Mengapa kepercayaan terhadap penyedia keselamatan siber berada dalam krisis

La kepercayaan kepada penyedia keselamatan siber Ia telah menjadi salah satu aspek paling sensitif dalam strategi digital mana-mana syarikat. Kita bukan sahaja membincangkan sama ada penyelesaian menyekat lebih banyak atau lebih sedikit serangan, tetapi sesuatu yang lebih mendalam: sejauh mana organisasi benar-benar mempercayai mereka yang mendakwa melindungi mereka, bagaimana mereka mengukur kepercayaan ini, dan apakah kesan persepsi tersebut terhadap risiko sebenar yang mereka ambil.

Kajian global "Realiti Amanah Keselamatan Siber 2026"Satu kajian yang disokong oleh Sophos dan dijalankan dengan 5.000 organisasi di 17 buah negara telah mengukur situasi ini, dan hasilnya agak jelas: kepercayaan rapuh, sukar untuk dinilai dan tidak lagi boleh diuruskan dengan slogan pemasaran. Dalam persekitaran dengan ancaman yang berterusan, peraturan yang semakin ketat dan penggunaan kecerdasan buatan yang dipercepatkan, keupayaan untuk menunjukkan kebolehpercayaan pembekal dengan bukti telah menjadi sama pentingnya dengan teknologi pertahanan itu sendiri.

Masalah global: hampir tiada siapa yang mempercayai sepenuhnya pembekal mereka.

Data dalam laporan itu adalah muktamad.Di peringkat global, 95% organisasi mengakui bahawa mereka tidak mempunyai keyakinan sepenuhnya terhadap penyedia keselamatan siber mereka. Bukannya mereka langsung tidak mempercayai mereka, tetapi mereka menjelaskan bahawa terdapat keraguan yang ketara tentang bagaimana rakan kongsi ini beroperasi, tahap kematangan mereka, dan bagaimana mereka akan bertindak balas sekiranya berlaku insiden serius.

Di samping itu, a 79% daripada mereka yang ditinjau mengatakan mereka mendapati ia sukar Menilai kebolehpercayaan rakan kongsi keselamatan siber baharu. Dalam erti kata lain, apabila mempertimbangkan untuk menambah penyedia baharu kepada ekosistem keselamatan, kebanyakan syarikat mendapati mereka kekurangan maklumat yang jelas, objektif dan cukup terperinci untuk menilai sama ada organisasi tersebut layak mendapat kepercayaan mereka.

Keadaan tidak banyak bertambah baik dengan rakan kongsi yang mantap: lebih daripada enam daripada sepuluh syarikat (62%) Mereka juga menegaskan bahawa menganalisis pembekal semasa dengan teliti adalah sukar. Situasi ini, jauh daripada sekadar menyusahkan, mempunyai kesan langsung terhadap tahap risiko yang syarikat anggap mereka tanggung.

Malah, lebih separuh daripada organisasi (51%) menyatakan bahawa kebimbangannya telah meningkat mengenai kemungkinan mengalami insiden siber yang serius Tepat sekali kerana kekurangan kepercayaan ini. Ia bukan sekadar ketakutan umum terhadap serangan siber, tetapi kebimbangan yang dikaitkan dengan keraguan sama ada penyedia yang dipilih akan benar-benar memberikan perkhidmatan apabila tiba masanya.

Gabungan keraguan dan kesukaran dalam menilai rakan kongsi ini membawa kepada kesimpulan yang jelas: Keberkesanan keselamatan siber tidak lagi diukur semata-mata oleh prestasi teknologi.tetapi sebaliknya oleh kredibiliti dan ketelusan mereka yang berada di sebalik penyelesaian tersebut. Bagi CISO dan pasukan keselamatan, jurang kepercayaan ini diterjemahkan kepada geseran dalaman, proses membuat keputusan yang lebih perlahan dan pertukaran vendor yang lebih tinggi.

Kepercayaan sebagai faktor risiko yang boleh diukur, bukan sebagai konsep abstrak

Salah satu mesej penting dalam laporan tersebut ialah Kepercayaan tidak lagi menjadi sesuatu yang halus untuk menjadi faktor risiko yang boleh diukur dengan sempurna. Ross McKerchar, CISO Sophos, merumuskannya dengan jelas: apabila sesebuah organisasi tidak dapat mengesahkan secara bebas kematangan keselamatan, ketelusan atau amalan pengurusan insiden vendor, ketidakpastian itu akan terus dibawa ke jawatankuasa pengurusan dan menjejaskan strategi keseluruhan.

Dalam amalan, ini bermakna bahawa Persepsi terhadap pembekal adalah sama berpengaruhnya dengan penunjuk teknikal.Sebuah syarikat boleh mempunyai pelbagai jenis alatan canggih, tetapi jika ia tidak memahami cara rakan kongsinya berfungsi, proses apa yang mereka ada untuk bertindak balas terhadap insiden, atau kawalan luaran apa yang mengesahkan dakwaan mereka, perasaan tidak selamat akan berterusan. Dan dalam keselamatan siber, perasaan itu sering diterjemahkan kepada lebih banyak kawalan, lebih banyak audit dan keraguan yang lebih besar ketika membuat keputusan.

Keputusan kajian menunjukkan bahawa, apabila tiada kepercayaan yang kukuh, kesan yang sangat spesifik akan berlaku: kitaran jualan yang lebih panjang, keperluan penyeliaan yang lebih ketatIni telah membawa kepada lebih banyak perbincangan dalaman antara IT dan pihak pengurusan, dan kecenderungan yang semakin meningkat untuk menukar penyedia perkhidmatan sekiranya terdapat sedikit keraguan. Analisis khusus yang tertumpu pada saluran mendedahkan bahawa 45% pelanggan lebih cenderung untuk menggantikan rakan kongsi mereka, dan 42% meningkatkan tahap kawalan mereka ke atas mereka.

Sementara itu, 41% daripada mereka yang ditinjau mengakui bahawa mereka telah kurang rasa tenang Berkenaan rasa selamat mereka apabila mereka tidak mempercayai pembekal mereka, 38% malah mempersoalkan sama ada mereka telah melakukan kesilapan dalam memilih mereka. Iklim ini mewujudkan kitaran ganas: lebih banyak ketidakpercayaan, lebih banyak tekanan pada saluran, dan kesukaran yang lebih besar dalam membina hubungan yang stabil dalam jangka sederhana dan panjang.

Kajian tersebut menjelaskan bahawa kepercayaan itu menjadi bahagian utama pengurusan risikoSama seperti masa tindak balas insiden atau jumlah amaran diukur, kita kini mula mengukur sejauh mana kepercayaan terhadap rakan kongsi, apakah bukti yang ada tentang kerja baik mereka, dan bagaimana mereka menguruskan keraguan yang timbul.

Apa yang benar-benar mendorong kepercayaan: pengesahan, pensijilan dan kematangan operasi

Laporan tersebut mengenal pasti satu set elemen yang bertindak sebagai "Artefak yang boleh disahkan" Ini adalah faktor keselamatan yang paling penting dalam memperkukuh kepercayaan. Antaranya, tiga tonggak asas menonjol: penilaian bebas, pensijilan yang diiktiraf dan demonstrasi kematangan operasi yang jelas dalam keselamatan siber.

yang penilaian pihak ketiga —seperti audit luaran, analisis oleh firma perunding atau laporan daripada penganalisis pasaran—memberikan perspektif objektif yang dianggap penting oleh banyak syarikat. Ia bukan sekadar tentang pembekal yang mengatakan mereka melakukannya dengan baik, tetapi tentang meminta seseorang di luar syarikat menyemak dan mengesahkannya menggunakan kriteria yang diiktiraf.

Kedua, pensijilan keselamatan formal Piawaian antarabangsa, rangka kerja amalan terbaik, pematuhan peraturan dan faktor berkaitan lain bertindak sebagai jalan pintas kepada kepercayaan. Ia bukanlah jaminan mutlak, tetapi ia menunjukkan bahawa pembekal telah menjalani proses semakan yang ketat dan selaras dengan keperluan yang dijangkakan untuk beroperasi dalam persekitaran kritikal.

Blok ketiga terdiri daripada kematangan operasi yang boleh dibuktikanProses pengurusan insiden yang jelas, dasar kemas kini dan tampalan, program ganjaran pepijat, pusat kepercayaan awam dan repositori yang mendokumentasikan secara telus cara kerentanan dikendalikan—semua elemen ini membolehkan syarikat melihat, secara terperinci, apa yang tersembunyi di sebalik pemasaran.

Tinjauan itu juga mendedahkan bahawa terdapat beberapa nuansa bergantung pada profil yang menilai pembekal. CISO dan pasukan teknikal cenderung memberi lebih banyak pemberat Ketelusan semasa insiden, kualiti sokongan harian dan prestasi teknikal yang berterusan adalah penting. Sementara itu, lembaga pengarah dan pengurusan kanan memberi perhatian khusus kepada pengesahan luaran: pensijilan, audit dan kedudukan dalam laporan penganalisis.

Walau apa pun, corak lazimnya adalah jelas: organisasi sedang mencari ketelusan yang disokong oleh bukti yang kukuhTiada janji umum atau mesej pengiklanan. Apabila maklumat terhad, tidak jelas atau terlalu komersial, ketidakpercayaan akan meningkat, dan pembekal membayar harganya dengan lebih banyak permintaan dan lebih sedikit peluang.

Tekanan kawal selia mengubah kepercayaan menjadi keperluan pematuhan

Persekitaran kawal selia semasa menambahkan lapisan kerumitan tambahan. Seperti yang dijelaskan oleh Phil Harris, ketua penyelidikan di Tadbir Urus, Penyelesaian Risiko dan Pematuhan di IDC, Tekanan kawal selia semakin meningkat di peringkat global Ini memaksa organisasi untuk menunjukkan bahawa mereka telah bertindak dengan teliti dalam memilih penyedia keselamatan siber mereka.

Ini amat sensitif apabila kecerdasan buatanAI sedang disepadukan dengan pantas ke dalam alatan keselamatan, perkhidmatan dan aliran kerja: pengesanan ancaman, respons automatik, analisis tingkah laku dan banyak lagi. Dalam senario ini, syarikat tidak lagi berpuas hati hanya dengan mengetahui sama ada penyelesaian itu berkesan; mereka menuntut jaminan bahawa AI digunakan secara bertanggungjawab, telus dan dengan tadbir urus yang mantap.

Akibat langsungnya ialah Kepercayaan bukan lagi sekadar mesej pemasaran untuk menjadi kriteria pematuhan yang boleh dipertahankan. Organisasi mesti berupaya menunjukkan kepada pengawal selia, juruaudit dan, jika perlu, mahkamah, bahawa mereka telah memilih pembekal yang memenuhi piawaian yang munasabah dan telah menilai risiko yang berkaitan dengan secukupnya.

Ini memaksa rakan kongsi keselamatan siber untuk melangkah lebih jauh: tidak lagi cukup untuk mengatakan bahawa piawaian telah dipenuhi, tetapi perlu menyediakan bukti dokumentari, proses yang jelas dan kebolehkesanan daripada keputusan yang dibuat. Mereka yang tidak dapat menawarkan tahap ketelusan itu akan mendapati diri mereka menghadapi pintu yang semakin tertutup dalam projek yang dikawal selia atau dalam sektor yang sangat kritikal.

Bagi kedua-dua saluran dan pengeluar, perubahan ini membayangkan perubahan dalam pemikiran: pengurusan kepercayaan menjadi bahagian penting dalam proposisi nilai mereka. Cara mereka menerangkan kawalan mereka, cara mereka membuka proses mereka untuk disemak, dan kemudahan pelanggan untuk mengesahkan apa yang diberitahu kepada mereka menjadi faktor pembezaan berbanding pesaing.

Kebangkitan AI dalam keselamatan siber: keberkesanan, tetapi juga tanggungjawab

Laporan itu menekankan bahawa penerimaan Kecerdasan buatan dalam pertahanan digital Ia bukan sahaja mengubah cara serangan dikesan dan diberi respons, tetapi juga bagaimana kepercayaan terhadap pembekal dinilai. AI membuka pintu untuk mengautomasikan keputusan kritikal, menganalisis sejumlah besar data dan menjangka corak serangan, tetapi pada masa yang sama, ia menimbulkan persoalan tentang tadbir urusnya.

Organisasi bukan lagi hanya bertanya sama ada sistem berasaskan AI meningkatkan kadar pengesanan atau mengurangkan masa tindak balas, tetapi sama ada Bahawa AI telah dilatih dengan data yang sesuai, sama ada ia menghormati privasi, sama ada terdapat mekanisme untuk mengaudit keputusannya dan sama ada terdapat kemungkinan untuk campur tangan secara manual apabila sesuatu tidak sesuai.

Dalam konteks ini, pembekal terpaksa menjelaskan dengan jelas tentang bagaimana mereka mengintegrasikan AI ke dalam produk dan perkhidmatan merekaMereka perlu menjelaskan proses kawalan yang mereka gunakan, bagaimana mereka mengurus potensi bias, had yang mereka letakkan pada automasi dan bagaimana tingkah laku sistem ini dipantau dari semasa ke semasa.

Dari perspektif pematuhan, AI menambah lapisan akauntabiliti tambahan. Pengawal selia dan badan pengawasan mula melihat bukan sahaja sama ada sesebuah organisasi mempunyai penyelesaian canggih, tetapi juga sama ada ia boleh menunjukkan bahawa anda telah menilai risiko yang berkaitan dengan AI dengan betul dan yang berfungsi dengan pembekal yang mampu menyokong beban pematuhan tersebut.

Pendek kata, penyepaduan kecerdasan buatan menjadikan kepercayaan menjadi semakin kurang pilihan.Jika ia penting sebelum ini, ia kini telah menjadi syarat yang sangat diperlukan untuk menggunakan teknologi yang membuat keputusan separa autonomi dalam persekitaran sensitif.

Kekurangan ketelusan sebagai penghalang utama kepada kepercayaan

Salah satu penemuan yang paling kerap diulangi dalam pelbagai versi kajian ialah halangan terbesar untuk mempercayai penyedia perkhidmatan adalah kekurangan maklumat yang jelas, mudah diakses dan mendalamMajoriti responden menyatakan bahawa maklumat yang mereka terima tidak cukup terperinci atau ditapis secara berlebihan oleh jabatan pemasaran.

Hampir separuh daripada organisasi yang dirujuk percaya bahawa Dokumentasi teknikal dan keselamatan tidak cukup objektif.Walaupun peratusan yang ketara mengakui bahawa mereka mendapati ia sukar untuk ditafsirkan disebabkan oleh kerumitannya atau cara ia disampaikan. Ini diburukkan lagi oleh masalah biasa seperti data yang bercanggah, mesej yang mengelirukan, atau maklumat yang tersebar merentasi pelbagai sumber.

Hasil praktikalnya ialah banyak pasukan IT dan keselamatan terpaksa meluangkan lebih banyak masa daripada yang mereka inginkan cuba huraikan apa yang sebenarnya di sebalik setiap penyelesaianIni membawa kepada mesyuarat tambahan, permintaan penjelasan yang berterusan dan tuntutan dokumentasi tambahan. Apabila maklumat itu tidak tiba atau tiba lewat, kepercayaan akan terjejas.

McKerchar sendiri menekankan bahawa Kepercayaan mesti diperoleh secara berterusan melalui ketelusan, akauntabiliti dan pengesahan bebas. Tidak mencukupi untuk menerbitkan dokumen statik sekali sahaja dan melupakannya; adalah perlu untuk memastikan maklumat dikemas kini, membuka saluran untuk menyelesaikan keraguan dan menawarkan keterlihatan tentang insiden yang berkaitan dan bagaimana ia dikendalikan.

Bagi memenuhi permintaan ini, sesetengah pembekal sedang mencipta Pusat AmanahPlatform ini memusatkan semua maklumat keselamatan utama: dasar, pensijilan, butiran seni bina, data mengenai pemprosesan maklumat, rujukan kepada audit luaran, dan sebagainya. Matlamatnya adalah untuk membolehkan pengurus keselamatan membuat keputusan yang lebih tepat dengan kurang geseran.

Perbezaan persepsi antara IT, CISO dan pengurusan kanan

Satu lagi perkara menarik dalam kajian ini ialah jurang persepsi dalaman Ini wujud dalam banyak organisasi antara pasukan teknikal dan badan pentadbir apabila menilai kebolehpercayaan pembekal. Menurut data, sekitar 78% syarikat melaporkan percanggahan pendapat antara IT dan pengurusan kanan mengenai kebolehpercayaan rakan kongsi keselamatan.

Dalam hampir satu pertiga daripada kes, perselisihan faham ini kerap berlaku, dan dalam 43% ia muncul sekali-sekala tetapi berulang kali. Ini mencerminkan fakta bahawa tidak selalu ada bahasa yang sama untuk membincangkan risiko dan kepercayaan, dan setiap kumpulan memberi lebih banyak perhatian kepada faktor-faktor tertentu berbanding yang lain bergantung pada peranan dan tanggungjawabnya.

The Pasukan teknikal biasanya memberi tumpuan kepada prestasi harian Alatan, kualiti sokongan, ketelusan dalam pengurusan insiden dan keupayaan penyedia untuk bertindak balas dengan pantas terhadap kelemahan dan perubahan persekitaran, semuanya merupakan faktor penting. Bagi mereka, pengalaman praktikal adalah sama pentingnya, atau lebih penting daripada kelayakan formal.

La pengurusan kanan dan lembaga pengarahSebaliknya, mereka mengambil pandangan yang lebih luas tentang situasi tersebut. Mereka cenderung untuk mengutamakan kestabilan pembekal, reputasi pasaran, pensijilan rasmi, audit pihak ketiga dan laporan penganalisis. Mereka mencari jaminan yang boleh dijelaskan dengan jelas kepada juruaudit, pengawal selia atau pemegang saham.

Apabila kedua-dua visi ini tidak selaras, syarikat berisiko membuat keputusan keselamatan separuh hatiSama ada kepentingan kepakaran teknikal dunia sebenar dipandang remeh, atau keperluan pematuhan dan tadbir urus dipandang remeh. Oleh itu, pentingnya menterjemahkan risiko teknikal ke dalam bahasa perniagaan dan, pada masa yang sama, mendasarkan keperluan pengurusan kanan supaya pasukan IT tahu cara bertindak.

Kes Colombia: ketidakpercayaan yang lebih ketara dan keupayaan yang terhad

Walaupun laporan ini mempunyai skop global, beberapa keputusan khusus, seperti yang dikumpul dalam ColombiaMereka menunjukkan, selaras dengan a Peta aktiviti perisian hasad di Amerika Latin...sejauh manakah masalah ini mungkin lebih meruncing di pasaran tertentu. Di negara ini, tiada organisasi yang ditinjau mendakwa mempercayai sepenuhnya penyedia keselamatan siber mereka, dan 85% melaporkan mengalami kesukaran yang serius untuk menilai kebolehpercayaan mereka.

Kebanyakan kesukaran ini dijelaskan oleh kekurangan maklumat yang jelas dan boleh disahkanLebih separuh daripada syarikat Colombia yang ditinjau (54%) percaya bahawa data yang ada mengenai pembekal kekurangan tahap perincian yang diperlukan atau tidak membenarkan pengesahan tuntutan yang mudah. ​​Tambahan pula, 53% mengakui bahawa mereka tidak mempunyai keupayaan dalaman yang mencukupi untuk menjalankan penilaian keselamatan yang mendalam.

Kesan terhadap persepsi risiko sangat ketara: a 55% organisasi di Colombia Mereka melaporkan kebimbangan yang lebih besar tentang kemungkinan mengalami insiden siber serius yang dikaitkan dengan kekurangan kepercayaan terhadap rakan kongsi mereka, manakala 54% sedang mempertimbangkan untuk menukar penyedia sebagai tindak balas kepada ketidakpastian ini.

Tambahan pula, 51% mengakui mempunyai keraguan tentang keputusan keselamatan siber yang telah mereka buat, dan 43% melaporkan peningkatan pengawasan dalaman terhadap rakan kongsi mereka. Kawalan yang meningkat ini selalunya diterjemahkan kepada lebih banyak semakan, lebih banyak birokrasi dan beban kerja yang lebih berat untuk pasukan IT dan keselamatan.

Laporan itu juga mengesan satu jurang dalaman yang berkaitan Di negara ini, 76% syarikat melaporkan percanggahan antara pasukan teknikal dan pengurusan kanan dalam penilaian pembekal dan pengurusan risiko, dengan 33% mengalami konflik yang kerap dan 43% hanya melihatnya sekali-sekala. Ini berlaku dalam landskap perniagaan yang didominasi oleh syarikat sederhana dan besar, dengan sebilangan besar organisasi yang mempunyai antara 251 dan 500 pekerja dan antara 3.001 dan 5.000.

Keselamatan siber sebagai usaha yang komprehensif: teknologi, proses dan manusia

Di sebalik angka dan persepsi, laporan itu mengingatkan kita bahawa Keselamatan siber dalam syarikat merupakan gabungan teknologi, proses dan dasar Direka untuk melindungi sistem, rangkaian dan data daripada ancaman dalaman dan luaran. Firewall, antivirus, sistem pengesanan pencerobohan, penyulitan awan Kawalan akses hanyalah satu bahagian daripada persamaan tersebut.

Keseluruhan rangka kerja teknikal ini bergantung pada protokol kemas kini berterusan dan pemantauan masa nyata untuk mengenal pasti aktiviti yang mencurigakan dan bertindak balas dengan cepat terhadap insiden yang berpotensi. Tanpa operasi yang mantap dan terselaras dengan baik, alat terbaik pun akan kehilangan sebahagian besar keberkesanannya.

Tambahan pula, faktor manusia memainkan peranan penting. Organisasi bergantung kepada latihan dan kesedaran pekerjanya untuk mengelakkan ralat asas — seperti kata laluan yang lemah, mengklik e-mel berniat jahat atau penggunaan peranti mudah alih yang cuai — daripada membuka pintu kepada serangan yang sepatutnya dapat dielakkan.

Oleh itu, dasar keselamatan biasanya merangkumi peraturan yang jelas mengenai penggunaan kata laluan, akses jauh, pengendalian maklumat sensitif dan perlindungan peralatan. latihan tindak balas insidenPenilaian kerentanan berkala dan latihan pancingan data dalaman untuk menguji sejauh mana kakitangan bersedia.

Dari perspektif ini, kepercayaan terhadap pembekal bukanlah elemen yang terasing, tetapi lanjutan semula jadi strategi keselamatan siber itu sendiriSama seperti ketelitian dituntut daripada pasukan dalaman, tahap ketelusan, tanggungjawab dan penambahbaikan berterusan yang sama diperlukan daripada rakan kongsi luaran yang terlibat dalam melindungi perniagaan.

Secara keseluruhannya, data Cybersecurity Trust Reality 2026 menggambarkan gambaran di mana syarikat menghadapi pertempuran berganda: di satu pihak, menentang gelombang ancaman siber baharu Di satu pihak, terdapat penyerang yang semakin sofistikated dan gigih, dan di pihak yang lain, ketidakpastian kerana tidak mengetahui dengan tepat berapa banyak kepercayaan yang boleh diletakkan kepada mereka yang menyediakan pertahanan. Kepercayaan, yang difahami sebagai risiko yang boleh diukur dan diurus, oleh itu diletakkan di tengah-tengah keselamatan siber moden, memaksa penyedia, saluran dan organisasi untuk meningkatkan standard untuk ketelusan, pengesahan bebas dan tanggungjawab bersama.