La biblioteca de Cyber Academy.

Material de referencia GRC probado en campo, redactado por un CISO en activo. Artículos, guías en profundidad, una enciclopedia en crecimiento y un boletín semanal que no hace perder el tiempo.

Resources

Las páginas pilar

See all

Pillar

NIS 2: la guía que reemplaza tu vigilancia legal.

Dentro del ámbito: 18 sectores, entidades medianas (50+ empleados / 10M+ de volumen de negocios) y mayores. Dos categorías, esenciales e importantes, con distinta intensidad de supervisión.Diez medidas de gestión de riesgos de ciberseguridad bajo el Article 21. La directiva dice qué; ISO 27001 es el cómo más habitual.Notificación de incidentes: alerta temprana en 24 horas, notificación en 72 horas, informe completo en un mes. Define el procedimiento antes de necesitarlo.La responsabilidad personal y la rendición de cuentas de la dirección son ahora explícitas. El consejo es responsable, no solo el CISO.El estado de la transposición varía de un país a otro; consulta a tu autoridad nacional antes de asumir que el texto de la UE se aplica tal cual.

Leer la guía

Pillar

DORA: lo que su RSSI no le contó.

Se aplica a unas 20 categorías de entidades financieras más los proveedores terceros críticos de TIC designados, desde el 17 de enero de 2025.Cinco pilares. El registro de terceros (Pilar 4) y las pruebas de resiliencia (Pilar 3, incluyendo TLPT para las entidades significativas) son los más operativos y los más auditados.Para las entidades significativas, pruebas de penetración basadas en amenazas cada tres años, supervisadas por la autoridad nacional conforme a TIBER-EU.Los proveedores terceros críticos de TIC son supervisados directamente por las Autoridades Europeas de Supervisión (ESAs). Su riesgo de concentración ahora importa a nivel de la UE.Combine con ISO 22301 para el BCMS, ISO 27001 para la gestión del riesgo de TIC, y Lead Operational Resilience Manager para la capa orientada al supervisor.

Leer la guía

Pillar

ISO 27001: Foundation, Lead Implementer, Lead Auditor, ¿cuál elegir?

Foundation es el requisito previo. Aporta el vocabulario y el modelo mental del sistema de gestión. Dos días, examen de 1 hora.Lead Implementer (5 días) le enseña a construir el ISMS, redactar la SoA, ejecutar el tratamiento del riesgo y operar el ciclo de revisión por la dirección.Lead Auditor (5 días) le enseña a planificar y dirigir auditorías de tercera parte o internas. Una mentalidad distinta: evidencia, muestreo, técnica de entrevista, redacción de informes.La mayoría de los CISO y responsables de seguridad cursan Lead Implementer. Los auditores internos y los consultores de las Big Four cursan Lead Auditor. Hacer ambos en un periodo de 12 a 18 meses es habitual.Tasas de aprobación en cohortes PECB presenciales con instructor: 99,1% al primer intento en nuestra impartición; la media del mercado es del 80% al 85% según el partner.

Leer la guía

Encyclopedia preview

See all 87

AI Risk Manager

AI Risk Manager es la credencial (PECB / ISACA en desarrollo) para profesionales que gestionan programas de riesgo específicos de IA: riesgo de modelos, sesgo, deriva, transparencia y riesgo de modelos de terceros. Capa operativa que complementa ISO 42001 (nivel de sistema) y el AI Act (capa regulatoria). Acompañante habitual del CISO o del Lead AI Auditor.

Advanced in AI Audit

AAIA

AAIA es la credencial avanzada de ISACA para auditar sistemas, modelos y gobernanza de IA. De reciente creación (desde 2024). Requiere CISA u equivalente previo. Diseñada para auditores senior que incorporan capacidades en IA, mapeada sobre ISO/IEC 42001 y las obligaciones de alto riesgo del AI Act.

Agencia Nacional de Ciberseguridad de Francia

ANSSI

ANSSI es la agencia nacional de ciberseguridad de Francia, bajo tutela del Primer Ministro desde 2009. Es la autoridad nacional en materia de política de ciberseguridad en Francia, cualifica productos y proveedores de servicios, publica EBIOS Risk Manager y actúa como autoridad competente para la transposición de NIS 2. Sus cualificaciones (SecNumCloud, PVID, PASSI) son el referente en el sector público francés.

Agencia de la Unión Europea para la Ciberseguridad

ENISA

ENISA es la agencia de ciberseguridad de la UE, con sede en Atenas. Apoya a los estados miembros y a las instituciones europeas en materia de política de ciberseguridad, cooperación operativa y el marco de certificación de la UE. Participa activamente en la cooperación de NIS 2, en las normas de desarrollo de DORA y en la línea de base de seguridad del AI Act. Su informe anual sobre el panorama de amenazas es la publicación anual más citada del sector.

Apetito de riesgo

El apetito de riesgo es la cantidad y el tipo de riesgo que la organización está dispuesta a asumir para alcanzar sus objetivos. Se establece a nivel ejecutivo o de consejo de administración, por escrito. Sin él, cada decisión de tratamiento de riesgos es un juicio personal del equipo de riesgos, y la auditoría lo pondrá en evidencia. Combinar con la tolerancia al riesgo (la desviación admitida respecto al apetito).

Auditoría de etapa 1 / etapa 2

La certificación ISO inicial se divide en etapa 1 (revisión de documentación y preparación, normalmente 1-2 días) y etapa 2 (auditoría de evidencias operativas, 2-5 días). La etapa 1 confirma que el sistema de gestión existe sobre el papel; la etapa 2 verifica que funciona en la práctica. La mayoría de las auditorías de etapa 2 «fallidas» son problemas de etapa 1 que nadie corrigió en el intervalo.

Cinco enlaces seleccionados cada lunes a las 8h.

Regulación ciber europea, hallazgos de auditoría, plantillas y análisis breves. Desde el escritorio de un CISO en activo. Gratuito. Sin relleno.

Suscribirse a The GRC Brief