organizasyon ve veri işleyen üçüncü taraf firma müştereken sorumlu hale gelmiştir.

Bu sorumluluk, üçüncü taraf firmaları denetleme gereksinimini ortaya çıkarmış ve böylelikle organizasyonların hem kendisini hem de diğer paydaşlarını güvence altına almalarını hedeflemiştir.

Düzenleyici otoriteler tarafından yayımlanan mevzuat ve yönetmelikler de, üçüncü taraf firmalar ile yürütülen ilişkilerde hesap verebilirlik ilkesinin daimî olarak öncelikle organizasyonun kendisi ile ilişkili olduğunu göstermektedir. Buna ek olarak, paydaşların ve düzenleyicilerin beklentileri uyarınca, organizasyonun dünyanın hangi noktasında tam olarak ne yaptığının, hangi üçüncü taraf firmaların organizasyon adına faaliyet gerçekleştirdiğinin ve bu faaliyetlerin neler olduğunun bilinmesi ve bunların kayıt altına alınması önem taşımaktadır.

Ayrıca, paydaşların ve düzenleyicilerin beklentileri uyarınca, organizasyonun dünyanın hangi noktasında tam olarak ne yaptığının, hangi üçüncü taraf firmaların organizasyon adına faaliyet gerçekleştirdiğinin ve bu faaliyetlerin neler olduğunun bilinmesi ve bunların kayıt altına alınması önem taşımaktadır.

Organizasyonun ve paydaşların çıkarlarını tehlikeye atan, sözleşmeye aykırı davranışların meydana gelmesi durumunda ise, taraflar arasında imzalanan sözleşme hükümlerine bağlı olarak her iki taraf için de geri dönüşü oldukça zor ve maliyetli sonuçlar ortaya çıkabilecektir.

Buradan hareketle üçüncü taraf firma risk yönetimi, dış kaynaklı ürün/hizmet tedariki yürüten ve yöneten bütün organizasyonları ve sektörleri doğrudan ilgilendirmektedir. Özellikle birçok düzenleyici yönetmelik, mevzuat ve standarda tabi olan bir sektör olması göz önüne alındığında, üçüncü taraf firma risk yönetiminin finans sektöründe ilk sıralarda yer aldığı gözlemlenmektedir (Bkz. 5 Kasım 2011 tarih ve 28106 Resmi gazete sayılı Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik).

EY Türkiye olarak; derlediğimiz bu raporun, üçüncü taraf firma risk yönetiminin Türkiye ve dünyadaki uygulamaları, üçüncü taraf kaynaklı riskleri ve bunlara ilişkin geliştirilen önerileri detaylandırmayı hedefleyerek bu alanda kılavuzluk etmesini amaçlıyoruz.

Takip eden sayfalarda, öncelikle üçüncü taraf firma risk yönetimi alanında öne çıkan terminolojiyi açıklayarak üçüncü taraf firmalarla ilişkili öne çıkan riskleri ele alacak, ardından söz konusu üçüncü taraf firmalara duyulan ihtiyaçları detaylandırarak ilgili düzenlemeler ve siber güvenlik ile veri güvenliği perspektifleri kapsamında bilgiler paylaşacağız. Sonrasında, üçüncü taraf firma risk yönetimi alanında gözlemlenen iyi uygulamalar göz önünde bulundurularak alınan önlemlerden bahsedecek ve bulut bilişim konusunu detaylandıracağız.