El 95% de las organizaciones no confía plenamente en los proveedores de ciberseguridad

La falta de transparencia verificable socava la toma de decisiones en ciberseguridad, según una investigación respaldada por Sophos. "La confianza no es un concepto abstracto en ciberseguridad, es un factor de riesgo medible", afirmó Ross McKerchar, CISO de la compañía. "Cuando las organizaciones no pueden verificar de forma independiente la madurez de seguridad de un proveedor, su transparencia y sus prácticas de manejo de incidentes, esa incertidumbre fluye directamente a las juntas directivas y a las estrategias de seguridad".

Ross McKerchar, CISO de Sophos.
Ross McKerchar, CISO de Sophos.

Sophos publicó los resultados de un estudio global e independiente de proveedores (basado en las respuestas de 5,000 organizaciones en 17 países), que examina una de las necesidades más urgentes y pasadas por alto de la ciberseguridad: la confianza.

El informe The Cybersecurity Trust Reality 2026 (La realidad de la confianza en la ciberseguridad 2026) es uno de los estudios más exhaustivos sobre la confianza en el sector y su impacto en el riesgo operativo y la toma de decisiones a nivel de junta directiva. El documento revela un desafío crítico que enfrentan los CISOs: la confianza en los proveedores de ciberseguridad es frágil, difícil de medir y está condicionando cada vez más la postura de riesgo tanto a nivel operativo como directivo.

En un momento de ataques cibernéticos incesantes, un mayor escrutinio regulatorio y una adopción acelerada de la IA, la confianza se ha convertido en un factor definitorio en la toma de decisiones de ciberseguridad. Sin embargo, la nueva investigación revela que casi todas las organizaciones informan de una falta de confianza total en sus proveedores, y muchas tienen dificultades para evaluar la fiabilidad de estos en primer lugar.

El estudio independiente encontró que:

  • El 95% de los encuestados afirmó no tener plena confianza en sus proveedores de ciberseguridad.

  • El 79% tiene dificultades para evaluar la confiabilidad de nuevos socios de ciberseguridad, y más de seis de cada diez (62%) incluso lo consideran un reto para sus proveedores actuales.

  • Más de la mitad (51%) reporta una mayor ansiedad sobre la probabilidad de un incidente cibernético significativo como resultado directo de la falta de confianza.

Estos hallazgos subrayan una realidad crítica: la eficacia de la ciberseguridad no puede medirse únicamente por el rendimiento tecnológico, sino también por la confianza que las organizaciones tienen en los socios que defienden su negocio. Para los CISOs, las brechas de confianza generan fricción operativa, una toma de decisiones más lenta y una mayor rotación de proveedores. Por el contrario, los socios de ciberseguridad confiables reducen el riesgo y construyen organizaciones más resilientes.

«La confianza no es un concepto abstracto en ciberseguridad, es un factor de riesgo medible», afirmó Ross McKerchar, CISO de Sophos. «Cuando las organizaciones no pueden verificar de forma independiente la madurez de seguridad de un proveedor, su transparencia y sus prácticas de manejo de incidentes, esa incertidumbre fluye directamente a las juntas directivas y a las estrategias de seguridad».

La encuesta identifica los artefactos de seguridad verificables —incluyendo evaluaciones independientes, certificaciones y madurez operativa demostrada— como el mayor motor de confianza en los proveedores. Mientras que los CISOs priorizan la transparencia durante los incidentes y el rendimiento técnico constante, las juntas directivas y el liderazgo sénior dan más peso a la validación independiente, las certificaciones y el desempeño ante analistas. El punto común es claro: las organizaciones quieren transparencia respaldada por evidencia, no promesas generales.

«Con el aumento de la presión regulatoria a nivel mundial, las organizaciones deben ser capaces de demostrar la debida diligencia en la selección de proveedores, especialmente cuando la IA está involucrada», señaló Phil Harris, Director de Investigación de Soluciones de Gobernanza, Riesgo y Cumplimiento en IDC. «La confianza está pasando de ser un mensaje de marketing a un requisito de cumplimiento defendible».

A medida que la Inteligencia Artificial se integra en las herramientas, servicios y flujos de trabajo de ciberseguridad, las organizaciones no solo evalúan si las soluciones son efectivas, sino también si la IA se despliega de manera responsable, transparente y con una gobernanza adecuada. La confianza ya no es opcional; es fundamental.

«A los CISOs se les pide que demuestren la confianza, no que la den por sentada», añadió McKerchar. «Los proveedores de ciberseguridad deben hacer lo mismo. Los encuestados citaron la falta de información accesible y suficientemente detallada como la principal barrera para realizar evaluaciones de confianza seguras. La confianza debe ganarse continuamente a través de la transparencia, la rendición de cuentas y la validación independiente».

Las empresas en Colombia no solo enfrentan ciberataques: enfrentan una crisis de confianza en quienes deben protegerlas.

La confianza es un problema estructural

  • El 85% de las empresas en Colombia tiene dificultades para evaluar la confiabilidad de
    proveedores de ciberseguridad
  • 29% lo considera “muy desafiante”
  • 56% “algo desafiante”
  • 0% afirma tener plena confianza en sus proveedores

Estos hallazgos elevan la confianza de ser un atributo de marca a un imperativo estratégico. En Sophos, construir y mantener esa confianza es fundamental. A través del Centro de Confianza (Trust Center) de la compañía, Sophos busca ayudar a los líderes de seguridad a tomar decisiones más rápidas y defendibles en un panorama de amenazas cada vez más hostil.

Autor

banner-web

Artículos relacionadosMás del autor