GRC y cumplimiento: guía completa (ISO 27001, ENS, NIS2)

La gobernanza, el riesgo y el cumplimiento (GRC, por sus siglas en inglés: Governance, Risk and Compliance) conforman el esqueleto sobre el que las organizaciones responsables construyen su ciberseguridad. No se trata de burocracia: es la diferencia entre una organización que gestiona activamente sus riesgos y una que descubre sus vulnerabilidades cuando ya es demasiado tarde. En España y en la Unión Europea, el marco normativo —ISO 27001:2022, el Esquema Nacional de Seguridad (Real Decreto 311/2022) y la Directiva NIS2 (2022/2555)— exige cada vez más que las organizaciones puedan demostrar su nivel de seguridad, no solo afirmarlo.

Esta guía cubre de forma completa qué es GRC, cómo funciona la gestión de riesgos en la práctica, qué implica certificarse en ISO 27001, qué obliga el ENS y la NIS2, y cómo entrar a trabajar en este campo, uno de los de mayor demanda en el mercado laboral de la ciberseguridad.

Qué es GRC en ciberseguridad y por qué importa

GRC no es un producto ni una herramienta: es un enfoque integrado para alinear la tecnología, los procesos y las personas con los objetivos estratégicos de la organización, asegurando al mismo tiempo que se gestionan los riesgos y se cumplen las obligaciones legales y regulatorias.

• Gobernanza: define quién toma las decisiones de seguridad, con qué autoridad y con qué rendición de cuentas. Incluye políticas, comités, roles (CISO, DPO…) y el proceso de supervisión por parte de la alta dirección.
• Riesgo: proceso continuo de identificar, analizar, evaluar y tratar los riesgos que pueden afectar a los activos de información. No implica eliminarlos todos —es imposible y no rentable— sino gestionarlos de forma consciente y documentada.
• Cumplimiento: verificar que la organización opera dentro de los requisitos legales, regulatorios y contractuales aplicables: RGPD, ENS, NIS2, ISO 27001, PCI DSS, contratos con clientes…

Los tres pilares se retroalimentan. Una política de gobernanza sólida establece cómo se gestionan los riesgos; el análisis de riesgos informa qué controles son necesarios para cumplir con la normativa; el cumplimiento normativo valida que la gobernanza funciona. Cuando los tres se desacoplan —como ocurre en muchas organizaciones que «cumplen en papel» pero no en la práctica— el resultado es una falsa sensación de seguridad.

Por qué GRC es un sector en auge

El volumen de normativa de ciberseguridad en Europa ha crecido de forma exponencial en los últimos años: RGPD (2018), ENS revisado (2022), NIS2 (2022, en transposición), DORA para el sector financiero (2025), Cyber Resilience Act para productos conectados (aprobado 2024)… Las organizaciones necesitan profesionales que entiendan esa normativa y sepan implementarla técnicamente. El perfil GRC es uno de los más buscados en las grandes consultoras, auditoras y proveedores de servicios gestionados de seguridad (MSSP).

Gestión de riesgos: proceso y metodologías

La gestión de riesgos de seguridad de la información sigue un ciclo estructurado. Tanto ISO 27005 como MAGERIT articulan ese ciclo de forma muy similar:

1. Establecer el contexto: definir el alcance (qué sistemas, qué procesos, qué datos), los criterios de aceptación de riesgo y el apetito de riesgo de la organización.
2. Identificar activos y amenazas: inventariar los activos de información (datos, sistemas, personas, instalaciones), identificar las amenazas que pueden afectarles y las vulnerabilidades que podrían ser explotadas.
3. Analizar el riesgo: calcular la probabilidad de que una amenaza se materialice y el impacto que tendría sobre la organización (en términos de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad —las cinco dimensiones del ENS).
4. Evaluar el riesgo: comparar el nivel de riesgo calculado con los criterios de aceptación para decidir qué riesgos se deben tratar prioritariamente.
5. Tratar el riesgo: elegir la opción de tratamiento (mitigar aplicando controles, transferir mediante seguros o contratos, aceptar si está por debajo del umbral, o eliminar la actividad que genera el riesgo).
6. Monitorear y revisar: el ciclo no termina aquí. Los riesgos evolucionan con el contexto, la tecnología y las amenazas.

MAGERIT: la metodología de referencia en España

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas) es la metodología oficial española para el análisis de riesgos TIC en el sector público. Desarrollada por el Centro Criptológico Nacional (CCN), su versión vigente es la 3.0 (publicada en octubre de 2012 y que sigue siendo la referencia actual). Se estructura en tres libros: Método, Catálogo de Elementos y Guía de Técnicas.

MAGERIT es de uso obligatorio implícito para cumplir con el ENS, y la herramienta PILAR (también del CCN) la implementa de forma automatizada. Para el sector privado, MAGERIT es optativa pero ampliamente adoptada, especialmente en proyectos donde hay interacción con la Administración.

ISO 27005: el marco de gestión de riesgos de la familia ISO 27000

ISO/IEC 27005 es el estándar de la familia ISO 27000 dedicado específicamente a la gestión de riesgos de seguridad de la información. Su última revisión es de 2022 y es la referencia complementaria a ISO 27001 para implementar el proceso de gestión de riesgos del Sistema de Gestión de Seguridad de la Información (SGSI). A diferencia de MAGERIT, ISO 27005 no prescribe una metodología concreta: ofrece un marco adaptable que la organización puede aplicar con la metodología que elija (MAGERIT, OCTAVE, FAIR, etc.).

Conceptos clave: activos, amenazas, vulnerabilidades e impacto

Para trabajar en GRC conviene manejar con precisión estos términos:

• Activo: cualquier cosa con valor para la organización que debe protegerse (base de datos de clientes, servidor de correo, clave de firma, reputación de marca).
• Amenaza: evento potencial que puede causar daño. Puede ser deliberada (ransomware, phishing, insider malicioso), accidental (error humano, fallo de hardware) o ambiental (inundación, corte eléctrico).
• Vulnerabilidad: debilidad en un activo o control que puede ser explotada por una amenaza (software sin parchear, política de contraseñas débil, ausencia de backups cifrados).
• Riesgo: función de la probabilidad de que una amenaza explote una vulnerabilidad y el impacto resultante: Riesgo = f(Probabilidad, Impacto).
• Control: medida que reduce la probabilidad o el impacto del riesgo (autenticación multifactor, cifrado, segmentación de red, formación en concienciación).

ISO 27001 e ISO 27002: el SGSI y los controles

ISO/IEC 27001 es el estándar internacional de referencia para los Sistemas de Gestión de Seguridad de la Información (SGSI). La versión vigente es ISO/IEC 27001:2022, publicada el 25 de octubre de 2022, que sustituyó a la edición de 2013. Las organizaciones certificadas bajo la versión 2013 debían migrar antes de octubre de 2025 para mantener la certificación.

Qué es un SGSI

Un SGSI (Sistema de Gestión de Seguridad de la Información) es el conjunto de políticas, procedimientos, controles, roles y procesos que una organización establece para gestionar sistemáticamente la seguridad de su información. No es una tecnología: es un sistema de gestión similar en estructura al ISO 9001 de calidad o al ISO 14001 de medio ambiente. Se basa en el ciclo PDCA (Plan-Do-Check-Act): planificar, implementar, medir y mejorar continuamente.

Los requisitos del SGSI se definen en las cláusulas 4 a 10 de ISO 27001:2022:

• Cláusula 4: Contexto de la organización (partes interesadas, alcance, cuestiones internas y externas).
• Cláusula 5: Liderazgo (compromiso de la dirección, política de seguridad, roles y responsabilidades).
• Cláusula 6: Planificación (gestión de riesgos, objetivos de seguridad).
• Cláusula 7: Soporte (recursos, competencias, comunicación, documentación).
• Cláusula 8: Operación (implementar los planes de tratamiento de riesgos).
• Cláusula 9: Evaluación del desempeño (auditorías internas, revisión por la dirección, métricas).
• Cláusula 10: Mejora (gestión de no conformidades y acciones correctivas).

El Anexo A: los 93 controles de ISO 27001:2022

El Anexo A de ISO 27001:2022 lista 93 controles de seguridad organizados en cuatro categorías (en la versión 2013 eran 114 controles en 14 dominios):

• Controles organizacionales (37): políticas, gestión de activos, seguridad de proveedores, gestión de incidentes, continuidad de negocio, cumplimiento…
• Controles de personas (8): selección, formación, concienciación, acuerdos de confidencialidad, trabajo remoto…
• Controles físicos (14): seguridad de perímetro, control de acceso físico, protección de equipos, escritorios limpios…
• Controles tecnológicos (34): autenticación, gestión de claves, segmentación de redes, gestión de vulnerabilidades, SIEM, DLP, criptografía…

La selección de controles no es obligatoria al 100%: la organización debe justificar qué controles aplica, cuáles no aplica y por qué, en un documento denominado Declaración de Aplicabilidad (SoA, Statement of Applicability). Este documento es uno de los entregables clave de cualquier proyecto de implantación de ISO 27001.

ISO/IEC 27002:2022, publicada en febrero de 2022, es el código de buenas prácticas complementario que proporciona orientación detallada sobre cómo implementar cada uno de los 93 controles del Anexo A. ISO 27002 no es certificable: sirve como guía de implementación.

Cómo se certifica una organización en ISO 27001

El proceso de certificación ISO 27001 tiene varias fases bien diferenciadas:

1. Análisis de brecha (gap analysis): comparar el estado actual de la organización con los requisitos de la norma para identificar qué falta implementar.
2. Definición del alcance: determinar qué partes de la organización (departamentos, sistemas, procesos, ubicaciones) entran en el SGSI. Un alcance demasiado estrecho puede invalidar la certificación comercialmente; demasiado amplio eleva el coste.
3. Análisis y tratamiento de riesgos: el núcleo del SGSI. Sin un análisis de riesgos documentado y un plan de tratamiento, no hay certificación posible.
4. Implementación de controles: aplicar las medidas de seguridad seleccionadas en la SoA, crear las políticas y procedimientos, y evidenciar su funcionamiento.
5. Auditoría interna: la organización verifica por sí misma (o con una empresa externa) que el SGSI está correctamente implementado y funciona según lo planificado.
6. Revisión por la dirección: la alta dirección revisa el estado del SGSI, los resultados de las auditorías y los indicadores, y toma decisiones sobre su mejora.
7. Auditoría de certificación: una entidad de certificación acreditada (AENOR, Bureau Veritas, DNV, TÜV, SGS…) realiza la auditoría en dos etapas: Fase 1 (revisión documental) y Fase 2 (auditoría de implementación in situ). Si supera ambas, la organización recibe el certificado, válido durante tres años con auditorías de seguimiento anuales.

El coste de certificación varía enormemente según el tamaño de la organización y el alcance. Para una pyme española con un alcance limitado, el proceso completo (consultoría + certificación) puede oscilar entre 15.000 y 50.000 euros. Para grandes corporaciones el rango es mucho más amplio.

El ENS — Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) es el marco legal de ciberseguridad obligatorio para las Administraciones Públicas españolas y sus proveedores tecnológicos. Está regulado por el Real Decreto 311/2022, de 3 de mayo, que actualizó y sustituyó al anterior RD 3/2010. Su desarrollo técnico corre a cargo del Centro Criptológico Nacional (CCN), dependiente del CNI.

Ámbito de aplicación: quién debe cumplirlo

El ENS es de aplicación obligatoria para:

• Toda la Administración General del Estado, comunidades autónomas y entidades locales.
• Organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
• Empresas privadas proveedoras de sistemas TIC a la Administración Pública: si tu empresa da servicios tecnológicos (hosting, desarrollo de software, servicios cloud, consultoría TI) a cualquier entidad pública española, debes cumplir con el ENS en el alcance de ese servicio. Este es un requisito contractual cada vez más exigido en pliegos de licitación pública.

Categorías y niveles del ENS

El ENS clasifica los sistemas de información en tres categorías según el potencial impacto de un incidente de seguridad en el ejercicio de las competencias administrativas, la prestación de servicios o el cumplimiento de la misión:

• Categoría BÁSICA: el incidente de seguridad tendría un perjuicio limitado sobre las funciones de la organización, activos, personas u otras organizaciones.
• Categoría MEDIA: el perjuicio sería grave. Incluye la mayoría de sistemas de administración electrónica con datos de ciudadanos y servicios esenciales de nivel medio.
• Categoría ALTA: el perjuicio sería muy grave o catastrófico. Sistemas críticos para la seguridad nacional, la salud pública o la economía del Estado.

Dentro de cada sistema, cada dimensión de seguridad (Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad) recibe un nivel de requerimiento: BAJO, MEDIO o ALTO. La categoría del sistema se determina por la dimensión que alcance el nivel más alto.

Las 73 medidas de seguridad del Anexo II

El Anexo II del Real Decreto 311/2022 define 73 medidas de seguridad distribuidas en tres marcos:

• Marco organizativo (4 medidas): política de seguridad, normativa, procedimientos, proceso de autorización.
• Marco operacional (32 medidas): planificación, control de acceso, explotación, servicios externos, continuidad del servicio, monitorización del sistema.
• Medidas de protección (37 medidas): protección de instalaciones, sistemas, redes, aplicaciones, información y servicios.

No todas las medidas aplican a todas las categorías: el ENS define para cada medida en qué nivel (BAJO, MEDIO, ALTO) es exigible, y en qué casos aplica a todas las categorías.

Certificación ENS: obligatoria para media y alta

La certificación de conformidad con el ENS es obligatoria para sistemas de categoría MEDIA y ALTA. Para categoría BÁSICA, la conformidad se acredita mediante una Declaración de Conformidad sin auditoría externa obligatoria (aunque es crecientemente exigida en contratos). La auditoría de certificación debe realizarse por una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación) y renovarse cada dos años. El CCN-CERT mantiene el catálogo de entidades certificadoras acreditadas y las Guías CCN-STIC, que son el complemento técnico indispensable para la implementación práctica del ENS.

Relación entre ENS e ISO 27001

ENS e ISO 27001 son marcos complementarios, no equivalentes. El CCN ha publicado una guía de correspondencia (CCN-STIC 825) que mapea las medidas del ENS con los controles de ISO 27001. Muchas organizaciones del sector público implementan ambos de forma simultánea, ya que comparten la filosofía de gestión del riesgo, aunque el ENS tiene un catálogo de medidas más prescriptivo y adaptado al contexto de la Administración española.

NIS2: la Directiva de Seguridad de Redes y Sistemas de Información

La Directiva (UE) 2022/2555, conocida como NIS2, fue aprobada el 14 de diciembre de 2022 y publicada en el Diario Oficial de la UE el 27 de diciembre de 2022. Sustituyó a la Directiva NIS original de 2016 (2016/1148) con un ámbito de aplicación y unos requisitos de seguridad mucho más exigentes. El plazo para su transposición al derecho nacional de los Estados miembros era el 17 de octubre de 2024.

A quién aplica NIS2: sectores y umbrales

NIS2 amplía significativamente el alcance respecto a su predecesora. Distingue dos tipos de entidades:

• Entidades esenciales: sectores de alta criticidad — energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructuras digitales (IXPs, proveedores DNS, TLD, centros de datos, computación en la nube, redes CDN), gestión de servicios TIC, espacio. Para este grupo, el límite de tamaño es grande empresa (≥250 empleados o >50M€ de facturación o >43M€ de balance), aunque los operadores de infraestructuras críticas se incluyen independientemente del tamaño.
• Entidades importantes: sectores críticos adicionales — servicios postales, gestión de residuos, fabricación de productos críticos (farmacéutica, médico, químico, alimentación), proveedores de servicios digitales (mercados en línea, motores de búsqueda, redes sociales), investigación. Límite de tamaño: mediana empresa (≥50 empleados o >10M€).

A diferencia de NIS1, donde los Estados miembros identificaban discrecionalmente a los operadores afectados, NIS2 establece criterios objetivos de tamaño y sector: si tu organización supera los umbrales y opera en un sector cubierto, está sujeta a la directiva automáticamente.

Obligaciones principales bajo NIS2

Las entidades sujetas a NIS2 deben cumplir obligaciones en dos grandes áreas:

Medidas de gestión de riesgos de ciberseguridad (artículo 21):

• Políticas de análisis de riesgos y seguridad de los sistemas de información.
• Gestión de incidentes (prevención, detección, respuesta).
• Continuidad de negocio y gestión de crisis.
• Seguridad de la cadena de suministro (evaluar y gestionar la seguridad de proveedores y prestadores de servicios).
• Adquisición, desarrollo y mantenimiento seguro de redes y sistemas, incluida la divulgación de vulnerabilidades.
• Evaluación de la eficacia de las medidas (auditorías, pruebas de penetración).
• Criptografía y cifrado.
• Seguridad de los recursos humanos, control de acceso, gestión de activos.
• Autenticación multifactor y comunicaciones seguras.

Obligaciones de notificación de incidentes (artículo 23):

• Notificación temprana al CSIRT nacional o a la autoridad competente en un plazo de 24 horas desde que se tenga conocimiento de un incidente significativo.
• Notificación completa del incidente en 72 horas.
• Informe final en el plazo de un mes.

Régimen sancionador de NIS2

NIS2 establece sanciones significativamente más severas que NIS1:

• Entidades esenciales: multas de hasta 10 millones de euros o el 2% del volumen de negocios mundial total anual (la cifra mayor).
• Entidades importantes: multas de hasta 7 millones de euros o el 1,4% del volumen de negocios mundial (la cifra mayor).

Además, NIS2 introduce la responsabilidad personal de los órganos de dirección: los máximos responsables de las entidades esenciales pueden ser declarados responsables si el incumplimiento se debe a negligencia de su parte, y pueden ser inhabilitados temporalmente.

Estado de la transposición en España (junio 2026)

España incumplió el plazo de transposición del 17 de octubre de 2024. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025, pero a junio de 2026 todavía se encuentra en tramitación parlamentaria en las Cortes Generales, pendiente de aprobación definitiva y publicación en el BOE. La Comisión Europea emitió un dictamen motivado contra España en mayo de 2025 por el retraso, con riesgo de demanda ante el Tribunal de Justicia de la UE.

A pesar de que la ley de transposición no ha sido aprobada formalmente, la Directiva NIS2 tiene efecto directo en muchos de sus aspectos para los Estados miembros, y las organizaciones que operen en sectores cubiertos deben ir preparándose para cumplir sus requisitos. El Anteproyecto prevé la creación de un Centro Nacional de Ciberseguridad (CNC), adscrito a la Presidencia del Gobierno, que coordinaría la política nacional de ciberseguridad.

La relación entre GRC y el RGPD

El Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) es, en esencia, una norma de GRC aplicada a los datos personales. Su relación con la ciberseguridad es directa: el artículo 32 del RGPD obliga a los responsables y encargados del tratamiento a implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado, seudonimización, mecanismos para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, y procedimientos de prueba y evaluación regular.

Un SGSI basado en ISO 27001 proporciona una base sólida para cumplir con el artículo 32 del RGPD, aunque no es suficiente por sí solo (el RGPD exige también bases legítimas de tratamiento, derechos de los interesados, evaluaciones de impacto relativas a la protección de datos —EIPD—, etc.). El rol del Delegado de Protección de Datos (DPO) es la figura GRC del RGPD: supervisa el cumplimiento, es el punto de contacto con la Agencia Española de Protección de Datos (AEPD) y asesora a la organización en materia de protección de datos.

NIS2 y el RGPD se solapan en la notificación de incidentes: un incidente de seguridad que afecte a datos personales puede generar obligaciones tanto bajo NIS2 (notificación al CSIRT en 24h) como bajo el RGPD (notificación a la autoridad de control en 72h y, en ciertos casos, a los interesados). Las organizaciones sujetas a ambas normativas deben coordinar sus protocolos de respuesta a incidentes para cumplir los dos plazos de forma simultánea.

Marcos complementarios: NIST CSF 2.0 y COBIT

NIST Cybersecurity Framework 2.0

El NIST Cybersecurity Framework (CSF) es un marco voluntario desarrollado por el National Institute of Standards and Technology de Estados Unidos, pero de uso muy extendido en Europa como complemento a ISO 27001. La versión 2.0 fue publicada en febrero de 2024. Organiza las capacidades de ciberseguridad en seis funciones:

• GOVERN (nueva en 2.0): estrategia de ciberseguridad, gobernanza, gestión del riesgo, roles y responsabilidades. Es la función que mayor importancia tiene para GRC.
• IDENTIFY: inventario de activos, gestión de riesgos, evaluación de la cadena de suministro.
• PROTECT: control de identidad y acceso, formación, seguridad de datos, hardening.
• DETECT: monitorización continua, detección de anomalías e incidentes.
• RESPOND: gestión de incidentes, comunicación, análisis y mitigación.
• RECOVER: recuperación de sistemas, comunicación post-incidente, mejoras.

El CSF 2.0 se usa frecuentemente para comunicar la postura de ciberseguridad a la alta dirección (el nivel de madurez en cada función es fácil de visualizar) y para estructurar programas de mejora cuando ISO 27001 parece demasiado prescriptiva para empezar.

COBIT: gobernanza de TI y auditoría

COBIT (Control Objectives for Information and Related Technologies), desarrollado por ISACA, es el marco de referencia para la gobernanza y gestión de TI empresarial. Su versión actual es COBIT 2019. Es especialmente relevante en entornos donde la ciberseguridad se entiende como parte de la gobernanza corporativa más amplia: fusiones y adquisiciones, auditorías de cumplimiento, entornos regulados (banca, seguros, administración pública). COBIT está estrechamente relacionado con las certificaciones CISA y CGEIT de ISACA.

Roles profesionales en GRC

El campo GRC alberga varios perfiles diferenciados, aunque en organizaciones medianas una misma persona puede desempeñar varios de ellos:

CISO (Chief Information Security Officer)

El CISO es el máximo responsable de la estrategia de seguridad de la información en una organización. Responde ante el Consejo de Administración o el CEO y tiene responsabilidad sobre el programa completo de ciberseguridad: estrategia, presupuesto, equipo, cumplimiento normativo y gestión de riesgos. En el nuevo marco de NIS2, los órganos de dirección tienen responsabilidad personal explícita, lo que eleva el perfil del CISO. Las certificaciones más valoradas para este rol son CISM, CISSP y CCISO (de EC-Council).

DPO (Delegado de Protección de Datos)

El DPO es la figura exigida por el RGPD en determinadas organizaciones (públicas, las que tratan datos a gran escala o datos sensibles). Su función es supervisar el cumplimiento del RGPD, asesorar a la organización, ser el punto de contacto con la AEPD y gestionar las evaluaciones de impacto (EIPD). El DPO no tiene por qué ser el mismo que el CISO, aunque en muchas pymes ambas funciones recaen en la misma persona. Puede ser interno o externo (DPO en servicio). No existe una certificación oficial obligatoria para DPO, pero la AEPD reconoce y promueve esquemas de certificación de DPO (acreditados por AENOR).

Auditor de seguridad / Auditor ENS o ISO 27001

El auditor de seguridad evalúa si los controles de una organización cumplen con los requisitos de un estándar (ISO 27001, ENS, PCI DSS…). Puede ser auditor interno (empleado de la organización) o externo (de una entidad certificadora acreditada). La certificación CISA de ISACA es el estándar del sector para auditores de sistemas de información; para ISO 27001 específicamente, existen certificaciones de ISO 27001 Lead Auditor.

Consultor GRC

El consultor GRC ayuda a las organizaciones a diseñar e implementar sus sistemas de gestión, gestionar riesgos y alcanzar la conformidad normativa. Trabaja habitualmente en grandes consultoras (Big Four, consultoras de ciberseguridad especializadas) o como freelance. Combina conocimiento técnico de ciberseguridad con habilidades de comunicación, gestión de proyectos y conocimiento legal/normativo.

Analista de riesgos / Risk Manager

El analista de riesgos es el especialista en el componente de riesgo del GRC: lleva a cabo los análisis de riesgos (con metodologías como MAGERIT, ISO 27005, FAIR), mantiene el registro de riesgos y reporta a la dirección. Es una figura común en bancos, aseguradoras, infraestructuras críticas y grandes empresas tecnológicas.

Certificaciones para trabajar en GRC

Estas son las certificaciones más valoradas en el mercado español y europeo para perfiles GRC, organizadas por perfil:

Para gestores de seguridad y CISOs

• CISM (Certified Information Security Manager) — ISACA. La referencia para gestores de seguridad: cubre gobernanza, gestión del programa de seguridad, gestión de riesgos y gestión de incidentes. Muy bien valorada en España y Europa. Requiere cinco años de experiencia en gestión de seguridad. Ver reseña completa de CISM.
• CISSP (Certified Information Systems Security Professional) — ISC². El estándar del sector para profesionales de seguridad senior, con ocho dominios que cubren desde criptografía hasta seguridad en la nube. Útil para CISOs y arquitectos de seguridad. Requiere cinco años de experiencia.

Para auditores y especialistas en cumplimiento

• CISA (Certified Information Systems Auditor) — ISACA. La certificación de referencia para auditores de sistemas de información. Cubre auditoría de sistemas, gobernanza y gestión de TI, adquisición y desarrollo, operaciones TI y protección de activos. Requiere cinco años de experiencia en auditoría o control de sistemas. Muy demandada por las Big Four y firmas de auditoría.
• ISO 27001 Lead Auditor (PECB, BSI, Bureau Veritas…). Certifica la competencia para auditar SGSIs bajo ISO 27001. Imprescindible para auditores de entidades certificadoras o consultores que acompañan a organizaciones en procesos de certificación.
• ISO 27001 Lead Implementer (PECB, BSI…). Certifica la competencia para diseñar e implementar un SGSI desde cero. Muy valorada en consultores y jefes de proyecto de implantación.

Para especialistas en riesgos

• CRISC (Certified in Risk and Information Systems Control) — ISACA. La certificación de referencia para especialistas en riesgo TI: cubre identificación, evaluación y respuesta al riesgo, y diseño de controles. Es la más específica de las tres ISACA para el componente de riesgo de GRC. Requiere tres años de experiencia en gestión de riesgos. Ver reseña completa de CRISC.

Otras certificaciones relevantes

• CCISO (Certified Chief Information Security Officer) — EC-Council. Orientada específicamente al rol de CISO, cubre gobernanza, gestión de programas, controles, auditoría, gestión de proyectos y finanzas.
• CGEIT (Certified in the Governance of Enterprise IT) — ISACA. Para profesionales que trabajan en gobernanza corporativa de TI; más cercana a COBIT y a roles de dirección.

Para una visión completa del panorama de certificaciones de ciberseguridad, incluyendo cuáles tienen mayor salida laboral y retorno de inversión, consulta las certificaciones de ciberseguridad mejor pagadas y el mapa de certificaciones de seguridad.

Cómo entrar a trabajar en GRC

GRC es un área donde la experiencia combinada —técnica + normativa + gestión— es lo más valorado, pero hay rutas claras para entrar sin necesidad de tener años de experiencia en todos los frentes.

Ruta desde la técnica

Muchos profesionales GRC provienen de roles técnicos: analistas de seguridad, administradores de sistemas, pentesters. Su fortaleza es entender los controles técnicos desde dentro. La transición implica adquirir conocimiento normativo (estudiar los estándares, obtener certificaciones como CISM o ISO 27001 Lead Implementer) y desarrollar habilidades de comunicación y redacción de documentos (políticas, procedimientos, informes de riesgo). Más sobre cómo trabajar en ciberseguridad.

Ruta desde el derecho o la empresa

Perfiles de derecho (especialmente con especialización en protección de datos o derecho TIC), administración de empresas o consultoría de negocio también tienen camino hacia GRC. Su fortaleza es el análisis normativo y la gestión. Necesitan adquirir suficiente base técnica para entender los controles y comunicarse con los equipos de TI. La certificación CISA o ISO 27001 Lead Auditor son puntos de entrada naturales.

Salidas laborales concretas

En el mercado español, los perfiles GRC aparecen principalmente en:

• Grandes consultoras y auditorías (Deloitte, PwC, EY, KPMG, Accenture, Indra, Telefónica Tech…): contratan muchos perfiles junior para proyectos de implantación ISO 27001, ENS o consultoría NIS2.
• MSSPs (proveedores de servicios de seguridad gestionada): empresas como S2 Grupo, Tarlogic, GMV, Atos, Sopra Steria tienen áreas de GRC y cumplimiento.
• Sectores regulados: banca, seguros, energía, salud y telecomunicaciones son los sectores con mayor demanda de perfiles GRC internos. El sector público (administración central y autonómica) también contrata especialistas ENS.
• Autónomo / freelance: la consultoría DPO externalizado y la consultoría de certificación ISO 27001 para pymes son nichos viables para autónomos con experiencia.

Plan de entrada recomendado (sin experiencia previa)

1. Adquirir base de ciberseguridad: cursos de fundamentos (CompTIA Security+, o equivalente), lectura de los estándares (ISO 27001, ENS, RGPD).
2. Obtener una certificación de entrada: ISO 27001 Foundation, CISM (aunque requiere experiencia, el examen se puede preparar antes), o el certificado de DPO acreditado.
3. Buscar posición junior en consultoría GRC o como analista de cumplimiento: el trabajo real en proyectos de implantación es el mejor aprendizaje.
4. Con 3-5 años de experiencia: plantearse CISM, CISA o CRISC según la especialización elegida.

Para una guía más completa sobre cómo orientar tu carrera, consulta cómo empezar en ciberseguridad desde cero y la sección de cursos y reseñas de certificaciones.

Preguntas frecuentes sobre GRC en ciberseguridad

¿Es lo mismo ISO 27001 que el ENS?

No. ISO 27001 es un estándar internacional voluntario (para organizaciones privadas; puede ser contractualmente obligatorio) gestionado por la International Organization for Standardization. El ENS es una regulación con base legal española (Real Decreto 311/2022) de aplicación obligatoria para la Administración Pública y sus proveedores TIC. Son complementarios: muchas organizaciones públicas implementan ambos. El CCN ha publicado guías de correspondencia entre ambos marcos.

¿A qué tipo de empresa afecta NIS2 en España?

Afecta a empresas medianas y grandes (≥50 empleados o >10M€ de facturación) que operen en los 18 sectores cubiertos (energía, transporte, banca, salud, agua, infraestructuras digitales, servicios postales, gestión de residuos, fabricación crítica, proveedores de servicios digitales…). Las pymes con menos de 50 empleados quedan fuera, con excepciones para operadores de infraestructuras críticas independientemente de su tamaño. A junio de 2026, la ley de transposición española todavía está en tramitación parlamentaria.

¿Necesito certificarme en ISO 27001 para cumplir con el RGPD?

No es obligatorio. El RGPD no exige específicamente la certificación ISO 27001, pero sí implementar «medidas técnicas y organizativas apropiadas» (artículo 32). Un SGSI certificado en ISO 27001 es una forma muy sólida de demostrar ese cumplimiento ante la AEPD, aunque no es la única. Lo que sí es obligatorio es la evaluación de impacto (EIPD) para tratamientos de alto riesgo, y la notificación de brechas a la AEPD en 72 horas.

¿Cuánto tarda en promedio implementar ISO 27001 en una pyme?

Depende del alcance y del punto de partida. Para una pyme que parte de cero, el proceso completo hasta la auditoría de certificación suele llevar entre 9 y 18 meses. Con un alcance reducido y apoyo de consultoría especializada, algunos proyectos se completan en 6-9 meses. El mayor tiempo lo consumen el análisis de riesgos, la redacción de documentación (políticas, procedimientos, SoA) y la recopilación de evidencias de funcionamiento.

¿Cuál es la diferencia entre CISM y CRISC?

Ambas son certificaciones de ISACA orientadas a GRC, pero con enfoque distinto. CISM (Certified Information Security Manager) se centra en la gestión del programa de seguridad de la información en su conjunto: estrategia, gobernanza, gestión de incidentes y gestión de riesgos de forma general. CRISC (Certified in Risk and Information Systems Control) va específicamente en profundidad al componente de riesgo TI: identificación, análisis, evaluación, respuesta y diseño de controles. Para un CISO, CISM es más relevante; para un especialista en riesgos o un auditor orientado al riesgo, CRISC. Muchos profesionales senior tienen ambas. Ver reseña de CRISC y ver reseña de CISM.

¿Qué son las Guías CCN-STIC?

Las Guías CCN-STIC (Series de Instrucciones Técnicas de Seguridad) son publicaciones técnicas del Centro Criptológico Nacional que desarrollan cómo implementar el ENS en la práctica: hardening de sistemas operativos, configuración de servicios cloud, respuesta a incidentes, auditoría, etc. Son gratuitas y de acceso público en el portal del CCN-CERT. Son la referencia técnica indispensable para cualquier organización que trabaje con el ENS.

¿Es MAGERIT aplicable al sector privado?

MAGERIT es la metodología oficial de análisis de riesgos para la Administración Pública española. El sector privado puede usarla voluntariamente —y de hecho muchas empresas proveedoras de la Administración la utilizan por alineación— pero no está obligado. Las alternativas más usadas en el sector privado son ISO 27005, FAIR (Factor Analysis of Information Risk) y metodologías propias de las grandes consultoras. Lo importante es tener y documentar un proceso de análisis de riesgos, sea cual sea la metodología elegida.

¿Qué diferencia hay entre una entidad esencial y una importante en NIS2?

Las entidades esenciales operan en los sectores de mayor criticidad (energía, transporte, banca, salud, agua, infraestructuras digitales, espacio) y son las empresas más grandes de esos sectores (o críticas independientemente del tamaño). Están sujetas a supervisión activa (la autoridad puede auditar y solicitar evidencias de cumplimiento de forma proactiva) y a las sanciones más elevadas (hasta 10M€ o 2% del volumen global). Las entidades importantes son empresas medianas de sectores adicionales (residuos, fabricación crítica, servicios digitales…) y están sujetas a supervisión reactiva (la autoridad actúa tras incidentes o denuncias) y a sanciones algo menores (hasta 7M€ o 1,4%).