La ciberseguridad no se gana solo con firewalls y SIEMs: se gana gobernándola. Detrás de toda organización madura hay un sistema que decide qué proteger, cuánto riesgo se acepta, qué normas hay que cumplir y cómo se demuestra ante un auditor, un cliente o un regulador. Eso es GRC: Gobierno, Riesgo y Cumplimiento, y es la disciplina que separa a quien «hace cosas de seguridad» de quien dirige la seguridad de una empresa.
Este curso te forma de manera exhaustiva y profesional en las tres patas del GRC aplicadas a la ciberseguridad, con el foco puesto en el marco normativo español y europeo: la norma internacional ISO/IEC 27001:2022 y su sistema de gestión (SGSI), el Esquema Nacional de Seguridad (ENS) del Real Decreto 311/2022, el RGPD y la protección de datos, y las nuevas obligaciones europeas de NIS2 y DORA. No es teoría de manual: aprenderás a analizar riesgos, redactar políticas, implantar controles, preparar una auditoría de certificación y sostener un programa de cumplimiento real.
¿A quién va dirigido este curso?
- Responsables de seguridad (CISO) y aspirantes a serlo que necesitan la capa de gobierno y cumplimiento, no solo la técnica.
- Consultores de ciberseguridad y GRC que implantan o auditan SGSI, ENS o RGPD en clientes.
- Delegados de Protección de Datos (DPO) y responsables de cumplimiento normativo.
- Auditores internos y de sistemas que quieren dominar ISO 27001, ISO 19011 y el ENS.
- Administradores y analistas técnicos que quieren entender el «por qué» normativo de los controles que aplican y dar el salto a roles de gestión.
- Quien prepara certificaciones de gestión como CISM, CRISC, CISA, ISO 27001 Lead Implementer/Lead Auditor o el nivel de gobierno del CISSP.
¿Qué sabrás hacer al terminar?
- Entender el modelo GRC y las tres líneas de defensa, y situar al CISO, al DPO y a compliance en el organigrama.
- Construir el gobierno de la seguridad: estrategia, políticas, roles (RACI), comités, métricas (KPIs/KRIs) y reporting a dirección.
- Hacer un análisis y tratamiento de riesgos completo con ISO 31000 y MAGERIT, distinguiendo enfoques cualitativos y cuantitativos.
- Dominar ISO/IEC 27001:2022 cláusula a cláusula y los 93 controles de ISO/IEC 27002:2022.
- Implantar un SGSI de principio a fin: alcance, análisis de brechas, documentación obligatoria, Declaración de Aplicabilidad (SoA) y concienciación.
- Preparar y superar una auditoría de certificación (fases 1 y 2), gestionar no conformidades y acciones correctivas.
- Cumplir el Esquema Nacional de Seguridad: categorías, dimensiones (DICAT), perfiles y declaración/certificación de conformidad.
- Aplicar el RGPD y la LOPDGDD: bases de legitimación, derechos, RAT, evaluaciones de impacto (EIPD) y gestión de brechas ante la AEPD.
- Interpretar y prepararte para NIS2 y DORA: entidades afectadas, medidas, notificación de incidentes y responsabilidad de la dirección.
- Montar la continuidad de negocio (ISO 22301), gestionar el riesgo de terceros y medir la madurez de tu programa GRC.
Requisitos previos
- Conocimientos básicos de ciberseguridad: qué es un control, una amenaza, una vulnerabilidad y un incidente.
- No hace falta perfil técnico avanzado: el curso es de gestión y cumplimiento, aunque conocer el lado técnico ayuda a aterrizar los controles.
- Interés por el marco legal y normativo (leerás referencias al BOE, a normas ISO y a directivas europeas).
- Recomendable haber visto cómo se defiende y se responde: nuestros cursos de Defensa de Active Directory y de DFIR son el complemento técnico ideal del gobierno que verás aquí.
Metodología del curso
Cada módulo combina el fundamento normativo riguroso (con la cláusula, el artículo o el control exacto y su fuente oficial) con el cómo se hace en la práctica: plantillas de documentos, ejemplos de políticas, matrices de riesgo, extractos de una Declaración de Aplicabilidad y casos reales. Todas las referencias a ISO, al RD 311/2022, al RGPD, a la LOPDGDD y a NIS2/DORA son exactas y verificables. El objetivo no es que memorices normas, sino que sepas implantarlas, auditarlas y sostenerlas en una organización real.
Un apunte sobre las normas
Aviso: las normas ISO (27001, 27002, 31000, 22301, 19011…) son documentos de pago con derechos de autor; este curso las explica, las estructura y te enseña a aplicarlas, pero no reproduce su texto íntegro: para implantar o certificar necesitarás la versión oficial adquirida en ISO o en AENOR. La legislación (RD 311/2022 del ENS, RGPD, LOPDGDD, la futura ley de transposición de NIS2) sí es pública y está enlazada a su fuente oficial (BOE, EUR-Lex).
¿Por dónde empiezo?
El Módulo 1 es obligatorio: fija qué es GRC y el vocabulario común de gobierno, riesgo y cumplimiento. A partir de ahí el temario avanza en orden lógico: primero el gobierno y la gestión de riesgos (la base de todo), luego el bloque ISO 27001/27002 y su implantación y auditoría, después el marco español y europeo (ENS, RGPD, NIS2/DORA), y se cierra con continuidad, terceros y madurez para integrarlo todo en un programa vivo. Empieza ahora y aprende a dirigir la seguridad, no solo a operarla.
