Curso: Auditoría de Protección de Datos

Afrontar un proceso de auditoria de protección de datos implica dominar normativa muy variada, tener conocimientos técnicos, gestionar un proceso de principio a fin, comunicar decisiones e instrucciones a clientes y terceros. Llegar a buen puerto con un procedimiento bien articulado que haga que las organizaciones detecten sus posibles vulnerabilidades y mejoren su privacidad desde el diseño requiere de profesionales especialmente capacitados.

El nuevo auditor post RGPD y LOPDGDD debe de ser capaz de entender y asimilar un gran abanico de conocimientos jurídicos y técnicos que le permitan adaptarlos en la debida forma en cada caso particular. También debe de ser un excelente gestor de proyectos y personas y un comunicador eficiente. Poder llevar a cabo estos procesos con competencia y capacidad sólo se puede afrontar desde la base de una formación de carácter avanzado, en un entorno profesional, con recursos docentes de gran interacción y participación, más lógicamente varios años de experiencia poniendo todo lo aprendido en buena práctica.

Para el alumno de perfil jurídico, este curso proporciona una base sólida de conocimientos para poder abordar con competencia procesos de auditoria de sistemas de ámbito reducido. Para proyectos de mayor envergadura o implicaciones técnicas más complejas, este curso abre las vías para poder detectar cuándo necesitamos trabajar en equipo con un partner técnico.

Metodología

  • Programa intensivo
  • Ritmo semanal
  • Documentación + webinars + herramientas + uso de estándares técnicos.
  • Caso práctico integrador: un supuesto real sobre el que se realiza una auditoria virtual durante las 6 semanas de curso y se presenta en la ultima semana.
  • Accesibilidad y contacto permanente con los profesores.
  • Foro y comunidad con docentes y profesionales en el aula.
  • Trabajo en equipo.

En el curso simularemos de la manera más aproximada a la realidad cuál es la secuencia temporal y lógica de un proceso de auditoria, las personas implicadas, los flujos de información y responsabilidad en cada etapa del proceso, los entregables y documentables a producir según qué caso, cómo relacionarnos con nuestro cliente y con los terceros involucrados, y por ultimo como afrontar el famoso informe final para que sea un documento dinámico del que todos los intervinientes puedan extraer algo positivo que alimente el círculo virtuoso de mejora de las organizaciones.

¿Cómo lo haremos?

  • Dos webinars semanales de hora y ½ en horario compatible con la actividad profesional que también se ofrecen en diferido si no puedes asistir pero que te recomendamos encarecidamente que hagas.
  • Documentación de apoyo, recursos enfocados y guias, todo descargable.
  • Enfoque eminentemente práctico de principio a fin: trabajamos con una empresa casi real y avanzamos paso a paso en el proceso.
  • Debate y participación entre profesionales.
  • Evaluación continuada, con micro tests semanales.
  • Aprendizaje por competencias desde una perspectiva y un lenguaje no técnico.
  • Contenidos jurídicos transversales a lo largo del curso.

 

Programa

UNIDAD 1: ANTES DE COMENZAR  

  1. En qué consiste una Auditoria y el proceso de verificación, evaluación y valoración de la eficacia de las medidas aplicadas en la organización.
  2. Marco, objetivos y proceso de la Auditoria de protección de datos: una visión completa del proceso.
  3. Qué es un Sistema de Gestión de Seguridad de la Información (SGSI) y por qué es aconsejable/necesario que el cliente lo tenga.
  4. Si hay un SGSI, qué debemos pedir, incluso antes de la auditoría.
  5. La importancia del análisis de Riesgos.

 

UNIDAD 2: LA PRE-AUDITORIA 

  1. Determinar la viabilidad de la Auditoria:
  • Encargo del trabajo
  • Configuración del Equipo
  • Solicitud documentación
  • Planificación Auditoria

2.Cómo elaborar un Programa de Auditoria:

  • Alcance
  • Identificación de información
  • Identificación de procesos/actividades
  • Identificación de sistemas
    • Objetivos de control
    • Contextualización de la auditoria
    • Planificación General
    • Planificación de pruebas

UNIDAD 3 : EJECUCIÓN: Cumplimiento normativo

  1. Inicio de la Auditoria
  2. Trabajo de campo
  3. Análisis del cumplimiento normativo del RGPD
  • Control y valoración del grado de cumplimiento de las obligaciones del Responsable.
  • Control y valoración del grado de cumplimiento de la base jurídica del tratamiento.
  • Control y valoración del grado de aplicación de los principios de protección de datos.
  • Control y valoración del grado de cumplimiento del deber de información.
  • Control y valoración del grado de atención y reconocimiento de los derechos de los interesados.
  • Análisis de los escenarios y de la evaluación de riesgos.
  • Control y valoración de la gestión del riesgo para los datos y derechos de terceros.
  • Control y valoración de la aplicación de las medidas de seguridad.

UNIDAD 4: EJECUCIÓN: Comprobación de las Medidas de Seguridad

  1. Medidas técnicas de seguridad:
  • Algunas Tecnologías de hoy día explicadas.
  • Medidas Relativas a los perímetros de Seguridad
  • Medidas Relativas a las Personas
  • Medidas Relativas a la Gestión de la Seguridad de la Información
  • Medidas Relativas al funcionamiento de los sistemas
  1. Medidas técnicas en auditorías a base de preguntas
  • En una organización sin SGSI
  • En una organización con un SGSI que sigue una norma, como la ISO 27001 o el Esquema Nacional de Seguridad
  1. Valoración de otros procedimientos que se hayan llevado a cabo en relación a la protección de datos.

UNIDAD 5: EL INFORME.

1        Entrega de resultados y entrega del informe de Auditoria:

  • Objetivos
  • Alcance
  • Metodologia
  • Resumen ejecutivo
  • Desarrollo del trabajo
  • Recomendaciones
  • Posibles limitaciones o exclusiones
  • Distribución del informe

 UNIDAD 6: EL DESPUES – PLAN DE ACCIÓN

  1.  Plan de implementación de medidas y garantías para gestionar las disconformidades de la auditoria.
  2. Cómo aconsejar un SGSI (y la implantación de una norma de seguridad) si no se ha implementado.

Advertencia:

El Curso de Auditoria de Proteccion de Datos es un curso avanzado en privacidad y no conviene realizarlo sin conocimientos o experiencia previa en la materia. Se recomienda realizar los cursos introductorios y en particular Seguridad del Tratamiento: Aspectos Técnicos (para perfil no informático) salvo que el alumno tenga una base de conocimientos técnicos mínimos.

Objetivos académicos

Al finalizar el programa, el alumno desarrollará las competencias necesarias para comprender, desde un ámbito inicial a este tipo de prácticas, los fundamentos y principales conceptos relacionados con las auditorías de los sistemas de información, así como afrontar de manera solvente el proceso de la auditoria, desde la planificación hasta la comunicación del informe final.

En la formación APEP siempre desarrollamos competencias a la vez que incorporamos conocimientos. El alumno que sigue el programa con aprovechamiento desarrollará las siguientes competencias específicas de la privacidad y la protección de datos:

C4      Ser capaz de definir el ámbito de aplicación de la legislación vigente, identificar tratamientos y flujos de información sujetos a la misma.C46       Ser capaz de auditar las necesidades de privacidad de una organización teniendo en cuenta el ordenamiento sectorial.

C8      Capacidad para identificar tratamientos y flujos de información sujetos a la legislación y diseñar proyectos de adecuación.

C13    Capacidad para implementar modelos para cumplir con las obligaciones en materia de protección de datos (responsabilidad proactiva o accountability).

C14    Ser capaz de aplicar metodologías de protección de datos desde el diseño y protección de datos por defecto.

C15    Ser capaz de implementar modelos de gestión documental del cumplimiento de las obligaciones en materia de protección de datos (accountability).

C23    Conocimiento de metodologías de análisis y gestión del riesgo, verificando las necesidades de seguridad en función del conjunto de amenazas que hay que considerar por su impacto en la protección de datos.

C28    Conocimiento de los estándares internacionales y de tecnologías en materia de la seguridad de la información.

C47    Planificar, concebir, desplegar y dirigir proyectos de auditoria

C48    Destreza para detectar deficiencias en todo tipo de organizaciones

C49    Ser capaz de elaborar un informe de auditoria, conclusiones y recomendaciones de adaptación

C50    Conocimiento de los estándares internacionales de auditoría de sistemas de gestión y técnicas de auditoría.

C51    Capacidad para aplicar un procedimiento de trabajo en el ámbito de la protección de datos personales.

Competencias

  • Entender los fundamentos, alcance y necesidad de las auditorías de protección de datos.
  • Destreza para detectar deficiencias en una auditoría.
  • Ser capaz de auditar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial.
  • Conocimiento profundo de la legislación aplicable en materia de protección de datos.
  • Ser capaz de crear un procedimiento propio de auditoría.
  • Ser capaz de redactar un informe de auditoría.
  • Ser capaz de verificar el grado de cumplimiento normativo en materia de protección de datos de una organización.
  • Ser capaz de trabajar en equipos multidisciplinares.
  • Ser capaz de identificar tratamientos responsables y encargados, tratamientos y flujos de información sujetos a la misma.
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben.
  • Ser capaz de evaluar y verificar el cumplimiento de los objetivos de seguridad definidos por el RGPD y la normativa nacional.
  • Capacidad para planificar, concebir, desplegar y dirigir proyectos de auditoria de seguridad para evaluar las necesidades de protección de datos de una organización teniendo en cuenta el ordenamiento sectorial.
  • Informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben y documentar esta actividad.
  • Capacidad para evaluar las necesidades sectoriales de protección de datos interpretando de modo sistemático las necesidades del negocio o ámbito de gestión.
  • Saber comunicar sus conclusiones y los conocimientos y razones últimas que las sustentan a públicos especializados y no especializados de un modo claro y sin ambigüedades
  • Liderazgo, orientación a la calidad
  • Planificación y organización
  • Compromiso con la organización
  • Iniciativa, capacidad de trabajo independiente

Fechas del curso

18/04 – 5/06 2022

Duración

7 semanas / 80 horas

 

Formato

100% Online

FUNDAE

Bonificable

Precios

425€ (asociados) 850€ (no asociados) IVA incluido

Matricularse
Lo que dicen nuestros alumnos

“Se trata de un curso eminentemente práctico, dividido en auditoría normativa y técnica, aunque confluyendo finalmente. Los docentes son profesionales con gran experiencia, altamente capacitados y con facilidad de comunicación de sus conocimientos. Un curso completo en el que, a pesar de no existir sistemas estandarizados, se consigue asimilar la metodología. Altamente recomendable”

“Valoro muy positivamente el curso realizado, empezando por los profesores que han estado en todo momento muy pendientes de los alumnos hasta la plataforma, que entiendo que es un mecanismo apropiado para impartir las clases y compartir contenidos”

Encuesta de valoración 2020

Júlia Bacaria Gea

Abogada especializada en derecho en entornos digitales con más de diez años de experiencia en protección de datos.
CEO de Global Legal Data.
Vicepresidenta de la Sección de Derecho de la Sociedad de la Información del Colegio de la Abogacía de Barcelona.
Delegada de Protección de Datos certificada por ISMS Forum y EIPA.
Legal Expert by European Privacy Seal (EuroPriSe).
Profesora en diversos másters en el marco del derecho de la privacidad y la protección de datos.

LinkedIn

Ricardo Sánchez Berbegal

Ricardo Sánchez Berbegal es Ingeniero Técnico en Informática, Máster Oficial en Software Libre y tiene diversos postgrados con el título de Experto Universitario en Seguridad de la Información, Comercio electrónico, Desarrollo de Aplicaciones y Virtualización y Computación en la Nube. En Seguridad de la Información añade también cursos sobre Hacking Ético y Protección de Datos personales. Además, es Auditor Jefe de la ISO 27001 por AENOR.

Ricardo lleva trabajando desde 1988 como informático en diversas facetas de los ambientes de desarrollo de aplicaciones y sistemas para empresas de servicios. Desde el 2012 centra su labor profesional como consultor, formador y auditor en las normas ISO 27001, ISO 22301 y Esquema Nacional de Seguridad respecto a la Seguridad de la Información, en la norma ISO 20000-1 respecto a la Gestión de Procesos TIC y en la Gestión de Proyectos Ágiles con SCRUM.

LinkedIn

Blanca Granados Escribano

Volver arriba