Articles
Artículos de profesionales de Christophe Mazzola y el equipo de formadores de Cyber Academy. Auditorías reales, comités reales, incidentes reales, escritos y fechados. Sin comunicados de prensa.
Los artículos que desearíamos haber leído cuando empezamos en GRC.

Los estándares ISO pueden parecer una jungla impenetrable: 27001, 27002, 27005, 31000, 42001… Este es el mapa claro y directo que los profesionales de GRC realmente necesitan.

ISO/IEC 27701 ha experimentado su mayor transformación desde su lanzamiento. La edición de 2025 ya no es un complemento de ISO/IEC 27001; es una norma de gestión de privacidad completa e independiente. Esto es lo que cambió, por qué es relevante y cómo prepararse.

La aplicación de NIS 2 llega en 2026. Este es el itinerario práctico y directo para lograr el cumplimiento sin ahogarse en papeleo ni perder meses en teoría.

Gestionar simultáneamente ISO/IEC 27001, GDPR, NIS2, DORA, SOC 2 y otros marcos puede parecer imposible. Aquí se explica cómo construir un programa de auditoría interna único y eficiente que funcione para todos ellos.

La IA introduce nuevos riesgos que su SGSI nunca fue diseñado para gestionar. Este es el método claro y práctico para integrar el riesgo de IA en su registro de riesgos ISO/IEC 27001 existente, sin reinventar todo su modelo de gobernanza.

La seguridad de proveedores no se trata de listas de verificación; se trata de contexto, contratos, gobernanza y credibilidad. Esta es la guía práctica y probada en campo para evaluar a terceros tal como lo hace un CISO moderno.

Los reguladores, auditores y tribunales no se interesan por lo que se pretendía hacer; se interesan por lo que se puede demostrar. Así se construye una pista de auditoría que supera las exigencias de NIS2, DORA, GDPR, AI Act y la revisión forense.

La IA introduce nuevos riesgos que los registros de riesgos tradicionales no pueden capturar. Este es el método claro y pragmático para construir un registro de riesgos de IA; y una plantilla lista para usar que puede aplicar hoy mismo.

La IA no está reemplazando a los auditores ni a los equipos de cumplimiento; está redefiniendo su forma de trabajar. Un análisis práctico y contrastado sobre cómo la IA transforma el riesgo, la auditoría, las evidencias y el gobierno en 2026 y más allá.

Los proveedores cloud están ahora en el centro del escrutinio regulatorio. A continuación se explica cómo evaluarlos correctamente bajo DORA y NIS2, sin ahogarse en papeleo ni pasar por alto riesgos críticos.

Las auditorías anuales han muerto. El cumplimiento continuo es el único modelo que resiste NIS2, DORA, ISO 27001, SOC 2, GDPR y el AI Act. Así se convierte el cumplimiento en un hábito operativo vivo y real; no en un ataque de pánico una vez al año.

¿Puede la IA redactar sus políticas del ISMS? Sí; pero no de la forma en que la mayoría lo imagina. Un análisis basado en la práctica: qué funciona, qué falla y cómo usar la IA de forma segura en su programa de gobernanza.

La mayoría de los cuadros de mando de cumplimiento abruman a los directivos con ruido. Aquí se explica cómo construir uno que hable el idioma del consejo: claro, estratégico y listo para la toma de decisiones.

NIS2 y DORA fueron solo la Fase 1. AI Act, Data Act, CRA, EUCS y las nuevas normas de responsabilidad están a punto de definir la Fase 2. Este es el mapa de ruta concreto que los responsables de GRC deben preparar.

GDPR, NIS2 y DORA se solapan más de lo que la mayoría de las organizaciones cree. Así se construye un modelo de cumplimiento unificado en lugar de tres pesadillas por separado.

La formación en concienciación reduce el riesgo, pero solo cuando está diseñada para personas reales, incentivos reales y un contexto del mundo real. Por qué la mayoría de los programas fracasan; y qué funciona realmente.

Lo que nadie te cuenta sobre implantar ISO27001, y cómo dejar de simularlo en 5 días. Del 11 al 15 de mayo, en línea.

Cómo pasar de «he leído la directiva» a «soy capaz de implementarla» en 5 días. Del 4 al 8 de mayo, en línea.

Plantilla gratuita de Business Impact Assessment. Tres secciones. Matriz de impacto preconfigurada. Lista para ISO 22301.

Porque los hechos informan, pero las historias hacen que las personas se preocupen por el compliance.

La mayoría de los KPIs de GRC son inútiles. Estos son los que realmente demuestran el cumplimiento y orientan las decisiones.

Cómo conseguir que los directivos se preocupen de verdad por el riesgo y actúen en consecuencia.

Si quieren que los directivos presten atención, deben dejar de informar como un responsable de cumplimiento y empezar a hacerlo como un socio de negocio.

Si quiere que el consejo preste atención de verdad, y no que simplemente soporte sus diapositivas, necesita convertir la evaluación de riesgos en una conversación orientada a la toma de decisiones. Así es como se hace.

Cómo hablar de GRC con personas ajenas al GRC (y conseguir que les importe)

Porque la mayoría de los registros de riesgos son simples hojas de cálculo costosas llenas de pensamiento ilusorio.

Y por qué «tenemos una política para eso» no será suficiente esta vez con NIS2

El cumplimiento basado en checklists está muriendo. Así es como las organizaciones pasan de una madurez ficticia a una seguridad estratégica real.

Y por qué confundir la gobernanza de IA con el cumplimiento de IA puede traerle problemas.

Una guía práctica y probada en el campo sobre las certificaciones ISO que todo profesional de GRC debe conocer; y por qué son relevantes en la práctica.

Porque «de conformidad con los requisitos legales aplicables…» no es como hablan las personas. Por tanto, sus políticas no deberían incluir esto.

Porque la mayoría de las etiquetas «Confidencial / Interno / Público» son puramente decorativas.

Una hoja de ruta probada en campo para pasar de analista GRC junior a CISO, sin perderse entre plantillas, auditorías o burocracia corporativa.

Por qué fallan las auditorías, qué significa realmente y las lecciones que toda organización debe aprender para no repetir los mismos errores.

Cómo hablar de GRC con personas sin perfil GRC (y conseguir que les importe)

Notas de campo de evaluaciones de brechas reales en Europa, no de manuales.

La cultura de cumplimiento no se construye con políticas ni listas de verificación; se construye con comportamientos, responsabilidad y claridad.

Cómo un vCISO puede destacar de verdad en un mercado saturado siendo práctico, cercano y sistemáticamente útil.

Cómo hablar de GRC con personas ajenas al GRC (y conseguir que les importe) En 2026, las empresas que sobrevivan a la tormenta regulatoria, NIS2, DORA, el AI Act, el CRA Act, el DATA Act, ESG, privacidad y todo lo demás, serán las que por fin dejen de gestionar marcos normativos de forma aislada. Entramos en la era de la convergen

Excel funciona… hasta que deja de funcionar. Esta es la línea pragmática entre las hojas de cálculo «suficientemente buenas» y el momento en que tu organización realmente necesita una plataforma GRC.
El boletín The GRC Brief publica una edición breve cada lunes a las 8h CET. Cinco enlaces y un análisis corto. Tres minutos de lectura, sin relleno de IA.