Když si organizace vybírají dodavatele kybernetické bezpečnosti, svěřují jim správu svých nejkritičtějších aktiv. Navzdory této zásadní roli však většina organizací nemá dostatečnou důvěru v dodavatele, na nichž jsou závislé, že dokáží jejich prostředí efektivně ochránit. Vyplývá to z aktuální studie společnosti Sophos The Cybersecurity Trust Reality in 2026.
Za účelem hlubšího pochopení dynamiky důvěry v oblasti kybernetické bezpečnosti zadala společnost Sophos neutrální, na dodavatelích nezávislý globální průzkum mezi 5 000 respondenty s rozhodovací pravomocí v IT a bezpečnosti v 17 zemích. Výzkum přináší statisticky robustní a datově podložený pohled na to, jak se důvěra mezi zákazníky a dodavateli kybernetických řešení v praxi formuje – a kde naopak dochází k jejímu narušení.
Hlavní zjištění výzkumu
• Nízká úroveň důvěry: Pouze 5 % IT manažerů uvádí, že jak oni osobně, tak jejich organizace plně důvěřují svým dodavatelům kybernetické bezpečnosti.
• Důvěra stojí na ověřitelných důkazech: týmy IT i vrcholové vedení se shodují, že nejdůležitějším indikátorem důvěryhodnosti jsou auditovatelné a ověřitelné podklady prokazující úroveň kybernetické vyspělosti dodavatele.
• Posuzování dodavatelů zůstává komplexní výzvou: Pro 79 % organizací je obtížné posoudit důvěryhodnost nových poskytovatelů kybernetické bezpečnosti; u stávajících dodavatelů tento problém přetrvává u 62 % respondentů. Klíčovým faktorem snižujícím důvěru je nedostatečná míra podrobnosti a konkrétnosti poskytovaných informací.
• Dopady na řízení rizik: 51 % respondentů spojuje nízkou důvěru s vyšší pravděpodobností výskytu závažného kybernetického incidentu.
• Nesoulad mezi týmy IT a vedením: 78 % organizací eviduje rozdílné vnímání důvěryhodnosti dodavatelů mezi týmy IT a managementem nebo představenstvem. Téměř třetina respondentů uvádí, že k těmto rozporům dochází pravidelně.
Uváděná úroveň důvěry zůstává nízká
Pouze 5 % IT manažerů uvádí, že jak oni osobně, tak jejich organizace plně důvěřují svým dodavatelům kybernetické bezpečnosti.
V prostředí, kde organizace spoléhají na své dodavatele kybernetické bezpečnosti při zajištění ochrany sítě a kontinuity provozu, představuje důvěra klíčový předpoklad efektivní spolupráce. Poskytovatelé kybernetické bezpečnosti zajišťují ochranu organizace v režimu 24/7 – včetně nočních hodin, víkendů i období nepřítomnosti interních IT týmů. U menších firem, které často nedisponují vlastními IT kapacitami, pak bezpečnostní řešení a služby dodavatele fakticky suplují roli interního IT oddělení.
Než se organizace mohou kvalifikovaně rozhodnout, kterému dodavateli svěří svou kybernetickou bezpečnost, čelí ještě podstatnější výzvě: jak objektivně jeho důvěryhodnost posoudit.
Podle průzkumu si 79 % respondentů myslí, že je obtížné vyhodnotit důvěryhodnost nových dodavatelů či partnerů v oblasti kybernetické bezpečnosti. To ukazuje na obecný problém s porovnáváním řešení, validací marketingových tvrzení a celkovým posouzením, zda potenciální poskytovatel dokáže organizaci reálně ochránit. U stávajících dodavatelů přetrvávají obdobné obtíže – více než polovina (62 %) respondentů má problém jejich důvěryhodnost průběžně vyhodnocovat. To naznačuje, že nedostatek důvěry nezmizí ani po navázání smluvního vztahu.
Respondenti zároveň identifikují několik klíčových bariér důvěry, které ve většině případů souvisejí s nedostatečnou transparentností. Organizace často narážejí na obtíže při interpretaci tvrzení dodavatelů, vyhodnocování technických parametrů i získávání relevantních informací nezbytných pro informované rozhodování.
Téměř polovina respondentů (47 %) uvádí, že informace poskytované dodavateli postrádají dostatečnou konkrétnost a míru detailu, zatímco 45 % je považuje za obtížně interpretovatelné či srozumitelné. Dalších 43 % přiznává nedostatečné interní kompetence pro efektivní posouzení dodavatelů, 41 % se potýká s nekonzistentními nebo protichůdnými informacemi a 38 % má problém relevantní podklady vůbec dohledat.
Významný rozdíl se projevuje mezi malými firmami (do 250 zaměstnanců) a velkými podniky (1 000 a více zaměstnanců). Malé a středně velké organizace výrazně častěji deklarují nedostatek znalostí a dovedností potřebných k adekvátnímu vyhodnocení důvěryhodnosti dodavatelů. Tento problém uváděli respondenti z menších firem o 8 % častěji než zástupci velkých podniků.
Dopady omezené důvěry
Výzkum zároveň kvantifikuje dopady nedostatečné důvěry mezi poskytovateli bezpečnostních řešení a jejich zákazníky, které se projevují jak na provozní, tak na rozhodovací úrovni. Na otázku, jaké důsledky má nízká důvěra v dodavatele kybernetické bezpečnosti, respondenti identifikovali kombinaci emocionálních a provozních důsledků:
• 51 % uvádí zvýšené obavy z možného výskytu závažného kybernetického incidentu.
• 45 % deklaruje častější zvažování změny dodavatele, což představuje organizačně i finančně náročný proces.
• 42 % zaznamenává zvýšené nároky na kontrolu a dohled nad dodavatelem.
• 41 % pociťuje nižší míru jistoty ohledně aktuální úrovně kybernetické bezpečnosti.
• 38 % vyjadřuje obavy z nesprávného výběru dodavatele, a to jak na úrovni jednotlivců, tak organizace.
Tyto dopady přitom dále zvyšují provozní zátěž, kterou týmy IT a kybernetické bezpečnosti již nesou.
Rozdílné vnímání týmy IT a vedením
Další významnou výzvou je nesoulad mezi operativními týmy IT, které nástroje kybernetické bezpečnosti každodenně využívají, a pracovníky odpovědnými za schvalování investic. Celkem 78 % respondentů uvádí, že mezi IT týmem a managementem či představenstvem existují rozdíly v hodnocení důvěryhodnosti dodavatelů kybernetické bezpečnosti. Téměř třetina organizací přitom uvádí, že tyto neshody se objevují pravidelně.
Zároveň je zřejmé, že vrcholové vedení zůstává klíčovým aktérem v rozhodovacím procesu. Pouze 1 % organizací uvedlo, že management nemá při výběru a nákupu řešení kybernetické bezpečnosti žádnou roli.
Způsoby budování důvěry
Z průzkumu vyplývá, že pro budování důvěry jsou klíčové transparentní bezpečnostní postupy založené na důkazech. Organizace upřednostňují dodavatele, kteří důvěryhodnost systematicky budují prostřednictvím otevřenosti, srozumitelné komunikace a prokazatelné úrovně zabezpečení.
Napříč managementem i týmy IT jsou jako nejvýznamnější faktor důvěry uváděny „ověřitelné podklady prokazující vyspělost v oblasti kybernetické bezpečnosti“. Mezi tyto typy důkazů patří například programy odměn za nalezení chyb (bug bounty), veřejná Centra důvěry (Trust Center), detailní zveřejňování informací o zranitelnostech (včetně způsobu, jak byly odstraněny), nezávislá hodnocení třetích stran a relevantní certifikace.
Významnou roli hraje také „transparentnost a včasná komunikace v průběhu bezpečnostních incidentů a zveřejňování informací“. Tento faktor byl managementem hodnocen jako druhý nejdůležitější a týmy IT jej zařadily na třetí místo z hlediska vlivu na celkovou důvěru v dodavatele.
Celá studie je k dispozici ke stažení na stránkách společnosti Sophos.
