La gestione del rischio dei fornitori è il processo di valutazione di un fornitore prima di implementarne il prodotto o servizio. I team di sicurezza verificano se il fornitore protegge i dati, applica patch ai sistemi, limita gli accessi e può soddisfare i requisiti contrattuali relativi a privacy, registrazione, risposta agli incidenti e continuità del servizio.
Nella cyber security, questo è importante perché un'azienda spesso eredita le debolezze del fornitore. Un provider cloud compromesso, una piattaforma di AI o un fornitore di software possono esporre i dati dei clienti, introdurre aggiornamenti malevoli o creare un percorso nascosto verso i sistemi interni. Una buona gestione del rischio dei fornitori utilizza questionari, revisioni di sicurezza, evidenze dei controlli e monitoraggio continuo per verificare che le dichiarazioni del fornitore corrispondano alla realtà.