Sophos dio a conocer los hallazgos del reporte Cybersecurity Trust Reality 2026, uno de los estudios más completos sobre la confianza en ciberseguridad y su impacto en el riesgo operativo y la toma de decisiones a nivel de consejo directivo, revela que los CISOs enfrentan un desafío crítico: la confianza en los proveedores de ciberseguridad es frágil, difícil de medir y cada vez influye más en la postura de riesgo tanto operativa como directivamente.
En un escenario de amenazas cibernéticas persistentes, mayor indagación regulatoria y una acelerada adopción de inteligencia artificial, la confianza se ha convertido en un factor clave en la toma de decisiones en ciberseguridad. No obstante, la investigación revela que casi todas las organizaciones no tienen plena confianza en sus proveedores de ciberseguridad, y muchas tienen problemas incluso para evaluar la confiabilidad de dichos proveedores.
Los hallazgos del estudio incluyen:
- El 99% de los encuestados del país dijo no tener plena confianza en sus proveedores de ciberseguridad.
- El 70% tiene dificultades para evaluar la confiabilidad de nuevos socios de ciberseguridad, y el 61% también considera desafiante hacerlo con sus proveedores actuales.
- El 59% reporta un aumento de ansiedad respecto a la posibilidad de sufrir un incidente cibernético significativo como resultado directo de esta falta de confianza.
Los resultados subrayan una realidad crítica: la eficacia de la ciberseguridad no puede medirse tan solo por el desempeño tecnológico, sino también por el nivel de confianza que las organizaciones depositan en los socios que protegen su negocio. Para los CISOs, las brechas de confianza generan fricción operativa, procesos de decisión más lentos y una mayor rotación de proveedores. Los socios de ciberseguridad confiables minimizan riesgos y aportan en la construcción de organizaciones más resilientes.
Según indica Ross McKerchar, CISO de Sophos, “la confianza no es un concepto abstracto en ciberseguridad, es un factor de riesgo medible. Cuando las organizaciones no pueden verificar de forma independiente la madurez de seguridad, la transparencia y las prácticas de gestión de incidentes de un proveedor, esa incertidumbre se traslada directamente a los consejos directivos y a las estrategias de seguridad”.
La encuesta identifica como principal impulsor de la confianza en los proveedores a los artefactos de seguridad verificables, como evaluaciones independientes, certificaciones y la demostración de madurez operativa. Mientras que los CISOs priorizan la transparencia durante incidentes y un desempeño técnico consistente, los consejos directivos y la alta dirección dan mayor importancia a la validación independiente, certificaciones y evaluaciones de analistas. El foco central es claro: las organizaciones no quieren promesas generales, sino transparencia respaldada por evidencia.
“Con la presión regulatoria aumentando a nivel global, las organizaciones deben poder demostrar diligencia debida en la selección de proveedores —especialmente cuando está involucrada la inteligencia artificial—. La confianza está pasando de ser un mensaje de marketing a convertirse en un requisito de cumplimiento defendible”, explica Phil Harris, Director de Investigación de Governance, Risk and Compliance Solutions en IDC.
A medida que la IA se integra en herramientas, servicios y flujos de trabajo de ciberseguridad, las empresas ya no solo evalúan si las soluciones son eficaces, sino también si la tecnología se implementa responsablemente, de forma transparente y con una gobernanza adecuada. La confianza ya no es opcional: es fundamental.
“Hoy se les pide a los CISOs que demuestren la confianza, no que simplemente la asuman. Los proveedores de ciberseguridad deben hacer lo mismo. Los encuestados señalaron que la falta de información accesible y suficientemente detallada es la principal barrera para realizar evaluaciones de confianza con seguridad. La confianza debe ganarse continuamente mediante transparencia, rendición de cuentas y validación independiente”, agregó Ross McKerchar, CISO de Sophos.
