En España, este cambio se ha acelerado por tres fuerzas: la rápida expansión de la IA generativa, la convergencia entre ciberseguridad, resiliencia y regulación y una presión financiera: el coste de operar cloud y la IA impactan con fuerza en la cuenta de resultados. Esta tribuna sintetiza los cinco retos que han definido 2025 para el CIO en España: industrializar la IA, construir resiliencia demostrable, gobernar el coste de cloud (FinOps), reforzar el talento y asegurar la soberanía sobre los datos.
1. IA y ‘GenAI’: el exceso de expectativas cae por el abismo del escalado
En muchas organizaciones españolas, 2025 ha sido el año en que la IA generativa ha pasado de la prueba a la expectativa de resultados. Esto desgasta al CIO, porque el escalado se complica precisamente cuando sale del entorno controlado del piloto y extiende a distintos procesos, áreas y fuentes de datos. Por ejemplo, hay muchos asistentes que elevan la productividad individual pero no se traducen en impacto transformador del negocio.
Un dato revelador resonó con fuerza cuando salió el informe The GenAI Divide: State of AI in Business 2025 (MIT NANDA, julio 2025), destacando que, pese a decenas de miles de millones invertidos, el 95% de las organizaciones obtiene un retorno cero y en sistemas GenAI integrados (más allá de herramientas genéricas), solo un 5% llega a producción. El informe añade las razones: el bloqueo está en la industrialización y la capacidad de transformar los flujos de trabajo.
Por otro lado, 2025 ha sido un punto de inflexión, porque la regulación europea sobre IA ha dejado de ser una declaración de principios y se ha convertido en un requisito operativo. El calendario del AI Act exige mecanismos concretos de control: gobierno, trazabilidad y evaluación de riesgos.
En síntesis, el debate para el CIO ha pasado de si usar o no la IA, a escalarla, gobernarla y controlar los datos, calidad y riesgos. Y eso significa decir no a pilotos que no tengan un camino claro de industrialización, aunque brillen mucho.
2. Ciberseguridad: el reto es mantener la continuidad de las operaciones y poder demostrarlo
Si hay un cambio cualitativo de la ciberseguridad en 2025, es este: ciberseguridad, continuidad y cumplimiento han dejado de ser agendas paralelas. Para el CIO, se han convertido en una sola conversación: resiliencia demostrable.
La presión externa se ve en datos y en regulación. En España, Incibe comunicó que su CERT gestionó 97.348 incidentes en 2024, un +16,6% frente a 2023, con un reparto que recuerda que el impacto no es solo en la ciudadanía, sino en la empresa y la cadena de suministro.
Pero lo que muchos CIO de sectores con activos físicos han notado con más intensidad en 2025 es la entrada de OT en la ecuación: digitalizar una planta, red o infraestructura crítica crea valor, pero abre una nueva superficie de ataque. ENISA lo pone negro sobre blanco en su Threat Landscape 2025: en su distribución de categorías, las amenazas de OT representan un 18,2%, y además destaca los riesgos en la cadena de suministro.
En esa línea, los actores externos se han convertido en el perímetro real. La empresa ya no depende únicamente de su CPD o de su SOC, sino de un ecosistema de cloud, integradores, operadores o servicios gestionados. En 2025, la regulación DORA en el sector financiero ha consolidado esta visión: desde el 17 de enero de 2025, exige mantener un registro y un control sistemático de los acuerdos con proveedores de servicios TIC.
En 2025, el CIO ha visto desplazarse su rol: menos foco en la gestión de sistemas para convertirse en el responsable de coordinar la resiliencia dentro y fuera de la organización.
3. ‘FinOps’: tras años desapercibida, en 2025 se ha situado en primera línea
El término FinOps se ha convertido en protagonista en 2025 por una razón simple: muchas cargas ya se han movido a cloud, y el coste no solo se ha disparado. Se ha vuelto más variable y menos explicable de lo que los comités de dirección estaban dispuestos a aceptar.
Lo importante para el CIO es la consecuencia. Ya no sirven medidas puntuales (recortes arbitrarios, apagar instancias o congelar proyectos). Hace falta replantear el uso de cloud de extremo a extremo.
En 2025, FinOps deja de percibirse como una iniciativa exclusivamente de TI y se consolida como una disciplina transversal. Ingeniería y arquitectura son críticas porque el coste comienza por el diseño, pero finanzas es imprescindible para traducir la factura aplicar políticas de costes alineadas. Compras influye directamente introduciendo nuevos elementos en la selección y contratación de proveedores. Finalmente, las unidades de negocio deben asumir su responsabilidad sobre el consumo.
La FinOps Foundation muestra cómo la agenda se amplía: entre las principales prioridades están la aplicación de FinOps a escala, y controlar los costes más allá de la cloud pública. Además, la gestión del coste de la IA/ML se eleva en la agenda.
En 2025, el foco para el CIO se ha desplazado de la reducción del coste a conseguir que la organización aprenda a usar cloud con gobierno, visibilidad y decisiones orientadas a valor.
4. Talento: la contratación junior se enfría cuando se necesitan nuevos especialistas
El contraste ha sido evidente en 2025: titulares de ajustes de plantilla y, al mismo tiempo, puestos vacantes imposibles de cubrir en perfiles concretos. En España, no solo ha sido noticia el ERE Telefónica, también muchas multinacionales tecnológicas y de otros sectores han anunciado recortes de miles de empleados.
Al mismo tiempo, hay una escasez dramática de talento especializado. El World Economic Forum, en su Future of Jobs Report 2025, vuelve a situar IA/big data, redes y ciberseguridad entre las habilidades de mayor crecimiento. La asociación de seguridad ISC2 citó que el 89% de organizaciones de la UE sufre una brecha de capacidades y un 63%, directamente, escasez de personal cualificado de seguridad.
El elemento nuevo y delicado para el CIO en 2025 es el efecto junior: si la IA automatiza tareas intensivas en horas (búsqueda, síntesis, documentación, soporte), muchas empresas frenan la contratación de perfiles jóvenes. Un documento de investigación de la Universidad de Stanford titulado ¿Canarios en la mina de carbón? apunta a caídas de empleo en trabajadores entre 22 y 25 años en las ocupaciones más expuestas a la IA generativa.
Esto crea un riesgo de medio plazo para el CIO: menos juniors hoy implica menos seniors mañana, justo cuando faltan perfiles no solo con habilidades especializadas, sino con conocimiento de la propia organización.
5) Soberanía del dato: diseñar portabilidad y control antes de que lo impongan las reglas europeas
En 2025 ha quedado claro que el dato forma parte de la agenda geopolítica global: condiciona la competitividad, el control de las cadenas de suministro e incluso la seguridad nacional. Por tanto, la soberanía del dato ha dejado de ser un debate teórico y se ha convertido en un debate sobre dependencia tecnológica: quién tiene acceso a los datos de la empresa, bajo qué jurisdicción, y cuál es la capacidad real de repatriar datos o cargas sin disrupción. Este reto aparece de forma sobrevenida, tras haber movido muchas cargas críticas a cloud, y apoyarse en gran medida en los hiperescalares.
La respuesta europea se apoya en dos señales claras:
- El Data Act es aplicable desde el 12 de septiembre de 2025 e incluye el objetivo explícito de facilitar la transferencia de datos y la migración entre proveedores de cloud.
- La Comisión Europea ha impulsado un Cloud Sovereignty Framework, reforzando que la soberanía consiste en control operativo, transparencia y cumplimiento, no solo de ubicación. De hecho, Comisión planea proponer el Cloud and AI Development Act en el primer trimestre de 2026
Para el CIO, el mensaje de 2025 ha sido claro: la soberanía no solo se declara, hay que diseñarla. Esto le está obligando a replantearse la arquitectura, los contratos y la propia operación.
Estos cinco retos han destacado en 2025 porque comparten un patrón: cuando lo digital escala, aparecen las fricciones. La IA se enfrenta al abismo del escalado; la ciberseguridad se convierte en continuidad demostrable. FinOps se eleva al comité porque el coste variable ya es estratégico; el talento se tensiona por habilidades críticas y el freno de talento junior, y la soberanía del dato se vuelve geopolítica.
La referencia a 2026 es simple: no se tratará tanto de temas nuevos, sino de endurecimiento de expectativas. Con Data Act ya en aplicación, marcos de soberanía avanzando y con propuesta europea en preparación, 2026 va a exigir al CIO más capacidad operable para sostener estos cinco frentes sin que la empresa pierda velocidad. En la próxima tribuna, detallaremos lo que tiene por delante el CIO en el año que entra.
Read More from This Article: Los cinco grandes retos del CIO en España en 2025: de “transformar” a “operar” la empresa digital
Source: News