Sophos dio a conocer hoy los hallazgos de un estudio global independiente y agnóstico a proveedores (basado en respuestas de 5,000 organizaciones en 17 países), que examina una de las necesidades más urgentes y menos atendidas en ciberseguridad: la confianza.
El reporte Cybersecurity Trust Reality 2026 es uno de los estudios más completos sobre la confianza en ciberseguridad y su impacto en el riesgo operativo y la toma de decisiones a nivel de consejo directivo. El informe revela un desafío crítico que enfrentan los CISOs: la confianza en los proveedores de ciberseguridad es frágil, difícil de medir y cada vez influye más en la postura de riesgo tanto a nivel operativo como en los órganos directivos.
En un contexto de amenazas cibernéticas persistentes, mayor escrutinio regulatorio y una adopción acelerada de inteligencia artificial, la confianza se ha convertido en un factor determinante en la toma de decisiones en ciberseguridad. Sin embargo, la nueva investigación revela que casi todas las organizaciones reportan no tener plena confianza en sus proveedores de ciberseguridad, y muchas tienen dificultades incluso para evaluar la confiabilidad de dichos proveedores.
El estudio encontró que:
El 95% de los encuestados señaló que no tiene plena confianza en sus proveedores de ciberseguridad.
El 79% tiene dificultades para evaluar la confiabilidad de nuevos socios de ciberseguridad, y más de seis de cada diez (62%) también consideran desafiante hacerlo con sus proveedores actuales.
Más de la mitad (51%) reporta un aumento de ansiedad respecto a la probabilidad de sufrir un incidente cibernético significativo como resultado directo de esta falta de confianza.
Estos hallazgos subrayan una realidad crítica: la eficacia de la ciberseguridad no puede medirse únicamente por el desempeño tecnológico, sino también por el nivel de confianza que las organizaciones depositan en los socios que protegen su negocio. Para los CISOs, las brechas de confianza generan fricción operativa, procesos de decisión más lentos y una mayor rotación de proveedores. Los socios de ciberseguridad confiables reducen riesgos y contribuyen a construir organizaciones más resilientes.
“La confianza no es un concepto abstracto en ciberseguridad, es un factor de riesgo medible. Cuando las organizaciones no pueden verificar de forma independiente la madurez de seguridad, la transparencia y las prácticas de gestión de incidentes de un proveedor, esa incertidumbre se traslada directamente a los consejos directivos y a las estrategias de seguridad”, afirmó Ross McKerchar, CISO de Sophos.
La encuesta identifica las herramientas de seguridad verificables, como evaluaciones independientes, certificaciones y la demostración de madurez operativa, como el principal impulsor de la confianza en los proveedores. Mientras que los CISOs priorizan la transparencia durante incidentes y un desempeño técnico consistente, los consejos directivos y la alta dirección otorgan mayor peso a la validación independiente, certificaciones y evaluaciones de analistas.
El hilo conductor es claro: las organizaciones quieren transparencia respaldada por evidencia, no promesas generales.
“Con la presión regulatoria aumentando a nivel global, las organizaciones deben poder demostrar diligencia debida en la selección de proveedores —especialmente cuando está involucrada la inteligencia artificial—. La confianza está pasando de ser un mensaje de marketing a convertirse en un requisito de cumplimiento defendible”, señaló Phil Harris, Director de Investigación de Governance, Risk and Compliance Solutions en IDC.
A medida que la inteligencia artificial se integra en herramientas, servicios y flujos de trabajo de ciberseguridad, las organizaciones ya no solo evalúan si las soluciones son efectivas, sino también si la IA se implementa de forma responsable, transparente y con una gobernanza adecuada. La confianza ya no es opcional: es fundamental.
“Hoy se les pide a los CISOs que demuestren la confianza, no que simplemente la asuman. Los proveedores de ciberseguridad deben hacer lo mismo. Los encuestados señalaron que la falta de información accesible y suficientemente detallada es la principal barrera para realizar evaluaciones de confianza con seguridad. La confianza debe ganarse continuamente mediante transparencia, rendición de cuentas y validación independiente”, añadió McKerchar.
