La due diligence nella supply chain è il processo di verifica, documentazione e gestione del rischio lungo fornitori, partner e altre terze parti. Nella sicurezza informatica, significa più che esaminare un contratto con un fornitore: include la valutazione di come un fornitore protegge i dati, gestisce le credenziali, amministra i subappaltatori e supporta i prodotti o i servizi che fornisce.
Questo è importante perché gli aggressori spesso prendono di mira l'anello più debole al di fuori dell'organizzazione principale. Un fornitore valutato in modo insufficiente può esporre dati sensibili, introdurre software o hardware non sicuri, oppure diventare un percorso fidato verso una rete più ampia. Una solida due diligence aiuta i difensori a individuare tempestivamente questi rischi tramite questionari di sicurezza, richieste di evidenze, audit, controlli contrattuali e monitoraggio continuo. Supporta inoltre la tracciabilità e la risposta agli incidenti mantenendo aggiornati i registri, verificando le attestazioni e rendendo più semplice monitorare nel tempo il rischio dei fornitori.