La consultora internacional de estrategia y gestión de tecnología Eraneos, ha presentado La Voz de los CISOs Españoles 2026, un estudio que recoge la visión, prioridades y retos de más de treinta directores de ciberseguridad de compañías españolas líderes en sus respectivos sectores y procedentes de prácticamente todos los ámbitos de actividad.
El análisis, elaborado a partir de las conclusiones del primer Eraneos Cybersecurity Summit, constata un cambio profundo en la manera en que las organizaciones españolas comprenden y gestionan el riesgo digital. Así lo señala Eduvigis Ortiz, Cybersecurity Head Iberia en Eraneos y coautora del estudio, quien advierte de que “la identidad, el cibercrimen industrializado y la creciente complejidad de los ecosistemas digitales están redefiniendo el riesgo. En este nuevo entorno, la resiliencia deja de ser un ideal y se convierte en el factor decisivo para proteger y sostener el negocio”.
De esta manera, el estudio pone de manifiesto que la ciberseguridad ha alcanzado un nivel de madurez estratégica sin precedentes en las organizaciones españolas. Tanto es así, que el 88% de los CISOs afirma contar con un plan director de ciberseguridad aprobado por la alta dirección, un dato que confirma la plena integración de esta función en la toma de decisiones corporativas. Y es que las compañías ya no conciben la ciberseguridad como un conjunto de controles técnicos, sino como un elemento esencial para garantizar la continuidad del negocio, proteger la reputación corporativa y preservar la confianza de clientes e inversores.
El riesgo de terceros se sitúa como la principal preocupación
Uno de los principales focos de preocupación identificados es el riesgo de terceros. Las organizaciones operan ya con una media de más de seis proveedores de servicios de ciberseguridad, lo que incrementa la complejidad operativa y amplía de forma significativa la superficie de exposición. Solo el 23% de los CISOs declara confiar plenamente en sus proveedores actuales, mientras que la gestión del riesgo asociado a la cadena de suministro digital y al ecosistema operativo de la empresa se sitúa como la principal amenaza de cara a 2026.
En este contexto, los responsables de seguridad están reorientando sus prioridades de inversión hacia la eficiencia, la simplificación y el control. Frente a la proliferación de herramientas, el foco se desplaza hacia la consolidación de plataformas y la optimización del entorno tecnológico. Las áreas que concentran un mayor esfuerzo inversor adicional son: la gestión de identidades y accesos privilegiados (46,2%), la optimización y consolidación tecnológica (34,6%), la seguridad en la nube (30,8%) y las capacidades de detección y respuesta extendida (XDR) con un 19,2%.
El estudio dibuja un consenso claro entre los responsables de seguridad: la prioridad ya no pasa por sumar más herramientas, sino por reforzar la base tecnológica existente. La gestión de identidades y accesos se consolida como el nuevo perímetro de seguridad y la consolidación de plataformas emerge como un factor decisivo para recuperar visibilidad, capacidad de gobierno y control sobre los entornos digitales.
IA y automatización como nuevas palancas de resiliencia
Por su parte, la automatización (incluido el uso de agentes) y la inteligencia artificial se asientan, asimismo, como motores esenciales para fortalecer la resiliencia de las organizaciones. El 73% de los CISOs considera la automatización una prioridad crítica para este año, y la IA se posiciona como una herramienta fundamental tanto para escalar las capacidades defensivas como para mitigar la escasez de talento especializado. En este ámbito comienzan a cobrar protagonismo los modelos de IA, orientados a la automatización avanzada de procesos de detección, respuesta y orquestación de la ciberseguridad.
El estudio refleja, además, un cambio profundo de enfoque: las organizaciones avanzan desde una visión centrada exclusivamente en la prevención, hacia un modelo que prioriza la capacidad de recuperación rápida y eficaz ante incidentes, situando la resiliencia operativa como uno de los principales indicadores de madurez.
Por último, el análisis desprende una clara evolución del rol del CISO hacia una función cada vez más estratégica, con una presencia creciente en los comités ejecutivos y en los consejos de administración. En un entorno de amenazas en aumento y de presión regulatoria derivada de la normativa europea —especialmente NIS2 y DORA—, la ciberseguridad se apuntala como un pilar indispensable para la continuidad y sostenibilidad del negocio.