Em resposta direta a "quão seguro é SFTP", a versão mais recente do OpenSSH suporta até AES-256, 3DES e Blowfish.
Para saber se você precisa criptografar o documento antes de transferi-lo, isso depende do que você está tentando alcançar. Com exceção de alguns avanços na computação quântica, o tempo que levará para forçar um fluxo de dados SFTP roubado não está dentro da razão mais do que o tempo que levará para forçar um fluxo de dados SFTP roubado contendo um arquivo criptografado.
A vantagem de criptografar o documento antes de transferi-lo é que, quando o arquivo chega ao terminal remoto (que pode ser autônomo, ou seja, e-mail), ele não é diretamente legível. Alguém tem que vir e acionar a ferramenta de descriptografia do usuário e inserir suas credenciais para transformar o arquivo recebido em algo utilizável.
O custo de fazer isso é mais trabalho para os usuários nos dois lados. Além disso, SFTP não vai saber que alguém está enviando um arquivo que não foi criptografado já, por isso a falta de treinamento ou disciplina do usuário pode facilmente corroer a vantagem que eu disse acima.