Exploramos las conclusiones del informe SailPoint Horizons of Identity Security Report 2025–2026, que muestra que las organizaciones con programas de identidad maduros que utilizan IA, automatización y datos limpios logran un mayor retorno de la inversión gracias a la reducción de costes, una gestión de acceso más rápida y una disminución del riesgo. El informe también vincula la implementación disciplinada y el posicionamiento de la gestión de identidades y accesos (IAM) como facilitador empresarial con beneficios financieros y operativos cuantificables.
Organizations often measure identity programs in terms of compliance and risk reduction. Yet, the SailPoint Horizons of Identity Security Report 2025–2026 shows that those with advanced identity maturity – so-called Horizon 4+ organizations – generate measurable financial, operational, and risk-based returns. The data suggests that the higher the maturity level, the stronger the performance across cost, productivity, and resilience metrics.
Las organizaciones suelen medir los programas de identidad en términos de cumplimiento normativo y reducción de riesgos. Sin embargo, el informe SailPoint Horizons of Identity Security Report 2025-2026 muestra que aquellas con una madurez avanzada en materia de identidad, las denominadas organizaciones Horizon 4+, generan beneficios cuantificables desde el punto de vista financiero, operativo y de riesgos. Los datos sugieren que cuanto mayor es el nivel de madurez, mejor es el rendimiento en cuanto a costes, productividad y resiliencia.
Según el informe, «las organizaciones que adoptan capacidades avanzadas de inteligencia artificial y datos de identidad obtienen un ahorro de costes, una productividad y una reducción de riesgos significativamente mayores» (p. 4).
Las empresas maduras, aquellas que operan en el horizonte 3 y superior, combinan datos de identidad, automatización e inteligencia artificial para gestionar el acceso de forma dinámica. No tratan la identidad como un mero control, sino como una capa de detección y decisión en toda la empresa.
Por ejemplo, el informe destaca que las organizaciones de Horizonte 3+ son «de cuatro a ocho veces más propensas a tener sincronización de datos de identidad en tiempo real, resolución de entidades y flujos de trabajo automatizados del ciclo de vida» en comparación con sus homólogas en etapas más tempranas (p. 4). Estas capacidades reducen los gastos generales manuales y aceleran la incorporación y salida de usuarios, lo que supone una optimización de los costes directos que se acumula con el tiempo.
En la misma página se señala que «la adopción de capacidades de detección basadas en IA, como la detección y respuesta a amenazas de identidad (ITDR) y la supervisión de cuentas privilegiadas, es cuatro veces mayor entre las organizaciones maduras que entre las de los horizontes 1 y 2».
Al aprovechar la IA tanto para la automatización del ciclo de vida como para el análisis de amenazas, los programas avanzados reducen el riesgo operativo y el tiempo medio de detección de anomalías relacionadas con la identidad, lo que mejora directamente la eficiencia y limita el impacto de las infracciones.
La inversión por sí sola no produce madurez. El informe advierte que «muchos programas de identidad siguen teniendo dificultades con una ejecución inconsistente de la implementación» (p. 5) .
Las organizaciones que aplican las mejores prácticas específicas para cada horizonte, especialmente en lo que respecta a la higiene de los datos y la incorporación de aplicaciones, «obtuvieron mejores resultados en todos los aspectos críticos del negocio».
Un hallazgo sorprendente: las empresas que dieron prioridad a la limpieza de los datos de identidad antes de la migración tenían «1,6 veces más probabilidades de tener un éxito total en la implementación de su herramienta de IAM» (p. 6).
La integridad de los datos es, por lo tanto, un factor directo que influye en el retorno de la inversión.
El estudio también aborda por qué muchas organizaciones invierten menos de lo necesario en identidad. Solo «el 25 % de las organizaciones posicionan la IAM como un facilitador estratégico del negocio», mientras que «el 57 % sigue describiendo la IAM como un «control de seguridad» o un «requisito de cumplimiento»» (p. 6). Esta brecha de percepción limita la capacidad de obtener presupuesto para la modernización.
Los datos de SailPoint muestran que «las organizaciones que cuantifican el impacto de las inversiones en identidad en los ingresos y los costes están en mejor posición para solicitar una mayor financiación». Las que miden «el impacto en el margen de la inversión en seguridad de la identidad» presentan «argumentos comerciales más convincentes para obtener una mayor financiación» (p. 6).
En otras palabras, la madurez no solo se traduce en eficiencia y mitigación de riesgos, sino también en mejores ciclos de financiación e influencia en la gobernanza.
La experiencia de Cloudcomputing coincide con estas conclusiones: cuando los programas de identidad evolucionan más allá de las listas de verificación de cumplimiento normativo y se convierten en plataformas de gobernanza basadas en datos, la seguridad se convierte en un rendimiento empresarial cuantificable. Las operaciones de identidad maduras consolidan la confianza, eliminan los procesos redundantes y crean márgenes de seguridad defendibles, resultados que los consejos de administración pueden cuantificar.
El informe de SailPoint deja clara una conclusión: el retorno de la inversión en madurez de la seguridad de la identidad ya no es algo abstracto. Se traduce en menos auditorías fallidas, menos fricciones operativas y una mayor agilidad empresarial.
Para los CISO y los CIO, el camino a seguir es tratar la identidad como una infraestructura para la confianza y medir su impacto con el mismo rigor que se aplica al control de los ingresos o los costes. Así es como la madurez de la seguridad se traduce en rendimiento financiero.