.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Cuando las empresas eligen un proveedor de ciberseguridad, ponen en manos de ese proveedor su resiliencia operativa fundamental: su personal, sus datos y sus ingresos.
Sin embargo, a pesar de esta dependencia, la mayoría de las organizaciones no confían en los proveedores de los que dependen para mantener su seguridad, según un nuevo estudio de Sophos.
Para comprender la realidad de la confianza en la ciberseguridad, Sophos encargó una encuesta global independiente y ajena a cualquier proveedor a 5000 responsables de la toma de decisiones en materia de TI y seguridad de 17 países. Realizada por Vanson Bourne, una empresa de investigación especializada, la encuesta ofrece una imagen del mundo real y estadísticamente significativa de cómo se genera y se pierde la confianza entre los compradores y los proveedores de ciberseguridad.
Entre las principales conclusiones de este estudio se incluyen:
Falta de confianza: solo el 5 % de los responsables de TI afirma que tanto ellos como su organización confían plenamente en sus proveedores de ciberseguridad.
Las pruebas verificadas son un factor clave para la confianza: los equipos de TI y la alta dirección coinciden en que los indicadores verificables de la madurez en ciberseguridad son el indicador más significativo de la fiabilidad.
Evaluar la fiabilidad de los proveedores sigue siendo un reto: al 79 % de las organizaciones les resulta difícil evaluar la fiabilidad de los nuevos proveedores de ciberseguridad, mientras que al 62 % les resulta difícil hacerlo con sus proveedores actuales.
- Los encuestados mencionaron varios factores que reducían la confianza en los proveedores, siendo el principal de ellos que la información que proporcionaba el proveedor no era lo suficientemente objetiva o detallada.
Esta falta de confianza tiene consecuencias: el 51 % de los encuestados afirma que la falta de confianza genera la preocupación de que la organización sea más propensa a sufrir un ciberincidente grave.
Los profesionales y los directivos no suelen estar de acuerdo: el 78 % de los encuestados afirma que su equipo de TI y el equipo directivo o la junta directiva tienen opiniones diferentes sobre la fiabilidad de los proveedores de ciberseguridad de su organización. Casi un tercio de las empresas que respondieron a la encuesta de Sophos afirman que este desacuerdo ocurre «a menudo».
¿Quieres tener estos resultados a mano? Descarga el informe aquí.
Los niveles de confianza declarados son bajos
Solo el 5 % de los responsables de TI afirman que tanto ellos como su organización confían plenamente en sus proveedores de ciberseguridad.
Cuando confías en tu proveedor de ciberseguridad para mantener tu red segura y tus operaciones en marcha, la confianza es clave. Los proveedores de ciberseguridad son los que defienden tu negocio 24/7, incluso por las noches y los fines de semana, y cuando los miembros del equipo de TI están de vacaciones. En el caso de los propietarios de pequeñas empresas, es posible que ni siquiera cuenten con personal de TI dedicado, por lo que sus productos o servicios de ciberseguridad pueden actuar como un empleado más.
Antes de que las organizaciones puedan decidir en quién confiar, se enfrentan a un reto aún más fundamental: simplemente evaluar la fiabilidad de un proveedor.
Según la encuesta, el 79 % de los encuestados afirma que es difícil evaluar la fiabilidad de nuevos proveedores o partners de ciberseguridad, lo que pone de manifiesto una dificultad generalizada a la hora de comparar productos, validar afirmaciones y comprender si un posible proveedor puede realmente proteger el negocio. El 62 % también tiene dificultades para evaluar la fiabilidad de los proveedores con los que ya trabaja, una señal de que las brechas de confianza no desaparecen una vez firmado el contrato.
Los encuestados señalaron varias barreras para la confianza, la mayoría relacionadas con la transparencia. A muchos les cuesta interpretar las afirmaciones de los proveedores, evaluar los detalles técnicos o encontrar la información que necesitan para tomar decisiones con seguridad.
Casi la mitad (47 %) afirma que la información que proporcionan los proveedores no es lo suficientemente objetiva o detallada, y al 45 % le resulta difícil interpretar o entender esa información. Otro 43 % admite que carece de las habilidades o los conocimientos necesarios para evaluar a los proveedores de forma eficaz, el 41 % se encuentra con información contradictoria y el 38 % tiene dificultades simplemente para encontrar la información que necesita.
La mayor diferencia entre las pequeñas empresas (menos de 250 empleados) y las grandes empresas (más de 1000 empleados) es que las pymes son mucho más propensas a carecer de las habilidades o los conocimientos necesarios para evaluar eficazmente la fiabilidad de los proveedores: las pymes señalaron este problema un 8 % más que los encuestados de las grandes empresas.
Una confianza limitada tiene repercusiones
Este estudio cuantifica el impacto de la falta de confianza entre un proveedor de seguridad y sus clientes como un problema significativo en múltiples aspectos. Al preguntarles sobre las repercusiones de no tener plena confianza en sus proveedores de ciberseguridad, los encuestados destacaron una combinación de consecuencias emocionales y operativas:
- El 51 % afirma estar más preocupado por la posibilidad de que su organización sufra un ciberincidente grave.
- El 45 % dice que les hace más propensos a cambiar de proveedor, un proceso costoso y disruptivo para la mayoría de las organizaciones.
- El 42 % ve un aumento de los requisitos de supervisión.
- El 41 % afirma tener menos tranquilidad respecto a su postura de ciberseguridad.
- El 38 % expresa su preocupación de que ellos o su organización puedan haber elegido mal al proveedor.
Estos impactos señalados se suman a las exigencias operativas que ya recaen sobre los equipos de TI y ciberseguridad.
Evaluaciones divergentes entre TI y la dirección
Otro reto crítico es las diferentes opiniones entre las personas que usan herramientas de ciberseguridad a diario y quienes firman los contratos. El 78 % de los encuestados dice que su equipo de TI y el equipo directivo o la junta directiva tienen opiniones diferentes sobre la fiabilidad de sus proveedores de ciberseguridad, y casi un tercio afirma que esos desacuerdos ocurren a menudo.
Los encuestados indicaron que la alta dirección sigue muy involucrada en las decisiones de compra. Solo el 1 % de las organizaciones informó de que la alta dirección no desempeña ningún papel en las decisiones de compra de ciberseguridad.
Formas en que las empresas de ciberseguridad pueden fomentar mejor la confianza
Los encuestados indicaron que las prácticas de seguridad transparentes y basadas en pruebas son fundamentales para generar confianza. Las organizaciones quieren proveedores que generen confianza a través de la transparencia, la claridad y prácticas de seguridad respaldadas por pruebas.
Tanto entre la alta dirección como entre los equipos de TI, los «elementos verificables que indican la madurez en ciberseguridad» se situaron como el principal factor de confianza en los proveedores de ciberseguridad. Este tipo de pruebas incluyen programas de recompensa por errores, un Centro de Confianza público, avisos que detallan las vulnerabilidades de sus productos (junto con cómo se han solucionado), evaluaciones de terceros y certificaciones.
«La transparencia y las comunicaciones oportunas durante los incidentes y las divulgaciones» también se situaron como el segundo factor más importante para los miembros del equipo directivo y el tercero entre los miembros del equipo de TI.
El compromiso de Sophos por ganarnos la confianza de nuestros clientes y partners
En Sophos, entendemos que la confianza se gana, no se reclama, y trabajamos cada día para ganárnosla a través de la transparencia, la integridad y un compromiso inquebrantable con la protección de la seguridad y la privacidad.
En el centro de nuestros esfuerzos se encuentra el Centro de confianza de Sophos, donde publicamos avisos de seguridad, documentamos las vulnerabilidades de los productos y sus soluciones, describimos nuestra postura de cumplimiento normativo y compartimos cómo protegemos los datos de los clientes.
Esta transparencia también queda patente en la investigación de Sophos X-Ops sobre la costa del Pacífico, que documentó públicamente una campaña de cinco años llevada a cabo por actores maliciosos con sede en China y compartió tácticas, técnicas y procedimientos (TTP) detallados, indicadores de compromiso (IOC) y orientación defensiva para ayudar a las organizaciones a reforzar la resiliencia en todo el sector.
Al sacar a la luz actividades sofisticadas de estados-nación, colaborar con gobiernos y otros proveedores, y ser sinceros tanto sobre nuestras fortalezas como sobre nuestras debilidades, Sophos refuerza la idea de que la confianza es algo que se gana día a día a través de la honestidad, la responsabilidad y el compromiso de salvaguardar el ecosistema digital en su conjunto.
Más información
Para obtener más información sobre nuestro compromiso con la confianza y los recursos que ofrecemos para ayudarte a evaluar la confianza en Sophos, visita el Centro de confianza o habla con tu partner o representante de Sophos.
Si quieres tener todos los datos de este informe, lo puedes descargar aquí.