Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Ideas clave del informe de tendencias tecnológicas 2026 de ISACA para la gestión de riesgos gubernamentales

Ideas clave del informe de tendencias tecnológicas 2026 de ISACA para la gestión de riesgos gubernamentales

by Patrick Spencer updated octubre 23, 2025 Gestión de Riesgos de Ciberseguridad
Reading Time: 14 minutes

El panorama de la ciberseguridad gubernamental ha llegado a un punto de inflexión crítico. Según la encuesta Tech Trends and Priorities Pulse Poll 2026 de ISACA, que consultó a 2,963 profesionales de confianza digital en ciberseguridad, auditoría de TI, gobernanza, riesgos y cumplimiento, las agencias federales y estatales enfrentan una convergencia sin precedentes de amenazas, mandatos regulatorios y complejidad tecnológica.

Los hallazgos revelan realidades contundentes para los profesionales de administración de riesgos en el sector público. El 59% de los encuestados identifica las amenazas cibernéticas impulsadas por IA y los deepfakes como su principal preocupación para 2026, marcando la primera vez que las amenazas de inteligencia artificial superan a los vectores de ataque tradicionales. Al mismo tiempo, el 66% menciona el cumplimiento normativo como el área de mayor enfoque en su organización, mientras que el 62% prioriza la continuidad operativa y la resiliencia. Quizás lo más preocupante: solo el 13% de los profesionales se siente «muy preparado» para gestionar los riesgos de la IA generativa.

Estas estadísticas importan porque las agencias gubernamentales gestionan los datos más sensibles del país, desde inteligencia clasificada hasta información personal identificable (PII) de los ciudadanos. A medida que las agencias aceleran la transformación digital y la adopción de IA bajo mandatos como la Orden Ejecutiva 14028 y la estrategia de Confianza Cero del DoD, la intersección entre seguridad de datos, cumplimiento y privacidad exige soluciones integrales que aborden tanto amenazas tradicionales como emergentes.

Conclusiones clave

  1. Las amenazas impulsadas por IA ahora dominan el panorama de la ciberseguridad. El 63% de los profesionales señala la ingeniería social basada en IA como la amenaza cibernética más significativa para 2026, superando preocupaciones tradicionales como el ransomware. Las agencias gubernamentales enfrentan campañas sofisticadas de phishing con IA, deepfakes y reconocimiento automatizado a una escala sin precedentes.
  2. Existe una brecha crítica de preparación para la gestión de riesgos de IA. Solo el 13% de los profesionales se siente muy preparado para gestionar los riesgos de la IA generativa, a pesar de que el 59% identifica las amenazas de IA como su principal preocupación. Esta desconexión genera vulnerabilidad a medida que las agencias aceleran la adopción de IA bajo mandatos federales.
  3. El cumplimiento normativo exige acción inmediata con plazos ajustados. CMMC 2.0 será obligatorio para los contratos del DoD en octubre de 2026, requiriendo de 12 a 18 meses para la certificación. Las agencias deben implementar simultáneamente la Arquitectura de Confianza Cero para 2027 mientras navegan marcos regulatorios específicos de IA en constante evolución.
  4. La implementación de Confianza Cero requiere una arquitectura de seguridad centrada en los datos. Una Confianza Cero efectiva va más allá de los controles de red hacia enfoques definidos por el contenido que protegen los datos según su clasificación. Los sistemas de IA requieren controles de acceso basados en atributos, puertas de enlace de datos seguras y registros auditables integrales a lo largo del ciclo de vida de la IA.
  5. El desarrollo de talento es crítico para gestionar amenazas emergentes. El 41% menciona mantenerse al día con los cambios impulsados por IA como su mayor preocupación profesional. Las agencias deben invertir en la capacitación de su personal actual en seguridad de IA, desarrollar experiencia transversal en gobernanza de IA y competir por el escaso talento especializado en seguridad de IA.

Panorama de amenazas en evolución: la IA como adversario

Las amenazas impulsadas por IA dominan las preocupaciones profesionales

La encuesta de ISACA identifica un cambio fundamental en el entorno de amenazas. El 63% de los encuestados señala la ingeniería social basada en IA como la mayor amenaza cibernética para las organizaciones en 2026, la respuesta más alta en la encuesta. Esto representa un cambio notable respecto a años anteriores, cuando el ransomware dominaba las preocupaciones profesionales. Si bien el ransomware sigue siendo relevante con un 54%, y los ataques a la cadena de suministro preocupan al 35% de los encuestados, las amenazas potenciadas por IA han surgido como el foco principal.

Las implicaciones para las operaciones gubernamentales son sustanciales. La ingeniería social impulsada por IA puede crear campañas de phishing altamente personalizadas dirigidas a empleados federales, generar deepfakes convincentes para suplantar a funcionarios y automatizar el reconocimiento de redes gubernamentales a una escala nunca vista. Las agencias estatales y locales, que a menudo cuentan con recursos limitados de ciberseguridad, son especialmente vulnerables a estos ataques sofisticados.

Brecha de preparación

Los datos revelan una desconexión preocupante entre la conciencia de las amenazas y la preparación organizacional. Mientras que el 59% de los profesionales espera que las amenazas impulsadas por IA les quiten el sueño, la preparación real es considerablemente menor. Solo el 13% describe a sus organizaciones como «muy preparadas» para gestionar los riesgos de la IA generativa. Otro 30% admite que no están muy preparados o no lo están en absoluto.

Esta brecha de preparación se manifiesta en la presión sobre el personal. El 41% de los encuestados identifica mantenerse al día con los cambios impulsados por IA como su mayor preocupación profesional de cara a 2026, seguido por la creciente complejidad de las amenazas con un 27%. Este desafío se suma a problemas existentes de personal, con un 23% mencionando dificultades para retener y contratar talento, y un 14% reportando agotamiento entre el personal de ciberseguridad.

Riesgos de datos específicos de IA para operaciones gubernamentales

La integración de IA en las operaciones gubernamentales introduce desafíos de seguridad de datos distintos a los modelos de amenazas tradicionales. El acceso no autorizado de sistemas de IA a Información No Clasificada Controlada (CUI) o datos clasificados representa un riesgo significativo. A diferencia de los usuarios humanos, los sistemas de IA pueden consumir y procesar grandes volúmenes de datos a velocidad de máquina, lo que hace que los controles de acceso tradicionales sean insuficientes.

La protección de los datos de entrenamiento es otra preocupación crítica. Las agencias que desarrollan capacidades de IA deben proteger los datos empresariales utilizados para entrenar modelos. El envenenamiento de datos, es decir, la inyección de información maliciosa o engañosa en los conjuntos de entrenamiento, puede comprometer la integridad de los modelos de IA. Este riesgo no solo proviene de actores externos, sino también de amenazas internas y vulnerabilidades en la cadena de suministro durante el desarrollo de IA.

Los sistemas de IA en producción generan exposición continua a través de operaciones de inferencia y toma de decisiones. Los ataques de inyección de prompts pueden manipular los sistemas de IA para eludir controles de seguridad o extraer información sensible. Los sistemas de IA gubernamentales que toman decisiones críticas sobre elegibilidad de beneficios, autorizaciones de seguridad o asignación de recursos requieren un acceso controlado a los datos que mantenga las clasificaciones de seguridad apropiadas durante todo el ciclo de vida de la IA.

Para enfrentar estos desafíos, las agencias necesitan controles de acceso de confianza cero para datos de IA que verifiquen cada solicitud de acceso, permisos granulares que aseguren que solo los sistemas de IA autorizados accedan a conjuntos de datos específicos y seguimiento en tiempo real que brinde visibilidad total sobre el consumo de datos por parte de la IA. Las puertas de enlace de datos de IA seguras crean rutas protegidas entre los sistemas de IA y los repositorios de datos empresariales, manteniendo registros auditables integrales para cumplimiento e investigación de incidentes.

Cumplimiento normativo: la máxima prioridad

El cumplimiento como imperativo estratégico

El cumplimiento normativo encabeza las prioridades organizacionales para 2026, con el 66% de los encuestados de ISACA identificándolo como un área de enfoque muy importante. Esta priorización refleja el alcance creciente y la complejidad en aumento de los mandatos de ciberseguridad gubernamental. El 32% espera que la complejidad regulatoria y los riesgos de cumplimiento global les quiten el sueño, una preocupación significativa en un entorno donde el incumplimiento puede resultar en descalificación de contratos, sanciones económicas e impacto en la misión.

Los datos también muestran una perspectiva en evolución sobre los requisitos regulatorios. En lugar de ver el cumplimiento solo como una carga, el 62% de los encuestados cree que la regulación cibernética impulsará el crecimiento empresarial, y el 78% piensa que promoverá la confianza digital en los próximos años. Este cambio sugiere el reconocimiento de que los marcos de cumplimiento, cuando se implementan correctamente, fortalecen la postura de seguridad y mejoran la capacidad organizacional.

Mandato de Arquitectura de Confianza Cero

La Orden Ejecutiva 14028, «Mejorando la ciberseguridad nacional», exige que las agencias federales adopten principios de Arquitectura de Confianza Cero (ZTA). La Estrategia de Confianza Cero del Departamento de Defensa establece como meta el año fiscal 2027 para lograr capacidades iniciales en toda la empresa de defensa. La guía de microsegmentación de CISA proporciona estrategias prácticas de implementación para prevenir el movimiento lateral en la red, un principio clave de Confianza Cero.

La Confianza Cero representa un cambio fundamental de la seguridad basada en el perímetro hacia la verificación continua. El modelo asume que no existe confianza implícita basada en la ubicación de red, requiriendo verificación para cada solicitud de acceso sin importar su origen. La seguridad centrada en los datos es la base de una implementación efectiva de Confianza Cero, exigiendo comprensión de los flujos de datos, controles de acceso granulares y visibilidad integral de las interacciones con los datos.

Para los sistemas de IA, la implementación de Confianza Cero requiere controles de acceso basados en atributos (ABAC) que ajusten dinámicamente los permisos según la sensibilidad de los datos, los requisitos del sistema de IA y factores contextuales. Este enfoque reemplaza las decisiones binarias de acceso por evaluaciones basadas en riesgos que consideran múltiples variables. Las agencias necesitan conductos seguros entre los sistemas de IA y los repositorios de datos, monitoreo en tiempo real del consumo de datos por IA y aplicación automatizada de políticas que implementen reglas de gobernanza a medida que los sistemas de IA solicitan acceso a datos.

Requisitos de cumplimiento CMMC 2.0

El programa Cybersecurity Maturity Model Certification (CMMC) 2.0 establece estándares obligatorios de ciberseguridad para la Base Industrial de Defensa. La regla final de DFARS, publicada el 10 de septiembre de 2025, entra en vigor el 10 de noviembre de 2025. Para el 31 de octubre de 2026, el cumplimiento de CMMC será obligatorio para todos los nuevos contratos del DoD.

CMMC establece tres niveles de certificación:

  • Nivel 1 (Fundacional) para Información sobre Contratos Federales, que requiere 17 prácticas básicas y autoevaluación
  • Nivel 2 (Avanzado) para CUI, que exige las 110 prácticas de NIST SP 800-171 con evaluación de terceros para contratos de alta prioridad
  • Nivel 3 (Experto) para información crítica de seguridad nacional, evaluado por el Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa

Dado que lograr la certificación CMMC Nivel 2 suele requerir entre 12 y 18 meses, los contratistas y agencias que gestionan relaciones con contratistas deben comenzar la preparación de inmediato para mantener la elegibilidad en contratos de defensa.

Marcos regulatorios específicos de IA

La adopción de IA en el gobierno se acelera bajo múltiples mandatos, pero los marcos regulatorios para la seguridad de IA siguen evolucionando. El Marco de Gestión de Riesgos de IA del NIST (AI RMF 1.0) ofrece una guía integral para identificar, evaluar y gestionar riesgos de IA, abordando características de confianza como validez, fiabilidad, seguridad, resiliencia, responsabilidad, transparencia y mejora de la privacidad.

La Orden Ejecutiva 14110 establece requisitos federales de seguridad y protección para IA, ordenando a las agencias implementar medidas de protección para sistemas de IA, mantener inventarios de datos para el uso de IA y alinearse con los estándares del NIST. Las agencias deben rastrear qué sistemas de IA acceden a qué datos, documentar las fuentes de datos de entrenamiento y mantener registros auditables integrales de las interacciones de IA.

El cumplimiento de estos requisitos demanda capacidades técnicas como registros auditables integrales que documenten las fuentes de datos utilizadas para entrenamiento e inferencia de IA, seguimiento de la procedencia de datos que permita identificar los datos de entrenamiento a lo largo del ciclo de vida de la IA, gestión de la integridad de la información para asegurar la precisión y adecuación de los datos de entrenamiento, y registros inmutables que creen evidencia inviolable de todas las interacciones de datos de IA.

Privacidad de datos y soberanía

El 30% de los encuestados de ISACA identifica la privacidad y la soberanía de los datos como prioridades tecnológicas que impactarán su trabajo en 2026. Las agencias gubernamentales gestionan obligaciones complejas de privacidad bajo regulaciones sectoriales como la Ley de Privacidad de 1974, HIPAA para información de salud y leyes estatales como la Ley de Privacidad del Consumidor de California.

Los requisitos de transferencia transfronteriza de datos complican las operaciones internacionales del gobierno. Los mandatos de localización de datos en diversas jurisdicciones exigen que ciertas categorías de información permanezcan dentro de límites geográficos específicos. Las agencias que realizan operaciones multinacionales deben implementar controles técnicos que aseguren el cumplimiento de residencia de datos, a menudo requiriendo infraestructura y reglas de enrutamiento específicas por región. Para los sistemas de IA, esto implica controlar dónde ocurre el entrenamiento y la inferencia para mantener la soberanía de los datos.

Fundamentos de seguridad de datos para operaciones gubernamentales

Enfoque de Confianza Cero definido por el contenido

Una implementación efectiva de Confianza Cero en operaciones gubernamentales requiere ir más allá de la seguridad centrada en la red hacia enfoques definidos por el contenido que protejan los datos según su clasificación, sensibilidad y contexto de negocio. Las agencias gestionan diversos tipos de datos que requieren protección diferenciada: la Información sobre Contratos Federales requiere protección básica, la CUI exige los 110 requisitos de seguridad de NIST SP 800-171 y la información clasificada se rige por directivas de la Comunidad de Inteligencia.

La categorización de datos es la base de este enfoque. Las agencias deben identificar qué datos poseen, clasificarlos según sensibilidad y requisitos regulatorios, y documentar dónde residen y cómo fluyen a través de los sistemas. Este inventario permite implementar controles de acceso granulares y demostrar cumplimiento normativo.

El seguimiento de accesos en tiempo real brinda la visibilidad esencial para la validación de Confianza Cero. Las agencias necesitan registros integrales que muestren quién accedió a qué datos, cuándo, desde dónde y qué acciones realizó. Esta visibilidad permite detectar anomalías, apoyar investigaciones de incidentes y aportar evidencia para auditorías de cumplimiento.

Controles técnicos de seguridad

La seguridad de datos de nivel gubernamental requiere controles técnicos que aborden tanto la confidencialidad como la integridad. El cifrado doble, implementando cifrado a nivel de archivo y de disco, protege los datos mediante múltiples dominios de gestión de claves. La seguridad de la capa de transporte (TLS) 1.3 protege los datos en tránsito, mientras que el cifrado AES-256 asegura los datos en reposo. Las agencias deben implementar módulos criptográficos validados por FIPS 140-2 para garantizar que el cifrado cumpla los estándares federales.

El cifrado de extremo a extremo garantiza la protección de los datos durante todo su ciclo de vida. Las claves de cifrado propiedad del cliente otorgan a las agencias control total sobre el acceso a los datos sin depender de terceros, resolviendo preocupaciones sobre el acceso de proveedores de servicios en la nube y asegurando que solo personal autorizado pueda descifrar información sensible.

Arquitectura de puerta de enlace de seguridad de datos para IA

Proteger el acceso de sistemas de IA a datos gubernamentales requiere una arquitectura diseñada específicamente para los flujos de trabajo únicos de IA. Una puerta de enlace de datos de IA segura crea una ruta protegida entre los sistemas de IA y los repositorios de datos empresariales, mediando todas las interacciones, aplicando políticas de seguridad y manteniendo registros auditables integrales.

La integración API-first garantiza conexión fluida con la infraestructura de IA existente. Las agencias que implementan plataformas de aprendizaje automático, entornos de ciencia de datos o aplicaciones potenciadas por IA pueden integrar capacidades de puerta de enlace sin cambios fundamentales en la arquitectura. El soporte para Generación Aumentada por Recuperación (RAG) permite el enriquecimiento seguro de datos para grandes modelos de lenguaje, brindando una forma de aprovechar bases de conocimiento internas mientras se mantiene control granular sobre el acceso a la información.

Las capas avanzadas de protección de datos abordan desafíos específicos de seguridad de IA. El watermarking de datos incrusta información identificadora en los conjuntos de datos, permitiendo a las agencias rastrear el uso de datos en sistemas de IA y detectar exfiltraciones no autorizadas. El escaneo automatizado de Prevención de Pérdida de Datos (DLP) impide el acceso inapropiado de IA a información sensible, implementando políticas que bloquean el consumo de conjuntos de datos que contienen información clasificada, PII u otras categorías sensibles, salvo autorización explícita.

Casos de uso gubernamentales

Las agencias requieren comunicaciones de datos seguras en escenarios diversos como protección de correspondencia diplomática, distribución de datos presupuestarios y financieros, colaboración en desarrollo de políticas, intercambio de inteligencia de amenazas cibernéticas entre agencias, gestión de solicitudes de subvenciones, transferencia de información clasificada y comunicaciones interinstitucionales.

En escenarios específicos de IA, las agencias necesitan capacidades para entrenamiento seguro de modelos de IA con datos gubernamentales, permitiendo el desarrollo de capacidades de IA mientras se protege la información sensible utilizada en el entrenamiento, e inferencia controlada de IA para decisiones críticas, brindando acceso en tiempo real con controles de seguridad apropiados para sistemas de IA que apoyan determinaciones de elegibilidad de beneficios, procesamiento de autorizaciones de seguridad o asignación de recursos.

Gobernanza de datos y gestión de la privacidad

Marco integral de gobernanza

La gobernanza de datos abarca cuatro componentes interconectados: residencia de datos para requisitos geográficos, controles de seguridad para proteger confidencialidad e integridad, protecciones de privacidad para el manejo de información personal y cumplimiento para demostrar adhesión a marcos regulatorios.

El Responsable de Privacidad de Datos (DPO) proporciona liderazgo dedicado en gobernanza, coordinando actividades del programa de privacidad, asesorando sobre obligaciones de protección de datos, sirviendo de contacto regulatorio y monitoreando el cumplimiento. Los protocolos de categorización y etiquetado de datos permiten la aplicación automatizada de controles de seguridad según sensibilidad, requiriendo esquemas de clasificación consistentes, etiquetado de metadatos al crear datos y mantenimiento de clasificaciones durante todo el ciclo de vida de la información.

Capacidades de gobernanza mejoradas por IA

La IA introduce nuevos requisitos de gobernanza y, al mismo tiempo, habilita capacidades avanzadas. Los registros auditables integrales para el uso de datos de IA documentan qué fuentes utilizan los sistemas de IA para entrenamiento e inferencia, apoyando el cumplimiento y permitiendo la transparencia algorítmica. Los registros de actividad a nivel de sistema capturan detalles granulares como entradas de prompts, datos recuperados para contexto, decisiones del modelo, puntuaciones de confianza y resultados finales.

El seguimiento de la procedencia de datos rastrea el linaje de la información durante todo el ciclo de vida de la IA, permitiendo a las agencias saber qué documentos, bases de datos o sistemas contribuyeron a los conjuntos de entrenamiento, cómo se preprocesaron los datos y qué versiones de modelos se usaron para resultados específicos. Los marcos de aplicación de políticas implementan reglas de gobernanza para el consumo de datos por sistemas de IA mediante políticas de riesgo que definen qué sistemas pueden acceder a determinadas categorías de datos, qué operaciones de procesamiento están permitidas y qué procesos de revisión aplican.

La integración en tiempo real con sistemas SIEM permite el análisis inmediato de eventos de seguridad, brindando visibilidad crítica sobre el comportamiento de los sistemas de IA. Los analistas pueden monitorear qué sistemas acceden a datos sensibles, identificar patrones de acceso inusuales y detectar intentos de exfiltración de datos.

Principios de protección de datos desde el diseño

La protección de datos desde el diseño integra la privacidad en el desarrollo de sistemas desde el concepto inicial hasta la implementación. El marco de protección de datos de la Unión Europea identifica siete principios clave:

  1. Responsabilidad
  2. Precisión
  3. Integridad y confidencialidad
  4. Limitación de finalidad
  5. Minimización de datos
  6. Limitación de almacenamiento
  7. Licitud, equidad y transparencia

La aplicación de estos principios al desarrollo de sistemas de IA es especialmente importante dada la naturaleza intensiva en datos de la IA y su potencial impacto en la privacidad.

Monitoreo e informes

Los paneles de control integrales brindan a los equipos de seguridad y cumplimiento visibilidad centralizada sobre la postura de protección de datos, mostrando métricas clave como volúmenes de intentos de acceso, violaciones de políticas, patrones de actividad de usuarios y estado de cumplimiento. Para el monitoreo específico de IA, los paneles deben mostrar qué sistemas consumen qué tipos de datos, frecuencia y volúmenes de acceso, y excepciones de políticas que requieren revisión.

Los informes específicos de cumplimiento automatizan la generación de evidencia para auditorías regulatorias. En lugar de compilar evidencia manualmente desde múltiples sistemas, los informes automatizados extraen datos relevantes, los formatean según los requisitos del auditor y mantienen registros que demuestran cumplimiento continuo. Las agencias que gestionan múltiples marcos regulatorios se benefician de capacidades de reporte que generan salidas específicas para cada marco (informes FISMA, paquetes de evidencia CMMC, evaluaciones de programas de privacidad) a partir de fuentes de datos unificadas.

Continuidad operativa y resiliencia

La continuidad como prioridad

El 62% de los encuestados de ISACA menciona la continuidad operativa y la resiliencia como áreas de enfoque muy importantes para 2026. Los servicios públicos críticos —respuesta a emergencias, entrega de beneficios, fuerzas del orden, salud, educación— requieren disponibilidad continua. Las interrupciones prolongadas generan riesgos para la seguridad pública, afectan a los ciudadanos que dependen de los servicios y minan la confianza en la capacidad gubernamental.

Mantener operaciones durante ataques impulsados por IA presenta nuevos desafíos de continuidad. Los ataques potenciados por IA pueden identificar vulnerabilidades, adaptar tácticas y operar a velocidad de máquina, potencialmente superando la capacidad de respuesta tradicional de los centros de operaciones de seguridad. Las agencias necesitan capacidades de defensa automatizadas, arquitecturas resilientes que sigan funcionando pese a compromisos parciales y procedimientos para operar en modos degradados durante ataques prolongados.

Respuesta a incidentes y recuperación

Los planes de respuesta a incidentes integrales definen roles, procedimientos y protocolos de comunicación para gestionar incidentes de seguridad desde la detección inicial hasta la recuperación. Las agencias deben desarrollar planes que aborden diversos tipos de incidentes —ransomware, filtraciones de datos, amenazas internas, compromisos en la cadena de suministro, manipulación de sistemas de IA— con guías específicas para cada escenario.

La respuesta a incidentes específica de IA aborda escenarios únicos como envenenamiento de modelos, ataques de inyección de prompts y ejemplos adversariales que causan fallos en sistemas de IA. Las agencias que utilizan IA para decisiones operativas deben desarrollar procedimientos para validar resultados de IA cuando se sospeche manipulación, reconstruir modelos a partir de fuentes de datos verificadas y operar sin capacidades de IA durante los esfuerzos de remediación.

Resiliencia mediante protección de datos

La protección integral de datos contribuye a la resiliencia operativa al reducir puntos únicos de falla y permitir una recuperación rápida. La redundancia geográfica para el almacenamiento de datos asegura disponibilidad pese a incidentes localizados. El monitoreo continuo de cumplimiento brinda certeza constante en lugar de evaluaciones puntuales, revisando la implementación de controles, validando configuraciones y proporcionando estado de cumplimiento en tiempo real.

Las puertas de enlace de datos de IA seguras aseguran que las capacidades de IA sigan funcionando incluso si las redes circundantes se ven comprometidas, permitiendo a las agencias mantener operaciones potenciadas por IA durante procesos extendidos de respuesta y recuperación. Las plataformas diseñadas para adaptarse a regulaciones de IA en evolución permiten a las agencias mantener el cumplimiento conforme cambian los requisitos mediante actualizaciones de configuración, sin rediseños fundamentales.

Gestión de talento y fuerza laboral

El 62% de los encuestados de ISACA indica que sus organizaciones planean contratar para roles de confianza digital en 2026, pero el 44% de quienes tienen planes de contratación espera dificultades para cubrir puestos con candidatos calificados. Las agencias gubernamentales enfrentan desafíos particulares para competir por talento en ciberseguridad frente a organizaciones privadas que ofrecen mayores compensaciones. La creciente necesidad de especialistas en seguridad de IA —profesionales con experiencia tanto en IA como en ciberseguridad— agrava el reto de talento.

El 39% de los encuestados prioriza la capacitación de la fuerza laboral en seguridad de datos como muy importante. La formación en seguridad y protección de IA permite a los profesionales de ciberseguridad ampliar su experiencia hacia amenazas y controles específicos de IA, cubriendo vectores de ataque, controles de seguridad para sistemas de IA, regulaciones y marcos específicos, y procedimientos operativos para proteger cargas de trabajo de IA.

Comprender marcos de riesgo de IA como el AI RMF del NIST permite a los profesionales de seguridad evaluar riesgos de sistemas de IA, implementar controles adecuados y comunicar riesgos de IA a la dirección. Los programas de aprendizaje continuo y certificación demuestran competencia profesional y ofrecen rutas estructuradas de desarrollo a través de certificaciones como CISSP, CISM y nuevas credenciales enfocadas en IA.

Recomendaciones accionables para agencias gubernamentales

Según los hallazgos de Tech Trends 2026 de ISACA, las agencias deben priorizar cinco áreas críticas de acción:

  1. Establece marcos sólidos de gobernanza y gestión de riesgos de IA

    Las agencias deben superar los enfoques ad hoc mediante programas de gobernanza estructurados alineados con el AI RMF del NIST y los requisitos federales de IA. Implementa controles de acceso de confianza cero para datos de IA que verifiquen cada solicitud de acceso, limiten el acceso al mínimo necesario y mantengan registros auditables integrales. Crea políticas de protección de datos específicas para IA que definan qué clasificaciones pueden ser accedidas por sistemas de IA, qué operaciones de procesamiento están permitidas y qué requisitos de monitoreo rigen las operaciones de IA.

  2. Acelera la capacitación y el desarrollo de talento en IA

    Invierte en el desarrollo de capacidades de seguridad de IA en la fuerza laboral actual mediante programas de formación sobre vectores de ataque, controles de seguridad de sistemas de IA y regulaciones específicas. El aprendizaje continuo mantiene a los equipos de seguridad actualizados a medida que la tecnología y las amenazas evolucionan. Desarrollar experiencia en gobernanza de IA requiere formación transversal que incluya profesionales de seguridad, responsables de privacidad, asesores legales y gestores de programas.

  3. Moderniza sistemas e infraestructuras heredadas

    La modernización de sistemas heredados reduce vulnerabilidades y permite la integración con herramientas de seguridad modernas. Implementa una arquitectura de puerta de enlace de datos de IA segura que proporcione rutas protegidas entre sistemas de IA y datos empresariales. Aplica cifrado doble y controles avanzados como claves de cifrado propiedad del cliente, criptografía validada por FIPS 140-2, autenticación multifactor y prevención automatizada de pérdida de datos.

  4. Refuerza la resiliencia cibernética y la planificación de continuidad operativa

    Prepárate para ataques sostenidos impulsados por IA mediante procedimientos de respuesta a incidentes específicos para IA, abordando escenarios como envenenamiento de modelos, ataques de inyección de prompts y ejemplos adversariales. Las pruebas mediante ejercicios identifican vulnerabilidades antes de que los adversarios las exploten. Establece redundancia para operaciones dependientes de IA, asegurando que las agencias puedan mantener funciones críticas si los sistemas de IA deben desactivarse durante incidentes de seguridad.

  5. Prepárate para la complejidad regulatoria y el cumplimiento internacional

    Navega los requisitos regulatorios en expansión mediante automatización de cumplimiento multiframework, reduciendo la carga con herramientas que mapean controles de seguridad a múltiples requisitos y generan informes de cumplimiento específicos. Monitorea la evolución de las regulaciones de IA para anticipar el cumplimiento. Implementa capacidades de protección de datos transfronterizos que aborden la soberanía y el cumplimiento internacional.

Acciones prioritarias inmediatas

  • Realiza un análisis de riesgos de datos de IA identificando qué sistemas de IA opera tu agencia, a qué datos acceden y qué riesgos genera el procesamiento de IA.
  • Implementa controles de acceso de confianza cero para IA como mitigación inmediata: exige autenticación, limita el acceso al mínimo necesario y registra el consumo de datos por IA.
  • Despliega registros auditables integrales para el uso de IA, permitiendo monitoreo e investigación.
  • Establece seguimiento de procedencia de datos documentando las fuentes de datos de entrenamiento de IA.
  • Colabora con plataformas de seguridad de IA diseñadas para requisitos gubernamentales, que cuenten con autorización FedRAMP, conocimiento de requisitos FCI y CUI, y experiencia de proveedores en necesidades de seguridad gubernamental.

Conclusión

La convergencia de desafíos de seguridad de datos, cumplimiento y privacidad identificados en el informe Tech Trends 2026 de ISACA exige enfoques integrados de los profesionales de administración de riesgos gubernamentales. Con un 59% preocupado por amenazas de IA pero solo un 13% sintiéndose preparado, la urgencia de actuar es clara. Las agencias no pueden tratar la seguridad, el cumplimiento y la privacidad como iniciativas separadas: forman pilares interconectados que requieren estrategia coordinada, arquitectura unificada y gobernanza integral.

La IA añade nuevas dimensiones a los marcos de seguridad tradicionales. Si bien las agencias tienen décadas de experiencia protegiendo datos frente a amenazas humanas, la IA introduce consumo de datos a velocidad de máquina, capacidades de ataque automatizadas y procesamiento a escalas que superan la supervisión humana. Los controles de seguridad diseñados para usuarios humanos resultan insuficientes para sistemas de IA que requieren acceso continuo a los datos.

La seguridad centrada en los datos es la base para abordar los tres pilares. Al implementar controles que acompañan a los datos sin importar ubicación de red o sistema de procesamiento, las agencias protegen la información durante todo su ciclo de vida. Las puertas de enlace de datos de IA seguras permiten aprovechar capacidades de IA manteniendo control, visibilidad y cumplimiento sobre datos sensibles durante todo el ciclo de vida de la IA, desde el entrenamiento hasta la inferencia y generación de resultados.

Cumplir los plazos de cumplimiento para CMMC y Confianza Cero en 2026-2027 requiere acción inmediata, considerando los tiempos de implementación de 12 a 18 meses. Las agencias deben equilibrar la innovación con la protección de datos sensibles mediante arquitecturas de seguridad diseñadas para tal fin. Construir programas de seguridad sostenibles que apoyen la adopción de IA requiere inversión en personas, procesos y tecnología: desarrollo de talento, marcos de gobernanza de IA e infraestructura de puertas de enlace de datos de IA seguras.

El camino a seguir exige evaluar la postura actual de seguridad de datos de IA, planificar estratégicamente para los plazos de cumplimiento, evaluar soluciones diseñadas para requisitos gubernamentales y adoptar enfoques proactivos para la gestión de riesgos de IA. Las agencias que actúen con decisión ahora estarán en posición de aprovechar capacidades de IA de forma segura mientras cumplen los requisitos regulatorios.

Preguntas frecuentes

Las agencias federales y contratistas deben iniciar la preparación para CMMC de inmediato, ya que lograr la certificación de Nivel 2 suele requerir entre 12 y 18 meses. Para prepararse para el cumplimiento de CMMC 2.0, las agencias deben implementar las 110 prácticas de NIST SP 800-171 para proteger la Información No Clasificada Controlada (CUI), realizar análisis de distancia para identificar deficiencias de seguridad actuales, desplegar controles técnicos como cifrado y gestión de accesos, y recurrir a evaluadores externos para contratos de alta prioridad. La regla final entra en vigor el 10 de noviembre de 2025, con cumplimiento obligatorio para nuevos contratos del DoD a partir del 31 de octubre de 2026.

Cuando las agencias implementan sistemas de IA que acceden a datos sensibles, necesitan controles de acceso de confianza cero para IA que verifiquen cada solicitud, controles de acceso basados en atributos (ABAC) para permisos dinámicos y puertas de enlace de datos de IA seguras que creen rutas protegidas entre sistemas de IA y repositorios de datos. Otras medidas incluyen registros auditables integrales de todas las interacciones de datos de IA, seguimiento de procedencia de datos para identificar fuentes de entrenamiento, monitoreo en tiempo real de patrones de consumo de IA y prevención automatizada de pérdida de datos (DLP) para bloquear accesos no autorizados a información clasificada o PII.

Los gestores de riesgos pueden cerrar la brecha de preparación en IA implementando programas estructurados de gobernanza alineados con el Marco de Gestión de Riesgos de IA del NIST, invirtiendo en capacitación del personal en seguridad de IA cubriendo vectores de ataque y controles, desplegando procedimientos de respuesta a incidentes específicos para IA en escenarios como envenenamiento de modelos e inyección de prompts, y estableciendo capacidades de monitoreo integral del comportamiento de sistemas de IA. La encuesta de ISACA revela que solo el 13% se siente muy preparado para los riesgos de IA generativa, a pesar de que el 59% identifica amenazas impulsadas por IA como su principal preocupación, lo que hace que la acción inmediata sea crítica.

Las agencias que mantienen principios de Confianza Cero para operaciones de IA deben implementar enfoques de seguridad definidos por el contenido que protejan los datos según su clasificación y sensibilidad, desplegar puertas de enlace de datos de IA seguras con integración API-first para conexión fluida con plataformas de IA, establecer cifrado doble usando módulos criptográficos validados por FIPS 140-2 y mantener seguimiento de accesos en tiempo real con registros integrales. Esta arquitectura permite verificación continua de solicitudes de acceso de IA, permisos granulares según sensibilidad de datos y registros auditables completos que respaldan tanto el monitoreo de seguridad como la demostración de cumplimiento exigida por la Orden Ejecutiva 14028 y los mandatos de la Estrategia de Confianza Cero del DoD.

Las agencias que gestionan operaciones internacionales de IA deben implementar controles técnicos que aseguren el cumplimiento de residencia de datos conforme a regulaciones geográficas, desplegar capacidades de localización de datos que mantengan cierta información dentro de jurisdicciones requeridas, establecer reglas de enrutamiento que controlen dónde ocurre el entrenamiento y la inferencia de IA, y mantener documentación integral de los flujos de datos transfronterizos. Con un 30% de profesionales identificando privacidad y soberanía de datos como prioridades para 2026, las agencias necesitan infraestructura de redundancia geográfica, aplicación automatizada de políticas de soberanía y sistemas de monitoreo que rastreen el consumo de datos de IA en múltiples jurisdicciones para cumplir con requisitos como GDPR, leyes estatales de privacidad y regulaciones sectoriales.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks