¿Confía en su proveedor de ciberseguridad? La mayoría de organizaciones no lo hace

La frágil confianza que tienen las empresas en los proveedores de ciberseguridad, y que además es difícil de medir, es un desafío crítico que enfrentan hoy los CISO, especialmente porque cada vez influye más en la postura de riesgo de las organizaciones, tanto a nivel operativo como en los órganos directivos. Así lo revela el reporte Cybersecurity Trust Reality 2026 de Sophos, basado en las respuestas de 5.000 organizaciones en 17 países.

En un contexto de amenazas cibernéticas persistentes, mayor escrutinio regulatorio y una adopción acelerada de la inteligencia artificial, la confianza se ha convertido en un factor determinante en la toma de decisiones en ciberseguridad. Sin embargo, la investigación revela que casi todas las organizaciones reportan no tener plena confianza en sus proveedores de ciberseguridad, y muchas tienen dificultades incluso para evaluar la confiabilidad de dichos proveedores.

Según la investigación, el 95 % de los encuestados dice que no tiene plena confianza en sus proveedores de ciberseguridad, mientras el 79 % tiene dificultades para evaluar la confiabilidad de nuevos socios de ciberseguridad, y más de seis de cada diez (62 %) también consideran desafiante hacerlo con sus proveedores actuales. Adicionalmente, más de la mitad (51 %) reporta un aumento de ansiedad respecto a la probabilidad de sufrir un incidente cibernético significativo como resultado directo de esta falta de confianza.

Desde Sophos explican que estos hallazgos subrayan que la eficacia de la ciberseguridad no puede medirse únicamente por el desempeño tecnológico, sino también por el nivel de confianza que las organizaciones depositan en los socios que protegen su negocio. Las brechas de confianza generan fricción operativa, procesos de decisión más lentos y una mayor rotación de proveedores. En cambio, los socios de ciberseguridad confiables reducen riesgos y contribuyen a construir organizaciones más resilientes.

“La confianza no es un concepto abstracto en ciberseguridad, es un factor de riesgo medible. Cuando las organizaciones no pueden verificar de forma independiente la madurez de seguridad, la transparencia y las prácticas de gestión de incidentes de un proveedor, esa incertidumbre se traslada directamente a los consejos directivos y a las estrategias de seguridad”, afirma Ross McKerchar, CISO de Sophos.

El reporte identifica las herramientas de seguridad verificables –como evaluaciones independientes, certificaciones y la demostración de madurez operativa– como el principal impulsor de la confianza en los proveedores. Además, mientras los CISO priorizan la transparencia durante incidentes y un desempeño técnico consistente, los consejos directivos y la alta dirección otorgan mayor peso a la validación independiente, certificaciones y evaluaciones de analistas. La conclusión evidente es que las organizaciones quieren transparencia respaldada por evidencia, no promesas generales.

“Con la presión regulatoria aumentando a nivel global, las organizaciones deben poder demostrar diligencia debida en la selección de proveedores, especialmente cuando está involucrada la inteligencia artificial. La confianza está pasando de ser un mensaje de marketing a convertirse en un requisito de cumplimiento defendible”, señala Phil Harris, director de Investigación de Governance, Risk and Compliance Solutions en IDC.

Asimismo, conforme la inteligencia artificial se integra en herramientas, servicios y flujos de trabajo de ciberseguridad, las organizaciones ya no solo evalúan si las soluciones son efectivas, sino también si la IA se implementa de forma responsable, transparente y con una gobernanza adecuada.

“Hoy se les pide a los CISO que demuestren la confianza, no que simplemente la asuman. Los proveedores de ciberseguridad deben hacer lo mismo. Los encuestados señalaron que la falta de información accesible y suficientemente detallada es la principal barrera para realizar evaluaciones de confianza con seguridad. La confianza debe ganarse continuamente mediante transparencia, rendición de cuentas y validación independiente”, añade McKerchar.