Notas de campo desde la sala de auditoría.

Artículos de profesionales de Christophe Mazzola y el equipo de formadores de Cyber Academy. Auditorías reales, comités reales, incidentes reales, escritos y fechados. Sin comunicados de prensa.

Los artículos que desearíamos haber leído cuando empezamos en GRC.

junio de 2026

10 articles
Mapping the ISO Jungle: 27001, 27002, 27005, 31000, 42001
AI Act

Navegando la jungla ISO: 27001, 27002, 27005, 31000, 42001

Los estándares ISO pueden parecer una jungla impenetrable: 27001, 27002, 27005, 31000, 42001… Este es el mapa claro y directo que los profesionales de GRC realmente necesitan.

30 Jun 2026Read
ISO 27701:2025: What Changed and Why It Matters
GDPR & privacy

ISO 27701:2025: qué cambió y por qué es relevante

ISO/IEC 27701 ha experimentado su mayor transformación desde su lanzamiento. La edición de 2025 ya no es un complemento de ISO/IEC 27001; es una norma de gestión de privacidad completa e independiente. Esto es lo que cambió, por qué es relevante y cómo prepararse.

27 Jun 2026Read
How to Prepare Your Organization for NIS2 Compliance
NIS 2

Cómo preparar su organización para el cumplimiento de NIS 2

La aplicación de NIS 2 llega en 2026. Este es el itinerario práctico y directo para lograr el cumplimiento sin ahogarse en papeleo ni perder meses en teoría.

24 Jun 2026Read
How to Plan Internal Audits Across Multiple Standards
Audit room

Cómo planificar auditorías internas para múltiples normas

Gestionar simultáneamente ISO/IEC 27001, GDPR, NIS2, DORA, SOC 2 y otros marcos puede parecer imposible. Aquí se explica cómo construir un programa de auditoría interna único y eficiente que funcione para todos ellos.

21 Jun 2026Read
How to Integrate AI Risk into Your Existing ISMS and Risk Register
AI Act

Cómo integrar el riesgo de IA en su SGSI y registro de riesgos existentes

La IA introduce nuevos riesgos que su SGSI nunca fue diseñado para gestionar. Este es el método claro y práctico para integrar el riesgo de IA en su registro de riesgos ISO/IEC 27001 existente, sin reinventar todo su modelo de gobernanza.

18 Jun 2026Read
How to Evaluate Third-Party Vendors Like a CISO
CISO life

Cómo evaluar a proveedores externos como un CISO (el método real)

La seguridad de proveedores no se trata de listas de verificación; se trata de contexto, contratos, gobernanza y credibilidad. Esta es la guía práctica y probada en campo para evaluar a terceros tal como lo hace un CISO moderno.

15 Jun 2026Read
How to Build an Audit Trail that Stands Up to Scrutiny
Audit room

Cómo construir una pista de auditoría que resista el escrutinio

Los reguladores, auditores y tribunales no se interesan por lo que se pretendía hacer; se interesan por lo que se puede demostrar. Así se construye una pista de auditoría que supera las exigencias de NIS2, DORA, GDPR, AI Act y la revisión forense.

12 Jun 2026Read
How to Build an AI Risk Register
AI Act

Cómo construir un registro de riesgos de IA (con plantilla)

La IA introduce nuevos riesgos que los registros de riesgos tradicionales no pueden capturar. Este es el método claro y pragmático para construir un registro de riesgos de IA; y una plantilla lista para usar que puede aplicar hoy mismo.

09 Jun 2026Read
How AI Is Changing Audit and Compliance Management
AI Act

Cómo la IA está transformando la auditoría y la gestión del cumplimiento

La IA no está reemplazando a los auditores ni a los equipos de cumplimiento; está redefiniendo su forma de trabajar. Un análisis práctico y contrastado sobre cómo la IA transforma el riesgo, la auditoría, las evidencias y el gobierno en 2026 y más allá.

06 Jun 2026Read
Evaluating Cloud Providers under DORA and NIS2
NIS 2

Evaluación de proveedores cloud bajo DORA y NIS2

Los proveedores cloud están ahora en el centro del escrutinio regulatorio. A continuación se explica cómo evaluarlos correctamente bajo DORA y NIS2, sin ahogarse en papeleo ni pasar por alto riesgos críticos.

03 Jun 2026Read

mayo de 2026

6 articles
Continuous Compliance: Turning Audits into Ongoing Practice
Audit room

Cumplimiento continuo: convertir las auditorías en una práctica permanente

Las auditorías anuales han muerto. El cumplimiento continuo es el único modelo que resiste NIS2, DORA, ISO 27001, SOC 2, GDPR y el AI Act. Así se convierte el cumplimiento en un hábito operativo vivo y real; no en un ataque de pánico una vez al año.

31 May 2026Read
Can ChatGPT Draft Your ISMS Policy
AI Act

¿Puede ChatGPT redactar su política del ISMS? Una prueba real

¿Puede la IA redactar sus políticas del ISMS? Sí; pero no de la forma en que la mayoría lo imagina. Un análisis basado en la práctica: qué funciona, qué falla y cómo usar la IA de forma segura en su programa de gobernanza.

28 May 2026Read
Building a Compliance Dashboard that Speaks Board Language
Audit room

Cómo construir un cuadro de mando de cumplimiento que hable el idioma del consejo

La mayoría de los cuadros de mando de cumplimiento abruman a los directivos con ruido. Aquí se explica cómo construir uno que hable el idioma del consejo: claro, estratégico y listo para la toma de decisiones.

25 May 2026Read
Brussels' Next Move: What Comes After NIS2 and DORA
NIS 2

El próximo movimiento de Bruselas: qué viene después de NIS2 y DORA

NIS2 y DORA fueron solo la Fase 1. AI Act, Data Act, CRA, EUCS y las nuevas normas de responsabilidad están a punto de definir la Fase 2. Este es el mapa de ruta concreto que los responsables de GRC deben preparar.

22 May 2026Read
Bridging GDPR, NIS2, and DORA for Unified Compliance
NIS 2

Cómo integrar GDPR, NIS2 y DORA en un modelo de cumplimiento unificado

GDPR, NIS2 y DORA se solapan más de lo que la mayoría de las organizaciones cree. Así se construye un modelo de cumplimiento unificado en lugar de tres pesadillas por separado.

19 May 2026Read
Awareness Program is dead
CISO life

El programa de concienciación ha muerto.

La formación en concienciación reduce el riesgo, pero solo cuando está diseñada para personas reales, incentivos reales y un contexto del mundo real. Por qué la mayoría de los programas fracasan; y qué funciona realmente.

16 May 2026Read

marzo de 2026

3 articles

febrero de 2026

1 article

enero de 2026

21 articles
Storytelling for Compliance Leaders

Storytelling para responsables de compliance

Porque los hechos informan, pero las historias hacen que las personas se preocupen por el compliance.

01 Jan 2026Read
GRC KPIs That Matter: How to Prove Compliance with Numbers

KPIs de GRC que importan: cómo demostrar el cumplimiento con números

La mayoría de los KPIs de GRC son inútiles. Estos son los que realmente demuestran el cumplimiento y orientan las decisiones.

01 Jan 2026Read
How to Get Executives to Care About Risk

Cómo lograr que los directivos se tomen en serio el riesgo

Cómo conseguir que los directivos se preocupen de verdad por el riesgo y actúen en consecuencia.

01 Jan 2026Read
GRC Dashboards Executives Actually Read

Cuadros de mando GRC que los directivos realmente leen

Si quieren que los directivos presten atención, deben dejar de informar como un responsable de cumplimiento y empezar a hacerlo como un socio de negocio.

01 Jan 2026Read
How to Run a Risk Assessment that Doesn't Bore the Board

Cómo realizar una evaluación de riesgos que no aburra al consejo de administración

Si quiere que el consejo preste atención de verdad, y no que simplemente soporte sus diapositivas, necesita convertir la evaluación de riesgos en una conversación orientada a la toma de decisiones. Así es como se hace.

01 Jan 2026Read
How to Talk Compliance to Non-GRC People (and Make Them Care)

Cómo hablar de cumplimiento con personas ajenas al GRC (y conseguir que les importe)

Cómo hablar de GRC con personas ajenas al GRC (y conseguir que les importe)

01 Jan 2026Read
5 Mistakes in Risk Registers (and How to Fix Them)

5 errores en los registros de riesgos (y cómo corregirlos)

Porque la mayoría de los registros de riesgos son simples hojas de cálculo costosas llenas de pensamiento ilusorio.

01 Jan 2026Read
Top 10 Gaps Auditors Will Look for Under NIS2

Los 10 principales gaps que los auditores buscarán en NIS2

Y por qué «tenemos una política para eso» no será suficiente esta vez con NIS2

01 Jan 2026Read
From Checkbox to Strategy: The Death of Fake Compliance

Del checklist a la estrategia: el fin del cumplimiento de papel

El cumplimiento basado en checklists está muriendo. Así es como las organizaciones pasan de una madurez ficticia a una seguridad estratégica real.

01 Jan 2026Read
AI Governance vs. AI Compliance: What's the Difference

Gobernanza de IA vs. Cumplimiento de IA: ¿Cuál es la diferencia?

Y por qué confundir la gobernanza de IA con el cumplimiento de IA puede traerle problemas.

01 Jan 2026Read
The Ultimate Guide to ISO Certifications for GRC Pros

La guía definitiva sobre certificaciones ISO para profesionales de GRC

Una guía práctica y probada en el campo sobre las certificaciones ISO que todo profesional de GRC debe conocer; y por qué son relevantes en la práctica.

01 Jan 2026Read
How to Write Policies People Actually Follow

Cómo redactar políticas que la gente realmente cumple

Porque «de conformidad con los requisitos legales aplicables…» no es como hablan las personas. Por tanto, sus políticas no deberían incluir esto.

01 Jan 2026Read
Data Classification Policies that Actually Work

Políticas de clasificación de datos que funcionan de verdad

Porque la mayoría de las etiquetas «Confidencial / Interno / Público» son puramente decorativas.

01 Jan 2026Read
From intern to CISO: How to Build a GRC Career That Scales

Del becario al CISO: cómo construir una carrera en GRC con proyección real

Una hoja de ruta probada en campo para pasar de analista GRC junior a CISO, sin perderse entre plantillas, auditorías o burocracia corporativa.

01 Jan 2026Read
Lessons from Failed Audits: What Every Organization Should Learn

Lecciones de auditorías fallidas: lo que toda organización debe aprender

Por qué fallan las auditorías, qué significa realmente y las lecciones que toda organización debe aprender para no repetir los mismos errores.

01 Jan 2026Read
Lead Auditor vs. Lead Implementer: Which Certification Fits You

Lead Auditor vs. Lead Implementer: ¿Qué certificación encaja con tu perfil?

Cómo hablar de GRC con personas sin perfil GRC (y conseguir que les importe)

01 Jan 2026Read
Top 10 Audit Findings in 2025: The Real Ones

Top 10 hallazgos de auditoría en 2025: los que aparecen de verdad

Notas de campo de evaluaciones de brechas reales en Europa, no de manuales.

01 Jan 2026Read
How to Build a Compliance Culture Beyond Checklists

Cómo construir una cultura de cumplimiento más allá de las listas de verificación

La cultura de cumplimiento no se construye con políticas ni listas de verificación; se construye con comportamientos, responsabilidad y claridad.

01 Jan 2026Read
How to Stand Out as a vCISO

Cómo destacar como vCISO

Cómo un vCISO puede destacar de verdad en un mercado saturado siendo práctico, cercano y sistemáticamente útil.

01 Jan 2026Read
Why 2026 Is the Year of Compliance Convergence

Por qué 2026 es el año de la convergencia en cumplimiento normativo

Cómo hablar de GRC con personas ajenas al GRC (y conseguir que les importe) En 2026, las empresas que sobrevivan a la tormenta regulatoria, NIS2, DORA, el AI Act, el CRA Act, el DATA Act, ESG, privacidad y todo lo demás, serán las que por fin dejen de gestionar marcos normativos de forma aislada. Entramos en la era de la convergen

01 Jan 2026Read
When Excel Is Enough and When You Need a Real GRC Platform

Cuándo Excel es suficiente y cuándo necesitas una plataforma GRC de verdad

Excel funciona… hasta que deja de funcionar. Esta es la línea pragmática entre las hojas de cálculo «suficientemente buenas» y el momento en que tu organización realmente necesita una plataforma GRC.

01 Jan 2026Read

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief publica una edición breve cada lunes a las 8h CET. Cinco enlaces y un análisis corto. Tres minutos de lectura, sin relleno de IA.