- Sebagian besar organisasi tidak sepenuhnya mempercayai penyedia keamanan siber mereka dan mengalami kesulitan serius dalam menilai keandalannya.
- Kepercayaan menjadi faktor risiko yang terukur, yang didorong oleh artefak yang dapat diverifikasi seperti audit eksternal, sertifikasi, dan kematangan operasional.
- Tekanan regulasi dan adopsi kecerdasan buatan mengubah kepercayaan menjadi persyaratan kepatuhan, bukan sekadar pesan pemasaran.
- Kurangnya transparansi dan kesenjangan internal antara TI dan manajemen memaksa perumusan ulang hubungan dengan pemasok serta tuntutan akan lebih banyak bukti dan kejelasan.
La kepercayaan pada penyedia keamanan siber Hal ini telah menjadi salah satu aspek paling sensitif dari strategi digital perusahaan mana pun. Kita tidak hanya berbicara tentang apakah suatu solusi memblokir lebih banyak atau lebih sedikit serangan, tetapi sesuatu yang jauh lebih dalam: sejauh mana organisasi benar-benar percaya pada mereka yang mengklaim melindungi mereka, bagaimana mereka mengukur kepercayaan ini, dan apa dampak persepsi tersebut terhadap risiko aktual yang mereka ambil.
Studi global “Realitas Kepercayaan Keamanan Siber 2026”Sebuah studi, yang didukung oleh Sophos dan dilakukan dengan melibatkan 5.000 organisasi di 17 negara, mengukur situasi ini secara kuantitatif, dan hasilnya cukup jelas: kepercayaan itu rapuh, sulit dinilai, dan tidak lagi dapat dikelola hanya dengan slogan pemasaran. Dalam lingkungan dengan ancaman yang konstan, peraturan yang semakin ketat, dan percepatan adopsi kecerdasan buatan, kemampuan untuk menunjukkan keandalan pemasok dengan bukti telah menjadi sama pentingnya dengan teknologi pertahanan itu sendiri.
Masalah global: hampir tidak ada yang sepenuhnya mempercayai pemasok mereka.
Data dalam laporan tersebut bersifat konklusif.Secara global, 95% organisasi mengakui bahwa mereka tidak memiliki kepercayaan penuh pada penyedia keamanan siber mereka. Bukan berarti mereka sama sekali tidak mempercayai mereka, tetapi mereka menegaskan bahwa ada keraguan yang signifikan tentang bagaimana mitra-mitra ini beroperasi, tingkat kematangan mereka, dan bagaimana mereka akan merespons jika terjadi insiden serius.
Selain itu, a 79% dari responden survei mengatakan mereka merasa kesulitan Mengevaluasi keandalan mitra keamanan siber baru. Dengan kata lain, ketika mempertimbangkan untuk menambahkan penyedia baru ke ekosistem keamanan, sebagian besar perusahaan mendapati bahwa mereka kekurangan informasi yang jelas, objektif, dan cukup rinci untuk menilai apakah organisasi tersebut layak dipercaya.
Situasi tidak banyak membaik dengan mitra yang sudah mapan: lebih dari enam dari sepuluh perusahaan (62%) Mereka juga menunjukkan bahwa menganalisis pemasok saat ini secara cermat adalah hal yang sulit. Situasi ini, jauh dari sekadar ketidaknyamanan, memiliki dampak langsung pada tingkat risiko yang dirasakan perusahaan saat mereka menanggungnya.
Faktanya, lebih dari setengah organisasi (51%) menyatakan bahwa kekhawatirannya telah meningkat mengenai kemungkinan menderita insiden siber serius Justru karena kurangnya kepercayaan inilah. Ini bukan sekadar ketakutan umum terhadap serangan siber, tetapi kecemasan yang terkait dengan keraguan apakah penyedia yang dipilih benar-benar akan memberikan hasil yang diharapkan ketika saatnya tiba.
Kombinasi antara skeptisisme dan kesulitan dalam mengevaluasi mitra mengarah pada kesimpulan yang jelas: Efektivitas keamanan siber tidak lagi hanya diukur dari kinerja teknologi.Namun, hal itu lebih bergantung pada kredibilitas dan transparansi pihak-pihak di balik solusi tersebut. Bagi CISO dan tim keamanan, kesenjangan kepercayaan ini berujung pada gesekan internal, proses pengambilan keputusan yang lebih lambat, dan pergantian vendor yang lebih tinggi.
Kepercayaan sebagai faktor risiko yang terukur, bukan sebagai konsep abstrak.
Salah satu pesan utama dari laporan tersebut adalah bahwa Kepercayaan berhenti menjadi sesuatu yang abstrak. menjadi faktor risiko yang dapat diukur secara sempurna. Ross McKerchar, CISO Sophos, merangkumnya dengan jelas: ketika suatu organisasi tidak dapat memverifikasi secara independen kematangan keamanan, transparansi, atau praktik manajemen insiden dari vendor, ketidakpastian itu langsung sampai ke komite manajemen dan memengaruhi strategi keseluruhan.
Dalam praktiknya, hal ini berarti bahwa Persepsi terhadap pemasok sama berpengaruhnya dengan indikator teknis.Suatu perusahaan dapat memiliki beragam alat canggih, tetapi jika perusahaan tersebut tidak memahami cara kerja mitranya, proses apa yang mereka miliki untuk menanggapi insiden, atau kontrol eksternal apa yang memvalidasi klaim mereka, rasa tidak aman akan tetap ada. Dan dalam keamanan siber, perasaan itu sering kali diterjemahkan menjadi lebih banyak kontrol, lebih banyak audit, dan keraguan yang lebih besar saat mengambil keputusan.
Hasil penelitian menunjukkan bahwa, ketika tidak ada kepercayaan yang kokoh, akan terjadi efek-efek yang sangat spesifik: siklus penjualan yang lebih panjang, persyaratan pengawasan yang lebih ketatHal ini telah menyebabkan lebih banyak diskusi internal antara TI dan manajemen, dan kecenderungan yang meningkat untuk beralih penyedia layanan pada tanda keraguan sekecil apa pun. Analisis spesifik yang berfokus pada saluran distribusi mengungkapkan bahwa 45% pelanggan lebih cenderung mengganti mitra mereka, dan 42% meningkatkan tingkat kendali mereka atas mitra tersebut.
Sementara itu, 41% dari responden survei mengakui bahwa mereka memiliki rasa tenang yang berkurang Mengenai rasa aman mereka ketika mereka tidak mempercayai pemasok mereka, 38% bahkan mempertanyakan apakah mereka telah melakukan kesalahan dalam memilih pemasok tersebut. Iklim ini menciptakan lingkaran setan: semakin besar ketidakpercayaan, semakin besar tekanan pada saluran distribusi, dan semakin sulitnya membangun hubungan yang stabil dalam jangka menengah dan panjang.
Penelitian ini memperjelas bahwa kepercayaan dengan demikian menjadi sebuah bagian sentral dari manajemen risikoSama seperti waktu respons insiden atau volume peringatan yang diukur, kini kami mulai mengukur tingkat kepercayaan pada mitra, bukti apa yang menunjukkan kinerja baik mereka, dan bagaimana mereka mengelola keraguan yang muncul.
Yang benar-benar mendorong kepercayaan: verifikasi, sertifikasi, dan kematangan operasional.
Laporan tersebut mengidentifikasi serangkaian elemen yang bertindak sebagai “artefak yang dapat diverifikasi” Ini adalah faktor keamanan yang paling berpengaruh dalam memperkuat kepercayaan. Di antaranya, tiga pilar fundamental menonjol: penilaian independen, sertifikasi yang diakui, dan demonstrasi yang jelas tentang kematangan operasional dalam keamanan siber.
itu evaluasi pihak ketiga —seperti audit eksternal, analisis oleh perusahaan konsultan, atau laporan dari analis pasar— memberikan perspektif objektif yang dianggap penting oleh banyak perusahaan. Ini bukan hanya tentang pemasok yang mengatakan mereka melakukannya dengan baik, tetapi tentang memiliki seseorang di luar perusahaan yang meninjau dan memvalidasinya menggunakan kriteria yang diakui.
Kedua, file sertifikasi keamanan formal Standar internasional, kerangka kerja praktik terbaik, kepatuhan terhadap peraturan, dan faktor relevan lainnya bertindak sebagai jalan pintas menuju kepercayaan. Hal-hal tersebut bukanlah jaminan mutlak, tetapi menunjukkan bahwa pemasok telah menjalani proses peninjauan yang ketat dan selaras dengan persyaratan yang diharapkan untuk beroperasi di lingkungan kritis.
Blok ketiga terdiri dari kematangan operasional yang dapat dibuktikanProses manajemen insiden yang terdefinisi dengan baik, kebijakan pembaruan dan penambalan, program hadiah bug, pusat kepercayaan publik, dan repositori yang secara transparan mendokumentasikan bagaimana kerentanan ditangani—semua elemen ini memungkinkan perusahaan untuk melihat, secara detail, apa yang ada di balik pemasaran.
Survei ini juga mengungkapkan bahwa ada nuansa yang berbeda tergantung pada profil yang digunakan untuk mengevaluasi pemasok. Para CISO dan tim teknis cenderung memberikan bobot lebih besar. Transparansi selama insiden, kualitas dukungan sehari-hari, dan kinerja teknis yang berkelanjutan adalah kunci. Sementara itu, dewan direksi dan manajemen senior memberikan perhatian khusus pada validasi eksternal: sertifikasi, audit, dan peringkat dalam laporan analis.
Bagaimanapun, pola umumnya jelas: organisasi sedang mencari transparansi yang didukung oleh bukti konkretTidak ada janji umum atau pesan iklan. Ketika informasi langka, tidak jelas, atau terlalu komersial, ketidakpercayaan akan tumbuh, dan pemasok akan menanggung akibatnya dengan lebih banyak tuntutan dan lebih sedikit peluang.
Tekanan regulasi mengubah kepercayaan menjadi persyaratan kepatuhan.
Lingkungan regulasi saat ini menambah lapisan kompleksitas ekstra. Seperti yang dijelaskan oleh Phil Harris, kepala penelitian di Governance, Risk and Compliance Solutions di IDC, Tekanan regulasi meningkat pesat secara global. Hal ini memaksa organisasi untuk menunjukkan bahwa mereka telah bertindak dengan cermat dalam memilih penyedia keamanan siber mereka.
Hal ini menjadi sangat sensitif terutama ketika kecerdasan buatanAI dengan cepat diintegrasikan ke dalam alat, layanan, dan alur kerja keamanan: deteksi ancaman, respons otomatis, analisis perilaku, dan banyak lagi. Dalam skenario ini, perusahaan tidak lagi puas hanya dengan mengetahui apakah solusi tersebut efektif; mereka menuntut jaminan bahwa AI digunakan secara bertanggung jawab, transparan, dan dengan tata kelola yang kuat.
Konsekuensi langsungnya adalah bahwa Kepercayaan bukan lagi sekadar pesan pemasaran. agar menjadi kriteria kepatuhan yang dapat dipertanggungjawabkan. Organisasi harus mampu menunjukkan kepada regulator, auditor, dan, jika perlu, pengadilan, bahwa mereka telah memilih pemasok yang memenuhi standar yang wajar dan telah menilai risiko terkait secara memadai.
Hal ini memaksa mitra keamanan siber untuk melangkah lebih jauh: tidak cukup lagi hanya mengatakan bahwa suatu standar telah dipenuhi, melainkan harus dipenuhi. menyediakan bukti dokumenter, proses yang jelas, dan ketertelusuran. dari keputusan yang dibuat. Mereka yang tidak mampu menawarkan tingkat transparansi tersebut akan mendapati diri mereka menghadapi semakin banyak pintu tertutup dalam proyek-proyek yang diatur atau di sektor-sektor yang sangat penting.
Bagi saluran distribusi dan produsen, perubahan ini menyiratkan pergeseran pola pikir: manajemen kepercayaan menjadi bagian sentral dari proposisi nilai mereka. Cara mereka menjelaskan kontrol mereka, bagaimana mereka membuka proses mereka untuk ditinjau, dan kemudahan pelanggan untuk memvalidasi apa yang mereka dengar menjadi faktor pembeda terhadap pesaing.
Kebangkitan AI dalam keamanan siber: efektivitas, tetapi juga tanggung jawab.
Laporan tersebut menyoroti bahwa adopsi Kecerdasan buatan dalam pertahanan digital Ini bukan hanya mengubah cara serangan dideteksi dan ditanggapi, tetapi juga cara kepercayaan terhadap pemasok dinilai. AI membuka pintu untuk mengotomatisasi keputusan penting, menganalisis data dalam jumlah besar, dan mengantisipasi pola serangan, tetapi pada saat yang sama, hal ini menimbulkan pertanyaan tentang tata kelolanya.
Organisasi tidak lagi hanya bertanya apakah sistem berbasis AI meningkatkan tingkat deteksi atau mengurangi waktu respons, tetapi juga apakah sistem tersebut benar-benar meningkatkan atau mengurangi waktu respons. AI tersebut telah dilatih dengan data yang sesuai., apakah hal itu menghormati privasi, apakah ada mekanisme untuk mengaudit keputusannya, dan apakah ada kemungkinan untuk melakukan intervensi secara manual ketika ada sesuatu yang tidak sesuai.
Dalam konteks ini, pemasok dipaksa untuk sangat transparan mengenai hal-hal berikut: bagaimana mereka mengintegrasikan AI ke dalam produk dan layanan merekaMereka perlu menjelaskan proses pengendalian apa yang mereka terapkan, bagaimana mereka mengelola potensi bias, batasan apa yang mereka tetapkan pada otomatisasi, dan bagaimana perilaku sistem ini dipantau dari waktu ke waktu.
Dari perspektif kepatuhan, AI menambahkan lapisan akuntabilitas ekstra. Regulator dan badan pengawas mulai melihat tidak hanya apakah suatu organisasi memiliki solusi canggih, tetapi juga apakah organisasi tersebut mampu mematuhi standar kepatuhan. Tunjukkan bahwa Anda telah menilai risiko yang terkait dengan AI dengan benar. dan hal itu berjalan dengan baik dengan pemasok yang mampu mendukung beban kepatuhan tersebut.
Singkatnya, integrasi kecerdasan buatan membuat Kepercayaan menjadi semakin tidak bisa diabaikan.Jika sebelumnya hal itu penting, kini hal itu telah menjadi syarat yang sangat diperlukan untuk menerapkan teknologi yang membuat keputusan semi-otonom di lingkungan yang sensitif.
Kurangnya transparansi sebagai hambatan utama terhadap kepercayaan.
Salah satu temuan yang paling sering diulang dalam berbagai versi penelitian ini adalah bahwa hambatan terbesar untuk mempercayai penyedia layanan adalah... kelangkaan informasi yang jelas, mudah diakses, dan mendalamSebagian besar responden menyatakan bahwa informasi yang mereka terima tidak cukup detail atau terlalu banyak disaring oleh departemen pemasaran.
Hampir separuh dari organisasi yang dikonsultasikan percaya bahwa Dokumentasi teknis dan keselamatan tidak cukup objektif.Meskipun sebagian besar mengakui bahwa mereka kesulitan menafsirkan karena kompleksitasnya atau cara penyajiannya. Hal ini diperparah oleh masalah umum seperti data yang kontradiktif, pesan yang membingungkan, atau informasi yang tersebar di berbagai sumber.
Hasil praktisnya adalah banyak tim TI dan keamanan terpaksa menghabiskan lebih banyak waktu daripada yang mereka inginkan untuk hal-hal tersebut. Cobalah untuk menguraikan apa yang sebenarnya ada di balik setiap solusi.Hal ini menyebabkan pertemuan tambahan, permintaan klarifikasi yang terus-menerus, dan tuntutan akan dokumentasi tambahan. Ketika informasi tersebut tidak sampai atau sampai terlambat, kepercayaan pun terganggu.
McKerchar sendiri menekankan bahwa Kepercayaan harus diperoleh secara terus-menerus. Melalui transparansi, akuntabilitas, dan validasi independen. Tidak cukup hanya menerbitkan dokumen statis sekali dan melupakannya; perlu untuk selalu memperbarui informasi, membuka saluran untuk menyelesaikan keraguan, dan memberikan visibilitas terhadap insiden yang relevan dan bagaimana penanganannya.
Untuk memenuhi permintaan ini, beberapa pemasok sedang menciptakan Pusat KepercayaanPlatform-platform ini memusatkan semua informasi keamanan utama: kebijakan, sertifikasi, detail arsitektur, data tentang pemrosesan informasi, referensi ke audit eksternal, dan lain sebagainya. Tujuannya adalah untuk memungkinkan manajer keamanan membuat keputusan yang lebih tepat dengan lebih sedikit hambatan.
Perbedaan persepsi antara tim TI, CISO, dan manajemen senior.
Poin menarik lainnya dari penelitian ini adalah... kesenjangan persepsi internal Hal ini terjadi di banyak organisasi antara tim teknis dan badan pengelola ketika mengevaluasi keandalan pemasok. Menurut data, sekitar 78% perusahaan melaporkan perbedaan pendapat antara tim TI dan manajemen senior mengenai kepercayaan terhadap mitra keamanan.
Dalam hampir sepertiga kasus, ketidaksepakatan ini sering terjadi, dan dalam 43% kasus, ketidaksepakatan ini muncul sesekali tetapi berulang kali. Hal ini mencerminkan fakta bahwa tidak selalu ada bahasa yang sama untuk membahas risiko dan kepercayaan, dan bahwa setiap kelompok memberikan bobot lebih pada faktor-faktor tertentu daripada yang lain tergantung pada peran dan tanggung jawabnya.
Los Tim teknis seringkali fokus pada kinerja harian. Perangkat yang digunakan, kualitas dukungan, transparansi dalam manajemen insiden, dan kemampuan penyedia untuk merespons dengan cepat terhadap kerentanan dan perubahan lingkungan adalah faktor-faktor penting. Bagi mereka, pengalaman praktis sama pentingnya, atau bahkan lebih penting, daripada kualifikasi formal.
La manajemen senior dan dewan direksiSebaliknya, mereka mengambil pandangan yang lebih luas terhadap situasi tersebut. Mereka cenderung memprioritaskan stabilitas pemasok, reputasi pasar, sertifikasi resmi, audit pihak ketiga, dan laporan analis. Mereka mencari jaminan yang dapat dijelaskan dengan jelas kepada auditor, regulator, atau pemegang saham.
Ketika kedua visi ini tidak selaras, perusahaan berisiko mengambil keputusan keamanan yang setengah-setengahEntah pentingnya keahlian teknis di dunia nyata diremehkan, atau persyaratan kepatuhan dan tata kelola diabaikan. Oleh karena itu, penting untuk menerjemahkan risiko teknis ke dalam bahasa bisnis dan, pada saat yang sama, mendasari persyaratan manajemen senior sehingga tim TI tahu bagaimana harus bertindak.
Kasus Kolombia: ketidakpercayaan yang lebih nyata dan kemampuan yang terbatas.
Meskipun laporan ini memiliki cakupan global, beberapa hasil spesifik, seperti yang dikumpulkan dalam KolumbiaMereka menunjukkan, sesuai dengan Peta aktivitas malware di Amerika Latin...sejauh mana masalah ini mungkin bahkan lebih akut di pasar tertentu. Di negara ini, tidak satu pun dari organisasi yang disurvei mengaku sepenuhnya mempercayai penyedia keamanan siber mereka, dan 85% melaporkan mengalami kesulitan serius dalam menilai keandalan mereka.
Sebagian besar kesulitan ini dapat dijelaskan oleh kurangnya informasi yang jelas dan dapat diverifikasiLebih dari separuh perusahaan Kolombia yang disurvei (54%) percaya bahwa data yang tersedia tentang pemasok kurang memiliki tingkat detail yang diperlukan atau tidak memungkinkan verifikasi klaim dengan mudah. Lebih lanjut, 53% mengakui bahwa mereka tidak memiliki kemampuan internal yang memadai untuk melakukan penilaian keamanan secara mendalam.
Dampak pada persepsi risiko sangat jelas: sebuah 55% organisasi di Kolombia Mereka melaporkan kecemasan yang lebih besar tentang kemungkinan mengalami insiden siber serius yang terkait dengan kurangnya kepercayaan pada mitra mereka, sementara 54% mempertimbangkan untuk mengganti penyedia layanan sebagai respons terhadap ketidakpastian ini.
Selain itu, 51% mengakui memiliki keraguan tentang keputusan keamanan siber yang telah mereka buat, dan 43% melaporkan peningkatan pengawasan internal terhadap mitra mereka. Peningkatan kontrol ini sering kali berujung pada lebih banyak peninjauan, lebih banyak birokrasi, dan beban kerja yang lebih berat bagi tim TI dan keamanan.
Laporan tersebut juga mendeteksi sebuah kesenjangan internal yang relevan Di negara tersebut, 76% perusahaan melaporkan adanya perbedaan pendapat antara tim teknis dan manajemen senior dalam evaluasi pemasok dan manajemen risiko, dengan 33% mengalami konflik yang sering terjadi dan 43% hanya mengalaminya sesekali. Hal ini terjadi dalam lanskap bisnis yang didominasi oleh perusahaan menengah dan besar, dengan sejumlah besar organisasi memiliki antara 251 dan 500 karyawan serta antara 3.001 dan 5.000 karyawan.
Keamanan siber sebagai upaya komprehensif: teknologi, proses, dan manusia.
Di luar angka dan persepsi, laporan ini mengingatkan kita bahwa Keamanan siber di perusahaan merupakan kombinasi dari teknologi, proses, dan kebijakan. Dirancang untuk melindungi sistem, jaringan, dan data dari ancaman internal dan eksternal. Firewall, antivirus, sistem deteksi intrusi, enkripsi awan Kontrol akses hanyalah satu bagian dari persamaan tersebut.
Seluruh kerangka kerja teknis ini bergantung pada protokol pembaruan berkelanjutan dan pemantauan waktu nyata untuk mengidentifikasi aktivitas mencurigakan dan merespons dengan cepat terhadap potensi insiden. Tanpa operasi yang kuat dan terkoordinasi dengan baik, bahkan alat terbaik pun akan kehilangan sebagian besar efektivitasnya.
Selain itu, faktor manusia memainkan peran penting. Organisasi bergantung pada pelatihan dan kesadaran para karyawannya untuk mencegah kesalahan mendasar — seperti kata sandi yang lemah, mengklik email berbahaya, atau penggunaan perangkat seluler yang ceroboh — agar tidak membuka pintu bagi serangan yang seharusnya dapat dihindari.
Oleh karena itu, kebijakan keamanan biasanya mencakup aturan yang jelas mengenai hal tersebut. penggunaan kata sandi, akses jarak jauh, penanganan informasi sensitif dan perlindungan peralatan. latihan tanggap insidenPenilaian kerentanan berkala dan latihan phishing internal untuk menguji sejauh mana kesiapan staf.
Dari perspektif ini, kepercayaan pada pemasok bukanlah elemen yang terisolasi, melainkan sebuah perluasan alami dari strategi keamanan siber itu sendiriSebagaimana ketelitian dituntut dari tim internal, tingkat transparansi, tanggung jawab, dan perbaikan berkelanjutan yang sama juga dibutuhkan dari mitra eksternal yang terlibat dalam melindungi bisnis.
Secara keseluruhan, data Cybersecurity Trust Reality 2026 menggambarkan gambaran di mana perusahaan menghadapi pertempuran ganda: di satu sisi, melawan gelombang baru ancaman siber Di satu sisi, terdapat penyerang yang semakin canggih dan gigih, dan di sisi lain, ketidakpastian karena tidak mengetahui secara pasti seberapa besar kepercayaan yang dapat diberikan kepada pihak yang menyediakan pertahanan. Kepercayaan, yang dipahami sebagai risiko yang terukur dan dapat dikelola, dengan demikian ditempatkan di jantung keamanan siber modern, memaksa penyedia, saluran, dan organisasi untuk meningkatkan standar transparansi, verifikasi independen, dan tanggung jawab bersama.
Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.