Bir yazılım hizmet sağlayıcısını nitelendirmek ve siber güvenlik için bir hizmet olarak yazılımı (SaaS) yönetmek için şirketinizin yaklaşımı nedir?
Yazılım servis sağlayıcınızı nitelendirme ve yönetme ihtiyacı
Son on yılın üretkenlik kazanımlarının çoğu, yazılım araçlarının iş süreçlerimize entegrasyonuyla ilgilidir. Geçmişte, yazılım lisansları şirket bütçelerinin küçük bir parçasıydı ve en kritik yazılım araçları, malzeme ihtiyaç planlaması (MRP) işlevlerinin ve müşteri ilişkileri yönetiminin (CRM) yönetilmesine yardımcı oldu. Günümüzde her iş sürecini otomatikleştirecek yazılım uygulamaları bulunmaktadır. “Hizmet Olarak Yazılım” veya (Saas) olarak da bilinen tek bir yazılım hizmet sağlayıcısının başarısızlığı, tüm işinizi felç edebilir. Geçmişte iş sürekliliği planları işgücü, güç, envanter, kayıtlar ve lojistik üzerine odaklanıyordu. Bugün iş sürekliliği planlarımızın da yazılım hizmeti sağlayıcılarını, internet bant genişliğini, web sitelerini, e-postayı ve siber güvenliği içerecek şekilde genişletilmesi gerekiyor. Bu yeni paradigma, tıbbi cihaz endüstrisine özgü değildir. Tıbbi cihaz endüstrisi, dış kaynak kullanımının yaygınlığı nedeniyle tedarik zincirine daha fazla bağımlı hale geldi ve diğer endüstrilere ne olduğu sonunda, paylaştığımız bu küçük toplu niş içine süzülecek. Bunu akılda tutarak, bir yazılım servis sağlayıcısını nasıl nitelendirir ve yönetiriz?
Yazılım hizmeti sağlayıcılarına yönelik tehditler (Kaseya Case Study)
İki yıl önce WannaCry fidye yazılımı saldırısı 200,000 bilgisayarı, 150 ülkeyi ve 80'den fazla hastaneyi etkiledi.
Kaseya bir hastane değil. Kaseya bir yazılım servis sağlayıcı şirketidir. Peki bu örnek neden tıbbi cihaz endüstrisiyle alakalı?
Kaseya'ya yapılan fidye yazılımı saldırısı, her ikisinin de CISA ve FBI işin içine girdi ve bazı Yönetilen Servis Sağlayıcıları (MSP'ler) ve alt müşterileri tehlikeye attı. Bu tedarik zinciri fidye yazılımı saldırısının kendi Wikipedia sayfası. Saldırı, Kaseya'nın sunucuları geçici olarak kapatmasına neden oldu. Bunların hiçbiri Kaseya'nın veya eylemlerinin bir eleştirisi değil. Haberlerde yalnızca bir siber saldırının en son yüksek profilli kurbanıydılar. Şimdi siber suçlular tedarik zincirinize saldırıyor. İşinizle ilgili olduğu için bu tür bir saldırının kavramlarını ve değerlendirmelerini vurgulamak istiyoruz.
Bir yazılım hizmeti sağlayıcısı için hangi tedarikçi kontrollerine ihtiyacınız var?
ABD FDA'nın yargı yetkisi altında tıbbi cihaz satan bir üreticiyseniz, 21 CFR 820.50'ye (yani satın alma kontrollerine) uymanız gerekir. FDA, şirketinizin satın aldığı şeyin, ihtiyacınız olan şeyin belirtilen gereksinimlerini karşılamasını nasıl sağladığınızı kontrol etmek için yerleşik ve sürdürülen bir prosedür gerektirir. Çoğu cihaz üreticisi yalnızca fiziksel bileşenler üreten tedarikçileri dikkate alır, ancak cihazınız yazılım içeriyorsa veya bir yazılım aksesuarıyla etkileşime giriyorsa bir yazılım hizmet sağlayıcı cihazınız için kritik olabilir. Bir yazılım hizmeti sağlayıcısı ayrıca kalite sistem yazılımı, klinik veri yönetimi veya tıbbi cihaz dosyalarınızla ilgili olabilir. Bir hizmet olarak yazılım mı satın alıyorsunuz yoksa bulut depolama için bir MSP'ye mi güveniyorsunuz?
Yazılım hizmet sağlayıcınızın belge incelemesi veya onayı, kalite kayıtlarının kontrolü, Korunan Sağlık Bilgileri (PHI) veya elektronik imza gereksinimleri ile ilgilenip ilgilenmediğini belirlemeniz gerekir. Şirketinizin satın aldığı tüm hazır ürünler için bir tedarikçi kalite sözleşmesine ihtiyacınız yoktur. Örneğin, ara sıra bir fosforlu kalem paketi satın aldığınız için Sharpie'nin bir tedarikçi kalite sözleşmesi imzalaması aptalca olur. Öte yandan, imzalanmış kalite kayıtlarınızın %100'ünü yönetmek için Docusign'a güveniyorsanız, Docusign'ın yazılımını ne zaman güncellediğini veya bir güvenlik ihlali olduğunu bilmeniz gerekir. Ayrıca Docusign'ı bir yazılım aracıve bilgilerinizin bir yedeği olmalıdır.
21 CFR 820.50, "kurulu ve sürdürülen" prosedürünüze göre belirlenmiş ve kalite gereksinimlerini karşılamak için tedarikçi değerlendirmelerini belgelemenizi gerektirir. Bu tedarikçi için belirtilen gereksinimler aşağıdakileri içerebilir:
- Ne kadar veri depolamaya ihtiyacınız var?
- Kaç kullanıcı hesabına ihtiyacınız var?
- Her kullanıcı için benzersiz elektronik kimliklere mi ihtiyacınız var?
- Yazılım hizmeti için teknik desteğe mi ihtiyacınız var?
- Yazılıma bir internet tarayıcısı ile mi erişiliyor, yoksa yazılım uygulama tabanlı mı yoksa her ikisi birden mi?
- Bu yazılım hizmetinin maliyeti nedir?
- Lisans tek seferlik satın alınıyor mu? Yoksa bir abonelik mi?
Bunun gibi bir tedarikçi için kalite gereksinimleri daha çok şu sorulara benzeyebilir;
- Bilgilerim nasıl yedeklenir?
- Bozulma durumunda önceki dosya revizyonlarını geri yükleyebilir miyim?
- Bilgilerime erişimi nasıl kontrol edebilirim?
- Elektronik belgeleri imzalayabilir miyim? Evet ise, 21 CFR Bölüm 11 uyumlu mu?
- Bu tedarikçinin bilgilerime alt erişimi var mı? (tedarikçinin tedarikçileri eşyalarımı görebilir mi?)
- PHI'yı yönetiyor muyum? Eğer öyleyse, bu sistem HIPAA uyumlu hale getirilebilir mi? HITECH'e ne oldu?
- Bu tedarikçi hangi siber güvenlik uygulamalarını kullanıyor?
- Rutin yamalar ve güncellemeler bana nasıl iletilir?
Tedarikçi kalite yönetimine risk temelli bir yaklaşım
ISO 13485:2016, tedarikçi kalite yönetimi de dahil olmak üzere tüm süreçlere risk tabanlı bir yaklaşım uygulamanızı gerektirir. Hem mal hem de hizmet sağlayan tedarikçilere risk temelli bir yaklaşım uygulanmalıdır. Örneğin, nakliye kutuları sipariş edebilir ve sterilizasyon hizmetleri için sözleşme yapabilirsiniz. Her iki şirket de tedarikçidir, ancak bu örnekte sözleşmeli sterilizatör tarafından sağlanan hizmetler, nakliye kutusu tedarikçisinden çok daha yüksek bir risk ile ilişkilidir. Bu nedenle, sterilizatör üzerinde daha fazla kontrol sahibi olmanız gerektiği mantıklıdır. Bir yazılım hizmeti sağlayıcıları, sözleşmeli sterilizatöre çok benzer. SaaS somut değildir, ancak sağlanan hizmetin kalite yönetim sisteminiz üzerinde yüksek düzeyde risk ve potansiyel etkisi olabilir. Bu nedenle, bir yazılım hizmeti tedarikçisini değerlendirmeden, kontrol etmeden ve izlemeden önce SaaS ile ilişkili riski belirlemeniz gerekir.
Öncelikle yeni bir tedarikçinin yeterliliğini belgelemeniz gerekir. Bulut hizmeti sağlayıcınızın geçerli bir ISO 13485: 2016 belgelendirme. Daha sonra, süreç kontrollerinin nesnel olarak kanıtlanabilir bir kaydına sahip olursunuz ve bu sertifikayı sürdürmek için rutin olarak denetlendiklerini bilirsiniz. Ayrıca tıbbi cihaz endüstrisinde faaliyet gösterdikleri için 2. taraf tedarikçi denetimlerinden geçmeyi de anlayacak ve bekleyeceklerdir. Alternatif olarak, bir yazılım hizmeti sağlayıcısının ISO 9001:2015 sertifikası olabilir. Bu, tüm ürün veya hizmetlere uygulanabilen genel bir kalite sistem belgesidir. Kalite sistem belgesinin yokluğunda, potansiyel bir tedarikçiyi denetleyebilirsiniz. Bazı tedarikçiler için bu mantıklı. Ancak tıbbi cihaz sektörü dışında kalan birçok firma, kendi sektörlerine özgü veya gerekli olmadığı için bir kalite sistemine bile sahip değildir. Yapanlar için, muhtemelen mevcut sertifikalarından ve akreditasyonlarından yararlanabilirsiniz.
Bilmeniz gereken siber güvenlik standartları
Çoğu bulut hizmeti sağlayıcısı, tıbbi cihaz endüstrisine özgü bir kalite yönetim standardı olduğu için ISO 13485 sertifikasına sahip olmayacaktır. Ancak, bir yazılım hizmet sağlayıcısıyla ilgili olabilecek aşağıdaki ISO standartlarının bazı kombinasyonlarını arayabilirsiniz:
- ISO / IEC 27001 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler
- ISO / IEC 27002: 2013 Bilgi Teknolojisi. Güvenlik Teknikleri. Bilgi Güvenliği Kontrolleri Uygulama Esasları
- ISO / IEC 27017: 2015 Bilgi Teknolojisi. Güvenlik Teknikleri. Bulut Hizmetleri için ISO/IEC 27002'ye Dayalı Bilgi Güvenliği Kontrollerine İlişkin Uygulama Kuralları
- ISO / IEC 27018: 2019 Bilgi Teknolojisi – Güvenlik Teknikleri – Kişisel Tanımlanabilir Bilgilerin (PII) Genel Bulutlarda Kişisel Olarak Tanımlanabilir Bilgilerin Korunmasına İlişkin Uygulama Kuralları, Kişisel Bilgi İşlemcileri Olarak Çalışıyor
- ISO Kalite Yönetim Sistemi Güvenlik ve Esneklik – İş Sürekliliği Yönetim Sistemleri – Gereksinimler
- ISO / IEC 27701: 2019 Güvenlik Teknikleri. Gizlilik Bilgileri Yönetimi için ISO/IEC 27001 ve ISO/IEC 27002'ye Uzantı. Gereksinimler ve Yönergeler
Yazılım servis sağlayıcınızın SOC raporları var mı?
"SOC" kısaltması, Hizmet Organizasyonu Kontrolü anlamına gelir ve bu raporlar, Amerikan Yeminli Mali Müşavirler Enstitüsü tarafından oluşturulmuştur. SOC raporları, bir kuruluşun kullandığı iç kontrollerdir ve her rapor belirli bir konu içindir. SOC raporları, SaaS ve MSP Tedarikçileri için değişen derecelerde geçerlidir
SOC 1 Raporu, Mali Raporlama Üzerindeki İç Kontrollere odaklanır. Bulutta hangi bilgileri saklamanız gerektiğine bağlı olarak, bu rapor, özel olarak kalite yönetim sisteminizden ziyade genel işinizin sürekliliği için daha uygun olabilir.
SOC 2 Raporu, bir organizasyonun beşe hangi düzeyde kontroller yerleştirdiğini ele alır. Güven Hizmet Kriterleri: 1) Güvenlik, 2) Kullanılabilirlik, 3) İşleme Bütünlüğü, 4) Gizlilik ve 5) Gizlilik. Bir tıbbi cihaz üreticisi olarak bu alanlar, kalite sisteminizin diğer alanlarının yanı sıra belgelerin kontrolü, kayıtların kontrolü ve süreç doğrulama konularına değinecektir. Bazı tedarikçiler, raporda sağlanan gizli ayrıntıların miktarı nedeniyle bir SOC 2 raporunu sizinle paylaşmayabilir.
SOC 3 Raporu, SOC 2 Raporunun içerdiği bilgilerin çoğunu içerecektir. Her ikisi de beş Güven Hizmeti Kriterini ele alır. Aradaki fark, raporların hedeflenen kitleleridir. SOC 3, başkalarıyla paylaşılması veya kamuya açık olması beklenen genel bir kullanım raporudur. Bu nedenle, SOC 2 raporuyla aynı samimi ayrıntı düzeyine girmez. Spesifik olarak, bir sistemin hangi kontrolleri kullandığına ilişkin bilgiler, SOC 2 Raporundaki açıklama ve kontrollerin ayrıntılı listesi ile karşılaştırıldığında tanımlandığı takdirde çok kısadır.
Yazılım servis sağlayıcınızı nitelendirmenin ve yönetmenin diğer yolları
SOC raporları, nitelemeye çalıştığınız kuruluşun bir resmini çizmeye yardımcı olacaktır. Ayrıca tedarikçiyi sürekli olarak değerlendirmeniz gerekecektir. Geçerli sertifikaları ve akreditasyonları sürdürmek için tedarikçinin rutin denetimlere ve teftişlere tabi olup olmadığını bilmek önemlidir. Örneğin, ISO sertifikaları üç yıl sürüyorsa, en az üç yılda bir tedarikçiniz ile yeni sertifikalarını takip etmeniz gerektiğini bilmelisiniz. Öte yandan, sertifikalarını kaybederlerse, tedarikçinin artık ihtiyaçlarınızı karşılayamayacağına ve yeni bir tedarikçi bulmanız gerektiğine işaret edebilir.
Bir SaaS veya MSP tedarikçisini nitelendirmek için kullanabileceğiniz uzun bir standartlar, sertifikalar, akreditasyonlar, onaylar ve kayıtlar listesi vardır. Böyle bir kayıt, Cloud Security Alliance tarafından korunur (örn. CSA STAR kaydı). “YILDIZ” Security, Trust, Assurance ve Risk kelimelerinin baş harflerinden oluşan bir kısaltmadır. CSA, STAR kayıt defterini kendi sözleriyle şöyle tanımlar:
“STAR, Bulut Kontrol Matrisi (CCM) ve CAIQ'da ana hatlarıyla belirtilen şeffaflık, titiz denetim ve standartların uyumlaştırılmasının temel ilkelerini kapsar. Kayıt defterinde yayımlama, kuruluşların mevcut ve potansiyel müşterilere bağlı oldukları düzenlemeler, standartlar ve çerçeveler dahil olmak üzere güvenlik ve uyumluluk durumlarını göstermelerine olanak tanır. Sonuç olarak karmaşıklığı azaltır ve birden fazla müşteri anketi doldurma ihtiyacını hafifletmeye yardımcı olur.”
Tedarikçi kalifikasyon sürecinizin SaaS ve MSP tedarikçileriniz hakkında sorması gereken sorulardan bazıları şunlardır:
- Neden bu yazılım hizmetine ihtiyacım var?
- Hangi standartlar, düzenlemeler veya süreç kontrollerinin karşılanması gerekiyor?
- SaaS veya MSP sağlayan bir tedarikçiyi kalifiye etmek için ne gereklidir?
- Bir yazılım servis sağlayıcısını nasıl izleyeceksiniz?
ISO sertifikası, SOC raporları ve CSA STAR kaydı, tedarikçi kalifikasyonunu ve izlemesini kullanabileceğiniz tedarikçi değerlendirme araçlarıdır. Bu araçları kullanırken kapalı uçlu sorular yerine açık uçlu sorular sorduğunuzdan emin olun. Bizim tedarikçi kalifikasyonu hakkında web semineri "antik" evet/hayır sorularınızı katma değerli sorulara nasıl dönüştüreceğinize dair birkaç örnek sunar.
Yazılım hizmeti sağlayıcınız, siber güvenlik planlarının etkinliğini gösteren kayıtları ve ölçümleri sağlayabilmelidir. Aşağıda, talep edebileceğiniz diğer kayıt türlerine ilişkin üç örnek verilmiştir:
- Bulut Bilişim Uyumluluk Kontrolleri Kataloğu veya “C5 Onay Raporu”
- Denetimli Sınıflandırılmamış Bilgiler için Sistem Güvenlik Planı uyarınca NIST yayın SP 800-171
- AB-ABD Gizlilik Kalkanı veya İsviçre-ABD Gizlilik Kalkanı için Gizlilik Kalkanı Sertifikası
Gizli kalkan sertifikası, Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği'ne (GDPR) uyum sağlamak için CE İşaretli cihazlara sahip şirketler için özellikle önemli olabilir veya Yönetmelik 2016 / 679.
Tedarikçi kalifikasyonu için son bir değerlendirme, “Üst düzey tedarikçiler kimlerdir?” sorusudur. Yeni tedarikçinizin veya tedarikçilerinin Korunan Sağlık Bilgilerine (PHI) erişimi olup olmayacağını bilmek önemlidir. Tedarikçinizin taşeronları üzerinde daha az kontrole sahip olduğunuzdan, tedarikçinizin kendi tedarik zincirlerini nasıl yönettiğini ve tedarikçinizin taşeronlarının hangi genel siber güvenlik uygulamalarına uyduğunu değerlendirmeniz gerekebilir.
Ek siber güvenlik, yazılım doğrulama ve tedarikçi kalitesi kaynakları
Siber güvenlik, yazılım doğrulama ve tedarikçi kalite yönetimi hakkında daha fazla kaynak için lütfen aşağıdaki kaynaklara göz atın:
Kaynak: https://medicaldeviceacademy.com/software-service-provider/
- 000
- 11
- 2016
- 2021
- erişim
- aksesuar
- Bireysel Üyelik Sözleşmesi
- Türkiye
- Ittifak
- Amerikan
- arasında
- uygulamaları
- denetim
- kullanılabilirliği
- kutu
- ihlal
- tarayıcı
- iş
- İş devamlılığı
- Iş süreçleri
- örnek olay
- sertifika
- belgeleme
- CISA
- bulut
- Bulut Güvenlik
- bulut depolama
- kod
- Şirketler
- şirket
- uyma
- bilgisayarlar
- bilgisayar
- içerik
- sözleşme
- bozulma
- ülkeler
- CRM
- akım
- müşteri ilişkileri yönetimi
- Müşteriler
- Siber saldırı
- siber suçluların
- Siber güvenlik
- veri
- veri yönetimi
- veri koruma
- veri saklama
- ayrıntı
- Cihaz
- evraklar
- DocuSign
- E-posta
- Avrupa
- Egzersiz
- Genişletmek
- Başarısızlık
- FBI
- fda
- mali
- takip et
- KVKK
- genel
- Genel Veri Koruma Yönetmeliği
- mal
- Sağlık
- Yüksek
- Hastane
- Hastanelerinden olan İstanbul Cerrahi Hastanesi'nde
- Ne kadar
- Nasıl Yapılır
- HTTPS
- darbe
- Dahil olmak üzere
- içerme
- Endüstri
- sanayi
- bilgi
- bilgi Güvenliği
- bilgi teknolojisi
- Internet
- envanter
- ilgili
- IT
- anahtar
- emek
- son
- ÖĞRENİN
- seviye
- Kaldıraç
- Lisans
- lisansları
- Liste
- lojistik
- Uzun
- Yapımı
- yönetim
- Üretici firma
- tıbbi
- Tıbbi cihaz
- Metrikleri
- izleme
- haber
- açık
- sipariş
- Diğer
- Diğer
- Outsourcing
- boya
- paradigma
- Yamalar
- fiziksel
- resim
- pii
- planlama
- oyuncu
- Mesajlar
- güç kelimesini seçerim
- gizlilik
- verimlilik
- Ürünler
- koruma
- halka açık
- Yayıncılık
- satın alma
- alımları
- kalite
- fidye
- Fidye Yazılımı Saldırısı
- kayıtlar
- Değişiklik Yapıldı
- yönetmelik
- rapor
- Raporlar
- Yer Alan Kurallar
- Kaynaklar
- yorum
- Risk
- SaaS
- güvenlik
- duyu
- Hizmetler
- paylaş
- Paylaşılan
- Kargo
- küçük
- So
- Yazılım
- hizmet olarak yazılım
- Hizmet Olarak Yazılım/SaaS
- standartlar
- hafızası
- mağaza
- Ders çalışma
- abone
- tedarikçileri
- arz
- tedarik zinciri
- destek
- sistem
- Sistemler
- teknoloji
- Teknoloji
- zaman
- dokunma
- Şeffaflık
- Güven
- bize
- Güncellemeler
- Video
- Webinar
- web siteleri
- Vikipedi
- sözler
- yıl
- Youtube
