Solo el 5% de las organizaciones confía plenamente en sus proveedores de ciberseguridad
- Seguridad
La falta de transparencia verificable se ha convertido en un riesgo estratégico para los CISO y las juntas directivas. Una investigación de Sophos revela que la confianza ya no es un valor intangible, sino un factor crítico que condiciona la resiliencia y la toma de decisiones.
Sophos ha presentado el informe global Cybersecurity Trust Reality 2026, que revela que el 95% de las empresas no confía plenamente en sus proveedores de ciberseguridad. En un entorno marcado por amenazas persistentes, mayor presión regulatoria y la adopción acelerada de la inteligencia artificial, la confianza se ha convertido en un elemento determinante para la toma de decisiones y la postura de riesgo corporativa.
Dificultad para evaluar a los proveedores
El estudio muestra que el 79% de las organizaciones tiene dificultades para evaluar la fiabilidad de nuevos partners de ciberseguridad, y un 62% reconoce que incluso les cuesta hacerlo con los proveedores actuales. Más de la mitad de los encuestados (51%) teme que esta falta de confianza pueda derivar en un incidente grave. Para los CISO, esta incertidumbre se traduce en fricciones operativas, procesos de decisión más lentos y una mayor rotación de proveedores.
“La confianza no es un concepto abstracto en ciberseguridad, sino un factor de riesgo cuantificable”, afirma Ross McKerchar, CISO de Sophos. Según explica, cuando las organizaciones no pueden verificar de forma independiente la madurez, la transparencia o las prácticas de gestión de incidentes de un proveedor, esa incertidumbre escala hasta los comités de dirección y condiciona las estrategias de seguridad.
El informe identifica los elementos verificables, tales como evaluaciones independientes, certificaciones y madurez operativa demostrada, como los principales impulsores de confianza. Mientras los CISO priorizan la transparencia durante los incidentes y el rendimiento técnico, los consejos de administración valoran especialmente la validación independiente y el respaldo de analistas. El mensaje es claro: las organizaciones buscan pruebas, no promesas.
La presión regulatoria global está reforzando esta tendencia. “Las organizaciones deben demostrar que han actuado con la debida diligencia en la selección de proveedores, especialmente cuando se trata de la IA”, señala Phil Harris, director de investigación de IDC. Con la inteligencia artificial integrada en herramientas y flujos de trabajo de seguridad, las empresas ya no solo evalúan la eficacia técnica, sino también la responsabilidad, transparencia y gobernanza con la que se implementa.
Los encuestados señalan la falta de información accesible y suficientemente detallada como el principal obstáculo para realizar evaluaciones de confianza con seguridad. “Se pide a los CISO que demuestren la confianza, no que la den por sentada. Los proveedores deben hacer lo mismo”, añade McKerchar. Para Sophos, generar y mantener esa confianza es un imperativo estratégico, y su Centro de Confianza busca ofrecer a los responsables de seguridad información verificable que facilite decisiones más rápidas y fundamentadas.
