Curso · 14 módulos

Curso de GRC: Gobierno, Riesgo y Cumplimiento en Ciberseguridad

Curso de GRC: Gobierno, Riesgo y Cumplimiento en Ciberseguridad

La ciberseguridad no se gana solo con firewalls y SIEMs: se gana gobernándola. Detrás de toda organización madura hay un sistema que decide qué proteger, cuánto riesgo se acepta, qué normas hay que cumplir y cómo se demuestra ante un auditor, un cliente o un regulador. Eso es GRC: Gobierno, Riesgo y Cumplimiento, y es la disciplina que separa a quien «hace cosas de seguridad» de quien dirige la seguridad de una empresa.

Este curso te forma de manera exhaustiva y profesional en las tres patas del GRC aplicadas a la ciberseguridad, con el foco puesto en el marco normativo español y europeo: la norma internacional ISO/IEC 27001:2022 y su sistema de gestión (SGSI), el Esquema Nacional de Seguridad (ENS) del Real Decreto 311/2022, el RGPD y la protección de datos, y las nuevas obligaciones europeas de NIS2 y DORA. No es teoría de manual: aprenderás a analizar riesgos, redactar políticas, implantar controles, preparar una auditoría de certificación y sostener un programa de cumplimiento real.

¿A quién va dirigido este curso?

  • Responsables de seguridad (CISO) y aspirantes a serlo que necesitan la capa de gobierno y cumplimiento, no solo la técnica.
  • Consultores de ciberseguridad y GRC que implantan o auditan SGSI, ENS o RGPD en clientes.
  • Delegados de Protección de Datos (DPO) y responsables de cumplimiento normativo.
  • Auditores internos y de sistemas que quieren dominar ISO 27001, ISO 19011 y el ENS.
  • Administradores y analistas técnicos que quieren entender el «por qué» normativo de los controles que aplican y dar el salto a roles de gestión.
  • Quien prepara certificaciones de gestión como CISM, CRISC, CISA, ISO 27001 Lead Implementer/Lead Auditor o el nivel de gobierno del CISSP.

¿Qué sabrás hacer al terminar?

  • Entender el modelo GRC y las tres líneas de defensa, y situar al CISO, al DPO y a compliance en el organigrama.
  • Construir el gobierno de la seguridad: estrategia, políticas, roles (RACI), comités, métricas (KPIs/KRIs) y reporting a dirección.
  • Hacer un análisis y tratamiento de riesgos completo con ISO 31000 y MAGERIT, distinguiendo enfoques cualitativos y cuantitativos.
  • Dominar ISO/IEC 27001:2022 cláusula a cláusula y los 93 controles de ISO/IEC 27002:2022.
  • Implantar un SGSI de principio a fin: alcance, análisis de brechas, documentación obligatoria, Declaración de Aplicabilidad (SoA) y concienciación.
  • Preparar y superar una auditoría de certificación (fases 1 y 2), gestionar no conformidades y acciones correctivas.
  • Cumplir el Esquema Nacional de Seguridad: categorías, dimensiones (DICAT), perfiles y declaración/certificación de conformidad.
  • Aplicar el RGPD y la LOPDGDD: bases de legitimación, derechos, RAT, evaluaciones de impacto (EIPD) y gestión de brechas ante la AEPD.
  • Interpretar y prepararte para NIS2 y DORA: entidades afectadas, medidas, notificación de incidentes y responsabilidad de la dirección.
  • Montar la continuidad de negocio (ISO 22301), gestionar el riesgo de terceros y medir la madurez de tu programa GRC.

Requisitos previos

  • Conocimientos básicos de ciberseguridad: qué es un control, una amenaza, una vulnerabilidad y un incidente.
  • No hace falta perfil técnico avanzado: el curso es de gestión y cumplimiento, aunque conocer el lado técnico ayuda a aterrizar los controles.
  • Interés por el marco legal y normativo (leerás referencias al BOE, a normas ISO y a directivas europeas).
  • Recomendable haber visto cómo se defiende y se responde: nuestros cursos de Defensa de Active Directory y de DFIR son el complemento técnico ideal del gobierno que verás aquí.

Metodología del curso

Cada módulo combina el fundamento normativo riguroso (con la cláusula, el artículo o el control exacto y su fuente oficial) con el cómo se hace en la práctica: plantillas de documentos, ejemplos de políticas, matrices de riesgo, extractos de una Declaración de Aplicabilidad y casos reales. Todas las referencias a ISO, al RD 311/2022, al RGPD, a la LOPDGDD y a NIS2/DORA son exactas y verificables. El objetivo no es que memorices normas, sino que sepas implantarlas, auditarlas y sostenerlas en una organización real.

Un apunte sobre las normas

Aviso: las normas ISO (27001, 27002, 31000, 22301, 19011…) son documentos de pago con derechos de autor; este curso las explica, las estructura y te enseña a aplicarlas, pero no reproduce su texto íntegro: para implantar o certificar necesitarás la versión oficial adquirida en ISO o en AENOR. La legislación (RD 311/2022 del ENS, RGPD, LOPDGDD, la futura ley de transposición de NIS2) sí es pública y está enlazada a su fuente oficial (BOE, EUR-Lex).

¿Por dónde empiezo?

El Módulo 1 es obligatorio: fija qué es GRC y el vocabulario común de gobierno, riesgo y cumplimiento. A partir de ahí el temario avanza en orden lógico: primero el gobierno y la gestión de riesgos (la base de todo), luego el bloque ISO 27001/27002 y su implantación y auditoría, después el marco español y europeo (ENS, RGPD, NIS2/DORA), y se cierra con continuidad, terceros y madurez para integrarlo todo en un programa vivo. Empieza ahora y aprende a dirigir la seguridad, no solo a operarla.

Temario del curso

  1. 01 Módulo 1: Fundamentos de GRC — gobierno, riesgo y cumplimientoQué es GRC y por qué existe, las tres líneas de defensa, los roles (CISO, DPO, compliance) y los marcos de referencia (ISO, NIST…
  2. 02 Módulo 2: Gobierno de la seguridad de la informaciónEstrategia, políticas y normativa interna, roles y responsabilidades (RACI), comités de seguridad, métricas (KPIs/KRIs) y reporting a la dirección.
  3. 03 Módulo 3: Gestión de riesgos I — metodología y análisis (ISO 31000, MAGERIT)Activos, amenazas y vulnerabilidades, probabilidad e impacto, apetito de riesgo, ISO 31000 y la metodología MAGERIT, enfoques cualitativo y cuantitativo (FAIR).
  4. 04 Módulo 4: Gestión de riesgos II — tratamiento, riesgo residual y SoAOpciones de tratamiento (mitigar, transferir, aceptar, evitar), plan de tratamiento, riesgo residual, la Declaración de Aplicabilidad y el seguimiento con PILAR.
  5. 05 Módulo 5: ISO/IEC 27001:2022 — el estándar y el SGSILa estructura de ISO 27001:2022 cláusula a cláusula (4 a 10), el ciclo PDCA, el sistema de gestión (SGSI) y la transición desde la…
  6. 06 Módulo 6: ISO/IEC 27002:2022 — los 93 controles de seguridadLos 93 controles de ISO 27002:2022 en sus cuatro temas (organizacionales, personas, físicos, tecnológicos), los atributos y los controles nuevos frente a 2013.
  7. 07 Módulo 7: Implantar un SGSI paso a pasoEl proyecto de implantación de un SGSI: alcance, análisis de brechas, documentación obligatoria, gestión documental, formación y concienciación e indicadores.
  8. 08 Módulo 8: Auditoría y certificación ISO 27001La auditoría según ISO 19011, la auditoría interna, no conformidades y acciones correctivas, y la certificación (fases 1 y 2) por una entidad acreditada.
  9. 09 Módulo 9: Esquema Nacional de Seguridad (ENS) — RD 311/2022El ENS del Real Decreto 311/2022: ámbito, categorías (básica/media/alta), las dimensiones DICAT, perfiles de cumplimiento y declaración/certificación de conformidad.
  10. 10 Módulo 10: RGPD y protección de datosRGPD y LOPDGDD: principios y bases de legitimación, derechos, el DPO, el registro de actividades, la evaluación de impacto (EIPD) y la gestión de…
  11. 11 Módulo 11: NIS2 y DORA — el marco europeo de ciberseguridadLa Directiva NIS2 y su transposición en España, las entidades esenciales e importantes, las medidas del artículo 21, la notificación de incidentes, y DORA…
  12. 12 Módulo 12: Continuidad de negocio y resiliencia (ISO 22301)La continuidad de negocio con ISO 22301: el análisis de impacto (BIA), RTO y RPO, el plan de continuidad (BCP) y de recuperación (DRP)…
  13. 13 Módulo 13: Gestión del riesgo de terceros y de la cadena de suministroEl riesgo de proveedores y de la cadena de suministro: due diligence, cláusulas contractuales, ISO 27036, evaluación continua y las obligaciones de NIS2.
  14. 14 Módulo 14: Programa GRC integrado, madurez y herramientasIntegrar gobierno, riesgo y cumplimiento en un programa vivo: modelos de madurez (CMMI, C2M2), plataformas GRC, automatización y cumplimiento continuo.

Empezar el curso →