Cómo afectan los escenarios de crecimiento presupuestario (plano, moderado, significativo) a las prioridades de inversión en IAM

Este artículo analiza cómo cada escenario afecta a la madurez, el alcance y la resiliencia de los programas de identidad, y cómo reajustar las inversiones para garantizar una seguridad y un cumplimiento duraderos.

En este artículo:

Los responsables de seguridad se enfrentan a una nueva realidad fiscal: los presupuestos pueden estar creciendo, pero no siempre de manera uniforme. Dependiendo de si su programa de IAM opera con un crecimiento presupuestario plano, moderado o significativo, las prioridades – y los riesgos – cambian drásticamente.

Este artículo analiza cómo cada escenario afecta a la madurez, el alcance y la resiliencia de los programas de identidad, y cómo reajustar las inversiones para garantizar una seguridad y un cumplimiento duraderos.

 

Presupuestos estables: cuando la estabilidad esconde riesgos

Un presupuesto estable para ciberseguridad no es neutral, sino una limitación disfrazada de coherencia. Según la revista Infosecurity Magazine, casi el 40 % de las organizaciones informaron de un estancamiento en el gasto en seguridad en 2024, a pesar del aumento del volumen de ataques y de las crecientes exigencias de cumplimiento normativo. Esta desconexión obliga a los CISO a tomar decisiones difíciles: mantener las operaciones críticas de IAM, aplazar la innovación y aceptar un riesgo elevado.

Con presupuestos estables, la identidad se convierte en la base que hay que proteger, no en la frontera que hay que ampliar. Los programas tienden a centrarse en:

  • Optimización de licencias: consolidar soluciones que se solapan (por ejemplo, múltiples herramientas MFA o SSO) y renegociar los contratos con los proveedores para reducir el coste por identidad gestionada.
  • Higiene de acceso: implementar procesos más estrictos de incorporación, traslado y salida (JML) y aplicar el privilegio mínimo mediante revisiones manuales en lugar de una gobernanza automatizada.
  • Contención operativa: mantener las integraciones heredadas funcionales, incluso si carecen de controles de seguridad modernos o visibilidad.

 

However, this “keep the lights on” strategy comes with hidden costs. Flat budgets often delay modernization – especially transitions from on-prem IAM to cloud-native identity platforms such as Okta Identity Cloud or SailPoint Identity Security Cloud. Without automation and contextual intelligence, IAM teams struggle to manage identity sprawl across SaaS, hybrid, and multi-cloud environments.

Sin embargo, esta estrategia de «mantener las luces encendidas» conlleva costes ocultos. Los presupuestos fijos suelen retrasar la modernización, especialmente las transiciones de IAM local a plataformas de identidad nativas en la nube, como Okta Identity Cloud o SailPoint Identity Security Cloud. Sin automatización e inteligencia contextual, los equipos de IAM tienen dificultades para gestionar la proliferación de identidades en entornos SaaS, híbridos y multinube.

Esto significa que se mantiene el cumplimiento normativo, pero disminuye la eficacia de la seguridad. Según el informe State of Pentesting Report 2025, el 48 % de las vulnerabilidades identificadas siguen sin resolverse, y los hallazgos graves tardan una media de 50 días en solucionarse, lo que supera con creces la mayoría de los acuerdos de nivel de servicio (SLA).

Los presupuestos fijos pueden mantener el cumplimiento normativo, pero frenan el progreso. Para mantener la resiliencia, las organizaciones deben cambiar su mentalidad y pasar del control de costes a la priorización basada en el riesgo, centrando los escasos recursos en las identidades, los sistemas y las rutas de acceso más importantes.

 

Crecimiento moderado: invertir en eficiencia y visibilidad

Un aumento moderado del presupuesto (entre un 5 % y un 10 %) es señal de un optimismo cauteloso. Permite a los CISO ir más allá del mantenimiento y empezar a optimizar la forma en que la gestión de identidades y accesos (IAM) aporta un valor empresarial cuantificable. La pregunta ya no es «¿qué nos podemos permitir?», sino «¿dónde tiene cada euro el mayor impacto?».

Las empresas que aumentarán sus presupuestos en 2025 se centrarán en la eficiencia operativa y el análisis de identidades, dos palancas que multiplican el valor de las herramientas existentes.

Con un crecimiento modesto, los equipos de IAM pueden priorizar:

  • Automatización y coordinación: implementación de flujos de trabajo de identidad para eliminar el aprovisionamiento y la certificación manuales, mejorando tanto la velocidad como la precisión del cumplimiento.
  • Integración entre IAM y SecOps: conexión del contexto de identidad (por ejemplo, función, dispositivo, ubicación) con los sistemas de detección y respuesta para permitir decisiones de acceso basadas en el comportamiento.
  • Visibilidad de la proliferación de derechos: adopción de capacidades de detección y respuesta a amenazas de identidad (ITDR) de socios como Delinea, Relock y Omnissa para identificar y contener el uso indebido de privilegios antes de que se agrave.

 

Los presupuestos de crecimiento moderado también permiten a las organizaciones alcanzar finalmente la madurez, en lugar de limitarse a la resiliencia. El índice de referencia del presupuesto de seguridad de IANS 2025 muestra que las empresas que destinan entre el 10 % y el 15 % de su gasto en ciberseguridad a la gestión de identidades y accesos (IAM) logran una corrección más rápida de las auditorías y reducen el tiempo medio de detección (MTTD) de los incidentes relacionados con la identidad.

En este escenario, los CISO invierten en visibilidad antes que en expansión. El enfoque se centra en reforzar los controles a lo largo del ciclo de vida de las identidades e integrar la gestión de identidades y accesos (IAM) con la gestión de servicios de TI (ITSM), los recursos humanos (RR. HH.) y la infraestructura en la nube. Esta fase también sienta las bases para la madurez del modelo Zero Trust, especialmente para las organizaciones que se preparan para cumplir con las normativas NIS2 o DORA.

Un crecimiento moderado significa cambiar el crecimiento lineal por una mejora compuesta: cada euro gastado en automatización o integración reduce la carga operativa y los costes de reparación futuros.

 

Crecimiento significativo: del control a la inteligencia

Cuando los presupuestos aumentan significativamente (un 15 % o más), la gestión de identidades y accesos (IAM) pasa de ser una columna vertebral operativa a un facilitador estratégico. Las empresas que dan prioridad a las iniciativas de confianza cero basadas en la identidad ven la IAM no solo como una protección, sino como una forma de acelerar la transformación digital de forma segura.

En este contexto, las prioridades de inversión se amplían en cuatro dimensiones:

  1. Gobernanza y análisis avanzados de la identidad: aprovechamiento de las revisiones de acceso basadas en IA y las certificaciones basadas en el riesgo para gestionar la escala. Herramientas como SailPoint Predictive Identity u Okta Identity Governance automatizan la gestión de derechos y detectan anomalías en tiempo real.
  2. Control de acceso contextual y adaptativo: implementación de motores de autenticación y políticas continuas que ajustan las decisiones de forma dinámica en función del riesgo, la postura del dispositivo y el comportamiento del usuario.
  3. Arquitecturas de identidad descentralizadas y federadas: aceleración de proyectos que permiten una federación de identidades segura entre socios, cadenas de suministro y entornos de fusiones y adquisiciones, clave para cumplir con las expectativas de resiliencia de la DORA.
  4. Alineación empresarial y habilitación de la confianza: la identidad se convierte en un elemento central para la agilidad empresarial cuando se vincula a resultados medibles, como la reducción del tiempo de incorporación, la integración más rápida de los socios o la garantía normativa.

 

El importante crecimiento presupuestario también permite establecer alianzas estratégicas. Las organizaciones contratan a empresas de consultoría especializadas, como Cloudcomputing, para diseñar estrategias de IAM entre dominios, integrando Zero Trust, PAM 2.0 e ITDR en un único modelo operativo.

En esta etapa, la función IAM evoluciona de ser un centro de costes a convertirse en un facilitador de la confianza. El objetivo ya no es minimizar el riesgo, sino maximizar la confianza, tanto a nivel interno, entre usuarios y sistemas, como a nivel externo, entre clientes y reguladores.

 

Navegando por la transición entre escenarios

Pocas organizaciones permanecen en un mismo escenario presupuestario para siempre. Los ciclos económicos, los cambios normativos y las prioridades de las juntas directivas empujan a los programas de IAM a atravesar fases de restricción y expansión. La clave para mantener la resiliencia es conservar la claridad estratégica durante las transiciones.

  • Pasar de un crecimiento plano a uno moderado requiere la automatización de procesos y la toma de decisiones basada en datos para liberar presupuesto para la innovación.
  • Pasar de un crecimiento moderado a uno significativo exige una alineación estratégica, integrando el IAM en la transformación digital, las fusiones y adquisiciones y los marcos normativos.
  • El retroceso de presupuestos significativos a planos (por ejemplo, durante una contracción económica) exige la simplificación de la arquitectura y la racionalización de los servicios para mantener la seguridad sin gastar en exceso.

 

Los programas de identidad basados en arquitecturas modulares, impulsadas por API y nativas de la nube son los que mejor gestionan estas transiciones. Se amplían o reducen sin fracturar la gobernanza, el cumplimiento normativo o la visibilidad operativa.

 

La perspectiva de Cloudcomputing

En Cloudcomputing, hemos visto de primera mano todo tipo de situaciones presupuestarias, desde servicios financieros hasta atención sanitaria, pasando por la fabricación y las industrias nativas digitales. El denominador común del éxito no es el presupuesto del que dispone una organización, sino la estrategia con la que se implementa.

Nuestra experiencia demuestra que los programas modernos de IAM prosperan cuando la inversión va acompañada de impacto:

  • En condiciones estables, el impacto proviene de la optimización y la claridad en la gobernanza.
  • En condiciones moderadas, proviene de la automatización y la integración.
  • En condiciones de crecimiento significativo, proviene de la inteligencia y la alineación con el valor empresarial.

El objetivo no es solo crear sistemas de identidad seguros, sino también generar confianza que se adapte a las ambiciones de su organización.

 

¿Necesita ayuda para alinear su inversión en IAM con un impacto medible?

Póngase en contacto con los arquitectos de identidad de Cloudcomputing para evaluar su situación actual y descubrir cómo nuestros servicios de consultoría pueden ayudarle a diseñar una estrategia de IAM resistente y alineada con su negocio.