ݺߣ

ݺߣShare a Scribd company logo
Tedarikçi güvenliği için
bir yol haritası örneği
Kurum içi ve dışı paydaşlar, sorumluluklar


                             Okşan Doğan
               Türk Ekonomi Bankası A.Ş.
        Operasyonel Risk ve Bilgi Güvenliği



                             15 Mayıs 2012
• Tedarikçi güvenliği denildiğinde herkes sorumluluğunun ne
  olduğunu biliyor mu ?
   ▫ Bu konu salt mevzuat veya salt bilgi teknolojileri güvenliği
     konusu değildir,
   ▫ Bu iş tek başına Satınalma Yönetimi’nin işi de değildir,
   ▫ Sözleşmeleri Hukuk onaylıyor diye Hukuk Departmanının
     işi de değildir.
   ▫ Konuya operasyonel risk yönetimi bakış açısı ile bütünsel
     yaklaşılmalıdır.
• İşi firma yapıyor, sorumlusu da firmadır o zaman onlar
  uğraşsın mı deniyor ?
• Tedarikçinin denetlenmesi söz konusu olduğunda akla gelen
  ilk adres iç kontrol veya teftiş ekipleri mi ?
Yol haritası
• İç ve dış mevzuatın taranması, gerekliliklerin
  ‘özümsenmesi’
  ▫   BDDK
  ▫   Kurum içi düzenlemeler
  ▫   ( Varsa ) Yabancı ortağın politika ve prosedürleri
  ▫   İç/Dış raporlama formatları da bir noktada belirleyici olabilir
• Hizmet alım sürecinin, mevzuat gereksinimleri de
  dikkate alınarak, güncellenmesi
  ▫ Uygulama talimatı ile akışın ve sorumlulukların belirlenmesi
       Teknik yeterlilik, risk analizi, ortaklar ve üst yöneticilerin uyum
        dosyası, tedarikçi karşılaştırma raporları, fayda/maliyet analizi,
        sistem ve süreç güncellemeleri, iş sürekliliği planları
Yol haritası
• Sözleşme envanterinin oluşturulması ve destek hizmeti
  sözleşmelerinin filtrelenebilmesinin sağlanması
  ▫ Envantere hizmet alımlarına yönelik bir takım bilgi toplama
    özelliklerinin yerleştirilmesi - Alınan hizmetin tanınması
     Satın alma envanteri tek yerde tutulmalı, her satın almacı ünite
      kendi envanterini tutar gibi bir kabulle bütünlük sağlamak zor
Yol haritası
• Risklerin önlenmesi adına satın alma sürecinde muhtelif
  kontrol istasyonlarının oluşturulması
  ▫ Satın alma talep aşaması
     Basit soru setleri ile satın alma mahiyeti anlaşılmalıdır
     Eğer yazılım satın alınıyor ise yazılımın türü, tedarikçinin yetki ve
      sorumlulukları anlaşılmaya çalışılmalıdır.
     Satınalmacı ünite başta olmak üzere tüm gerekli üniteler erkenden
      uyarılmalı, bilgi sahibi olması sağlanmalıdır.
  ▫ Sözleşme aşaması
     Sözleşmelerde güvenlik kontrol listesi - Sözleşmenin içeriğini
      hazırlayan ve gözden geçiren tarafların atlama yapmasını önler
Yol haritası
• Risklerin önlenmesi adına süreçte muhtelif kontrol
  istasyonlarının oluşturulması / devam
  ▫ Mevzuat , operasyonel risk, iç kontrol, bilgi güvenliği ve hukuk
    ekipleri proje boyunca muhtelif aşamalarda konuya dahil olmalıdır.
       Bu alım bir destek hizmeti alımı mıdır
       Yönetmeliğe tabi midir, Denetim komitesi onayı aranıyor mu
       Sözleşmeye ne gibi unsurların eklenmesi gereklidir
       Bilgi güvenliği kurallarının üzerinde ayrıca çalışılması gerekli midir
       İlave kontrol noktalarının oluşturulması gerekiyor mu
       Kurumun iş sürekliliği planları etkileniyor mu , firmanın iş sürekliliği
        planları yeterli mi
       Mali mesuliyet sigortası lazım mı
       Kurumun mevcut sigorta poliçelerinin kapsamadığı bir alan oluşuyor mu ?
       Risk analiz raporunun doldurulmasına destek
       Denetim komitesi öncesi son kontroller
       Start up denetimi lazım mı
Yol haritası
• Risklerin üst yönetime raporlanması
  ▫ Risk yönetim programı
  ▫ Öz değerlendirme metodu
     1.   Risk analizi ( kapsamı ve güncelliği )
     2.   Sözleşmeler
     3.   Prosedürler ( tamlığı ve güncelliği )
     4.   Kontrol çerçevesi ( etkinliği )
     5.   İş sürekliliği
     6.   Raporlama, SLA’e uyumluluk
     7.   Yürütme izleme ve etkinlik sorgulama
     8.   Kabul Süreci
Yol haritası
• Aksiyon planlarının yakından takibi
• Düzenli kontrol ve denetimler
  ▫ Denetimlerin kapsamının doğru oluşturulması
  ▫ Uçtan uca süreç güvenliği yaklaşımı kurgusu
  ▫ Hizmeti alanların birinci seviye kontrolleri ile iç kontrol/teftiş ve
    bağımsız denetçi denetimlerinin amacı ve periyodunun
    karıştırılmaması
  ▫ Denetim bulgularının takibi
• İzlemek ve tespitleri birbirleri ile ilişkilendirmek önemlidir
  ▫   SLA
  ▫   Müşteri şikayetleri
  ▫   Denetim bulguları
  ▫   Operasyonel risk kayıp olayları
  ▫   Uzaktan erişimlerin takibi ( sıklık ve yapılan iş seviyesinde takip
      bile anlamlı )
Olmazsa Olmazlar
▫ Tedarikçi güvenliğinin önemini içtenlikle kavramak ve
  yapılanları sadece «mevzuatı memnun etmek» için
  yapmamak
▫ Tüm tarafların en yüksek seviyede iletişimi şart
  ▫ Mevzuat, Hukuk, Satın alma, Operasyonel Risk, Bilgi Güvenliği,
    İç kontrol, Teftiş, İş kolu, IT
• Tüm bu sürecin koordinasyonundan ve gözetiminden
  sorumlu bir «gönüllü» !!!!

More Related Content

Tedarikçi Güvenliği için Yol Haritası

  • 1. Tedarikçi güvenliği için bir yol haritası örneği Kurum içi ve dışı paydaşlar, sorumluluklar Okşan Doğan Türk Ekonomi Bankası A.Ş. Operasyonel Risk ve Bilgi Güvenliği 15 Mayıs 2012
  • 2. • Tedarikçi güvenliği denildiğinde herkes sorumluluğunun ne olduğunu biliyor mu ? ▫ Bu konu salt mevzuat veya salt bilgi teknolojileri güvenliği konusu değildir, ▫ Bu iş tek başına Satınalma Yönetimi’nin işi de değildir, ▫ Sözleşmeleri Hukuk onaylıyor diye Hukuk Departmanının işi de değildir. ▫ Konuya operasyonel risk yönetimi bakış açısı ile bütünsel yaklaşılmalıdır. • İşi firma yapıyor, sorumlusu da firmadır o zaman onlar uğraşsın mı deniyor ? • Tedarikçinin denetlenmesi söz konusu olduğunda akla gelen ilk adres iç kontrol veya teftiş ekipleri mi ?
  • 3. Yol haritası • İç ve dış mevzuatın taranması, gerekliliklerin ‘özümsenmesi’ ▫ BDDK ▫ Kurum içi düzenlemeler ▫ ( Varsa ) Yabancı ortağın politika ve prosedürleri ▫ İç/Dış raporlama formatları da bir noktada belirleyici olabilir • Hizmet alım sürecinin, mevzuat gereksinimleri de dikkate alınarak, güncellenmesi ▫ Uygulama talimatı ile akışın ve sorumlulukların belirlenmesi  Teknik yeterlilik, risk analizi, ortaklar ve üst yöneticilerin uyum dosyası, tedarikçi karşılaştırma raporları, fayda/maliyet analizi, sistem ve süreç güncellemeleri, iş sürekliliği planları
  • 4. Yol haritası • Sözleşme envanterinin oluşturulması ve destek hizmeti sözleşmelerinin filtrelenebilmesinin sağlanması ▫ Envantere hizmet alımlarına yönelik bir takım bilgi toplama özelliklerinin yerleştirilmesi - Alınan hizmetin tanınması  Satın alma envanteri tek yerde tutulmalı, her satın almacı ünite kendi envanterini tutar gibi bir kabulle bütünlük sağlamak zor
  • 5. Yol haritası • Risklerin önlenmesi adına satın alma sürecinde muhtelif kontrol istasyonlarının oluşturulması ▫ Satın alma talep aşaması  Basit soru setleri ile satın alma mahiyeti anlaşılmalıdır  Eğer yazılım satın alınıyor ise yazılımın türü, tedarikçinin yetki ve sorumlulukları anlaşılmaya çalışılmalıdır.  Satınalmacı ünite başta olmak üzere tüm gerekli üniteler erkenden uyarılmalı, bilgi sahibi olması sağlanmalıdır. ▫ Sözleşme aşaması  Sözleşmelerde güvenlik kontrol listesi - Sözleşmenin içeriğini hazırlayan ve gözden geçiren tarafların atlama yapmasını önler
  • 6. Yol haritası • Risklerin önlenmesi adına süreçte muhtelif kontrol istasyonlarının oluşturulması / devam ▫ Mevzuat , operasyonel risk, iç kontrol, bilgi güvenliği ve hukuk ekipleri proje boyunca muhtelif aşamalarda konuya dahil olmalıdır.  Bu alım bir destek hizmeti alımı mıdır  Yönetmeliğe tabi midir, Denetim komitesi onayı aranıyor mu  Sözleşmeye ne gibi unsurların eklenmesi gereklidir  Bilgi güvenliği kurallarının üzerinde ayrıca çalışılması gerekli midir  İlave kontrol noktalarının oluşturulması gerekiyor mu  Kurumun iş sürekliliği planları etkileniyor mu , firmanın iş sürekliliği planları yeterli mi  Mali mesuliyet sigortası lazım mı  Kurumun mevcut sigorta poliçelerinin kapsamadığı bir alan oluşuyor mu ?  Risk analiz raporunun doldurulmasına destek  Denetim komitesi öncesi son kontroller  Start up denetimi lazım mı
  • 7. Yol haritası • Risklerin üst yönetime raporlanması ▫ Risk yönetim programı ▫ Öz değerlendirme metodu 1. Risk analizi ( kapsamı ve güncelliği ) 2. Sözleşmeler 3. Prosedürler ( tamlığı ve güncelliği ) 4. Kontrol çerçevesi ( etkinliği ) 5. İş sürekliliği 6. Raporlama, SLA’e uyumluluk 7. Yürütme izleme ve etkinlik sorgulama 8. Kabul Süreci
  • 8. Yol haritası • Aksiyon planlarının yakından takibi • Düzenli kontrol ve denetimler ▫ Denetimlerin kapsamının doğru oluşturulması ▫ Uçtan uca süreç güvenliği yaklaşımı kurgusu ▫ Hizmeti alanların birinci seviye kontrolleri ile iç kontrol/teftiş ve bağımsız denetçi denetimlerinin amacı ve periyodunun karıştırılmaması ▫ Denetim bulgularının takibi • İzlemek ve tespitleri birbirleri ile ilişkilendirmek önemlidir ▫ SLA ▫ Müşteri şikayetleri ▫ Denetim bulguları ▫ Operasyonel risk kayıp olayları ▫ Uzaktan erişimlerin takibi ( sıklık ve yapılan iş seviyesinde takip bile anlamlı )
  • 9. Olmazsa Olmazlar ▫ Tedarikçi güvenliğinin önemini içtenlikle kavramak ve yapılanları sadece «mevzuatı memnun etmek» için yapmamak ▫ Tüm tarafların en yüksek seviyede iletişimi şart ▫ Mevzuat, Hukuk, Satın alma, Operasyonel Risk, Bilgi Güvenliği, İç kontrol, Teftiş, İş kolu, IT • Tüm bu sürecin koordinasyonundan ve gözetiminden sorumlu bir «gönüllü» !!!!