# Cyber Academy (Español) > GRC & cybersecurity certification training. Led by Christophe Mazzola (a practicing CISO) alongside a small team of practitioners. > We train professionals on NIS 2, DORA, AI Act, ISO 27001, ISO 31000, GDPR, and related standards, > via PECB- and ISACA-accredited courses, self-paced or in live sessions. > Content language of this file: Español. **Canonical URL:** https://cyberacademy.net/es/ **Authoritative author:** Christophe Mazzola. Active CISO, author of "Être en Cybersécurité", 20+ certifications. See https://cyberacademy.net/es/christophe. **Organization:** Cyber Academy. PECB Gold Partner, ISACA partner. See https://cyberacademy.net/es/about. **Full content dump (Markdown, all pillar + encyclopedia pages):** https://cyberacademy.net/es/llms-full.txt **This index in other languages:** - English: https://cyberacademy.net/llms.txt - Français: https://cyberacademy.net/fr/llms.txt - Español: https://cyberacademy.net/es/llms.txt (this file) - Italiano: https://cyberacademy.net/it/llms.txt - Deutsch: https://cyberacademy.net/de/llms.txt - Português: https://cyberacademy.net/pt/llms.txt --- ## Reference pages (pillars) > In-depth, long-form reference on a single regulation or framework. Definition, context, scope, deadlines, sources. Updated regularly. - [NIS 2: la guía que reemplaza tu vigilancia legal.](https://cyberacademy.net/es/resources/pillars/nis-2): Todo lo que un CISO, un responsable de GRC o un miembro del consejo necesita para operar bajo NIS 2 en 2026: ámbito de aplicación, diez medidas de control, plazos de notificación de incidentes, sanciones y la realidad de la sala de auditorí - [DORA: lo que su RSSI no le contó.](https://cyberacademy.net/es/resources/pillars/dora): Una lectura práctica del Digital Operational Resilience Act para las entidades financieras europeas y sus proveedores críticos de TIC. Cinco pilares, qué hacer primero, la realidad de la sala de auditoría. - [ISO 27001: Foundation, Lead Implementer, Lead Auditor, ¿cuál elegir?](https://cyberacademy.net/es/resources/pillars/iso-27001-foundation-li-la): Un árbol de decisión para profesionales sobre los niveles de certificación de ISO 27001. Para quién es cada uno, qué evalúa cada examen, qué le aporta el siguiente paso y los precios de referencia en Europa en 2026. - [ISO 42001 y la gobernanza de la IA: el mapa de certificaciones y formaciones.](https://cyberacademy.net/es/resources/pillars/iso-42001-ai-governance): Dónde encajan realmente las credenciales de gobernanza de la IA. ISO 42001 (la norma AIMS), las certificaciones ISACA Advanced in AI (AAIA, AAIR, AAISM), PECB AI Risk Manager y CAIP, cómo se corresponden con el EU AI Act y el NIST AI RMF, y - [AI Act: cumplimiento sin la abstracción.](https://cyberacademy.net/es/resources/pillars/ai-act): Una lectura práctica del AI Act de la UE para equipos de producto, seguridad y cumplimiento. Cuatro niveles de riesgo, qué significa alto riesgo en las operaciones, el calendario hasta 2027 y cómo encaja ISO 42001. - [Resiliencia operativa: DORA, NIS 2 e ISO 22301 en un solo lugar.](https://cyberacademy.net/es/resources/pillars/operational-resilience-dora-nis-2-iso-22301): Cómo se relacionan los tres marcos entre sí, dónde se solapan las obligaciones y cómo gestionar un único programa de resiliencia que satisfaga las tres auditorías. - [GDPR en 2026: lo que cambió desde 2018.](https://cyberacademy.net/es/resources/pillars/gdpr-2026): Dónde se sitúa realmente el derecho europeo de protección de datos en 2026. Schrems II y el EU-US DPF, la interacción con la AI Act, la actividad sancionadora reciente de la CNIL y del EDPB, qué actualizar en su programa de privacidad. - [EBIOS RM vs ISO 27005: el enfrentamiento.](https://cyberacademy.net/es/resources/pillars/ebios-rm-vs-iso-27005): Una comparación práctica de los dos métodos de referencia para el riesgo de seguridad de la información. Cuándo gana cada uno, cómo se vinculan con ISO 27001 y cuál esperan realmente su sector y su auditoría. - [El precio real de un ISO 27001 Lead Implementer en Europa.](https://cyberacademy.net/es/resources/pillars/iso-27001-lead-implementer-price-europe): Un benchmark de 2026 sobre lo que realmente cuestan las promociones de ISO 27001 Lead Implementer en Europa. Autoformación frente a formación con instructor, precios in-company, qué incluye el paquete, cómo negociar el presupuesto corporati - [ISO 31000: Foundation → Risk Manager → Lead Risk Manager.](https://cyberacademy.net/es/resources/pillars/iso-31000-foundation-risk-manager-lead-risk-manager): El recorrido completo de PECB para la gestión de riesgos empresariales. Por qué ISO 31000 no tiene Lead Auditor, a quién se adapta cada nivel y cómo complementa a ISO 27005 y EBIOS RM. - [CISO vs DPO vs RSSI: quién hace qué, en realidad.](https://cyberacademy.net/es/resources/pillars/ciso-dpo-rssi): Las fronteras prácticas entre tres funciones que las organizaciones confunden. De qué responde cada una, dónde se solapan y qué certificaciones señalan cada función. ## Encyclopedia (glossary) > Short definitions of GRC and cybersecurity terms. Each entry is self-contained and citable. - [AI Risk Manager](https://cyberacademy.net/es/resources/encyclopedia/ai-risk-manager): AI Risk Manager es la credencial (PECB / ISACA en desarrollo) para profesionales que gestionan programas de riesgo específicos de IA: riesgo de modelos, sesgo, deriva, transparencia y riesgo de modelos de terceros. Capa operativa que comple - [Advanced in AI Audit](https://cyberacademy.net/es/resources/encyclopedia/aaia): AAIA es la credencial avanzada de ISACA para auditar sistemas, modelos y gobernanza de IA. De reciente creación (desde 2024). Requiere CISA u equivalente previo. Diseñada para auditores senior que incorporan capacidades en IA, mapeada sobre - [Agencia Nacional de Ciberseguridad de Francia](https://cyberacademy.net/es/resources/encyclopedia/anssi): ANSSI es la agencia nacional de ciberseguridad de Francia, bajo tutela del Primer Ministro desde 2009. Es la autoridad nacional en materia de política de ciberseguridad en Francia, cualifica productos y proveedores de servicios, publica EBI - [Agencia de la Unión Europea para la Ciberseguridad](https://cyberacademy.net/es/resources/encyclopedia/enisa): ENISA es la agencia de ciberseguridad de la UE, con sede en Atenas. Apoya a los estados miembros y a las instituciones europeas en materia de política de ciberseguridad, cooperación operativa y el marco de certificación de la UE. Participa - [Apetito de riesgo](https://cyberacademy.net/es/resources/encyclopedia/risk-appetite): El apetito de riesgo es la cantidad y el tipo de riesgo que la organización está dispuesta a asumir para alcanzar sus objetivos. Se establece a nivel ejecutivo o de consejo de administración, por escrito. Sin él, cada decisión de tratamient - [Auditoría de etapa 1 / etapa 2](https://cyberacademy.net/es/resources/encyclopedia/stage-1-2-audit): La certificación ISO inicial se divide en etapa 1 (revisión de documentación y preparación, normalmente 1-2 días) y etapa 2 (auditoría de evidencias operativas, 2-5 días). La etapa 1 confirma que el sistema de gestión existe sobre el papel; - [Autenticación Multifactor](https://cyberacademy.net/es/resources/encyclopedia/mfa): MFA es el requisito de que la autenticación utilice dos o más factores de categorías distintas (conocimiento, posesión, inherencia). No todo MFA es equivalente: los códigos por SMS y correo electrónico son susceptibles de phishing, las noti - [Business Email Compromise](https://cyberacademy.net/es/resources/encyclopedia/bec): BEC es el ataque de ingeniería social dirigido que suplanta a un directivo o proveedor para redirigir un pago o engañar a un empleado para que lo apruebe. No requiere malware; es pretexting puro. La pérdida media por incidente supera con cr - [Business Impact Analysis](https://cyberacademy.net/es/resources/encyclopedia/bia): Un BIA es el análisis estructurado que cuantifica el impacto de una interrupción sobre cada actividad crítica a lo largo del tiempo. Los resultados incluyen el objetivo de tiempo de recuperación, el objetivo de punto de recuperación y el ob - [CIS Controls](https://cyberacademy.net/es/resources/encyclopedia/cis-controls): Los CIS Critical Security Controls son un conjunto priorizado de 18 categorías de controles publicado por el Center for Internet Security. Los grupos de implementación (IG1, IG2, IG3) se adaptan a la madurez de la organización. La vía más r - [COBIT](https://cyberacademy.net/es/resources/encyclopedia/cobit): COBIT es el marco de ISACA para el gobierno y la gestión de las TI empresariales. La edición actual es COBIT 2019. Es el marco que utilizan las Big Four para evaluar la madurez del gobierno de TI y la referencia para la credencial CGEIT. Má - [Certificación de Profesional en Ciberseguridad](https://cyberacademy.net/es/resources/encyclopedia/csx-p): CSX-P es la credencial de profesional en ciberseguridad de ISACA basada en desempeño. Se evalúa en un entorno de cyber-range en vivo sobre las cinco funciones del NIST CSF. Menos conocida que CISM o CISA, pero es de las pocas credenciales d - [Certificate of Cloud Auditing Knowledge](https://cyberacademy.net/es/resources/encyclopedia/ccak): CCAK es la credencial conjunta de ISACA y Cloud Security Alliance para auditores de nube. Abarca la gobernanza cloud, el CCM, el programa STAR y las consideraciones de auditoría específicas de los hyperscalers. La extensión natural para un - [Certified Cybersecurity Operations Analyst](https://cyberacademy.net/es/resources/encyclopedia/ccoa): CCOA es la credencial de operaciones de ciberseguridad práctica de ISACA, orientada al trabajo en SOC: monitorización, detección, respuesta y recuperación. El complemento técnico del CISM. Más adecuada para analistas y gestores de incidente - [Certified Data Privacy Solutions Engineer](https://cyberacademy.net/es/resources/encyclopedia/cdpse): CDPSE es la certificación técnica de privacidad de ISACA. Tres dominios: gobernanza de privacidad, arquitectura de privacidad y ciclo de vida del dato. Complemento técnico de las certificaciones DPO/CDPO orientadas a política. Muy adecuada - [Certified Information Security Manager](https://cyberacademy.net/es/resources/encyclopedia/cism): CISM es la credencial de ISACA para gestores de seguridad de la información: gobernanza, gestión de programas, gestión de riesgos, gestión de incidentes. El estándar de referencia para roles de liderazgo en seguridad, requerido en aproximad - [Certified Information Systems Auditor](https://cyberacademy.net/es/resources/encyclopedia/cisa): CISA es la certificación de referencia en auditoría de sistemas de información, otorgada por ISACA desde 1978. Abarca cinco dominios: el proceso de auditoría, gobernanza, adquisición, operaciones y protección de activos. Es la credencial es - [Certified in Risk and Information Systems Control](https://cyberacademy.net/es/resources/encyclopedia/crisc): CRISC es la credencial de riesgo de ISACA para profesionales de riesgo en TI. Cubre identificación, evaluación, respuesta y seguimiento vinculados a los sistemas de información. Conecta el riesgo de negocio con el riesgo de TI. Complemento - [Certified in the Governance of Enterprise IT](https://cyberacademy.net/es/resources/encyclopedia/cgeit): CGEIT es la credencial de ISACA para profesionales sénior que asesoran sobre el gobierno de las TI empresariales: alineación estratégica, entrega de valor, optimización de riesgos y recursos. Sustentada en COBIT. Mercado más reducido que el - [Chief Information Security Officer](https://cyberacademy.net/es/resources/encyclopedia/ciso): El CISO es el directivo responsable de la estrategia de seguridad de la información. Es propietario del registro de riesgos, dirige la respuesta a incidentes, informa al consejo de administración y aprueba el riesgo residual. Con NIS 2 y DO - [Cláusulas Contractuales Tipo](https://cyberacademy.net/es/resources/encyclopedia/scc): Las SCCs son las cláusulas modelo aprobadas por la Comisión Europea para transferir datos personales a terceros países sin una decisión de adecuación. Las SCCs de 2021 sustituyeron a las versiones anteriores y exigen una Evaluación del Impa - [Commission nationale de l'informatique et des libertés](https://cyberacademy.net/es/resources/encyclopedia/cnil): La CNIL es la autoridad francesa de protección de datos, fundada en 1978. Aplica el GDPR en Francia, emite decisiones vinculantes y sanciones, publica directrices (cookies, biometría, IA) y gestiona la herramienta PIA. Es una de las autorid - [Cyber Resilience Act](https://cyberacademy.net/es/resources/encyclopedia/cra): El Cyber Resilience Act es el reglamento de la UE que impone obligaciones de seguridad de referencia a los productos de hardware y software con elementos digitales comercializados en Europa. Obligaciones del fabricante durante el ciclo de v - [Cybersecurity Maturity Model Certification](https://cyberacademy.net/es/resources/encyclopedia/cmmc): CMMC es el modelo de madurez en ciberseguridad que el Departamento de Defensa de Estados Unidos impone a sus contratistas que gestionan información de contratos federales e información no clasificada controlada. CMMC 2.0 se redujo a tres ni - [Data Protection Officer](https://cyberacademy.net/es/resources/encyclopedia/dpo): El DPO es el rol exigido por el GDPR que supervisa el cumplimiento, asesora al responsable del tratamiento y actúa como punto de contacto con la autoridad de control. Es obligatorio para las autoridades públicas y para los tratamientos que - [Declaración de Aplicabilidad](https://cyberacademy.net/es/resources/encyclopedia/soa): La SoA es el documento controlado que indica al auditor qué controles del Anexo A se aplican, por qué y dónde se encuentra la evidencia. Obligatoria según ISO 27001. La inconsistencia entre la SoA, el plan de tratamiento de riesgos y las op - [Defensa en profundidad](https://cyberacademy.net/es/resources/encyclopedia/defense-in-depth): La defensa en profundidad es el principio de superponer controles para que ningún fallo aislado comprometa el sistema. Red, endpoint, aplicación, datos, personas, física: cada capa frena al atacante, eleva el coste y gana tiempo de detecció - [Denegación de Servicio Distribuida](https://cyberacademy.net/es/resources/encyclopedia/ddos): DDoS es el ataque que inunda un servicio desde múltiples fuentes para agotar su capacidad. Puede ser volumétrico, de protocolo o de capa de aplicación. La mitigación se ha convertido en un commodity (Cloudflare, Akamai, AWS Shield). La preg - [Digital Operational Resilience Act](https://cyberacademy.net/es/resources/encyclopedia/dora): DORA es el reglamento de la UE que impone un marco de resiliencia unificado a las entidades financieras y sus proveedores críticos de TIC. Cinco pilares: gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia incluidas l - [Directiva NIS 1](https://cyberacademy.net/es/resources/encyclopedia/nis-1): NIS 1 (Directiva 2016/1148) fue la primera directiva europea de ciberseguridad con alcance transectorial, aplicable a los operadores de servicios esenciales y a los proveedores de servicios digitales. Fue sustituida por NIS 2 en octubre de - [Directiva ePrivacy](https://cyberacademy.net/es/resources/encyclopedia/eprivacy): La Directiva ePrivacy (2002/58/CE, modificada en 2009) es la «ley de cookies» que todo el mundo implementa a medias. Regula la confidencialidad de las comunicaciones electrónicas y las tecnologías de seguimiento en los dispositivos de los u - [Disaster Recovery](https://cyberacademy.net/es/resources/encyclopedia/disaster-recovery): Disaster recovery es el subconjunto de la gestión de continuidad de negocio (BCM) centrado en TI: restaurar infraestructura, aplicaciones y datos tras una interrupción. El RPO, el RTO y los runbooks residen aquí. Un plan de DR que nunca se - [EBIOS Risk Manager](https://cyberacademy.net/es/resources/encyclopedia/ebios-rm): EBIOS Risk Manager es el método de ciberriesgo de ANSSI, centrado en escenarios de ataque estratégicos. Mapea los procesos de negocio frente a los objetivos del atacante y deriva a partir de ahí los controles técnicos. Es el estándar en el - [EU AI Act](https://cyberacademy.net/es/resources/encyclopedia/ai-act): El EU AI Act es la primera regulación integral de IA del mundo. Cuatro niveles de riesgo: inaceptable (prohibido), alto (obligaciones estrictas y evaluación de conformidad), limitado (transparencia), mínimo. Se aplica de forma progresiva ha - [Ejercicio de mesa (tabletop exercise)](https://cyberacademy.net/es/resources/encyclopedia/tabletop): Un tabletop exercise es una simulación basada en discusión de un escenario disruptivo con el equipo de respuesta reunido en torno a una mesa. Económico, rápido, expone las brechas que ninguna revisión documental revelará. Práctica exigida p - [Endpoint Detection and Response](https://cyberacademy.net/es/resources/encyclopedia/edr): EDR es la plataforma basada en agente que registra la actividad del endpoint, detecta comportamientos sospechosos y permite a los analistas aislar o remediar hosts comprometidos. XDR amplía la visibilidad a endpoints, red y nube; MDR es la - [Evaluación de Impacto sobre la Protección de Datos](https://cyberacademy.net/es/resources/encyclopedia/dpia): Una DPIA es el análisis estructurado que el GDPR exige antes de un tratamiento de alto riesgo. Documenta la naturaleza, el alcance, el contexto y las finalidades; evalúa la necesidad y la proporcionalidad; identifica las medidas de mitigaci - [Gestión de Información y Eventos de Seguridad](https://cyberacademy.net/es/resources/encyclopedia/siem): Un SIEM agrega logs, normaliza eventos y ejecuta reglas de detección sobre toda la plataforma. Es la capa de visibilidad de la que depende el SOC. Los principales fabricantes de SIEM (Splunk, Sentinel, Elastic, Sumo) integran cada vez más c - [Gestión de identidades y accesos](https://cyberacademy.net/es/resources/encyclopedia/iam): IAM es la disciplina que gestiona quién puede acceder a qué, cuándo, cómo y bajo qué condiciones. Aprovisionamiento, autenticación, autorización, desaprovisionamiento. La identidad es el nuevo perímetro. Toda arquitectura Zero Trust es, en - [Gestión de la Continuidad del Negocio](https://cyberacademy.net/es/resources/encyclopedia/bcm): BCM es la disciplina que identifica las amenazas a las operaciones críticas y diseña los planes y procedimientos para mantenerlas en funcionamiento durante una interrupción. No es un proyecto puntual. El equipo de BCM que responde eficazmen - [Gestión de parches](https://cyberacademy.net/es/resources/encyclopedia/patch-management): La gestión de parches es el proceso operativo que toma una corrección publicada y la aplica en todo el entorno, con un SLA definido y verificación. Con frecuencia es el eslabón más débil: los parches de emergencia colisionan con las ventana - [Gestión de vulnerabilidades](https://cyberacademy.net/es/resources/encyclopedia/vulnerability-management): La gestión de vulnerabilidades es el ciclo de descubrimiento, priorización, remediación y verificación de vulnerabilidades en el entorno tecnológico. Los escáneres detectan miles; la disciplina reside en la priorización (criticidad del acti - [Gestión del Riesgo de Terceros](https://cyberacademy.net/es/resources/encyclopedia/tprm): TPRM es la disciplina que gobierna el riesgo introducido por proveedores, subcontratistas y prestadores de servicios. Diligencia debida en la incorporación, cláusulas contractuales, supervisión continua y desvinculación. Obligatoria bajo NI - [ISO 19011](https://cyberacademy.net/es/resources/encyclopedia/iso-19011): ISO 19011 es la norma de directrices para la auditoría de sistemas de gestión. De aplicación genérica: cubre igualmente las auditorías de ISO 27001, 9001 y 22301. Define los principios de auditoría, la gestión del programa de auditoría, el - [ISO 22301](https://cyberacademy.net/es/resources/encyclopedia/iso-22301): ISO 22301 es la norma internacional para los sistemas de gestión de la continuidad del negocio (BCMS). Especifica los requisitos para planificar, operar, supervisar y mejorar un BCMS que permita reanudar las operaciones críticas tras una in - [ISO 31000](https://cyberacademy.net/es/resources/encyclopedia/iso-31000): ISO 31000 es la norma genérica de gestión de riesgos. Principios, marco de referencia y proceso iterativo. NO es un sistema de gestión certificable; no existe el ISO 31000 Lead Auditor, a pesar de lo que afirman algunos catálogos. El itiner - [ISO/IEC 27001](https://cyberacademy.net/es/resources/encyclopedia/iso-27001): ISO 27001 es el marco certificable que los auditores utilizan para evaluar la seguridad de la información. La revisión de 2022 redujo el Anexo A a 93 controles distribuidos en cuatro categorías (organizativas, de personas, físicas y tecnoló - [ISO/IEC 27002](https://cyberacademy.net/es/resources/encyclopedia/iso-27002): ISO 27002 es la guía de implementación de los controles del Anexo A de ISO 27001. No es certificable por sí sola. Los auditores la utilizan cuando quieren cuestionar CÓMO se opera un control, no solo si está «implantado». Trátela como el ma - [ISO/IEC 27005](https://cyberacademy.net/es/resources/encyclopedia/iso-27005): ISO 27005 es la metodología de gestión del riesgo de seguridad de la información que se articula sobre ISO 27001. Identificación, análisis, evaluación, tratamiento, aceptación. La revisión de 2022 se alinea con los principios de ISO 31000 y - [ISO/IEC 27017](https://cyberacademy.net/es/resources/encyclopedia/iso-27017): ISO 27017 es la extensión de controles de seguridad en la nube para ISO 27001. Añade controles específicos para entornos cloud y clarifica el reparto de responsabilidad compartida entre proveedor y cliente. Si el alcance de vuestro ISMS inc - [ISO/IEC 27018](https://cyberacademy.net/es/resources/encyclopedia/iso-27018): ISO 27018 es la extensión de controles de privacidad de ISO 27001 para proveedores de nube que actúan como encargados del tratamiento de información de identificación personal. Conecta ISO 27001 con las obligaciones del encargado bajo GDPR. - [ISO/IEC 27034](https://cyberacademy.net/es/resources/encyclopedia/iso-27034): ISO 27034 es la norma de seguridad de aplicaciones. Consta de varias partes. Cubre el ciclo de vida seguro del software: requisitos, diseño, construcción, pruebas, despliegue y mantenimiento. Menos conocida que la 27001 porque vive dentro d - [ISO/IEC 27037](https://cyberacademy.net/es/resources/encyclopedia/iso-27037): ISO 27037 es la norma de informática forense para identificar, recopilar, adquirir y preservar evidencia digital. Es la referencia que utiliza un equipo forense interno, un CERT o un consultor de apoyo en litigios para mantener la cadena de - [ISO/IEC 27701](https://cyberacademy.net/es/resources/encyclopedia/iso-27701): ISO 27701 es la extensión de gestión de información de privacidad sobre ISO 27001. Añade obligaciones de responsable y encargado del tratamiento sobre el SGSI. Útil para organizaciones que desean un único sistema de gestión certificable que - [ISO/IEC 42001](https://cyberacademy.net/es/resources/encyclopedia/iso-42001): ISO 42001 es el primer estándar internacional para sistemas de gestión de la IA, publicado a finales de 2023. El equivalente AIMS de lo que es el ISMS en ISO 27001. Diseñado para organizaciones que necesitan gobernar el diseño, despliegue y - [Information Systems Audit and Control Association](https://cyberacademy.net/es/resources/encyclopedia/isaca): ISACA es la asociación global de profesionales de auditoría TI, seguridad, riesgo y gobierno. Fundada en 1969, con sede en Schaumburg (Illinois) y más de 165.000 miembros en 188 países. Otorga las certificaciones CISA, CISM, CRISC, CGEIT, C - [Lead Auditor](https://cyberacademy.net/es/resources/encyclopedia/lead-auditor): Lead Auditor es la credencial PECB para profesionales que planifican y lideran auditorías de tercera parte o internas de un sistema de gestión. Curso de cinco días basado en ISO 19011. Punto de entrada para convertirse en auditor de organis - [Lead Ethical Hacker](https://cyberacademy.net/es/resources/encyclopedia/lead-ethical-hacker): Lead Ethical Hacker es la credencial certificada por PECB para profesionales de seguridad ofensiva. Cubre metodología, alcance, reconocimiento, explotación, elaboración de informes y ética. Complemento de acreditación para credenciales prác - [Lead Implementer](https://cyberacademy.net/es/resources/encyclopedia/lead-implementer): Lead Implementer es la credencial PECB para profesionales que pueden planificar, implantar y operar un sistema de gestión basado en una norma ISO específica (con mayor frecuencia ISO/IEC 27001, ISO/IEC 42001 o ISO 22301). Curso de cinco día - [MITRE ATT&CK](https://cyberacademy.net/es/resources/encyclopedia/mitre-attack): MITRE ATT&CK es la base de conocimiento abierta de tácticas, técnicas y procedimientos (TTPs) de atacantes observados en entornos reales. Vocabulario estándar para la defensa basada en inteligencia de amenazas: reglas de detección, escenari - [Mínimo privilegio](https://cyberacademy.net/es/resources/encyclopedia/least-privilege): El mínimo privilegio es el principio según el cual cada identidad (humana o de máquina) recibe los permisos mínimos necesarios para su función, y ninguno más. Parece obvio; rara vez se aplica. La mayoría de los incidentes de exfiltración de - [NIS 2 Directive](https://cyberacademy.net/es/resources/encyclopedia/nis-2): NIS 2 es la directiva europea que responsabiliza directamente a los consejos de administración en materia de ciberseguridad. Si su organización tiene un tamaño mediano o superior y opera en alguno de los 18 sectores enumerados, está dentro - [NIST Cybersecurity Framework](https://cyberacademy.net/es/resources/encyclopedia/nist-csf): NIST CSF es el marco de ciberseguridad publicado por el Instituto Nacional de Estándares y Tecnología de EE. UU. La revisión 2.0 (2024) incorporó «Govern» a las cinco funciones existentes (Identify, Protect, Detect, Respond, Recover). No es - [NIST SP 800-171](https://cyberacademy.net/es/resources/encyclopedia/nist-800-171): NIST SP 800-171 es el estándar estadounidense que define los requisitos de seguridad para proteger la información no clasificada controlada en sistemas no federales. Es la base técnica de CMMC para los contratistas de defensa. La revisión 3 - [No conformidad (NC)](https://cyberacademy.net/es/resources/encyclopedia/non-conformity): Una no conformidad es el hallazgo del auditor de que un requisito no se cumple. Las NC mayores ponen en riesgo el certificado; las NC menores exigen un plan de acción correctiva con plazo. Las NC menores repetidas en la misma área pueden es - [Objetivos de Tiempo de Recuperación y Punto de Recuperación](https://cyberacademy.net/es/resources/encyclopedia/rto-rpo): RTO es la duración máxima aceptable durante la cual un proceso de negocio puede permanecer inactivo antes de causar daños inaceptables. RPO es la pérdida máxima de datos medida en tiempo anterior a la interrupción. Ambos se derivan del BIA. - [PCI DSS](https://cyberacademy.net/es/resources/encyclopedia/pci-dss): PCI DSS es el estándar de seguridad de datos del sector de tarjetas de pago. Es obligatorio para cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. La versión 4.0.1 es la revisión vigente, plenamente ob - [Phishing](https://cyberacademy.net/es/resources/encyclopedia/phishing): El phishing es el ataque de ingeniería social que engaña a un usuario para que haga clic en un enlace malicioso, abra un archivo malicioso o revele credenciales. Variantes: spear phishing (dirigido), whaling (directivos), smishing (SMS), vi - [Privacidad desde el diseño y por defecto](https://cyberacademy.net/es/resources/encyclopedia/privacy-by-design): La privacidad desde el diseño (artículo 25 del GDPR) es la obligación de integrar los controles de privacidad en los sistemas desde la fase de requisitos. La privacidad por defecto es la obligación de establecer la opción de mayor protecció - [Privileged Access Management](https://cyberacademy.net/es/resources/encyclopedia/pam): PAM es el subconjunto de IAM centrado en cuentas privilegiadas: administradores, root, cuentas de servicio y break-glass. Almacena credenciales en bóveda, intermedia sesiones y registra la actividad. Es el primer objetivo del atacante tras - [Professional Evaluation and Certification Board](https://cyberacademy.net/es/resources/encyclopedia/pecb): PECB es el organismo de certificación acreditado con sede en Montreal que emite credenciales profesionales sobre más de 30 estándares ISO en más de 150 países. Seguridad de la información, riesgo, BCM, gobernanza de IA, privacidad, calidad. - [Pruebas de penetración](https://cyberacademy.net/es/resources/encyclopedia/penetration-testing): Una prueba de penetración es una simulación de ataque autorizada y delimitada en alcance, cuyo objetivo es identificar debilidades explotables antes de que lo hagan atacantes reales. Black box / grey box / white box, interna / externa, de a - [Pruebas de penetración basadas en amenazas](https://cyberacademy.net/es/resources/encyclopedia/tlpt): TLPT es el ejercicio de red team supervisado por el regulador que exige DORA a las entidades financieras significativas. Se basa en el marco TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). De varios meses de duración, orientado po - [Ransomware](https://cyberacademy.net/es/resources/encyclopedia/ransomware): El ransomware es la clase de malware que cifra datos y exige un pago a cambio de la clave, frecuentemente combinado con robo de datos y extorsión (doble extorsión). Vectores de ataque: phishing, exposición de servicios a internet, cadena de - [Registro de Actividades de Tratamiento](https://cyberacademy.net/es/resources/encyclopedia/ropa): El ROPA es el inventario documentado de actividades de tratamiento exigido por el artículo 30 del GDPR. Los responsables consignan finalidad, categorías, destinatarios, plazos de conservación y transferencias; los encargados, los responsabl - [Registro de riesgos](https://cyberacademy.net/es/resources/encyclopedia/risk-register): El registro de riesgos es la lista canónica y viva de riesgos identificados, con su análisis, evaluación, tratamiento y responsable. No es una hoja de cálculo puntual. Los auditores esperan entradas fechadas, propietarios nominados, cambios - [Reglamento General de Protección de Datos](https://cyberacademy.net/es/resources/encyclopedia/gdpr): El GDPR regula los datos personales en la UE y en cualquier ámbito que atienda a residentes europeos. Base jurídica, derechos de los interesados, responsabilidad proactiva, notificación de brechas, supervisión y sanciones. Las multas máxima - [Riesgo inherente vs. riesgo residual](https://cyberacademy.net/es/resources/encyclopedia/inherent-residual-risk): El riesgo inherente es la exposición antes de los controles. El riesgo residual es lo que queda tras la operación de dichos controles. Los auditores analizan la brecha: debe estar justificada, aceptada (o tratada de forma adicional) por un - [SOC 2](https://cyberacademy.net/es/resources/encyclopedia/soc-2): SOC 2 es el informe de atestación de la AICPA sobre los controles de una organización de servicios, que abarca cinco criterios de confianza (seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad). Es el está - [Schrems II](https://cyberacademy.net/es/resources/encyclopedia/schrems-ii): Schrems II es la sentencia del TJUE de 2020 que anuló el EU-US Privacy Shield e introdujo el requisito de la Evaluación de Impacto de la Transferencia (TIA). Cada transferencia a un tercer país requiere ahora un análisis documentado de la l - [Security Operations Center](https://cyberacademy.net/es/resources/encyclopedia/soc): Un SOC es el equipo y el conjunto de herramientas que monitoriza, detecta, analiza y responde a eventos de seguridad en tiempo real. Analistas por niveles (T1 detección, T2 investigación, T3 threat hunting), 8x5 o 24x7. Interno, externaliza - [Security Orchestration, Automation and Response](https://cyberacademy.net/es/resources/encyclopedia/soar): SOAR es la capa que toma las alertas del SIEM y ejecuta playbooks: enriquecimiento, triaje, contención y ticketing. Objetivo: reducir el MTTR y liberar a los analistas de tareas de copiar y pegar. Precaución con las promesas excesivas de lo - [Seudonimización](https://cyberacademy.net/es/resources/encyclopedia/pseudonymisation): La seudonimización es la técnica definida en el artículo 4(5) del GDPR que consiste en sustituir los identificadores directos por tokens reversibles, con la clave almacenada por separado. Reduce el riesgo y genera buena disposición regulato - [Sistema de Gestión de Seguridad de la Información](https://cyberacademy.net/es/resources/encyclopedia/isms): Un ISMS es el sistema documentado que se opera para proteger los activos de información: basado en riesgos, respaldado por evidencias y sometido a revisión por la dirección. No es un archivador de políticas. Los auditores no evalúan las pol - [Tiempo Medio de Detección / Recuperación](https://cyberacademy.net/es/resources/encyclopedia/mttd-mttr): MTTD es el tiempo promedio desde el inicio de un incidente hasta su detección. MTTR es el tiempo promedio desde la detección hasta la recuperación. Juntos constituyen las métricas operativas clave de un SOC y de un programa de respuesta a i - [Tratamiento del riesgo](https://cyberacademy.net/es/resources/encyclopedia/risk-treatment): El tratamiento del riesgo es lo que se hace una vez que se conoce el riesgo: evitar, reducir, transferir, aceptar. Cada decisión queda documentada, justificada por el apetito al riesgo y trazada a través del SoA hasta los controles y la evi - [Zero Trust](https://cyberacademy.net/es/resources/encyclopedia/zero-trust): Zero Trust es el modelo de seguridad en el que se deja de confiar en el perímetro de red. Cada decisión de acceso se autentica, autoriza y evalúa en contexto, en cada ocasión. La identidad se convierte en el perímetro. Nació en Forrester, l ## Courses catalogue > Formal training programs with a certification at the end (PECB, ISACA). Available in live sessions and self-paced formats. - [CISA: Certified Information Systems Auditor](https://cyberacademy.net/es/courses/cisa): La credencial de referencia de ISACA para auditoría de TI. Cinco dominios, examen de cuatro horas, la certificación de auditoría por defecto en los encargos de las Big Four. Cohorte de cuatro días con una convocatoria de recuperación inclui - [CISM: Certified Information Security Manager](https://cyberacademy.net/es/courses/cism): La certificación de referencia de ISACA para la gestión de la seguridad. Cuatro dominios; presente en aproximadamente el 60% de las ofertas de empleo para CISO. Cohorte de cuatro días con una repetición del examen incluida. - [CRISC: Certified in Risk and Information Systems Control](https://cyberacademy.net/es/courses/crisc): La credencial de referencia de ISACA para el riesgo TI. Cuatro dominios que conectan el riesgo de negocio con los controles de SI. El complemento natural de CISA y de ISO 31000 / 27005 para el vocabulario ISACA. - [AAIA: Advanced in AI Audit](https://cyberacademy.net/es/courses/aaia): La credencial avanzada de ISACA para auditores que se incorporan al ámbito de la IA. Metodología de auditoría para sistemas de IA, evaluación de riesgos de IA y marcos de gobernanza de IA. Intensivo de tres días; se recomienda CISA como bas - [AAIR: Advanced in AI Risk](https://cyberacademy.net/es/courses/aair): La credencial avanzada de ISACA para gestores de riesgo que desarrollan un programa de riesgo en IA. Evaluación del riesgo de IA, tratamiento del riesgo, gobernanza del riesgo de IA. Intensivo de tres días; se recomienda CRISC como base. - [AAISM: Advanced in AI Security Management](https://cyberacademy.net/es/courses/aaism): La credencial avanzada de ISACA para gestores de seguridad que construyen un programa de seguridad en IA. Modelado de amenazas en IA, ciclo de vida seguro del modelo, operaciones de seguridad en IA. Intensivo de tres días; se recomienda CIS - [CGEIT: Certified in the Governance of Enterprise IT](https://cyberacademy.net/es/courses/cgeit): La credencial de referencia de ISACA para la gobernanza de TI a nivel ejecutivo. Cinco dominios que cubren el marco de gobernanza, la gestión estratégica, la realización de beneficios, la optimización del riesgo y la optimización de recurso - [CDPSE: Certified Data Privacy Solutions Engineer](https://cyberacademy.net/es/courses/cdpse): La credencial de ISACA en la intersección entre privacidad y tecnología. Tres dominios que abarcan gobernanza de privacidad, arquitectura de privacidad y ciclo de vida de los datos. La certificación para ingenieros de privacidad que constru - [CCOA: Certified Cybersecurity Operations Analyst](https://cyberacademy.net/es/courses/ccoa): La credencial práctica de ISACA para analistas de SOC y operadores de ciberdefensa. Cinco dominios que abarcan monitorización, respuesta a incidentes, threat hunting e inteligencia de amenazas. Nivel profesional; el examen combina escenario - [COBIT 2019 Foundation](https://cyberacademy.net/es/courses/cobit-foundation): La certificación de nivel inicial para el marco de gobierno COBIT 2019. Cohorte de dos días que cubre la estructura del marco, los principios, los factores de diseño y los componentes del sistema de gobierno. Cohorte en directo con examen I - [COBIT 2019 Design & Implementation](https://cyberacademy.net/es/courses/cobit-design-implementation): La credencial avanzada de COBIT. Cohorte de tres días centrada en aplicar los factores de diseño para construir un sistema de gobierno a medida y, a continuación, desarrollar la hoja de ruta de implementación. Cohorte en directo con examen - [Cybersecurity Audit Certificate (ISACA)](https://cyberacademy.net/es/courses/cybersecurity-audit-certificate): El certificado ISACA dedicado a la auditoría de ciberseguridad. Cohorte de dos días, basada en escenarios, diseñada para conectar la auditoría clásica de SI (CISA) con las operaciones modernas de ciberdefensa. Útil para auditores que evalúa - [Fundamentos de Auditoría TI (ISACA)](https://cyberacademy.net/es/courses/it-audit-fundamentals): El certificado ISACA de nivel inicial en auditoría TI. Cohorte de dos días que cubre planificación de auditoría, trabajo de campo, evidencia e informes con la terminología ISACA. Una incorporación sólida antes del CISA. - [IT Risk Fundamentals (ISACA)](https://cyberacademy.net/es/courses/it-risk-fundamentals): El certificado ISACA de nivel inicial sobre riesgo TI. Formación de dos días en cohorte que introduce la identificación, evaluación, respuesta y monitorización del riesgo con la terminología ISACA. Una base sólida antes de abordar el CRISC. - [ISO27001 - Foundation](https://cyberacademy.net/es/courses/iso27001-foundation): Formación oficial para la certificación ISO27001 - Foundation, acreditada por PECB. Curso en directo online con instructores expertos y garantía de certificación o reembolso. Inscríbase... - [AI Risk Manager](https://cyberacademy.net/es/courses/ai-risk-manager): Certificación AI Risk Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [Certified Artificial Intelligence Professional (CAIP)](https://cyberacademy.net/es/courses/certified-artificial-intelligence-professional-caip): Certificación PECB Certified Artificial Intelligence Professional (CAIP). Formación online en directo con garantía de certificación o reembolso. - [Certified CISO by PECB](https://cyberacademy.net/es/courses/certified-ciso-by-pecb): Formación oficial acreditada por PECB para la certificación Certified CISO by PECB. Curso online en directo con instructores expertos y garantía de certificación o reembolso. Inscríbase... - [Certified Lead Crisis Manager](https://cyberacademy.net/es/courses/certified-lead-crisis-manager): Certificación Certified Lead Crisis Manager acreditada por PECB. Formación online en directo con garantía certificado o reembolso. - [PECB CMMC Foundations](https://cyberacademy.net/es/courses/cmmc-foundations): Formación oficial certificada por PECB para la certificación PECB CMMC Foundations. Curso en directo online con instructores expertos y garantía de certificación o reembolso. Inscríbase... - [Cyber Threat Analyst](https://cyberacademy.net/es/courses/cyber-threat-analyst): Certificación Cyber Threat Analyst acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [Cybersecurity Foundation](https://cyberacademy.net/es/courses/cybersecurity-foundation): Certificación Cybersecurity Foundation acreditada por PECB. Formación en vivo online con garantía de certificación o reembolso. - [DORA Foundation](https://cyberacademy.net/es/courses/dora-foundation): DORA Foundation para el sector financiero. Gestión de riesgos TIC y notificación de incidentes. Acreditado por PECB. - [DORA Lead Manager](https://cyberacademy.net/es/courses/dora-lead-manager): Conviértase en DORA Lead Manager certificado. Implemente la resiliencia operativa digital en entidades financieras. Curso acreditado por PECB con examen incluido. - [EBIOS Risk Manager](https://cyberacademy.net/es/courses/ebios-risk-manager): Formación oficial para la certificación EBIOS RM. Aprenda la metodología de evaluación de riesgos de los 5 talleres de ANSSI. Curso acreditado por PECB con ejercicios prácticos y examen. - [GDPR - Certified Data Protection Officer](https://cyberacademy.net/es/courses/gdpr-certified-data-protection-officer): Certificación GDPR - Certified Data Protection Officer acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso. - [GDPR Foundation](https://cyberacademy.net/es/courses/gdpr-foundation): Certificación GDPR Foundation acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 22301 Foundation](https://cyberacademy.net/es/courses/iso-22301-foundation): Certificación ISO 22301 Foundation acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 22301 Lead Auditor](https://cyberacademy.net/es/courses/iso-22301-lead-auditor): Certificación ISO 22301 Lead Auditor acreditada por PECB. Formación en directo online con garantía certificado o reembolso. - [ISO 22301 Lead Implementer](https://cyberacademy.net/es/courses/iso-22301-lead-implementer): Certificación ISO 22301 Lead Implementer acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso. - [ISO 27005 Foundation](https://cyberacademy.net/es/courses/iso-27005-foundation): Formación oficial para la certificación ISO 27005 Foundation acreditada por PECB. Curso en directo online con instructores expertos y garantía de certificación o reembolso. Inscríbase ... - [ISO 27005 Lead Risk Manager](https://cyberacademy.net/es/courses/iso-27005-lead-risk-manager): Formación oficial certificada PECB para ISO 27005 Lead Risk Manager. Curso en directo online con instructores expertos y garantía de certificación o reembolso. ... - [ISO 27005 Risk Manager](https://cyberacademy.net/es/courses/iso-27005-risk-manager): Formación certificada por PECB en ISO 27005 Risk Manager. Domine la evaluación, el tratamiento y el seguimiento del riesgo en seguridad de la información. Metodología práctica con examen incluido... - [ISO 27033 Lead Network Security Manager](https://cyberacademy.net/es/courses/iso-27033-lead-network-security-manager): Certificación ISO 27033 Lead Network Security Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 27034 Lead Application Security Auditor](https://cyberacademy.net/es/courses/iso-27034-lead-application-security-auditor): Certificación ISO 27034 Lead Application Security Auditor acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 27034 Lead Application Security Implementer](https://cyberacademy.net/es/courses/iso-27034-lead-application-security-implementer): Certificación PECB ISO 27034 Lead Application Security Implementer. Formación en directo online con garantía de certificación o reembolso. - [ISO 27035 Foundation](https://cyberacademy.net/es/courses/iso-27035-foundation): Formación oficial para la certificación ISO 27035 Foundation acreditada por PECB. Curso en directo online con instructores expertos y garantía de certificación o reembolso. Inscríbase ... - [ISO 27035 Lead Incident Manager](https://cyberacademy.net/es/courses/iso-27035-lead-incident-manager): Certificación ISO 27035 Lead Incident Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 27701 Foundation](https://cyberacademy.net/es/courses/iso-27701-foundation): Certificación ISO 27701 Foundation acreditada por PECB. Formación online en directo con garantía de certificación o reembolso. - [ISO 27701 Lead Auditor](https://cyberacademy.net/es/courses/iso-27701-lead-auditor): Certificación ISO 27701 Lead Auditor acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 27701 Lead Implementer](https://cyberacademy.net/es/courses/iso-27701-lead-implementer): Certificación ISO 27701 Lead Implementer acreditada por PECB. Formación en vivo online con garantía de certificación o reembolso. - [ISO 31000 Foundation](https://cyberacademy.net/es/courses/iso-31000-foundation): Certificación ISO 31000 Foundation acreditada por PECB. Formación en vivo en línea con garantía de certificación o reembolso. - [ISO 31000 Lead Risk Manager](https://cyberacademy.net/es/courses/iso-31000-lead-risk-manager): Certificación ISO 31000 Lead Risk Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 31000 Risk Manager](https://cyberacademy.net/es/courses/iso-31000-risk-manager): Certificación ISO 31000 Risk Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 42001 Foundation](https://cyberacademy.net/es/courses/iso-42001-foundation): Certificación ISO 42001 Foundation acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso. - [ISO 42001 Lead Auditor](https://cyberacademy.net/es/courses/iso-42001-lead-auditor): Certificación PECB ISO 42001 Lead Auditor. Formación en directo online con garantía de certificación o reembolso. - [ISO 42001 Lead Implementer](https://cyberacademy.net/es/courses/iso-42001-lead-implementer): Certificación ISO 42001 Lead Implementer acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso. - [ISO 9001 Foundation](https://cyberacademy.net/es/courses/iso-9001-foundation): Certificación ISO 9001 Foundation acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 9001 Lead Auditor](https://cyberacademy.net/es/courses/iso-9001-lead-auditor): Certificación ISO 9001 Lead Auditor acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [ISO 9001 Lead Implementer](https://cyberacademy.net/es/courses/iso-9001-lead-implementer): Certificación ISO 9001 Lead Implementer acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso. - [ISO27001 - Lead Auditor](https://cyberacademy.net/es/courses/iso27001-lead-auditor): Formación oficial para la certificación ISO27001 - Lead Auditor, acreditada por PECB. Curso en directo online con instructores expertos y garantía de certificación o reembolso. Matrí... - [ISO27001 - Lead Implementer](https://cyberacademy.net/es/courses/iso27001-lead-implementer): Formación oficial para la certificación ISO27001 - Lead Implementer, acreditada por PECB. Curso en directo online con instructores expertos y garantía de certificación o reembolso. ... - [ISO27002 Foundation](https://cyberacademy.net/es/courses/iso27002-foundation): Formación oficial certificada PECB para la certificación ISO27002 Foundation. Curso en línea en directo con instructores expertos y garantía de certificación o reembolso. Inscríbase y... - [ISO27002 Lead Manager](https://cyberacademy.net/es/courses/iso27002-lead-manager): Formación oficial acreditada por PECB para la certificación ISO27002 Lead Manager. Curso en directo online con instructores expertos y garantía de certificación o reembolso. Inscríbase... - [ISO27002 Manager](https://cyberacademy.net/es/courses/iso27002-manager): Formación oficial certificada por PECB para la certificación ISO27002 Manager. Curso en directo en línea con instructores expertos y garantía de certificación o reembolso. Inscríbase hoy. - [Lead Cloud Security Manager](https://cyberacademy.net/es/courses/lead-cloud-security-manager): Certificación Lead Cloud Security Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [Lead Cybersecurity Manager](https://cyberacademy.net/es/courses/lead-cybersecurity-manager): Certificación Lead Cybersecurity Manager acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. - [Lead Disaster Recovery Manager](https://cyberacademy.net/es/courses/lead-disaster-recovery-manager): Certificación PECB Lead Disaster Recovery Manager. Formación en directo online con garantía de certificación o reembolso. - [Lead Ethical Hacker](https://cyberacademy.net/es/courses/lead-ethical-hacker): Certificación Lead Ethical Hacker acreditada por PECB. Formación en directo online con garantía certificado o reembolso. - [Lead Operational Resilience Manager](https://cyberacademy.net/es/courses/lead-operational-resilience-manager): Certificación Lead Operational Resilience Manager acreditada por PECB. Formación en vivo online con garantía de certificación o reembolso. - [Lead SOC 2 Analyst](https://cyberacademy.net/es/courses/lead-soc-2-analyst): Certificación Lead SOC 2 Analyst acreditada por PECB. Formación online en directo con garantía de certificación o reembolso. - [NIS 2 Directive Foundation](https://cyberacademy.net/es/courses/nis-2-directive-foundation): Certificación NIS 2 Directive Foundation acreditada por PECB. Formación en vivo online con garantía de certificación o reembolso. - [NIS 2 Directive Lead Implementer](https://cyberacademy.net/es/courses/nis-2-directive-lead-implementer): Certificación PECB NIS 2 Directive Lead Implementer. Formación en línea en directo con garantía de certificación o reembolso. - [NIST Cybersecurity Consultant](https://cyberacademy.net/es/courses/nist-cybersecurity-consultant): Certificación NIST Cybersecurity Consultant acreditada por PECB. Formación en directo online con garantía de certificación o reembolso. ## Articles (blog) > Short-form articles on regulatory news, practical templates, and career guidance. Most recent first. - [Cómo preparar su organización para el cumplimiento de NIS 2](https://cyberacademy.net/es/resources/blog/how-to-prepare-your-organization-for-nis2-compliance): La aplicación de NIS 2 llega en 2026. Este es el itinerario práctico y directo para lograr el cumplimiento sin ahogarse en papeleo ni perder meses en teoría. - [Cómo planificar auditorías internas para múltiples normas](https://cyberacademy.net/es/resources/blog/how-to-plan-internal-audits-across-multiple-standards): Gestionar simultáneamente ISO/IEC 27001, GDPR, NIS2, DORA, SOC 2 y otros marcos puede parecer imposible. Aquí se explica cómo construir un programa de auditoría interna único y eficiente que funcione para todos ellos. - [Cómo integrar el riesgo de IA en su SGSI y registro de riesgos existentes](https://cyberacademy.net/es/resources/blog/how-to-integrate-ai-risk-into-your-existing-isms-and-risk-register): La IA introduce nuevos riesgos que su SGSI nunca fue diseñado para gestionar. Este es el método claro y práctico para integrar el riesgo de IA en su registro de riesgos ISO/IEC 27001 existente, sin reinventar todo su modelo de gobernanza. - [Cómo evaluar a proveedores externos como un CISO (el método real)](https://cyberacademy.net/es/resources/blog/how-to-evaluate-third-party-vendors-like-a-ciso-the-real-way): La seguridad de proveedores no se trata de listas de verificación; se trata de contexto, contratos, gobernanza y credibilidad. Esta es la guía práctica y probada en campo para evaluar a terceros tal como lo hace un CISO moderno. - [Cómo construir una pista de auditoría que resista el escrutinio](https://cyberacademy.net/es/resources/blog/how-to-build-an-audit-trail-that-stands-up-to-scrutiny): Los reguladores, auditores y tribunales no se interesan por lo que se pretendía hacer; se interesan por lo que se puede demostrar. Así se construye una pista de auditoría que supera las exigencias de NIS2, DORA, GDPR, AI Act y la revisión f - [Cómo construir un registro de riesgos de IA (con plantilla)](https://cyberacademy.net/es/resources/blog/how-to-build-an-ai-risk-register-with-template): La IA introduce nuevos riesgos que los registros de riesgos tradicionales no pueden capturar. Este es el método claro y pragmático para construir un registro de riesgos de IA; y una plantilla lista para usar que puede aplicar hoy mismo. - [Cómo la IA está transformando la auditoría y la gestión del cumplimiento](https://cyberacademy.net/es/resources/blog/how-ai-is-changing-audit-and-compliance-management): La IA no está reemplazando a los auditores ni a los equipos de cumplimiento; está redefiniendo su forma de trabajar. Un análisis práctico y contrastado sobre cómo la IA transforma el riesgo, la auditoría, las evidencias y el gobierno en 202 - [Evaluación de proveedores cloud bajo DORA y NIS2](https://cyberacademy.net/es/resources/blog/evaluating-cloud-providers-under-dora-nis2): Los proveedores cloud están ahora en el centro del escrutinio regulatorio. A continuación se explica cómo evaluarlos correctamente bajo DORA y NIS2, sin ahogarse en papeleo ni pasar por alto riesgos críticos. - [Cumplimiento continuo: convertir las auditorías en una práctica permanente](https://cyberacademy.net/es/resources/blog/continuous-compliance-turning-audits-into-ongoing-practice): Las auditorías anuales han muerto. El cumplimiento continuo es el único modelo que resiste NIS2, DORA, ISO 27001, SOC 2, GDPR y el AI Act. Así se convierte el cumplimiento en un hábito operativo vivo y real; no en un ataque de pánico una ve - [¿Puede ChatGPT redactar su política del ISMS? Una prueba real](https://cyberacademy.net/es/resources/blog/can-chatgpt-draft-your-isms-policy-a-real-test): ¿Puede la IA redactar sus políticas del ISMS? Sí; pero no de la forma en que la mayoría lo imagina. Un análisis basado en la práctica: qué funciona, qué falla y cómo usar la IA de forma segura en su programa de gobernanza. - [Cómo construir un cuadro de mando de cumplimiento que hable el idioma del consejo](https://cyberacademy.net/es/resources/blog/building-a-compliance-dashboard-that-speaks-board-language): La mayoría de los cuadros de mando de cumplimiento abruman a los directivos con ruido. Aquí se explica cómo construir uno que hable el idioma del consejo: claro, estratégico y listo para la toma de decisiones. - [El próximo movimiento de Bruselas: qué viene después de NIS2 y DORA](https://cyberacademy.net/es/resources/blog/brussels-next-move-what-comes-after-nis2-and-dora): NIS2 y DORA fueron solo la Fase 1. AI Act, Data Act, CRA, EUCS y las nuevas normas de responsabilidad están a punto de definir la Fase 2. Este es el mapa de ruta concreto que los responsables de GRC deben preparar. - [Cómo integrar GDPR, NIS2 y DORA en un modelo de cumplimiento unificado](https://cyberacademy.net/es/resources/blog/bridging-gdpr-nis2-and-dora-for-unified-compliance): GDPR, NIS2 y DORA se solapan más de lo que la mayoría de las organizaciones cree. Así se construye un modelo de cumplimiento unificado en lugar de tres pesadillas por separado. - [El programa de concienciación ha muerto.](https://cyberacademy.net/es/resources/blog/awareness-program-is-dead): La formación en concienciación reduce el riesgo, pero solo cuando está diseñada para personas reales, incentivos reales y un contexto del mundo real. Por qué la mayoría de los programas fracasan; y qué funciona realmente. - [ISO27001: Heredé un SGSI. Era una carpeta de SharePoint con 200 documentos y una plegaria.](https://cyberacademy.net/es/resources/blog/iso27001-i-inherited-an-isms): Lo que nadie te cuenta sobre implantar ISO27001, y cómo dejar de simularlo en 5 días. Del 11 al 15 de mayo, en línea. - [NIS 2 está en vigor. Su regulador no esperará.](https://cyberacademy.net/es/resources/blog/nis-2-is-live-your-regulator-wont-wait): Cómo pasar de «he leído la directiva» a «soy capaz de implementarla» en 5 días. Del 4 al 8 de mayo, en línea. - [Su BIA probablemente es una hoja de cálculo que alguien rellenó en solitario.](https://cyberacademy.net/es/resources/blog/your-bia-is-probably-a-spreadsheet-someone-filled-in-alone): Plantilla gratuita de Business Impact Assessment. Tres secciones. Matriz de impacto preconfigurada. Lista para ISO 22301. - [La plantilla de política BC/DR que no muere en SharePoint](https://cyberacademy.net/es/resources/blog/the-bc-dr-policy-template-that-doesnt-die-in-sharepoint): Descarga gratuita. Creada desde proyectos reales. No es otro copia-pega de ISO. - [Storytelling para responsables de compliance](https://cyberacademy.net/es/resources/blog/storytelling-for-compliance-leaders): Porque los hechos informan, pero las historias hacen que las personas se preocupen por el compliance. - [KPIs de GRC que importan: cómo demostrar el cumplimiento con números](https://cyberacademy.net/es/resources/blog/grc-kpis-that-matter-how-to-prove-compliance-with-numbers): La mayoría de los KPIs de GRC son inútiles. Estos son los que realmente demuestran el cumplimiento y orientan las decisiones. - [Cómo lograr que los directivos se tomen en serio el riesgo](https://cyberacademy.net/es/resources/blog/how-to-get-executives-to-care-about-risk): Cómo conseguir que los directivos se preocupen de verdad por el riesgo y actúen en consecuencia. - [Cuadros de mando GRC que los directivos realmente leen](https://cyberacademy.net/es/resources/blog/grc-dashboards-executives-actually-read): Si quieren que los directivos presten atención, deben dejar de informar como un responsable de cumplimiento y empezar a hacerlo como un socio de negocio. - [Cómo realizar una evaluación de riesgos que no aburra al consejo de administración](https://cyberacademy.net/es/resources/blog/how-to-run-a-risk-assessment-that-doesnt-bore-the-board): Si quiere que el consejo preste atención de verdad, y no que simplemente soporte sus diapositivas, necesita convertir la evaluación de riesgos en una conversación orientada a la toma de decisiones. Así es como se hace. - [Cómo hablar de cumplimiento con personas ajenas al GRC (y conseguir que les importe)](https://cyberacademy.net/es/resources/blog/how-to-talk-compliance-to-non-grc-people-and-make-them-care): Cómo hablar de GRC con personas ajenas al GRC (y conseguir que les importe) - [5 errores en los registros de riesgos (y cómo corregirlos)](https://cyberacademy.net/es/resources/blog/5-mistakes-in-risk-registers-and-how-to-fix-them): Porque la mayoría de los registros de riesgos son simples hojas de cálculo costosas llenas de pensamiento ilusorio. - [Los 10 principales gaps que los auditores buscarán en NIS2](https://cyberacademy.net/es/resources/blog/top-10-gaps-auditors-will-look-for-under-nis2): Y por qué «tenemos una política para eso» no será suficiente esta vez con NIS2 - [Del checklist a la estrategia: el fin del cumplimiento de papel](https://cyberacademy.net/es/resources/blog/from-checkbox-to-strategy-the-death-of-fake-compliance): El cumplimiento basado en checklists está muriendo. Así es como las organizaciones pasan de una madurez ficticia a una seguridad estratégica real. - [Gobernanza de IA vs. Cumplimiento de IA: ¿Cuál es la diferencia?](https://cyberacademy.net/es/resources/blog/ai-governance-vs-ai-compliance-whats-the-difference): Y por qué confundir la gobernanza de IA con el cumplimiento de IA puede traerle problemas. - [La guía definitiva sobre certificaciones ISO para profesionales de GRC](https://cyberacademy.net/es/resources/blog/the-ultimate-guide-to-iso-certifications-for-grc-pros): Una guía práctica y probada en el campo sobre las certificaciones ISO que todo profesional de GRC debe conocer; y por qué son relevantes en la práctica. - [Cómo redactar políticas que la gente realmente cumple](https://cyberacademy.net/es/resources/blog/how-to-write-policies-people-actually-follow): Porque «de conformidad con los requisitos legales aplicables…» no es como hablan las personas. Por tanto, sus políticas no deberían incluir esto. - [Políticas de clasificación de datos que funcionan de verdad](https://cyberacademy.net/es/resources/blog/data-classification-policies-that-actually-work): Porque la mayoría de las etiquetas «Confidencial / Interno / Público» son puramente decorativas. - [Del becario al CISO: cómo construir una carrera en GRC con proyección real](https://cyberacademy.net/es/resources/blog/from-intern-to-ciso-how-to-build-a-grc-career-that-scales): Una hoja de ruta probada en campo para pasar de analista GRC junior a CISO, sin perderse entre plantillas, auditorías o burocracia corporativa. - [Lecciones de auditorías fallidas: lo que toda organización debe aprender](https://cyberacademy.net/es/resources/blog/lessons-from-failed-audits-what-every-organization-should-learn): Por qué fallan las auditorías, qué significa realmente y las lecciones que toda organización debe aprender para no repetir los mismos errores. - [Lead Auditor vs. Lead Implementer: ¿Qué certificación encaja con tu perfil?](https://cyberacademy.net/es/resources/blog/lead-auditor-vs-lead-implementer-which-certification-fits-you): Cómo hablar de GRC con personas sin perfil GRC (y conseguir que les importe) - [Top 10 hallazgos de auditoría en 2025: los que aparecen de verdad](https://cyberacademy.net/es/resources/blog/top-10-audit-findings-in-2025-the-real-ones): Notas de campo de evaluaciones de brechas reales en Europa, no de manuales. - [Cómo construir una cultura de cumplimiento más allá de las listas de verificación](https://cyberacademy.net/es/resources/blog/how-to-build-a-compliance-culture-beyond-checklists): La cultura de cumplimiento no se construye con políticas ni listas de verificación; se construye con comportamientos, responsabilidad y claridad. - [Cómo destacar como vCISO](https://cyberacademy.net/es/resources/blog/how-to-stand-out-as-a-vciso): Cómo un vCISO puede destacar de verdad en un mercado saturado siendo práctico, cercano y sistemáticamente útil. - [Por qué 2026 es el año de la convergencia en cumplimiento normativo](https://cyberacademy.net/es/resources/blog/why-2026-is-the-year-of-compliance-convergence): Cómo hablar de GRC con personas ajenas al GRC (y conseguir que les importe) En 2026, las empresas que sobrevivan a la tormenta regulatoria, NIS2, DORA, el AI Act, el CRA Act, el DATA Act, ESG, privacidad y todo lo demás, serán las que por f - [Cuándo Excel es suficiente y cuándo necesitas una plataforma GRC de verdad](https://cyberacademy.net/es/resources/blog/when-excel-is-enough-and-when-you-need-a-real-grc-platform): Excel funciona… hasta que deja de funcionar. Esta es la línea pragmática entre las hojas de cálculo «suficientemente buenas» y el momento en que tu organización realmente necesita una plataforma GRC. --- ## Optional - Upcoming live sessions: https://cyberacademy.net/es/sessions - Sitemap: https://cyberacademy.net/sitemap.xml