Resources
Material de referencia GRC probado en campo, redactado por un CISO en activo. Artículos, guías en profundidad, una enciclopedia en crecimiento y un boletín semanal que no hace perder el tiempo.
Blog
Artículos breves sobre normativas, auditorías y el escritorio del CISO.
Pillars
Las guías completas sobre NIS 2, DORA, ISO 27001, AI Act y más.
Encyclopedia
Definiciones en lenguaje claro de todos los términos que encontrarás en el campo.
Newsletter
Cinco enlaces seleccionados sobre regulación ciber europea. Sin relleno.
Latest

La ciberseguridad y la seguridad personal se construyen sobre los mismos fundamentos: contexto, conciencia situacional, defensas en capas y capacidad de respuesta. La seguridad no es solo un trabajo; es una mentalidad que se aplica en cualquier ámbito.
Read
¿Centrado en ISO? ¿En auditoría? ¿En gobernanza técnica? Esta es la comparativa sin rodeos de PECB, ISACA y Exin; y qué itinerario de certificación se ajusta realmente a tus objetivos de carrera en GRC.
Read
NIS2 será exigible en 2026 y supone un cambio radical para los CISOs. Aquí está el desglose directo de lo que cambia realmente: gobernanza, sanciones, responsabilidades del Consejo de Administración, riesgo en la cadena de suministro, notificación de incidentes y expectativas operativas.
ReadDeep dives
Pillar
Dentro del ámbito: 18 sectores, entidades medianas (50+ empleados / 10M+ de volumen de negocios) y mayores. Dos categorías, esenciales e importantes, con distinta intensidad de supervisión.Diez medidas de gestión de riesgos de ciberseguridad bajo el Article 21. La directiva dice qué; ISO 27001 es el cómo más habitual.Notificación de incidentes: alerta temprana en 24 horas, notificación en 72 horas, informe completo en un mes. Define el procedimiento antes de necesitarlo.La responsabilidad personal y la rendición de cuentas de la dirección son ahora explícitas. El consejo es responsable, no solo el CISO.El estado de la transposición varía de un país a otro; consulta a tu autoridad nacional antes de asumir que el texto de la UE se aplica tal cual.
Leer la guíaPillar
Se aplica a unas 20 categorías de entidades financieras más los proveedores terceros críticos de TIC designados, desde el 17 de enero de 2025.Cinco pilares. El registro de terceros (Pilar 4) y las pruebas de resiliencia (Pilar 3, incluyendo TLPT para las entidades significativas) son los más operativos y los más auditados.Para las entidades significativas, pruebas de penetración basadas en amenazas cada tres años, supervisadas por la autoridad nacional conforme a TIBER-EU.Los proveedores terceros críticos de TIC son supervisados directamente por las Autoridades Europeas de Supervisión (ESAs). Su riesgo de concentración ahora importa a nivel de la UE.Combine con ISO 22301 para el BCMS, ISO 27001 para la gestión del riesgo de TIC, y Lead Operational Resilience Manager para la capa orientada al supervisor.
Leer la guíaPillar
Foundation es el requisito previo. Aporta el vocabulario y el modelo mental del sistema de gestión. Dos días, examen de 1 hora.Lead Implementer (5 días) le enseña a construir el ISMS, redactar la SoA, ejecutar el tratamiento del riesgo y operar el ciclo de revisión por la dirección.Lead Auditor (5 días) le enseña a planificar y dirigir auditorías de tercera parte o internas. Una mentalidad distinta: evidencia, muestreo, técnica de entrevista, redacción de informes.La mayoría de los CISO y responsables de seguridad cursan Lead Implementer. Los auditores internos y los consultores de las Big Four cursan Lead Auditor. Hacer ambos en un periodo de 12 a 18 meses es habitual.Tasas de aprobación en cohortes PECB presenciales con instructor: 99,1% al primer intento en nuestra impartición; la media del mercado es del 80% al 85% según el partner.
Leer la guíaVocabulary
AI Risk Manager es la credencial (PECB / ISACA en desarrollo) para profesionales que gestionan programas de riesgo específicos de IA: riesgo de modelos, sesgo, deriva, transparencia y riesgo de modelos de terceros. Capa operativa que complementa ISO 42001 (nivel de sistema) y el AI Act (capa regulatoria). Acompañante habitual del CISO o del Lead AI Auditor.
AAIA es la credencial avanzada de ISACA para auditar sistemas, modelos y gobernanza de IA. De reciente creación (desde 2024). Requiere CISA u equivalente previo. Diseñada para auditores senior que incorporan capacidades en IA, mapeada sobre ISO/IEC 42001 y las obligaciones de alto riesgo del AI Act.
ANSSI es la agencia nacional de ciberseguridad de Francia, bajo tutela del Primer Ministro desde 2009. Es la autoridad nacional en materia de política de ciberseguridad en Francia, cualifica productos y proveedores de servicios, publica EBIOS Risk Manager y actúa como autoridad competente para la transposición de NIS 2. Sus cualificaciones (SecNumCloud, PVID, PASSI) son el referente en el sector público francés.
ENISA es la agencia de ciberseguridad de la UE, con sede en Atenas. Apoya a los estados miembros y a las instituciones europeas en materia de política de ciberseguridad, cooperación operativa y el marco de certificación de la UE. Participa activamente en la cooperación de NIS 2, en las normas de desarrollo de DORA y en la línea de base de seguridad del AI Act. Su informe anual sobre el panorama de amenazas es la publicación anual más citada del sector.
El apetito de riesgo es la cantidad y el tipo de riesgo que la organización está dispuesta a asumir para alcanzar sus objetivos. Se establece a nivel ejecutivo o de consejo de administración, por escrito. Sin él, cada decisión de tratamiento de riesgos es un juicio personal del equipo de riesgos, y la auditoría lo pondrá en evidencia. Combinar con la tolerancia al riesgo (la desviación admitida respecto al apetito).
La certificación ISO inicial se divide en etapa 1 (revisión de documentación y preparación, normalmente 1-2 días) y etapa 2 (auditoría de evidencias operativas, 2-5 días). La etapa 1 confirma que el sistema de gestión existe sobre el papel; la etapa 2 verifica que funciona en la práctica. La mayoría de las auditorías de etapa 2 «fallidas» son problemas de etapa 1 que nadie corrigió en el intervalo.
The GRC Brief
Regulación ciber europea, hallazgos de auditoría, plantillas y análisis breves. Desde el escritorio de un CISO en activo. Gratuito. Sin relleno.
Suscribirse a The GRC Brief