Taller de implantación de ISO 27001 y ENS con medidas técnicas LOPDGDD

Formacion

Taller intensivo de 7 semanas para aprender todos los conceptos relevantes de la implementación de una norma de seguridad como el ENS y la ISO 27001 desde 0. Te da una visión general para luego ir profundizando en los procesos de adopción y certificación de una norma de seguridad.

El Esquema Nacional de Seguridad es una Ley que hay que implementar en todas las entidades públicas y en las privadas que implementan servicios por cuenta de las públicas.

La ISO 27001 es la norma de Seguridad de la Información internacional más implementada en todos los tipos de organizaciones.

En sus últimas versiones ambas ponen uno de los focos en la protección de datos personales.

Entender el Esquema o la ISO 27001, y comprender los pasos para poder implementarlo en una organización, alineado con la LOPDGDD no es algo fácil, y por eso hemos creado este taller práctico intensivo de la mano de un profesional especialista particularmente experimentado.

Llevamos diez ediciones ofreciendo contenidos relacionados con el ENS para trasladar una información tan extensa y compleja a profesionales con perfiles y necesidades muy diversas.

Entenderás la necesaria relación de las normas con la LOPDGDD.
La LOPDGDD especifica que, si se trata de un ente público, las medidas de seguridad a implementar serán las definidas para el Esquema Nacional de Seguridad. La ISO 27001:2022 pasa a denominarse “Seguridad de la Información, Ciberseguridad y Privacidad. Sistema de Gestión de Seguridad de la Información”. El ENS describe que del análisis de riesgos se podrá deducir que se necesitan medidas adicionales para proteger los datos personales.

El esquema Nacional de Seguridad comprende decenas de medidas de seguridad, que aplicarán o no dependiendo de la categorización del sistema. Entenderás qué medidas aplican a tu organización.

Entenderás la manera correcta de realizar el Análisis de Riesgos. El primer análisis debe ser sencillo y coherente, para mejorarlo año a año. La herramienta “estrella”’ para el análisis de riesgos tal y como lo pide el Esquema Nacional de Seguridad o la ISO 27001 es PILAR. En este taller aprenderemos los principios para usarla y utilizaremos una simulación para realizar el análisis de riesgos.

Serás capaz de realizar un análisis eficiente de la situación actual de la Seguridad de la información en la organización, elaborando si es necesario un Plan de Actuación.

Entenderás cómo elaborar la documentación de un Sistema de Gestión válido para cualquier norma de Seguridad y cualquier ámbito.

Comprenderás cómo se realiza la implementación de las medidas de seguridad correctas, de manera que cumplan los preceptos normativos de prevención, detección y respuesta a los incidentes que se puedan producir, incluyendo los que afecten a los datos personales. Correctas quiere decir necesarias, ni excesivas ni precarias.

Ayudarás a establecer una concienciación continuada en Seguridad de la Información, porque las personas somos el activo de información más vulnerable.

Podrás realizar o ayudar en las auditorías del sistema implantado desde distintas vertientes, cuyo informe puede mostrarnos deficiencias que debemos corregir.

Establecerás medidas para favorecer la necesaria evolución del sistema de gestión, porque la organización se mueve, la tecnología evoluciona o porque debemos añadir más servicios a la certificación inicial.

Objetivos

El objetivo de este taller es proporcionar al alumno una formación intensiva que le permita comprender el Esquema Nacional de Seguridad, la ISO 27001 , sus procesos de implementación y su relación con la LOPDGDD.

A la finalización del curso el participante será capaz de:

Comprender los conceptos generales sobre Seguridad de la Información, qué problemas se plantean y las normativas y sistemas de gestión de Seguridad de la Información que permiten caminar en la dirección adecuada.
Entender los procesos que intervienen en el proyecto de implementación y certificación del Esquema Nacional de Seguridad, y las responsabilidades asociadas.
Enlazar la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) con normas como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).
Realizar un Plan de Adecuación al Esquema Nacional de Seguridad o a la ISO 27001 para una organización.
Utilizar PILAR para evaluar los riesgos
Aplicar el mejor flujo de trabajo en los distintos tipos de proyecto que se pueden dar en estos ámbitos.
Entender cuál es la mejor versión de la documentación que hay que generar en un SGSI
Repasar las soluciones tecnológicas generales a implantar que resuelven grupos de medidas, deteniéndose especialmente en las que más promuevan la protección de datos personales.
Concienciar a usuarios y directivos conforme a las normas
Adelantarse a los problemas que se dan en este tipo de proyectos y prevenirlos antes de que aparezcan.

Metodología

De la mano del profesor, como en un tutorial detallado, seguiremos paso a paso la metodología, incorporando las ultimas novedades publicadas en la materia y con la posibilidad de utilizar la herramienta PILAR durante toda la duración del Taller.

Un webinar semanal en directo (martes de 18:00 a 20:00) + grabación complementaria para entender la materia de una manera cercana y directa.
Trabajo de casos prácticos a medida que se van describiendo apartados de implementación
– Una sección completa con recursos y documentación adicional.
– Licencia de uso temporal de la herramienta PILAR.
– Gran interactividad: foros de dudas y participación.
– Aporte extra de documentación de apoyo y plantillas.
– Acceso a los contenidos del Taller y la herramienta PILAR durante un mes después de la finalización para poder asimilar los contenidos.

A quién va dirigido

El curso está dirigido principalmente a profesionales (responsables de seguridad de la información, responsables de sistemas, consultores de seguridad, directores de proyecto, abogados, delegados de protección de datos, consultores de dirección, miembros de oficinas de gestión de proyectos) con responsabilidades de gestión que necesitan enfrentar o deseen adquirir conocimientos de la implementación obligatoria del Esquema Nacional de Seguridad y/o en la implementación voluntaria de la ISO 27001.

Programa

Qué es y dónde situamos el ENS y la ISO 27001:

Qué es la Seguridad de la Información. Dimensiones. Escenarios. Definiciones. Profesiones.
Qué tipo de problemas principales se dan respecto a la Seguridad de la Información.
Generalidades de la norma ISO 27001 y del Esquema Nacional de Seguridad. Ámbito de aplicación.
- El Sistema de gestión de Seguridad de la Información. La documentación para las normas.
- La Notificación de incidentes (LOPD, Ciberincidentes, Infraestructuras Críticas).
- Las auditorías.
- El proceso de certificación.
- El Centro Criptológico Nacional y las guías.
- Relación del ENS o la ISO 27001 con la LOPD.

Pasos de implementación: El Sistema y su contexto.

El Sistema de Gestión de Seguridad de la Información. Alcance.
La categorización del Sistema en el ENS
La Clasificación de la Información.
El Análisis y Gestión de Riesgos con Magerit y Pilar.
El Tratamiento de los Riesgos y la Declaración de Aplicabilidad.
La implementación o adecuación de medidas de seguridad y la generación de procedimientos.
- Marco Organizativo.
- Marco Operacional.
- Medidas de protección.
Los informes, auditorías y la certificación.

El Análisis de Riesgos con PILAR: Una aproximación pragmática.

Aspectos generales de PILAR y su configuración
Enumeración de Activos y su valoración
Definición de Perímetros de Seguridad
Factores Agravantes y Atenuantes
Introducción de salvaguardas con perfiles de seguridad
Ajuste de Salvaguardas
Riesgo Acumulado y Riesgo Repercutido
Informe de análisis de riesgos
Cómo hacer un informe de tratamiento de riesgos.

Relación entre el ENS o la ISO 27001 y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.

Más normas añadidas a la ISO 27001 para la protección de la privacidad
El Análisis de Impacto en la LOPDGDD
El Análisis de Riesgos con Pilar para la LOPDGDD.
Las medidas de Seguridad de la LOPDGDD añadidas al ENS.

Pasos para realizar un Plan de adecuación

Recopilar la información del Sistema
Categorización del Sistema
Generar la Declaración de Aplicabilidad
Generar el análisis de riesgos Potencial
Establecer necesidades adicionales a causa de la LOPDGDD
Describir las tareas más urgentes del plan
Describir el resto de tareas del plan
Describir las revisiones periódicas del SGSI implementado

Implantación de un SGSI + DP.

Documentos que definen el SGSI
Medidas técnicas de Configuración
Clasificación e intercambio de la Información
Medias de Gestión de usuarios y accesos
Gestión de proveedores
Gestión de incidentes y tareas. Autorizaciones
Gestión de Cambios
Concienciación, concienciación y concienciación
Conceptos claves de Criptografía que hay que saber y cumplir
Copias de Seguridad y Continuidad
Sistemas y servicios Web. Correo Electrónico
Computación en la Nube

Auditorías

El proceso de Auditoria y Certificación
- El Informe a la Dirección.
- Documentación esencial de un SGSI que pide un auditor siempre.
- Cómo enfrentarse a una auditoría
- Cómo realizar una auditoría interna
- Cómo se realiza el proceso la primera vez y las veces siguientes
Otros tipos de auditoría:
- Servicios publicados: Vulnerabilidades, Intrusión.
- Auditoría de código fuente.

Problemas de implementación de las normas ISO 27001 y ENS.

Cómo trabajar en general: Iteraciones de implementación a 3 bandas.
- A nivel administrativo y de configuración.
- A nivel de implementación técnica.
- Desde el punto de vista del usuario.
Problemas y cómo gestionarlos:
- No trabajar con la norma, sino para la norma.
- No contar con los perfiles y responsabilidades.
- No realizar un adecuado análisis de riesgos.
- El Alcance y la correcta categorización del sistema.
- No gestionar la Incertidumbre.
- No realizar la correcta Gestión de Incidentes.
- Concienciación, concienciación y concienciación.

Fechas del curso

14 octubre 1 diciembre 2024

Duración

7 semanas / 60 horas lectivas

Formato

100% online

Precios

425€ (asociados) 850€ (no asociados) IVA incluido

FUNDAE

Bonificable

Matricularse

Lo que dicen nuestros alumnos

“Un taller magnífico, todo perfecto. La paciencia y el conocimiento de este profesor son encomiables. Durante el taller estaba pendiente de actualizaciones normativas que literalmente se habían publicado el día anterior. Usar paso a paso la herramienta PILAR como en un tutorial ha sido lo mas útil. Tener tiempo extra para poder revisar, asimilar y preguntar es esencial en este tipo de formaciones. ¡Enhorabuena!”

“Felicitaros por disponer de un ponente como Ricardo Sánchez y por, favor, transmitirle mis felicidades también por conseguir hacer de algo tan abstracto y difícil como es el ENS una formación muy práctica, interesante, con trucos y atajos para no morir en el intento y para conseguir los objetivos de la implantación. Ha superado con creces mis expectativas de cualquier otro taller que haya realizado hasta ahora. Enhorabuena!”

“Ha sido un auténtico placer. Una materia tan completa el profesor ha conseguido estructurarla de manera sencilla y comprensible. Faltó más tiempo, simplemente. Gracias”

Conductor del taller

Ricardo Sánchez Berbegal

Ricardo Sánchez Berbegal es Ingeniero Técnico en Informática, Máster Oficial en Software Libre y tiene diversos postgrados con el título de Experto Universitario en Seguridad de la Información, Comercio electrónico, Desarrollo de Aplicaciones y Virtualización y Computación en la Nube. En Seguridad de la Información añade también cursos sobre Hacking Ético y Protección de Datos personales. Además, es Auditor Jefe de la ISO 27001 por AENOR.

Ricardo lleva trabajando desde 1988 como informático en diversas facetas de los ambientes de desarrollo de aplicaciones y sistemas para empresas de servicios. Desde el 2012 centra su labor profesional como consultor, formador y auditor en las normas ISO 27001, ISO 22301 y Esquema Nacional de Seguridad respecto a la Seguridad de la Información, en la norma ISO 20000-1 respecto a la Gestión de Procesos TIC y en la Gestión de Proyectos Ágiles con SCRUM.