Qué obtendrás del curso

Al finalizar el curso, el participante podrá identificar los principales vectores de ciberataque y evaluar los riesgos asociados en el entorno empresarial, analizar el marco normativo aplicable en materia de ciberseguridad y protección de datos (incluyendo RGPD, NIS2, DORA y ENS), y aplicar criterios jurídicos en la gestión de incidentes de seguridad. Asimismo, podrá intervenir en la definición de políticas internas, evaluar riesgos contractuales con proveedores tecnológicos y gestionar jurídicamente una brecha de seguridad, incluyendo la notificación a la autoridad de control, la comunicación a los interesados y la documentación interna conforme a los requisitos normativos.

A quién va dirigido

El curso está dirigido a directores y asesores legales, delegados de protección de datos, abogados especializados en privacidad, compliance officers y profesionales responsables de gestión de riesgos dentro de organizaciones que deban afrontar la gestión jurídica de la ciberseguridad y los incidentes de seguridad.

Contenido y metodología

La creciente complejidad de las ciberamenazas y la presión regulatoria obligan a las organizaciones a integrar la ciberseguridad en sus sistemas de compliance y en la función jurídica. Este curso responde a esa necesidad desde una perspectiva práctica, centrada en el papel del abogado de empresa en la gobernanza de la ciberseguridad y la gestión de incidentes.
El contenido aborda, en primer lugar, el panorama actual de amenazas, incluyendo phishing, ransomware, ingeniería social y ataques a la cadena de suministro, junto con el análisis de riesgos asociados a proveedores tecnológicos. A continuación, se estudian los principales estándares de referencia y el marco normativo aplicable, así como la interacción entre distintas regulaciones.
Se profundiza en la función del asesor jurídico en la prevención, el diseño de políticas internas, la evaluación de impacto y el compliance penal vinculado a delitos informáticos. Un bloque central se dedica a la gestión jurídica de brechas de seguridad, cubriendo el protocolo de actuación, las obligaciones de notificación y comunicación, y los criterios prácticos para su aplicación.
La metodología es eminentemente práctica e incluye el trabajo sobre casos reales y simulaciones, en las que los participantes analizarán escenarios de amenazas y gestionarán de forma integral una brecha de seguridad, aplicando los conocimientos adquiridos.

Programa de la jornada

09.00 - 09.30 h. Registro
09.30 - 11.00 h. Ciberseguridad: amenazas y estándares

• Panorama actual de amenazas: phishing (spear phishing, whaling, BEC), ransomware, ataques a la cadena de suministro, ingeniería social, credential stuffing.
• Casos reales relevantes.
• Riesgo de terceros y proveedores: due diligence, cláusulas contractuales, acceso remoto.
• Breve mapa de estándares: ISO 27001, ENS, NIST CSF, SOC 2.
• Ejemplos de riesgos y controles: control de accesos, MFA, cifrado, copias de seguridad, segmentación de red.

11.00 - 11.15 h. Pausa - café11.15 - 12.30 h. Marco normativo y rol del abogado de empresa

• Marco normativo aplicable: RGPD (arts. 5.1.f, 24, 25, 28, 32–34), LOPDGDD, Directiva NIS2, DORA, ENS.
• Interacción y solapamientos entre normativas.
• El papel del abogado de empresa: asesoramiento preventivo, políticas internas, evaluaciones de impacto.
• Compliance penal y ciberseguridad: delitos informáticos (arts. 197 bis, 264 CP), responsabilidad penal de la persona jurídica (art. 31 bis CP).
• Ciberseguros: coberturas, exclusiones y aspectos prácticos.

12.30 - 14.00 h. Gestión jurídica de brechas de seguridad

• Concepto de brecha de seguridad (art. 4.12 RGPD): confidencialidad, integridad, disponibilidad.
• Protocolo de actuación: detección, contención, evaluación del riesgo, documentación interna.
• Notificación a la autoridad de control (art. 33 RGPD): plazo de 72 horas, contenido, criterios EDPB.
• Comunicación a los interesados (art. 34 RGPD): cuándo, cómo, excepciones.
• Notificaciones sectoriales: NIS2, DORA, telecomunicaciones.
• Herramienta Comunica-Brecha de la AEPD. Resoluciones relevantes.

14.00 - 15.00 h. Comida15.00 - 15.45 h. Identificación de amenazas y evaluación de riesgos

• Análisis en grupos de un escenario ficticio: identificación de activos, amenazas y vulnerabilidades.
• Simulación de correos de phishing: identificar señales de alerta.
• Mapeo riesgos-controles sobre una matriz simplificada.

15.45 - 16.30 h. Gestión integral de una brecha de seguridad

• Simulación en grupos: escenario de ransomware con exfiltración de datos personales.
• Evaluación de la brecha, cumplimentación del formulario de notificación a la AEPD, redacción de la comunicación a interesados y documentación interna.
• Puesta en común y discusión.

16.30 h. Final del curso

Qué incluye

La inscripción incluye la asistencia al curso en modalidad presencial o mediante retransmisión en directo, acceso a los materiales a través de la plataforma JUCme, pausas café y comida tipo cóctel para networking, así como certificado de asistencia y aprovechamiento disponible tras la finalización completa del curso y aviso previo de agenda antes de la sesión.

Opiniones de participantes sobre nuestros cursos

"El enfoque eminentemente práctico es otro gran acierto. Cada sesión aborda cuestiones concretas del día a día profesional, haciendo que cada encuentro se traduzca en herramientas inmediatamente aplicables a nuestro trabajo."
Manuel Rodriguez Mondelo - Abogado en Betalegal