Gobierno, Riesgo y Cumplimiento en Ciberseguridad

Dirigido a analistas GRC, auditores junior, responsables de cumplimiento y perfiles técnicos que deben participar en decisiones de seguridad más allá de la configuración de sistemas, este curso aborda la dimensión de gobierno y riesgo que determina qué se protege, por qué, en qué orden y con qué controles. La seguridad no se reduce a herramientas: requiere priorizar vulnerabilidades con criterio, justificar la elección de una medida frente a sus alternativas, entender qué exige cada normativa y para qué sirve realmente, distinguir entre una organización que cumple la ley y una que es efectivamente segura, y comunicar riesgos a quien toma las decisiones. A lo largo del curso el participante trabaja sobre un escenario acumulativo de empresa, tomando decisiones de valoración y mitigación de riesgos, relacionando controles con sus bases normativas y produciendo un informe de riesgos ejecutivo comprensible para dirección. Al finalizar, será capaz de gestionar el ciclo básico de una evaluación de riesgos y comunicar sus conclusiones con claridad a perfiles no técnicos.

Al finalizar el curso, el participante será capaz de:

• Valorar la criticidad real de una vulnerabilidad combinando su puntuación CVSS con el contexto del entorno —exposición, criticidad del activo, disponibilidad de exploit— y establecer un orden de prioridad justificado para las acciones correctivas
• Justificar la elección de una medida de mitigación frente a alternativas disponibles, aplicando criterios de proporcionalidad, urgencia, viabilidad técnica y riesgo residual esperado
• Relacionar controles técnicos y organizativos de seguridad con los riesgos que mitigan y con los requisitos normativos o estándares que los exigen o recomiendan, distinguiendo el alcance de RGPD, PCI-DSS, ISO 27001 y ENS
• Evaluar si una medida de seguridad responde a una obligación de cumplimiento normativo, a un riesgo identificado en análisis previo, o a ambos, diferenciando la seguridad efectiva del cumplimiento formal
• Redactar la sección de un informe de riesgos dirigido a perfiles directivos no técnicos, traduciendo el riesgo técnico a términos de negocio e incluyendo recomendación clara, urgencia y estimación de coste de la solución

1. Valoración y priorización de vulnerabilidades CVSS v3.1: métricas base y cómo leerlas; factores de contexto que modifican la prioridad real: exposición del sistema, tipo de datos que maneja, disponibilidad de exploit activo; CISA KEV como fuente de priorización por riesgo demostrado; error frecuente de priorizar solo por score sin contextualizar; ejercicio práctico de priorización con tres vulnerabilidades en contextos distintos
2. Selección y justificación de medidas de mitigación Opciones de tratamiento del riesgo: mitigar, aceptar, transferir, evitar; controles compensatorios cuando no hay parche disponible; criterios de proporcionalidad: coste del control frente al riesgo real que reduce; riesgo residual y aceptación formal documentada; diferencia entre urgencia inmediata y solución definitiva planificada
3. Controles, riesgos y marcos normativos RGPD artículo 32: medidas técnicas apropiadas para datos personales; PCI-DSS: requisitos clave para entornos con datos de pago (autenticación, cifrado, logs, escaneos); ISO 27001 Anexo A: mapeo de controles a riesgos; ENS: aplicación en el sector público español y proveedores; diferencia entre lo que exige la norma y lo que realmente reduce el riesgo en cada caso
4. Cumplimiento formal frente a seguridad efectiva Checkbox compliance: qué es y por qué produce organizaciones que cumplen pero no son seguras; evaluación de la motivación de un control: obligación normativa, riesgo identificado o ninguno; casos reales de medidas que cumplen la norma pero no reducen el riesgo, y controles que reducen riesgo real sin obligación normativa explícita; madurez de la cultura de seguridad: del cumplimiento reactivo a la gestión proactiva
5. Informe de riesgos para dirección Estructura del informe ejecutivo: descripción del riesgo en términos de negocio, probabilidad contextualizada, opciones de tratamiento con coste estimado, riesgo residual por opción; cómo traducir terminología técnica a lenguaje comprensible para perfiles no técnicos; recomendación accionable: urgencia, coste y decisión que se solicita; obligaciones de notificación bajo RGPD: AEPD, plazos de 72 horas y criterios de impacto para determinar si aplica

• Dispositivo con acceso a internet para consulta de normativas, NVD y CISA KEV
• Navegador web actualizado (Chrome, Firefox o Edge)
• Procesador de texto o herramienta de documentación para redactar el informe ejecutivo de riesgos del ejercicio final (Google Docs, Word o equivalente)
• No se requiere acceso a terminal, máquina virtual ni herramientas de línea de comandos

→ SEG01 — Iniciación a la Seguridad Informática (Iniciación, 6h)

• Explicar los principios de confidencialidad, integridad y disponibilidad (triada CIA) e identificar violaciones de cada uno en casos concretos
• Identificar las principales amenazas, vulnerabilidades y riesgos de seguridad informática y describir las etapas básicas de un proceso de gestión de riesgos
• Identificar medidas de seguridad básicas en redes, sistemas y servicios
• Reconocer las principales normativas y estándares de seguridad informática (ISO 27001, ENS, GDPR) y las buenas prácticas asociadas a su cumplimiento
• Identificar los mecanismos de autenticación y control de acceso y explicar el principio de mínimo privilegio
• Reconocer técnicas de ingeniería social e identificar medidas de concienciación

No se requiere conocimiento de Linux ni experiencia con herramientas de terminal. Este curso trabaja exclusivamente con análisis de escenarios, marcos normativos y redacción de documentación de riesgos.