Requisitos de personal para gestionar plataformas IAM a escala empresarial

En este artículo describimos las funciones, estructuras y habilidades necesarias para gestionar eficazmente la IAM a gran escala, y cómo las organizaciones pueden equilibrar la experiencia interna con socios estratégicos para cumplir los objetivos de cumplimiento normativo, rendimiento y reducción de riesgos.

Navegando por la complejidad

Para las grandes empresas, la gestión de identidades y accesos (IAM) es la columna vertebral de la confianza digital. Regula quién puede acceder a qué, cuándo y cómo, en entornos cada vez más complejos que abarcan la nube híbrida, el SaaS y los sistemas heredados.

Las investigaciones muestran que las infracciones relacionadas con la identidad siguen representando la mayoría de los incidentes de seguridad. En el Informe de investigaciones sobre violaciones de datos de 2024 de Verizon, el 68 % de todas las infracciones implicaban un elemento humano, incluyendo credenciales comprometidas y uso indebido de privilegios (Verizon DBIR 2024).

Al mismo tiempo, Gartner predice que, para 2026, el 70 % de las estrategias de seguridad basadas en la identidad fracasarán a menos que las organizaciones adopten políticas de acceso continuas y basadas en el contexto (Gartner, “IAM Leaders Must Rethink Identity Security for the Cloud Era,” 2023).

Cloudcomputing, como consultora de ciberseguridad especializada en identidad moderna, movilidad y seguridad, ayuda a las organizaciones a navegar por esta complejidad. En colaboración con socios como Okta, SailPoint, Delinea, Relock, Auth0, Axway, Dynatrace y Omnissa, nuestros equipos crean modelos operativos de IAM que convierten los procesos de identidad fragmentados en una gobernanza y una resiliencia cuantificables.

 

Funciones y responsabilidades del equipo central de IAM

Para ejecutar un programa de IAM a escala empresarial se necesita un equipo multidisciplinar que combine conocimientos estratégicos, técnicos y operativos. Las siguientes funciones constituyen la base de una función de IAM de alto rendimiento:

  • Arquitecto de IAM: diseña la arquitectura de IAM para toda la empresa, define los patrones de integración y garantiza la alineación con los principios de Zero Trust. Esta función requiere un profundo conocimiento de estándares como SCIM, SAML y OIDC, así como la capacidad de conectar IAM con el riesgo empresarial.
  • Ingeniero de IAM: crea y mantiene plataformas de IAM como Okta, SailPoint o Delinea, gestionando configuraciones, API y flujos de trabajo de automatización. Los ingenieros son responsables de la implementación e integración seguras de los servicios de identidad en el ecosistema de TI más amplio.
  • Administrador de IAM: supervisa las operaciones diarias, incluyendo el aprovisionamiento de usuarios, la certificación de acceso y la resolución de incidentes. Los administradores garantizan el cumplimiento de las políticas y mantienen los principios de privilegios mínimos.
  • Analista de IAM: supervisa la actividad, realiza revisiones de acceso y genera informes de cumplimiento. Los analistas son fundamentales para mantener la preparación para las auditorías y responder a las anomalías detectadas por los análisis de IAM o las integraciones SIEM.
  • Jefe de equipo de IAM/responsable de IAM: proporciona gobernanza, gestiona las prioridades y actúa de enlace con los CISO y los responsables de cumplimiento. En organizaciones maduras, esta función puede supervisar subgrupos de trabajo por niveles (operaciones, ingeniería, gobernanza) o coordinarse con socios externos de servicios gestionados.

 

Estructura del equipo y alineación organizativa

La estructura adecuada de IAM depende del tamaño, la complejidad y la exposición al riesgo de la empresa. En las grandes empresas, los equipos de IAM suelen depender del CISO o de la Oficina de Seguridad, aunque en algunos casos la ingeniería operativa depende del CIO. La alineación es clave: el IAM afecta a diario a los equipos de RR. HH., jurídico, auditoría y aplicaciones.

Los equipos de IAM típicos de las empresas varían entre 6 y 10 especialistas en organizaciones de tamaño medio y más de 20 en empresas globales que gestionan cientos de integraciones y millones de identidades. Los factores clave para determinar el tamaño son:

  • Número de usuarios y aplicaciones gestionados
  • Complejidad de la arquitectura híbrida y multicloud
  • Entorno normativo (RGPD, SOX, DORA, NIS2)
  • Volumen de incidentes y expectativas de SLA

Por ejemplo, el informe State of Pentesting Report 2025 reveló que las organizaciones más grandes tardan más de un mes más que las pequeñas empresas en resolver las vulnerabilidades de alto riesgo (61 frente a 27 días), debido en gran medida a la complejidad organizativa y a los cuellos de botella en la coordinación (Cobalt, 2025).

Esto pone de relieve la necesidad de una propiedad clara de la gestión de identidades y accesos (IAM), y no solo de herramientas. Sin responsabilidades definidas y una rendición de cuentas continua, los riesgos relacionados con la identidad persisten mucho tiempo después de la implementación.

 

Habilidades y certificaciones requeridas

Los profesionales de IAM operan en la intersección entre la tecnología y la gobernanza. Además de dominar plataformas específicas, deben comprender los modelos de acceso, los marcos de cumplimiento y la automatización moderna.

Las habilidades técnicas básicas incluyen:

  • Dominio de las suites IAM (Okta, SailPoint, Delinea, etc.).
  • Conocimientos de SSO, MFA, RBAC/ABAC y gestión de accesos privilegiados.
  • API y scripts de automatización (por ejemplo, Terraform, PowerShell, Python).
  • Integración con proveedores de servicios en la nube (AWS IAM, Azure AD, GCP IAM).

Experiencia en cumplimiento normativo y gobernanza:

Los especialistas en IAM deben estar familiarizados con ISO/IEC 27001, SOC 2, SOX, GDPR y otros marcos que rigen la gobernanza del acceso y la preparación para auditorías.

Igualmente esenciales son las habilidades sociales: comunicación con las partes interesadas, gestión del cambio y capacidad para traducir políticas complejas de IAM en resultados empresariales. El éxito de la IAM depende de la colaboración interfuncional y de la claridad en la presentación de informes.

 

Estrategias prácticas de dotación de personal

El éxito de la gestión de identidades y accesos (IAM) en la empresa suele depender menos del número de empleados y más de cómo se combinan los conocimientos internos y externos.

  • Equipo interno básico: mantenga arquitectos, analistas y administradores internos para preservar la supervisión estratégica y garantizar la continuidad del cumplimiento.
  • Especialistas externos: contrate a expertos para migraciones de plataformas, automatización de la gobernanza o integraciones nativas en la nube, áreas en las que las habilidades especializadas pueden acelerar el progreso.
  • Servicios de IAM gestionados: la colaboración con proveedores externos (como el servicio Virtual IAM o vIAM de Cloudcomputing) permite a las organizaciones ampliar sus conocimientos especializados según las necesidades, reducir los costes operativos y centrar a los equipos internos en la gobernanza y la mejora.

La estrategia de dotación de personal adecuada combina agilidad y responsabilidad: la gestión interna con el apoyo externo cuando la complejidad alcanza su punto álgido

 

Métricas y mejores prácticas para la optimización de equipos

El rendimiento de la gestión de identidades y accesos (IAM) debe ser medible. Los directores de seguridad de la información (CISO) y los responsables de IAM deben realizar un seguimiento de las métricas que reflejan tanto la eficiencia operativa como la reducción del riesgo empresarial:

  • Velocidad de aprovisionamiento y desaprovisionamiento: mida el tiempo necesario para conceder y revocar el acceso.
  • Índices de finalización de la revisión de accesos: demuestre el cumplimiento de las normas reglamentarias y de auditoría.
  • Métricas de reducción de privilegios y combinaciones tóxicas: evalúe la madurez de la gobernanza.
  • MTTR (tiempo medio de revocación): realice un seguimiento de la respuesta a los incidentes relacionados con el acceso.

En los programas maduros, los equipos de IAM integran ciclos de mejora continua, alineándose con los marcos Zero Trust e Identity Threat Detection and Response (ITDR). La automatización, el análisis de identidades y las políticas de acceso contextual marcan la evolución de la IAM reactiva a la defensa predictiva.

Sin embargo, la dotación de personal sigue siendo un factor limitante. El último informe de Cobalt reveló que menos de la mitad (48 %) de todas las vulnerabilidades identificadas se resuelven por completo, y que se necesitan más de tres meses para cerrar solo la mitad de los problemas más graves (Cobalt, State of Pentesting Report 2025).

Para los líderes de IAM, esto subraya por qué el personal cualificado —y no solo las plataformas avanzadas— es fundamental para acelerar la resolución y garantizar una resiliencia real.

 

Recomendaciones

La gestión de IAM a escala empresarial exige un equipo estratégicamente dotado de personal y en formación continua.

Una organización de IAM equilibrada combina arquitectura, ingeniería, operaciones y análisis bajo un liderazgo claro y una gobernanza alineada.

En Cloudcomputing, consideramos que cada modelo operativo de IAM es un sistema vivo, que evoluciona con la tecnología, la normativa y el riesgo organizativo. Al combinar la capacidad interna con servicios especializados de consultoría y gestión de IAM, las empresas pueden crear bases de identidad seguras, conformes y preparadas para el futuro.

Porque en la ciberseguridad, al igual que en los negocios, la confianza es la moneda definitiva, y el IAM es la forma de ganársela.