Ciberseguridad hacia 2026 entre prioridades, IA y control de identidades

Por José Luis Buenaño, Gerente de Seguridad de la Información, Junta de Beneficencia de Guayaquil.

La alta dirección está elevando la ciberseguridad como prioridad por su impacto en continuidad, reputación y cumplimiento. A medida que la inteligencia artificial se integra en la operación, seguridad debe acompañar con lineamientos y controles prácticos, equilibrando la habilitación del negocio con un gobierno y control efectivos, sin frenar su dinámica. En entornos cloud e híbridos, el gobierno de identidades, la protección de datos y la visibilidad transversal serán determinantes.

Al observar distintas organizaciones y sectores, la alta dirección está cada vez más preocupada por riesgos digitales que impactan directamente en la continuidad de la operación, la reputación y el cumplimiento. Les inquieta el efecto que una interrupción de servicios puede tener sobre el negocio, el logro de objetivos financieros, el daño reputacional y la pérdida de confianza que puede generar.

Por ello, las prioridades tecnológicas tienden a concentrarse en asegurar los procesos más críticos de la operación y en reforzar la protección de información sensible, incluyendo datos personales de clientes, colaboradores y otros grupos de interés.

La alta dirección prioriza continuidad y confianza

Con esa realidad, es previsible que la inversión en ciberseguridad se incremente en 2026, aunque de forma priorizada, debido a que los presupuestos organizacionales no son infinitos. La decisión correcta será priorizar, ordenar y obtener el máximo valor de las inversiones ya realizadas, concentrándose en los riesgos de mayor impacto operativo. Ese criterio también explica por qué el compromiso de la alta gerencia se fortalece cuando la ciberseguridad se entiende como una condición para proteger la continuidad del negocio y los objetivos estratégicos, y no únicamente como un tema de cumplimiento.

Seguridad acompaña la adopción de IA

Al mismo tiempo, el incremento del uso de inteligencia artificial en los planes empresariales para este año obliga a replantear el rol de las áreas de seguridad de la información y ciberseguridad. Su papel debe orientarse al acompañamiento y la habilitación, estableciendo gobierno y controles claros y no como primera opción el bloqueo. La adopción de IA avanza más rápido que los marcos de control, y el mayor riesgo no está en su uso en sí, sino en incorporarla a la operación sin criterios claros ni controles.

El aporte de seguridad debe centrarse en establecer lineamientos prácticos sobre el uso de datos, la relación con terceros y los niveles de riesgo aceptables.  Esto implicará avanzar en el desarrollo de un marco normativo y controles que permitan que las iniciativas avancen de forma gradual y responsable, generen confianza para innovar y reduzcan la exposición innecesaria de la organización.

Cloud e IA elevan las exigencias de ciberseguridad

Para operar con cloud e IA, las capacidades de ciberseguridad deberán concentrarse en gobierno de identidades, protección de datos, visibilidad y control de entornos cloud, además de detección, respuesta y recuperación. Estas capacidades permiten identificar incidentes de forma temprana, contenerlos y, cuando sea necesario, ejecutar estrategias de recuperación en tiempos aceptables para la organización.

El avance y permanencia de modelos híbridos, con ambientes de nube pública y privada, también obliga a diseñar la seguridad desde el inicio considerando que estos entornos coexistirán en el tiempo. Esto demanda controles comunes y una visión integrada entre IT y seguridad, con énfasis en la gestión de identidades, protección de datos y visibilidad transversal, aceptando que la complejidad operativa será permanente.

Fortalecer la gestión de identidades y accesos

Con esta base, la gestión de identidades y accesos será aún más determinante hacia 2026. Esto implicará avanzar en roles y accesos, reducir privilegios excesivos, elevar la rigurosidad frente a accesos requeridos por terceros y proveedores, y establecer mecanismos consistentes de autenticación y revisión periódica. También será necesario abordar con el mismo nivel de rigurosidad los riesgos generados por identidades no humanas, como servicios, integraciones y automatizaciones.

Las organizaciones que no logren elevar su nivel de madurez en capacidades de IAM quedarán más vulnerables, incluso si cuentan con otros controles de seguridad bien implementados, ya que la identidad seguirá siendo el vector más frecuente y crítico de materialización del riesgo.

Superar brechas organizacionales y de talento

Hacia 2026, la brecha más crítica no estará en una sola disciplina técnica, sino en la capacidad de integrar varias de ellas con entendimiento del negocio. Se necesitarán perfiles que comprendan cloud, datos (gobernanza y uso), inteligencia artificial y ciberseguridad, y que además puedan identificar y priorizar riesgos para tomar decisiones bajo contextos locales de las organizaciones.

Una brecha de talento especialmente relevante será la de gestión del cambio. Muchas iniciativas fracasan no por falta de tecnología o conocimiento técnico, sino por la dificultad de adoptar nuevos modelos operativos, cambiar responsabilidades y alinear a las personas. Sin esa capacidad, incluso equipos técnicamente preparados tendrán dificultades para sostener una transformación digital segura.

También cobrarán especial importancia las capacidades de gobierno sobre el uso de inteligencia artificial. Los equipos de seguridad deberán contribuir a gestionar el cambio cultural necesario para que el negocio adopte estas herramientas de forma segura y normada, sin frenar la innovación.

Desafíos y acción de las áreas de seguridad y ciberseguridad

Durante 2026, las áreas de seguridad enfrentarán el desafío de mantener control en un entorno distribuido, donde cloud, terceros, automatizaciones e iniciativas de inteligencia artificial conviven de forma permanente. Esto obliga a reforzar el control transversal sobre identidades, accesos y uso de la información.

En paralelo, el uso creciente de inteligencia artificial facilita que el negocio avance de manera autónoma, habilitando iniciativas rápidas, accesibles y de bajo costo, muchas veces fuera del radar y del gobierno de las áreas de seguridad. Esto incrementa el riesgo de shadow IT y, especialmente, shadow AI, con pérdida de visibilidad, uso no controlado de datos y dependencia de servicios no evaluados por los procesos formales de seguridad.

La tarea de ciberseguridad será recuperar visibilidad y control sin romper la dinámica del negocio. Lo que requiere definir lineamientos de uso, establecer marcos de gobierno simples y habilitar alternativas seguras que permitan innovar sin generar exposición innecesaria. Seguridad deberá operar junto a los líderes de las áreas de TI como orquestador y facilitador: detectar, encauzar y gobernar estas iniciativas, entendiendo que la adopción de IA ya es parte natural de la operación.