Qué es y dónde situamos el ENS y la ISO 27001:

• Qué es la Seguridad de la Información. Dimensiones. Escenarios. Definiciones. Profesiones.
• Qué tipo de problemas principales se dan respecto a la Seguridad de la Información.
• Generalidades de la norma ISO 27001 y del Esquema Nacional de Seguridad. Ámbito de aplicación.
  • El Sistema de gestión de Seguridad de la Información. La documentación para las normas.
  • La Notificación de incidentes (LOPD, Ciberincidentes, Infraestructuras Críticas).
  • Las auditorías.
  • El proceso de certificación.
  • El Centro Criptológico Nacional y las guías.
  • Relación del ENS o la ISO 27001 con la LOPD.

Pasos de implementación: El Sistema y su contexto.

• El Sistema de Gestión de Seguridad de la Información. Alcance.
• La categorización del Sistema en el ENS
• La Clasificación de la Información.
• El Análisis y Gestión de Riesgos con Magerit y Pilar.
• El Tratamiento de los Riesgos y la Declaración de Aplicabilidad.
• La implementación o adecuación de medidas de seguridad y la generación de procedimientos.
  • Marco Organizativo.
  • Marco Operacional.
  • Medidas de protección.
• Los informes, auditorías y la certificación.

El Análisis de Riesgos con PILAR: Una aproximación pragmática.

• Aspectos generales de PILAR y su configuración
• Enumeración de Activos y su valoración
• Definición de Perímetros de Seguridad
• Factores Agravantes y Atenuantes
• Introducción de salvaguardas con perfiles de seguridad
• Ajuste de Salvaguardas
• Riesgo Acumulado y Riesgo Repercutido
• Informe de análisis de riesgos
• Cómo hacer un informe de tratamiento de riesgos.

Relación entre el ENS o la ISO 27001 y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

• Más normas añadidas a la ISO 27001 para la protección de la privacidad
• El Análisis de Impacto en la LOPDGDD
• El Análisis de Riesgos con Pilar para la LOPDGDD.
• Las medidas de Seguridad de la LOPDGDD añadidas al ENS.

Pasos para realizar un Plan de adecuación

• Recopilar la información del Sistema
• Categorización del Sistema
• Generar la Declaración de Aplicabilidad
• Generar el análisis de riesgos Potencial
• Establecer necesidades adicionales a causa de la LOPDGDD
• Describir las tareas más urgentes del plan
• Describir el resto de tareas del plan
• Describir las revisiones periódicas del SGSI implementado

Implantación de un SGSI + DP.       

• Documentos que definen el SGSI
• Medidas técnicas de Configuración
• Clasificación e intercambio de la Información
• Medias de Gestión de usuarios y accesos
• Gestión de proveedores
• Gestión de incidentes y tareas. Autorizaciones
• Gestión de Cambios
• Concienciación, concienciación y concienciación
• Conceptos claves de Criptografía que hay que saber y cumplir
• Copias de Seguridad y Continuidad
• Sistemas y servicios Web. Correo Electrónico
• Computación en la Nube

Auditorías       

• El proceso de Auditoria y Certificación
  • El Informe a la Dirección.
  • Documentación esencial de un SGSI que pide un auditor siempre.
  • Cómo enfrentarse a una auditoría
  • Cómo realizar una auditoría interna
  • Cómo se realiza el proceso la primera vez y las veces siguientes
• Otros tipos de auditoría:
  • Servicios publicados: Vulnerabilidades, Intrusión.
  • Auditoría de código fuente.

Problemas de implementación de las normas ISO 27001 y ENS.

• Cómo trabajar en general: Iteraciones de implementación a 3 bandas.
  • A nivel administrativo y de configuración.
  • A nivel de implementación técnica.
  • Desde el punto de vista del usuario.
• Problemas y cómo gestionarlos:
  • No trabajar con la norma, sino para la norma.
  • No contar con los perfiles y responsabilidades.
  • No realizar un adecuado análisis de riesgos.
  • El Alcance y la correcta categorización del sistema.
  • No gestionar la Incertidumbre.
  • No realizar la correcta Gestión de Incidentes.
  • Concienciación, concienciación y concienciación.

Programa 100% online de seguimiento autónomo, con materiales didácticos de elaboración propia, documentación de apoyo y otros recursos. Foro de dudas y tutorización puntual con el docente.

Metodología del Curso
Este curso se imparte en modalidad 100% online, lo que permite a los participantes avanzar desde cualquier lugar y en el horario que mejor se adapte a sus necesidades.

Seguimiento semanal

Cada semana se habilitan nuevos contenidos y actividades, organizados para facilitar un aprendizaje progresivo y autónomo. Los estudiantes pueden gestionar su tiempo dentro de los plazos establecidos, manteniendo un ritmo constante.

Acompañamiento

De la mano del profesor, como en un tutorial detallado, seguiremos paso a paso la metodología, incorporando las ultimas novedades publicadas en la materia y con la posibilidad de utilizar la herramienta PILAR durante toda la duración del Taller.

Sesiones de tutoría
7 sesiones webinar en directo donde se expondrán los temas clave, se explicarán los casos prácticos, se resolverán dudas y se fomentará la interacción directa con el equipo docente y otros participantes.

Foro de consultas y participación
La plataforma incluye un foro activo donde los estudiantes pueden plantear preguntas, compartir reflexiones y colaborar con sus compañeros.

Materiales de estudio y actividades prácticas
Cada módulo incluye recursos didácticos como pueden ser lecturas, videos y guías, junto con actividades diseñadas para aplicar los conocimientos adquiridos.

Evaluaciones con fecha límite
Algunas actividades y pruebas de evaluación tienen tiempo y fecha límite para su realización. Es responsabilidad del estudiante revisar el calendario del curso y cumplir con los plazos establecidos para cada actividad evaluativa

• Enfoque Práctico: Trabajo de casos prácticosa medida que se van describiendo apartados de implementación
  Una sección completa con recursos y documentación adicional.
  Licencia de uso temporal de la herramienta PILAR.
  Gran interactividad: foros de dudas y participación.
  Aporte extra de documentación de apoyo y plantillas.
  Acceso a los contenidos del Taller y la herramienta PILAR durante un mes después de la finalización para poder asimilar los contenidos.

Sesiones webinar en directo

• Miércoles 13/05 – 19:00 – 20:30 2026
• Miércoles 20/05 – 19:00 – 20:30 2026
• Miércoles 27/05 – 19:00 – 20:30 2026
• Miércoles 3/06 – 19:00 – 20:30 2026
• Miércoles 10/06 – 19:00 – 20:30 2026
• Miércoles 17/06 – 19:00 – 20:30 2026
• Miércoles 24/06 – 19:00 – 20:30 2026

Todos los webinars serán grabados para facilitar el seguimiento.

Cuestionarios de conocimientos (1)

Test de Conocimientos:  entre el 26/06/2026 y el 28/06/2026

El curso está dirigido principalmente a profesionales (responsables de seguridad de la información, responsables de sistemas, consultores de seguridad, directores de proyecto, abogados, delegados de protección de datos, consultores de dirección, miembros de oficinas de gestión de proyectos) con responsabilidades de gestión que necesitan enfrentar o deseen adquirir conocimientos de la implementación obligatoria del Esquema Nacional de Seguridad y/o en la implementación voluntaria de la ISO 27001.

El Esquema Nacional de Seguridad es una Ley que hay que implementar en todas las entidades públicas y en las privadas que implementan servicios por cuenta de las públicas.

La ISO 27001 es la norma de Seguridad de la Información internacional más implementada en todos los tipos de organizaciones.

En sus últimas versiones ambas ponen uno de los focos en la protección de datos personales.

Entender el Esquema o la ISO 27001, y comprender los pasos para poder implementarlo en una organización, alineado con la LOPDGDD no es algo fácil, y por eso hemos creado este taller práctico intensivo de la mano de un profesional especialista particularmente experimentado.

Llevamos diez ediciones ofreciendo contenidos relacionados con el ENS para trasladar una información tan extensa y compleja a profesionales con perfiles y necesidades muy diversas.

Entenderás la necesaria relación de las normas con la LOPDGDD.

• La LOPDGDD especifica que, si se trata de un ente público, las medidas de seguridad a implementar serán las definidas para el Esquema Nacional de Seguridad. La ISO 27001:2022 pasa a denominarse “Seguridad de la Información, Ciberseguridad y Privacidad. Sistema de Gestión de Seguridad de la Información”. El ENS describe que del análisis de riesgos se podrá deducir que se necesitan medidas adicionales para proteger los datos personales.
• El esquema Nacional de Seguridad comprende decenas de medidas de seguridad, que aplicarán o no dependiendo de la categorización del sistema. Entenderás qué medidas aplican a tu organización.
• Entenderás la manera correcta de realizar el Análisis de Riesgos. El primer análisis debe ser sencillo y coherente, para mejorarlo año a año. La herramienta “estrella”’ para el análisis de riesgos tal y como lo pide el Esquema Nacional de Seguridad o la ISO 27001 es PILAR. En este taller aprenderemos los principios para usarla y utilizaremos una simulación para realizar el análisis de riesgos.
• Serás capaz de realizar un análisis eficiente de la situación actual de la Seguridad de la información en la organización, elaborando si es necesario un Plan de Actuación.
• Entenderás cómo elaborar la documentación de un Sistema de Gestión válido para cualquier norma de Seguridad y cualquier ámbito.
• Comprenderás cómo se realiza la implementación de las medidas de seguridad correctas, de manera que cumplan los preceptos normativos de prevención, detección y respuesta a los incidentes que se puedan producir, incluyendo los que afecten a los datos personales. Correctas quiere decir necesarias, ni excesivas ni precarias.
• Ayudarás a establecer una concienciación continuada en Seguridad de la Información, porque las personas somos el activo de información más vulnerable.
• Podrás realizar o ayudar en las auditorías del sistema implantado desde distintas vertientes, cuyo informe puede mostrarnos deficiencias que debemos corregir.
• Establecerás medidas para favorecer la necesaria evolución del sistema de gestión, porque la organización se mueve, la tecnología evoluciona o porque debemos añadir más servicios a la certificación inicial.

En la formación APEP·IA siempre desarrollamos competencias a la vez que incorporamos conocimientos. El alumno que sigue el programa con aprovechamiento desarrollará las siguientes competencias específicas de la privacidad y la protección de datos:

• Conocimiento básico de la legislación aplicable en materia de protección de datos y, en particular, en lo relativo a la publicidad y al uso de ella en el entorno electrónico.
• Actualización de los requisitos legales en acciones de marketing a las nuevas exigencias del RGPD y LOPDgdd.
• Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben y, en particular, en lo relativo a la publicidad.
• Ser capaz de analizar las prácticas publicitarias conformes al RGPD y LOPDgdd, contrarias al RGPD y LOPDgdd, así como aquellas áreas grises.
• Ser capaz de crear o asesorar en campañas de publicidad digital creativas, efectivas y acordes con el RGPD y LOPDgdd.
• Ser capaz de verificar el grado de cumplimiento normativo en materia de protección de datos de una organización y, en particular, en lo relativo a sus acciones publicitarias.
• Conocimiento profundo de la legislación aplicable en materia de protección de datos en materia de redes sociales.
• Facilitar herramientas para el análisis de la licitud de una campaña publicitaria desde la perspectiva del RGPD y LOPDgdd.
• Sensibilización en materia de garantías de los derechos digitales introducidos en la legislación española por la LOPDGDD.