Geen eenmalige gebeurtenis. Geen rapport. Een methodologie die continu draait, met herintrede-triggers wanneer omstandigheden veranderen.
Voordat externe data wordt verzameld, leggen wij de operationele kennis vast die al binnen uw organisatie bestaat maar nooit is vastgelegd. Welke leveranciers zouden morgen de operatie stilleggen? Wie heeft systeemtoegang die niemand formeel bijhoudt? Waar missen contracten audit-rechten? Dit is de basis waarop al het andere wordt gebouwd.
Elke fase voedt de volgende. Fase 5-monitoring hertriggert Fase 3 of Fase 4 wanneer een signaal de drempel overschrijdt: overname, breach, regelgevingswijziging, eigendomsverschuiving. De cyclus sluit nooit volledig.
Wij volgen de indicatoren die onthullen wat de eigen antwoorden van een leverancier niet zouden, waarneembaar zonder medewerking, en veranderend voordat problemen aan de oppervlakte komen.
Het aanvalsoppervlak is waarneembaar vóór een incident. Hiaten in hoe een leverancier zijn eigen security-grens onderhoudt zijn signalen, geen speculatie.
Wie uiteindelijk een leverancier controleert — en via welke jurisdicties — bepaalt of hun compliance-verplichtingen en de uwe op één lijn liggen.
Een leverancier in financiële nood is een operationeel risico, ongeacht hoe goed ze hun systemen patchen.
Waar een leverancier opereert, ontwikkelt en data verwerkt, bepaalt de risico’s die zij dragen — risico’s die geen vragenlijst boven tafel brengt.
Patronen in het openbaar register — handhavingsacties, rechtszaken, toezichthouderaandacht — geven aan hoe een leverancier functioneert onder druk.
Hoe vervangbaar een leverancier is, en hoeveel van uw kritieke processen zij raken, bepaalt de consequentie van falen — niet alleen de waarschijnlijkheid ervan.
Regelgeving evolueert. Landen komen op restricted lists. Technologiecategorieën vallen onder nieuwe exportcontroles of toezichtkaders. Wij volgen hoe het regelgevingslandschap verschuift en signaleren wanneer de jurisdictie, het product of de sector van een leverancier naar hoger risico verschuift.
Wanneer één leverancier — of een klein cluster leveranciers — meerdere kritieke processen tegelijkertijd ondersteunt, overstijgt de systemische blootstelling wat een individuele leveranciersbeoordeling zou onthullen.
Het risico binnen de eigen toeleveringsketen van een leverancier — van wie zij afhankelijk zijn, waar hun kritieke componenten vandaan komen — is zelden zichtbaar van buitenaf. Wij brengen het in kaart waar het er het meest toe doet.