Analizamos cómo los CISO y los CTO pueden estructurar los presupuestos de IAM para 2026, equilibrando la tecnología, el personal y la formación para reforzar la resiliencia, el cumplimiento normativo y el retorno de la inversión.
A medida que la inversión mundial en ciberseguridad se encamina hacia los 240 000 millones de dólares en 2026 (Gartner), los responsables de seguridad están dando prioridad a la gestión de identidades y accesos (IAM) como elemento central de su estrategia. Forrester recomienda que entre el 10% y el 15% de los presupuestos de ciberseguridad de las empresas se dediquen a la IAM, una cifra que sigue aumentando a medida que las amenazas impulsadas por la IA y las nuevas exigencias normativas reconfiguran el riesgo digital (Forrester).
La IAM ha pasado de ser una disciplina de TI a convertirse en una capa de control estratégico que respalda el modelo Zero Trust, el cumplimiento normativo y la elegibilidad para los seguros cibernéticos. Dado que el 65 % de las violaciones de seguridad implican identidades comprometidas (IBM), los presupuestos de IAM ahora impulsan reducciones cuantificables de la exposición y mejoran la resiliencia empresarial.
El informe de referencia presupuestaria de IANS Security 2025, en el que se encuestó a 587 directores de seguridad de la información (CISO) de distintos sectores, revela cómo se están reestructurando los presupuestos de seguridad bajo la presión de los costes. El personal y las remuneraciones representan ahora el 39% del gasto total en seguridad, mientras que el software (incluido el IAM) representa el 29 % (IANS Research, agosto de 2025).
Aplicados al IAM, estos datos respaldan el siguiente modelo equilibrado:
Large enterprises typically emphasize governance automation, while mid-size and cloud-native organizations invest more in skill development and managed IAM services. Nearly all CISOs surveyed in 2025 reported direct ownership of IAM programs, confirming a governance shift from IT to security (IANS Research, Aug 2025).
Las grandes empresas suelen hacer hincapié en la automatización de la gobernanza, mientras que las organizaciones medianas y nativas de la nube invierten más en el desarrollo de habilidades y en servicios de IAM gestionados. Casi todos los CISO encuestados en 2025 informaron de que eran propietarios directos de programas de IAM, lo que confirma un cambio de gobernanza de TI a seguridad (IANS Research, agosto de 2025).
Hoy en día, la gestión de identidades y accesos (IAM) va mucho más allá de la autenticación. Integra la gobernanza y administración de identidades (IGA), la gestión de accesos privilegiados (PAM), el inicio de sesión único (SSO) y la coordinación del ciclo de vida.
Según nuestras previsiones para 2025, el IAM consumirá entre el 10% y el 15% del presupuesto total destinado a la ciberseguridad, abarcando ecosistemas en la nube, híbridos y SaaS (CloudComputing).
Las organizaciones con programas de IAM maduros, que utilizan políticas de acceso dinámicas, autenticación sin contraseña y análisis basados en IA, ahorran una media de 1,76 millones de dólares por cada infracción gracias a una detección más rápida y a la reducción del uso indebido de credenciales (IBM).
La tecnología por sí sola no puede sostener la madurez de la IAM. El informe IANS Security 2025 muestra que el personal sigue siendo la partida presupuestaria más importante, ya que representa casi dos quintas partes del gasto total en ciberseguridad (IANS Research).
Los CISO contratan cada vez más a arquitectos de IAM y analistas de gobernanza con doble experiencia en integración técnica y alineación del cumplimiento normativo (DORA, NIS2). Para las organizaciones del mercado medio, la combinación del liderazgo interno de IAM con las operaciones gestionadas de IAM proporciona agilidad sin aumentar la plantilla. Los marcos RACI claros garantizan la responsabilidad en los ámbitos de TI, RR. HH. y cumplimiento normativo, integrando el IAM en el ADN operativo de la organización.
Incluso las implementaciones avanzadas de IAM fracasan cuando los empleados carecen de conciencia sobre la identidad. AWS recomienda destinar entre el 10% y el 15% del presupuesto del programa IAM a la formación continua sobre Zero Trust, gestión de amenazas y certificaciones de proveedores (AWS).
La incorporación de estas iniciativas en los ciclos de gobernanza fomenta una cultura centrada en la identidad en todos los departamentos. Los ejercicios simulados de gobernanza del acceso y los programas internos de concienciación mejoran la responsabilidad y aumentan la adopción de las políticas de IAM.
Los CISO que defienden los presupuestos de IAM para 2026 deben vincular la inversión a resultados empresariales tangibles. Las métricas de rendimiento típicas incluyen:
El IAM sustenta la seguridad, la eficiencia operativa y la resiliencia del cumplimiento normativo. La integración de los KPI de IAM en las evaluaciones anuales de riesgo y madurez proporciona transparencia y refuerza la justificación de la inversión continua.
A medida que se reducen los presupuestos de seguridad y aumenta la supervisión de la junta directiva, el IAM sigue siendo la única inversión que protege directamente el cumplimiento, la confianza y la continuidad operativa. El equilibrio estratégico entre la tecnología, las personas y la formación refuerza los cimientos de una empresa digital segura.