Presupuesto de Ciberseguridad para 2026: Por qué la Gestión de Identidades y Accesos (IAM) Debe Ser el Eje Central de Su Estrategia

Este artículo analiza por qué entre el 10% y el 15% de su presupuesto de ciberseguridad debería destinarse a la gestión de identidades y accesos (IAM), cómo la IAM sustenta las iniciativas de confianza cero y el retorno de la inversión y la reducción de riesgos que puede defender ante la junta directiva.

En este artículo

Los CISO y los CTO se enfrentan a un año crucial en materia de presupuestos. Se prevé que el gasto en ciberseguridad supere los 240 000 millones de dólares en 2026 (Gartner), impulsado por las nuevas regulaciones, las amenazas impulsadas por la IA y el escrutinio a nivel directivo.

Este artículo analiza por qué entre el 10% y el 15% de su presupuesto de ciberseguridad debería destinarse a la gestión de identidades y accesos (IAM), cómo la IAM sustenta las iniciativas de confianza cero y el retorno de la inversión y la reducción de riesgos que puede defender ante la junta directiva. También encontrará pasos prácticos para la planificación, métricas que debe seguir y errores que debe evitar.

 

Resumen ejecutivo

Los presupuestos de ciberseguridad han pasado de una optimización incremental a un crecimiento específico. Los analistas prevén que el gasto mundial aumente un 12,5 % en 2026, hasta alcanzar los 240 000 millones de dólares.

Dentro de ese crecimiento, la gestión de identidades y accesos (IAM) es una categoría esencial, ya que constituye la columna vertebral del cumplimiento normativo, la elegibilidad para los seguros cibernéticos y las modernas arquitecturas de seguridad Zero Trust.

La orientación de Forrester es clara: las empresas líderes destinan ahora entre el 10 % y el 15 % de sus presupuestos totales de ciberseguridad a la IAM (Forrester).

 

Por qué el IAM exige prioridad presupuestaria

La superficie de ataque se ha desplazado de forma decisiva hacia las identidades. El 65 % de las violaciones de seguridad implican el compromiso de la identidad (IBM), y la IA generativa y el fraude habilitado por deepfakes aumentan la amenaza (ESG Research). Las aseguradoras cibernéticas ya exigen la autenticación multifactorial (MFA) y una sólida gobernanza del acceso antes de suscribir pólizas.

Las organizaciones que invierten estratégicamente en IAM también observan un impacto financiero cuantificable: el informe Cost of a Data Breach Report 2024 de IBM reveló que las empresas con programas sólidos de IAM ahorraron una media de 1,76 millones de dólares por violación de datos en comparación con otras empresas que no contaban con controles de identidad adecuados (IBM).

 

Desglose del presupuesto: dónde encaja la IAM

Antes de desglosar la cuota de IAM, es útil comprender el panorama general del gasto. Los presupuestos típicos de seguridad empresarial para 2026 son los siguientes (Elisity):

  • Software/herramientas de seguridad: ~40 %
  • Personal interno: ~30 %
  • Otros servicios/infraestructura: ~30

El IAM se inscribe claramente en la parte correspondiente al software y los servicios, con un 10-15 % del gasto total. Esto incluye:

  • Autenticación multifactorial (MFA) y sin contraseña
  • Gestión de accesos privilegiados (PAM)
  • Gobernanza y administración de identidades (IGA)
  • Inicio de sesión único (SSO)
  • Automatización del ciclo de vida e informes de cumplimiento

Este gasto no es solo defensivo. Las plataformas IAM integradas optimizan la experiencia del usuario y favorecen la agilidad empresarial. Ambos son resultados fundamentales que los consejos de administración quieren ver vinculados a la inversión en ciberseguridad.

 

IAM como pilar del modelo Zero Trust

Zero Trust frameworks distribute investment across several categories: network segmentation, device security, data protection, application security, and identity. Among these, IAM stands as the largest or equal-largest allocation:

Los marcos Zero Trust distribuyen la inversión en varias categorías: segmentación de redes, seguridad de dispositivos, protección de datos, seguridad de aplicaciones e identidad. Entre ellas, IAM representa la asignación mayor o igual a la mayor:

  • Identidad y acceso: 10-15 %
  • Seguridad de dispositivos: ~15 %
  • Segmentación de la red: 15-20 %
  • Seguridad de las aplicaciones: ~10 %
  • Protección de datos: 5-10 % (Forrester)

La identidad es el «plano de control» del modelo Zero Trust. Sin un IAM maduro, el resto del marco se derrumba.

 

Defender su presupuesto de IAM en 2026

Al presentar ante juntas directivas o comités ejecutivos, los CISO y CTO deben basar la financiación de IAM en tres argumentos defendibles:

  1. Reducción del riesgo: demostrar cómo IAM reduce la probabilidad de infracciones y la exposición a costes.
  2. Cumplimiento normativo: destacar la alineación con EU DORA, NIS2, HIPAA y mandatos similares.
  3. Impacto financiero y en los seguros: mostrar cómo la inversión en IAM reduce directamente las primas y el riesgo de asegurabilidad.

El mensaje es claro: la gestión de identidades y accesos (IAM) ya no es un centro de costes, sino un facilitador de la resiliencia financiera.

Consulte nuestro artículo «Cuantificación del ROI de su estrategia de IAM» para obtener más detalles.

 

Pasos prácticos de planificación

A continuación se indican algunos pasos prácticos que los responsables de seguridad pueden seguir para poner en marcha el presupuesto de IAM en 2026:

  • Integrar IAM en las evaluaciones de riesgo y madurez en una fase temprana del ciclo presupuestario.
  • Dar prioridad a las soluciones listas para la integración que reducen la deuda técnica y se adaptan a entornos cloud, SaaS e híbridos.
  • Realizar un seguimiento de los resultados con métricas como la reducción de incidentes relacionados con la identidad, la mejora de las puntuaciones de las auditorías de cumplimiento y la preparación para los seguros cibernéticos.

 

Errores que hay que evitar

  • Financiación insuficiente de la gestión de identidades y accesos (IAM) en relación con su perfil de riesgo.
  • Considerar el cumplimiento normativo como el objetivo final. La gestión de identidades y accesos basada en listas de verificación no aborda los vectores de ataque del mundo real.
  • Adquirir tecnología sin contar con los procesos y el personal adecuados. Los programas de identidad fracasan cuando carecen de responsabilidad operativa.

 

Reflexiones finales

2026 es el año en que la presupuestación de IAM debe convertirse en un tema de debate a nivel directivo. Las cifras hablan por sí solas: la identidad es el vector de ataque más explotado y la IAM es la vía más directa para reducir el riesgo de forma cuantificable.

Los CISO que asignan y defienden entre el 10 % y el 15 % de sus presupuestos para IAM no solo reducirán la exposición a las infracciones y las sanciones normativas, sino que también generarán resiliencia y confianza, la verdadera moneda de cambio de los negocios en la era digital.