Apenas 5% das organizações confiam totalmente em fornecedores de cibersegurança
A confiança em parceiros de segurança digital está em um dos níveis mais baixos já registrados. Um estudo global independente apoiado pela Sophos, referência mundial em soluções de cibersegurança, revela que somente 5% das organizações afirmam confiar plenamente em seus fornecedores da área. O levantamento, que ouviu 5.000 empresas em 17 países – incluindo o Brasil -, mostra que a falta de transparência verificável está diretamente prejudicando a tomada de decisão em segurança da informação.
Um dos maiores estudos sobre confiança em cibersegurança
O relatório Cybersecurity Trust Reality 2026 é apontado como um dos trabalhos mais abrangentes já realizados sobre o tema da confiança em cibersegurança e seu impacto no risco operacional e nas decisões de alto nível, como as que passam pelo conselho executivo.
Os dados expõem um cenário desafiador para CISOs e líderes de TI: a confiança em fornecedores de segurança é frágil, difícil de medir e, ao mesmo tempo, crítica para definir a postura de risco da organização – tanto no dia a dia das operações quanto na estratégia de longo prazo.
Ambiente de ameaça crescente e confiança em queda
O estudo chega em um contexto marcado por ataques constantes, regulamentações mais rígidas e uso acelerado de inteligência artificial (IA) em soluções de segurança. Nesse cenário, a confiança deixou de ser um “conceito subjetivo” e passou a ser um fator determinante na escolha de tecnologias, parceiros e serviços.
Mesmo assim, praticamente nenhuma organização declara ter confiança total em seus fornecedores. Muitas, inclusive, admitem dificuldades básicas para avaliar quão confiáveis esses parceiros realmente são, seja por falta de informação, seja por ausência de parâmetros claros e comparáveis.
A confiança como fator de risco mensurável
Para Ross McKerchar, CISO da Sophos, confiança é um componente direto de risco em segurança cibernética:
“Confiança não é um conceito abstrato em cibersegurança – é um fator de risco mensurável. Quando as organizações não conseguem verificar de forma independente a maturidade de segurança de um fornecedor, sua transparência e suas práticas de gestão de incidentes, essa incerteza chega diretamente às salas de conselho e às estratégias de segurança”, afirma.
Na prática, a pesquisa mostra que a falta de confiança se traduz em problemas concretos: mais atrito nas operações, processos de decisão mais lentos, trocas frequentes de fornecedores e aumento do risco geral para o negócio. Por outro lado, parceiros considerados confiáveis tendem a reduzir a exposição a ameaças, facilitar a governança e contribuir para a construção de organizações mais resilientes.
O que realmente gera confiança nos fornecedores
O levantamento aponta que não são promessas ou discursos comerciais que constroem confiança, mas sim evidências concretas e auditáveis. Entre os fatores mais valorizados pelas organizações, destacam-se:
– Avaliações independentes conduzidas por terceiros;
– Certificações reconhecidas no mercado;
– Demonstrações claras de maturidade operacional;
– Processos de resposta a incidentes bem definidos e transparentes;
– Histórico comprovado de desempenho técnico consistente.
Há, porém, diferenças de prioridade entre públicos internos. Enquanto CISOs e equipes técnicas tendem a dar maior peso à transparência durante incidentes, à qualidade da resposta e à performance real das soluções, conselhos e executivos de alto escalão olham mais fortemente para certificações, atestados independentes e análises de consultorias especializadas.
O ponto comum entre todos é inequívoco: as empresas não querem apenas declarações de que a segurança é “levada a sério”; elas exigem transparência apoiada em evidências objetivas.
Reguladores apertam o cerco, e confiança vira obrigação
Phil Harris, diretor de pesquisa de soluções de Governança, Risco e Compliance na IDC, destaca que o contexto regulatório global está transformando confiança em requisito de conformidade:
“Com o aumento da pressão regulatória global, as organizações precisam demonstrar diligência na seleção de fornecedores – especialmente quando a inteligência artificial está envolvida. A confiança está deixando de ser uma mensagem de marketing para se tornar um requisito de conformidade defensável”, afirma.
Em outras palavras, não se trata mais apenas de escolher um fornecedor “de renome”, e sim de comprovar, documentalmente, que a empresa avaliou riscos, verificou práticas e tomou decisões baseadas em critérios técnicos e regulatórios. Em eventuais incidentes ou investigações, essa diligência pode ser decisiva para mitigar sanções e responsabilizações.
IA na cibersegurança: eficácia não é o único critério
O estudo também aponta uma mudança importante de foco à medida que a inteligência artificial é incorporada a ferramentas, serviços e fluxos de trabalho de segurança. As organizações não avaliam apenas se a IA aumenta a eficácia contra ameaças; passam a observar com atenção:
– Como os modelos de IA são treinados;
– Que dados são coletados, armazenados e processados;
– Se há risco de exposição de informações sensíveis;
– Se existe governança clara sobre o uso e a evolução da IA;
– Como o fornecedor lida com vieses, erros e decisões automatizadas.
A questão deixa de ser “a IA funciona?” para se tornar “a IA é usada de forma responsável, transparente e controlada?”. Isso reforça a necessidade de fornecedores detalharem arquiteturas, políticas de privacidade, controles de acesso, fiscalização interna e mecanismos de auditoria relacionados ao uso de inteligência artificial em seus produtos.
CISOs precisam provar, não presumir, que confiam
Segundo McKerchar, os líderes de segurança estão diante de uma mudança de paradigma:
“Os CISOs estão sendo pressionados a provar confiança, não apenas presumir que ela existe”, enfatiza. “Os fornecedores de cibersegurança precisam fazer o mesmo. Os participantes da pesquisa apontaram a falta de informações acessíveis e suficientemente detalhadas como o principal obstáculo para avaliar a confiança com segurança. A confiança precisa ser conquistada continuamente, por meio de transparência, evidências e resultados consistentes.”
Isso significa que tanto empresas quanto fornecedores precisam amadurecer seus processos de comunicação e de prestação de contas. Relatórios superficiais, documentos genéricos e discursos padronizados já não atendem às expectativas de governança, risco e conformidade.
—
Como as organizações podem avaliar melhor a confiança em fornecedores
Diante desse cenário em que apenas 5% das empresas confiam plenamente em seus parceiros de cibersegurança, surge uma questão prática: o que as organizações podem fazer para avaliar e fortalecer essa confiança?
1. Estabelecer critérios formais de due diligence
Em vez de decisões pontuais, baseadas em relacionamento comercial ou reputação de mercado, a seleção de fornecedores de cibersegurança deve seguir um processo estruturado de due diligence, incluindo:
– Questionários detalhados sobre segurança, privacidade e governança;
– Revisão de políticas de resposta a incidentes e continuidade de negócios;
– Verificação de certificações e auditorias independentes recentes;
– Análise de cláusulas contratuais específicas de segurança e proteção de dados.
Transformar esse processo em um requisito padrão reduz a subjetividade e cria um histórico comparável entre diferentes fornecedores.
2. Exigir transparência durante incidentes
Um dos pontos que mais impactam a confiança é a forma como o fornecedor se comporta quando as coisas dão errado. As organizações devem:
– Verificar se o parceiro tem processos formais de notificação de incidentes;
– Confirmar prazos de resposta e canais de comunicação;
– Estabelecer em contrato níveis de serviço (SLAs) específicos para incidentes de segurança;
– Avaliar casos passados, quando disponíveis, para entender como o fornecedor se posicionou.
Fornecedores que tentam minimizar, ocultar ou adiar informações em situações críticas tendem a deteriorar rapidamente a confiança conquistada.
3. Priorizar evidências sobre promessas
Em vez de se basear em apresentações comerciais e mensagens de marketing, as empresas devem demandar evidências mensuráveis, como:
– Resultados de testes de intrusão (pen tests) realizados por terceiros;
– Relatórios de auditoria de segurança atualizados;
– Comprovação de participação em programas de bug bounty ou avaliações contínuas;
– Métricas de tempo médio de detecção e resposta a incidentes.
Esses dados permitem uma avaliação mais objetiva da maturidade de segurança do fornecedor.
4. Incluir a área jurídica, de risco e de compliance na escolha
A confiança em cibersegurança deixou de ser apenas uma questão técnica. Departamentos jurídico, de risco e de compliance precisam participar da avaliação de fornecedores para:
– Garantir aderência a leis de proteção de dados e normas setoriais;
– Analisar responsabilidades contratuais e limites de indenização;
– Verificar obrigações de notificação a autoridades em caso de incidentes;
– Alinhar os compromissos dos fornecedores às políticas internas da organização.
Essa abordagem integrada reduz lacunas e alinha a relação com o fornecedor ao apetite de risco da empresa.
5. Avaliar o ciclo de vida completo do relacionamento
Confiança não é algo estático; precisa ser monitorada ao longo de todo o relacionamento. Algumas práticas úteis incluem:
– Revisões periódicas de desempenho e segurança com o fornecedor;
– Atualização regular dos questionários de due diligence;
– Monitoramento de mudanças significativas na empresa fornecedora (aquisições, reestruturações, incidentes públicos);
– Reavaliação de riscos sempre que houver grandes atualizações de produto ou de arquitetura.
Ao tratar o fornecedor como parte crítica da cadeia de segurança – e não como um simples prestador de serviço – as organizações conseguem detectar sinais de alerta mais cedo.
6. Considerar a transparência como diferencial competitivo
Empresas fornecedoras que se dispõem a abrir seus processos, compartilhar indicadores, expor limitações e admitir riscos de forma honesta tendem a conquistar mais confiança de clientes maduros. Para os compradores, é importante reconhecer e valorizar esse comportamento, incorporando a transparência como critério formal na seleção e renovação de contratos.
Na prática, isso pode significar escolher um fornecedor que admite claramente quais são seus limites e como os gerencia, em vez de outro que promete “segurança absoluta” sem apresentar qualquer comprovação técnica.
7. Preparar o conselho para discutir confiança em cibersegurança
Como o relatório Cybersecurity Trust Reality 2026 demonstra, a confiança em fornecedores já chegou à agenda dos conselhos de administração. CISOs e executivos de tecnologia precisam:
– Levar ao conselho métricas e evidências sobre fornecedores-chave;
– Explicar os critérios utilizados para selecioná-los e monitorá-los;
– Apresentar planos de contingência caso um fornecedor crítico falhe ou seja comprometido;
– Traduzir questões técnicas em impactos de negócio, reputação e conformidade.
Conselhos mais bem informados tendem a apoiar investimentos em processos robustos de avaliação e monitoramento de parceiros, o que, por sua vez, reduz riscos de longo prazo.
—
Em um ambiente em que a superfície de ataque cresce, as regulações se tornam mais severas e a inteligência artificial adiciona camadas de complexidade, a confiança em fornecedores de cibersegurança deixou definitivamente de ser opcional. Ela passa a ser um ativo estratégico, que precisa ser construído com transparência, medido por evidências e revisitado continuamente.
O dado de que apenas 5% das organizações confiam totalmente em seus fornecedores não é apenas um alerta: é um convite para que empresas e provedores revisem de forma profunda como se relacionam, se avaliam e prestam contas em um mundo cada vez mais digital e interconectado.