En 2026, la resiliencia dejará de ser una consecuencia de la seguridad para convertirse en una condición de supervivencia. Según el informe Las predicciones de los CISO para 2026 que publicó recientemente Fortinet, la expansión acelerada de la inteligencia artificial, la presión regulatoria, la fragmentación geopolítica y la industrialización del cibercrimen están redefiniendo el rol del CISO. Ya no alcanza con proteger sistemas: ahora se trata de garantizar que el negocio pueda seguir operando cuando la automatización falle.

Las proyecciones de la industria coinciden en un punto central: la superficie de ataque crece más rápido de lo que los modelos tradicionales de seguridad pueden adaptarse. Según el Global Cybersecurity Outlook 2025 del World Economic Forum, el 72% de las organizaciones reportó un aumento de los riesgos cibernéticos en el último año. En 2026, esa tendencia se profundizará con sistemas de IA que toman decisiones a velocidad de máquina, muchas veces fuera de los flujos clásicos de control.

De CISO a director de Resiliencia

Uno de los ejes más relevantes del informe es que el límite entre riesgo tecnológico y riesgo de negocio prácticamente desapareció. La IA ya no es experimental ni periférica. Influye en cadenas de suministro, controles financieros, procesos de contratación, experiencia de cliente. Y lo hace con mínima intervención humana y con una escala que amplifica cualquier error.

Cuando un modelo falla, el impacto no es contenido: se propaga. Un agente autónomo mal configurado puede ejecutar acciones a gran escala en segundos. Un modelo entrenado con datos comprometidos puede alterar decisiones críticas sin que nadie lo advierta de inmediato.

En este contexto, el CISO ya no es únicamente responsable de proteger sistemas. Es responsable de garantizar que los procesos de negocio impulsados por IA sigan siendo confiables, disponibles y controlables bajo estrés. En la práctica, el rol evoluciona hacia el de director de resiliencia.

Los cambios en la conversación global

Las discusiones recientes en el World Economic Forum evidencian que la IA dejó de tratarse exclusivamente como motor de innovación y pasó a considerarse un riesgo de gobernanza y estabilidad sistémica. La concentración de capacidades en pocos proveedores, la dependencia de modelos compartidos, el uso de datos transfronterizos y el potencial de fallas en cascada en sistemas altamente automatizados son ahora temas centrales.

Fortinet participó en estas conversaciones, incluyendo la Reunión Anual de Davos, de la mano de líderes gubernamentales, ejecutivos de la industria y profesionales de la seguridad, porque lo que sucede en estos foros influye en cómo el riesgo es entendido y manejado a nivel global. La ciberseguridad ya no es entendida solamente como un problema empresarial, sino como una responsabilidad compartida que involucra al sector público y al privado. Para los CISOs, estas conversaciones importan porque influencian la dirección regulatoria, expectativas ejecutivas y los estándares por los cuales la resiliencia será juzgada.

Este cambio está también reflejado en los modelos de gobernanza organizacional. Los CISO están ganando acceso directo al liderazgo ejecutivo porque ahora las juntas directivas reconocen que los riesgos relacionados a la IA no pueden ser delegados a equipos aislados. En lugar de eso, las decisiones sobre el despliegue de IA, acceso a datos, automatización y control de estructuras tienen impacto directo en la continuidad operacional, la exposición regulatoria y la reputación corporativa.

Para los CISOs, la implicación es clara. En 2026, la planeación de resiliencia debe considerar explícitamente la escala, la velocidad y la opacidad impulsadas por IA. La cuestión no es si la IA será utilizada, sino si está siendo desplegada de un modo seguro, transparente y alineado con la tolerancia al riesgo organizacional. Las discusiones que ocurrieron de Davos reforzaron que esto ya no es sólo una preocupación teórica, es una responsabilidad a nivel liderazgo.

Cinco estrategias que los CISO deben adoptar de cara a 2026

1. Redefinir la continuidad del negocio en una empresa impulsada por IA.
   
   La disrupción a gran escala no es hipotética. La IA incrementa tanto la posibilidad como el alcance de una falla. Debido a esto, la planeación de continuidad del negocio deberá evolucionar de acuerdo con ello. Para empezar, los CISO deberán redefinir el Mínimo Viable de Negocio de la organización, tomando en cuenta las dependencias a IA. ¿Qué sistemas impulsados por IA son indispensables para seguir operando? ¿Qué decisiones automatizadas deberán ser pausadas o eliminadas durante un incidente? ¿Qué pasa si un modelo, configuración de datos o agente se convierte en poco confiable o queda indispuesto?
   
   La resiliencia en 2026 significa comprender no sólo como los sistemas fallan, sino como la IA amplifica esas fallas. Los planes tradicionales de continuidad, rara vez toman en cuenta el comportamiento de la IA bajo estrés y eso debe cambiar. Adicional a ello, los simulacros deben incluir ahora escenarios de falla de IA, canales de datos corruptos y acciones autónomas que requieran una rápida intervención humana.
   
   
2. Tratar la IA como una capacidad de alto riesgo
   
   La IA está siendo cada vez más integrada en toda la empresa, a menudo fuera de la visibilidad de seguridad tradicional: los equipos de marketing utilizan herramientas generativas, los desarrolladores integran modelos externos, las unidades de negocio implementan la automatización para acelerar las decisiones. Cada uno de estos factores conlleva riesgos.
   
   Los sistemas de IA pueden filtrar datos confidenciales, ser manipulados mediante órdenes de adversarios o ser obligados a adoptar comportamientos inseguros mediante la inyección inmediata. Además, la IA agéntica introduce una complejidad adicional, ya que los agentes autónomos interactúan con otros sistemas e identidades sin supervisión humana directa.
   
   En 2026, los CISOs deberán tratar la IA como una capacidad de alto riesgo que exige una gobernanza explícita. Esto incluye definir la propiedad, aplicar controles de acceso, proteger los datos de entrenamiento e inferencia y supervisar el comportamiento de la IA en producción. Esta herramienta debe estar sujeta al mismo escrutinio que cualquier sistema capaz de impactar significativamente el negocio.
   
   
3. Reforzar controles de identidad para humanos, máquinas y agentes
   
   La identidad se ha convertido en el plano de control de los entornos modernos y la IA está acelerando la complejidad de dichos entornos. El informe de predicciones de Fortinet destaca la identidad no humana como una fuente creciente de riesgo sistémico. Una sola identidad de máquina o agente comprometida puede propagarse por entornos en segundos. Hoy en día, las identidades no humanas ya superan en número a los usuarios humanos en muchas organizaciones. Los agentes de IA añaden una nueva capa al autenticar, consultar sistemas y tomar medidas a gran escala.
   
   En una empresa impulsada por IA, la vulneración de la identidad no es solo un incidente de seguridad. Es una falla de resiliencia. Los CISOs deben garantizar que los controles de identidad sean consistentes entre usuarios, máquinas, APIs y agentes de IA, con verificación continua y aplicación de privilegios mínimos. Al mismo tiempo, la gobernanza de la identidad también debe asumir la automatización, escalabilidad y velocidad.
   
   
4. Fortalecer la colaboración interna y externa
   
   La IA disuelve las fronteras organizacionales tradicionales. Las decisiones que antes tomaban las personas ahora se distribuyen entre sistemas, equipos y flujos de trabajo automatizados. Durante los incidentes, esta complejidad puede ralentizar la respuesta si las funciones y responsabilidades no están claras.
   
   Ninguna organización puede desarrollar resiliencia ante la IA de forma aislada. En cambio, la resiliencia depende de la colaboración. Para lograrlo, los CISOs deben alinear los liderazgos de seguridad, TI, ciencia de datos, legal, riesgo y ejecutivo con supuestos compartidos sobre los riesgos y la respuesta ante la IA. Y externamente, la colaboración con colegas, socios y organizaciones del sector público se vuelve aún más crucial a medida que las amenazas impulsadas por la IA se expanden globalmente.
   
   
5. Asumir la disrupción acelerada como nueva normalidad
   
   La IA acorta los plazos. Los atacantes se adaptan más rápido. Los errores se propagan con mayor rapidez. Las expectativas regulatorias evolucionan con mayor rapidez. En este entorno, la mentalidad adecuada es asumir una disrupción acelerada por la IA.
   
   Esta mentalidad prioriza las pruebas continuas, la reevaluación periódica de los casos de uso de la IA y la rápida retroalimentación entre los equipos de seguridad y de negocio. Las organizaciones resilientes consideran la adaptación como una disciplina continua, no como una revisión anual.

La resiliencia como líderes es imperativa en la era de la IA

El rol del CISO nunca ha sido tan amplio ni trascendental. En 2026, los CISOs eficaces serán aquellos que entiendan la IA no solo como una tecnología, sino como una fuerza que transforma el riesgo, la gobernanza y la continuidad.

La resiliencia favorecerá a los líderes que se preparen para la disrupción impulsada por la IA, pongan a prueba sus suposiciones y garanticen que sus organizaciones puedan seguir operando cuando los sistemas automatizados fallen. Esa es la labor del CISO moderno.

(*) Carl Windsor: Chief Information Security Officer (CISO) de Fortinet