Las empresas del mercado medio de toda América Latina están aumentando su inversión en ciberseguridad, reforzando sus capacidades de seguridad y prestando mayor atención a la gobernanza de la inteligencia artificial. 
La «Encuesta de ciberseguridad en América Latina 2026» de RSM ofrece a los responsables de seguridad y de la toma de decisiones información sobre dónde siguen existiendo brechas entre el presupuesto destinado a ciberseguridad y el nivel de madurez en este ámbito.   
Los datos se basan en las respuestas de 265 expertos y líderes que trabajan activamente en cuestiones de ciberseguridad. Los resultados muestran un mercado que está pasando de la concienciación a la acción, a medida que la rendición de cuentas, la seguridad en la nube y la IA reconfiguran la agenda. Al mismo tiempo, salvar la brecha entre la inversión y la madurez cibernética sigue siendo un reto clave para las empresas del mercado medio en América Latina.

 
“La encuesta confirma que Latinoamérica está invirtiendo fuertemente en ciberseguridad. El verdadero reto ya no es cuánto invertir, sino cómo traducir esa inversión en capacidades de gobernanza y gestión de riesgos. En un panorama caracterizado por la rápida adopción de la tecnología en la nube y la inteligencia artificial, las organizaciones que logren alinear el liderazgo, la estrategia y la ejecución serán las que consigan convertir la seguridad en una ventaja competitiva.”

Luis Gorgona
IT Consulting Partner, Costa Rica

Presupuesto e inversión: el gasto en ciberseguridad está aumentando, pero el control no recae en el departamento de seguridad

El 69% de los participantes prevé que aumenten los presupuestos destinados a la ciberseguridad, probablemente como respuesta a la nube, la inteligencia artificial y los riesgos asociados a terceros, además de las crecientes exigencias normativas.

Solo el 16% de los encuestados afirma que el CISO controla el presupuesto, lo que significa que las decisiones sobre el gasto suelen estar repartidas entre las distintas funciones de la empresa

La ciberseguridad representa el 5% o más de los presupuestos de TI de casi la mitad de los encuestados, lo que indica que se ha convertido en una parte visible y recurrente del gasto en TI.

La agenda cibernética está madurando, pero la gobernanza sigue siendo un reto. La ciberseguridad se está convirtiendo en un componente cada vez más consolidado y recurrente de la inversión en TI, impulsada por la creciente exposición en la nube, la inteligencia artificial y los terceros. Sin embargo, el aumento del gasto no se traduce de forma inmediata en una mayor protección.

Cuando la autoridad presupuestaria no recae en el ámbito de la seguridad, las prioridades cibernéticas pueden verse condicionadas por las necesidades operativas, la adquisición de tecnología o la presión para cumplir con la normativa, en lugar de basarse en una visión clara de los riesgos. Esto puede dar lugar a un gasto fragmentado, a la duplicación de herramientas, a una inversión insuficiente en controles críticos o a deficiencias en las capacidades que quedan sin resolver.

Para las empresas del mercado medio, el siguiente paso consiste en alinear la financiación, la rendición de cuentas y la asunción de riesgos, de modo que la inversión genere una resiliencia cuantificable.

 

Gobernanza y plantilla: la brecha de rendición de cuentas en el corazón de la ciberseguridad

Dado que solo el 30% de las organizaciones cuenta con un CISO específico o un cargo equivalente responsable de la estrategia cibernética, la mayoría no dispone de un único líder cibernético que dirija el establecimiento de prioridades y la escala de incidencias.

El 27% recurre al equipo directivo de TI sin una supervisión específica en materia de ciberseguridad, mientras que el 13 % opera a través de un comité interfuncional, lo que indica que la ciberseguridad suele gestionarse mediante estructuras operativas más amplias.

El 50% de las organizaciones cuenta con dos empleados o menos dedicados a la seguridad y la privacidad de los datos, lo que lleva a muchas de ellas a recurrir a especialistas externos. 

La capacidad interna limitada hace que la estrategia cibernética recaiga a menudo en manos de los responsables de TI, de comités multifuncionales o de pequeños equipos a los que se les exige gestionar una agenda de riesgos cada vez mayor con recursos restringido. Aunque la ciberseguridad pueda reconocerse como una prioridad empresarial, la responsabilidad, la toma de decisiones y la ejecución no siempre están claramente alineadas.

Los resultados del estudio sobre la externalización refuerzan esta tendencia. La supervisión del centro de operaciones de seguridad, la gestión de vulnerabilidades y la gestión de la seguridad en la nube son las funciones que más se externalizan, lo que sugiere que las organizaciones recurren a socios externos para cubrir las carencias estructurales en materia de capacidades. Este puede ser un modelo eficaz, pero solo si se gestiona de forma activa. 

A medida que aumenta la dependencia de terceros, es fundamental establecer unas expectativas claras en cuanto al servicio y una responsabilidad interna bien definida para garantizar que la externalización refuerce la resiliencia en lugar de generar nuevas dependencias.

Gestión de riesgos: apostar por la resiliencia, no solo por la defensa

Las principales iniciativas cibernéticas son la gestión de la superficie de ataque (39%), la resiliencia y la recuperación (38%) y la seguridad en la nube (38%), lo que demuestra que la continuidad y el control de la nube son prioridades fundamentales.

El 41% de las organizaciones utiliza un marco formal de gestión de riesgos, como el del NIST o la norma ISO 27001, lo que supone un avance hacia un nivel de madurez más homogéneo.

Solo el 22% cuenta con un seguro cibernético, mientras que el 47 % no lo tiene, lo que sugiere que la transferencia del riesgo financiero sigue siendo relativamente limitada.

Las organizaciones se están preparando tanto para prevenir incidentes como para limitar las perturbaciones cuando estos se produzcan. Prioridades como la gestión de la superficie de ataque, la recuperación y el control de la nube apuntan a una comprensión más madura del riesgo cibernético como una cuestión de resiliencia operativa, y no solo como un reto de seguridad técnica.

Sin embargo, la preparación financiera constituye un elemento clave de la resiliencia. El uso limitado de los seguros cibernéticos, junto con la adopción desigual de marcos formales de gestión de riesgos, sugiere que algunas organizaciones están desarrollando su capacidad de respuesta sobre una base incompleta.

La seguridad de la identidad también ofrece una clara oportunidad de mejora. Aunque la gestión centralizada de identidades y accesos (IAM) con autenticación multifactorial (MFA) es el enfoque más habitual, muchas organizaciones siguen basándose únicamente en políticas de contraseñas o cuentan con controles formales limitados. Reforzar la IAM, la MFA y la gobernanza del acceso podría ayudar a reducir una fuente habitual de riesgo y contribuir a una ciberresiliencia más sólida.

La nube: los controles deben adaptarse al ritmo de su adopción

El 40% de las organizaciones afirma que más de la mitad de sus operaciones se realizan en la nube, lo que convierte la gobernanza de la nube en un elemento fundamental para la ciberseguridad.

Las soluciones híbridas de ciberseguridad que abarcan entornos «on-premises» y «based on the cloud» son el enfoque más popular en materia de ciberseguridad (30%), lo que refleja la complejidad de los entornos tecnológicos en transición.

Solo el 8% utiliza la gestión de la postura de seguridad en la nube (CSPM), una de las herramientas más eficaces para identificar y corregir errores de configuración en la nube.

La adopción de la nube ha alcanzado ya un nivel significativo en América Latina, lo que pone de relieve que la seguridad en la nube es un elemento clave para mejorar la madurez cibernética. Muchas organizaciones operan en entornos híbridos en fase de transición, lo que se refleja en sus soluciones de ciberseguridad, mientras que otras recurren a herramientas nativas de la nube o a las integradas por los proveedores como su primera línea de defensa.

Se trata de un punto de partida práctico, pero sin una responsabilidad clara, una gestión de la configuración, una supervisión continua y una visibilidad global de todos los entornos, la nube puede ampliar la superficie de ataque en lugar de reducirla.

La gestión de la seguridad en la nube ofrece a las organizaciones una forma de identificar errores de configuración, aplicar políticas y mantener el control a medida que se amplían las operaciones en la nube.
 

Gobernanza de la IA: de los principios a la práctica

El 28% de los encuestados afirma que las organizaciones no cuentan con prácticas de gobernanza de la IA, lo que indica que la supervisión de la IA aún no se ha formalizado en muchas de ellas.

Dado que el 27% cuenta con principios o directrices sobre la IA, una proporción significativa de las organizaciones se encuentra en las primeras fases de la gobernanza de la IA.

El 18% ha llevado a cabo evaluaciones de riesgos centradas en la IA, mientras que el 16 % ha definido funciones y responsabilidades para la gobernanza de la IA, lo que demuestra que la supervisión práctica está en aumento, aunque aún se encuentra en una fase incipiente.

La gobernanza de la IA en el mercado medio de América Latina parece encontrarse en una fase inicial de madurez, ya que muchas organizaciones aún están pasando de la toma de conciencia a una supervisión estructurada. Esto es importante porque los riesgos relacionados con la IA están aumentando rápidamente: el Foro Económico Mundial señala que el 85 % de los encuestados en América Latina y el Caribe afirman que los riesgos vinculados a las vulnerabilidades de la IA han aumentado en el último año. 

Los principios y las directrices constituyen un primer paso fundamental, pero deben traducirse en responsabilidad, evaluación de riesgos, seguimiento y escalado. A medida que la IA se vaya integrando en las operaciones, las organizaciones deberán comprender dónde se utiliza la IA, cómo se comportan los sistemas, en qué datos se basan y quién es el responsable cuando los resultados generan riesgos. 

La siguiente etapa de madurez consiste en convertir la gobernanza de la IA de una simple declaración de principios en una disciplina operativa reproducible.

¿Qué sigue? Convertir la inversión en vencimiento

En el segmento de las pymes de América Latina, la inversión en ciberseguridad está aumentando, pero las estructuras necesarias para orientar y gestionar dicha inversión aún se encuentran en fase de desarrollo. La dependencia de la nube y la adopción de la inteligencia artificial hacen que la ciberseguridad sea cada vez más urgente, ya que la seguridad debe avanzar al mismo ritmo que la transformación digital y la innovación.
La siguiente etapa de madurez cibernética dependerá de que las organizaciones ajusten el presupuesto a la asunción de riesgos, refuercen la rendición de cuentas y desarrollen las disciplinas operativas necesarias para mantener la resiliencia. Esto incluye un liderazgo cibernético claro, una externalización mejor gestionada, un uso más coherente de los marcos de gestión de riesgos, una gestión más sólida de la postura en la nube y una gobernanza de la inteligencia artificial que pase de los principios a una supervisión activa.
Las empresas del mercado medio que logren cerrar primero la brecha entre la inversión y la madurez estarán mejor posicionadas para proteger su valor y competir en un entorno digital más complejo.

Metodología

RSM ha encuestado a 265 participantes de 18 países de América Latina para conocer cómo abordan las organizaciones la inversión en ciberseguridad, la gobernanza, la resiliencia, la seguridad en la nube y la supervisión de la inteligencia artificial. Los participantes ocupan puestos en los ámbitos de las tecnologías de la información, la ciberseguridad y la seguridad de la información, las finanzas, la gestión de riesgos, la auditoría y el cumplimiento normativo, así como en la dirección ejecutiva. La muestra incluye una combinación de profesionales técnicos, altos directivos, expertos en gobernanza y control, y participantes de diversos sectores y empresas de distintos tamaños.

Contact us

Complete this form and an RSM representative will be in touch.