Sophos 發布一項全球性且不限廠商的研究結果,透過涵蓋 17 個國家、5,000 家企業的調查,探討資安領域中最迫切卻常被忽視的核心要素之一:信任。
《2026 資訊安全信任現況》(Cybersecurity Trust Reality 2026) 報告是目前最全面探討資安信任,及其對營運風險與董事會層級決策有何影響的研究之一。報告顯示企業資安長 (CISO) 正面臨著一項關鍵的挑戰:對資安供應商的信任十分脆弱、難以量化,且正日益影響營運與董事會層級的風險態勢。
在網路威脅持續不斷、監管審查日益嚴格,以及 AI 採用加速的時代,信任已成為資安決策的關鍵因素。然而,最新研究顯示,幾乎所有企業都對資安供應商缺乏信心,許多企業甚至無法評估供應商本身的可信度。
該獨立研究發現:
- 95% 的受訪者表示,他們無法完全信任資安供應商
- 79% 的企業在評估新的資安合作夥伴時遇到困難,超過六成 (62%) 甚至表示,就連現有供應商的可信度也不容易判斷
- 超過一半 (51%) 的企業表示,由於缺乏信任,他們對發生重大資安事件的可能性感到更加擔憂
這些發現突顯出一項關鍵現實:資安成效不僅取決於技術表現,也取決於企業對於資安合作夥伴的信任程度。對資安長而言,信任落差會帶來更多營運上的阻礙,使決策變得更慢,同時也可能導致供應商更替的頻率增加。值得信賴的資安合作夥伴能降低風險,並打造更具韌性的組織。
Sophos 資安長 Ross McKerchar 表示,在資安領域中,信任並非抽象概念,而是一項可量化的風險因素。當企業無法獨立驗證供應商的資安成熟度、透明度以及事件應變處理能力時,這種不確定性將會直接影響到董事會決策與整體資安策略。
該調查指出,可驗證的資安佐證資料,包括第三方評估、各類認證,以及已證明的營運成熟度等,是建立供應商信任的最關鍵因素。資安長在事件發生時重視的是透明度與穩定一致的技術表現,而董事會與高階管理層則更看重獨立驗證、認證,以及分析機構的評估結果。
這項調查結果的共同脈絡十分明確:企業需要的是有證據支持的透明度,而非籠統的保證。
IDC 治理、風險與合規解決方案研究總監 Phil Harris 表示,隨著全球監管壓力持續升高,企業在選擇供應商時,必須能夠證明其已盡到審慎評估的責任,尤其是在涉及 AI 的情境下。信任正從行銷上的文字,轉變為可以被驗證的合規性要求。
隨著人工智慧逐漸融入資安工具、服務與工作流程,企業不再只是關注資安解決方案是否有效,也開始檢視 AI 的應用是否負責任、具備透明度,並且是否建立了完善的治理機制。信任已不再是可有可無,而是基礎要素。
McKerchar 補充表示,資安長現在被要求的是證明可信任,而非假設可信任。資安供應商也必須做到這一點。調查受訪者指出,缺乏易於取得且足夠詳細的資訊,是他們無法自信地評估信任的主要障礙。信任必須透過透明度、問責機制與獨立驗證來持續累積。
這些研究結果顯示,信任已從品牌屬性提升為策略性關鍵要素。