Formación · Concienciación ISO 27001

Concienciación en Seguridad
ISO 27001

El factor humano es el vector de riesgo más frecuente en los incidentes de seguridad de la información. ISO/IEC 27001:2022 obliga a todas las organizaciones con SGSI a impartir formación y concienciación al personal mediante el control A.6.3 del Anexo A. Este curso de 4 a 8 horas está diseñado para todo el personal de la organización, no solo para el equipo técnico. Cubre las amenazas habituales con ejemplos prácticos y la política de seguridad específica del cliente.

Duración

4 a 8 horas

Perfil

Todo el personal

Nivel

Básico

Modalidad

Presencial / online

¿Para quién es este curso?

El curso encaja en cualquiera de estos perfiles:

Todo el personal de la organización: técnico, administrativo, comercial, operativo. La concienciación no es exclusiva del equipo de IT.
Organizaciones que han implantado o están implantando un SGSI ISO 27001:2022 y necesitan cubrir el control A.6.3 del Anexo A.
Empresas que renuevan certificación y deben evidenciar la concienciación periódica del personal.
Organizaciones sujetas al ENS (RD 311/2022) que deben formar a su personal en seguridad como parte de las medidas del marco organizativo.
Empresas que han sufrido un incidente de seguridad o phishing y quieren elevar el nivel de concienciación del equipo de forma estructurada.

Objetivos de aprendizaje

Al finalizar el curso, los asistentes serán capaces de:

Sensibilizar al personal sobre el impacto real de los incidentes de seguridad: económico, reputacional, legal y operativo.
Reconocer las amenazas habituales: phishing, ingeniería social, malware, contraseñas débiles, pérdida o robo de dispositivos, fugas de información.
Conocer la política de seguridad de la organización y los procedimientos específicos aplicables al puesto.
Saber cómo actuar ante un incidente: detección, comunicación al canal interno, contención.
Adquirir hábitos seguros en la gestión diaria de la información: contraseñas, dispositivos, correo electrónico, redes sociales, teletrabajo.

Programa detallado

El programa se ajusta al nivel del equipo y a los objetivos acordados con el cliente. Distribución horaria orientativa por módulo:

M1
Por qué importa la seguridad de la informaciónCasos reales recientes en empresas españolas. Impacto económico, reputacional y legal (RGPD, LOPDGDD, ENS, NIS2). Tres pilares: confidencialidad, integridad y disponibilidad.
M2
Amenazas habitualesPhishing y spear phishing. Ingeniería social. Ransomware. Malware. Robo de credenciales. Cómo identificarlos con ejemplos visuales reales.
M3
Buenas prácticas diariasGestión de contraseñas y gestores de contraseñas. Doble factor de autenticación. Bloqueo de equipos. Uso del correo electrónico. Mensajería. Redes sociales personales y profesionales.
M4
Protección de dispositivos e informaciónUSB y dispositivos extraíbles. Trabajo remoto y redes Wi-Fi públicas. Cifrado de dispositivos. Backups personales. Eliminación segura de información.
M5
Política de seguridad de la organizaciónPolítica específica del cliente. Roles y responsabilidades. Procedimientos aplicables al puesto. Compromisos de confidencialidad. Sanciones por incumplimiento.
M6
Gestión de incidentes desde el usuarioCómo detectar un incidente. A quién comunicarlo y cómo. Qué NO hacer (apagar el equipo, borrar evidencias). Acciones inmediatas. Canal de denuncias.

Metodología de impartición

Grupos reducidos para favorecer la participación y el diálogo técnico.
Casos prácticos del propio sector de la organización, construidos sobre realidad operativa, no plantillas genéricas.
Material entregable: dossier técnico del curso, plantillas y formatos para uso posterior, registro de asistencia y certificado de aprovechamiento por persona.
Evaluación del aprendizaje al final del curso con prueba práctica adaptada a los objetivos.
Formatos flexibles: sesiones compactas o distribuidas en varias jornadas según preferencia del cliente.

Preguntas frecuentes

¿Por qué todo el personal debe recibir esta formación y no solo IT? +

Porque la mayoría de los incidentes de seguridad se originan en el factor humano: un click en un phishing, una contraseña compartida, un USB infectado, un dispositivo perdido. El equipo de IT solo puede proteger lo que el usuario no comprometa primero. ISO/IEC 27001:2022 lo refleja en el control A.6.3, que aplica a todos los empleados y partes interesadas relevantes, no solo al equipo técnico.

¿Con qué frecuencia hay que repetir esta concienciación? +

La buena práctica del sector y los criterios habituales de los auditores externos establecen una periodicidad mínima anual, con actualizaciones puntuales tras incidentes relevantes o cambios significativos. Para personal de nueva incorporación, la concienciación inicial debe impartirse durante el periodo de onboarding.

¿El curso cubre el cumplimiento RGPD además de ISO 27001? +

El curso aborda la intersección entre seguridad de la información y protección de datos personales (RGPD, LOPDGDD) en los aspectos que afectan al usuario: principios básicos, brechas de datos personales, comunicación al delegado de protección de datos. Para formación RGPD completa (DPO, registro de actividades, evaluación de impacto) se requiere un curso específico.

¿Funciona en formato online en directo? +

Sí, perfectamente. El contenido se ha diseñado para funcionar en ambos formatos. La modalidad online en directo permite cubrir varias sedes o equipos en teletrabajo con la misma sesión, manteniendo la interacción y los ejercicios prácticos. Se incorpora chat, encuestas en vivo y casos prácticos compartidos en pantalla.

¿Necesitas impartir este curso al equipo?

Primera hora de diagnóstico gratuita para definir el grupo, el nivel y los objetivos. Respuesta en menos de 24 horas con propuesta económica acotada por número de asistentes y modalidad.

Solicitar diagnóstico gratuito → WhatsApp

Teléfono: 641 473 776 · Email: [email protected]

Otros cursos del catálogo

Cinco cursos cubren los perfiles más solicitados. La combinación de varios cursos en proyectos formativos mayores recibe condiciones específicas:

Catálogo completo → Auditor Interno ISO 9001 → Interpretación ISO 9001 → IATF + Core Tools → Concienciación ISO 27001 → Gestión de NC →

Concienciación en SeguridadISO 27001