0

  • 0

Promociones

Curso en Auditoría de Sistemas de Información y Ciberseguridad en Entidades Públicas

Nuevas Ediciones 2026 | Curso en Auditoría de Sistemas de Información y Ciberseguridad en Entidades Públicas ✔️ Acreditado por UTAMED con 125 Horas, 5 Créditos ECTS

Creado por Meritum EdTech

Español

Detalles

La digitalización de la Administración Pública y el auge de los ciberataques contra infraestructuras críticas exigen profesionales altamente capacitados en el control de la seguridad tecnológica. El curso en Auditoría de Sistemas de Información y Ciberseguridad en Entidades Públicas ofrece una formación técnica exhaustiva, diseñada para enseñar a auditores, técnicos TIC e inspectores a evaluar y proteger los sistemas que sostienen el Estado.

A lo largo de este programa, el alumno dominará la metodología de auditoría tecnológica aplicada a bases de datos, redes perimetrales, desarrollo de software (DevSecOps) y entornos Cloud Computing. Aprenderás a verificar el estricto cumplimiento del Esquema Nacional de Seguridad (ENS) y del Reglamento General de Protección de Datos (RGPD), dominando el análisis de riesgos mediante la metodología MAGERIT y evaluando la robustez de los planes de continuidad de negocio (BCP).

El temario profundiza en la informática forense, la respuesta a incidentes mediante coordinación con el CCN-CERT y la evaluación de vulnerabilidades frente a amenazas persistentes (APT) y ataques de Ransomware. Esta especialización dota al profesional de un perfil estratégico y altamente baremable para opositores a Cuerpos TIC de la Administración, garantizando la capacidad de auditar la resiliencia y seguridad de la información ciudadana ante los riesgos del siglo XXI.

Evaluación

El sistema de evaluación de nuestros cursos online se basa en la realización de exámenes tipo test, siguiendo el formato habitual de los cursos baremables para oposiciones y concursos de méritos.

Al finalizar cada módulo o bloque de contenido, el alumnado deberá completar un cuestionario tipo test, diseñado para comprobar la correcta asimilación de los conocimientos adquiridos durante el curso.

Para superar la formación, será necesario alcanzar el porcentaje mínimo de respuestas correctas establecido en cada prueba. El sistema permite realizar varios intentos, facilitando el aprendizaje progresivo y la mejora de resultados.

Los exámenes tipo test están elaborados conforme a criterios formativos y orientados a reforzar los contenidos más relevantes, ayudando además a familiarizarse con el formato habitual de evaluación en oposiciones.

Una vez superado el curso, se expedirá el correspondiente certificado acreditativo, válido como mérito en oposiciones, bolsas de empleo y concursos-oposición dentro de la Administración Pública, conforme a la normativa vigente.

Metodología

Nuestros cursos se imparten en modalidad 100% online, diseñados para facilitar una formación flexible, accesible y compatible con la preparación de oposiciones y la mejora del baremo de méritos.

La metodología está orientada a un aprendizaje práctico, actualizado y enfocado a la realidad de la Administración Pública, permitiendo al alumnado adquirir competencias aplicables en su ámbito profesional. Todos los contenidos están estructurados de forma clara y progresiva, facilitando el estudio autónomo y eficaz.

A través de nuestra plataforma de teleformación, el alumnado tendrá acceso a materiales didácticos completos, recursos descargables, contenidos actualizados y actividades prácticas, adaptadas a los requisitos habituales de los cursos baremables para oposiciones.

El sistema de aprendizaje está diseñado para que el estudiante avance a su propio ritmo, con acceso disponible las 24 horas. Además, contará con soporte tutorial, garantizando la resolución de dudas durante todo el proceso formativo.

Esta metodología permite obtener una formación de calidad, válida para sumar puntos en oposiciones, bolsas de empleo y concursos de méritos en la Administración Pública.

Temario

  1. Marco normativo y estándares de control:
    1. Concepto, alcance y objetivos de la auditoría de sistemas en el sector público.
    2. Estándares internacionales de auditoría tecnológica: marcos COBIT e ITIL.
    3. Normativa ISO/IEC 27001 sobre Sistemas de Gestión de Seguridad de la Información.
    4. El papel de la Intervención General de la Administración del Estado (IGAE) en el control TIC.
  2. El Esquema Nacional de Seguridad (ENS):
    1. Principios básicos, requisitos mínimos y ámbito de aplicación del ENS (RD 311/2022).
    2. Categorización de los sistemas de información: nivel básico, medio y alto.
    3. Declaración de aplicabilidad y establecimiento de controles de seguridad.
    4. Auditoría de conformidad y certificación del Esquema Nacional de Seguridad.
  3. Fases y metodología de la auditoría de sistemas:
    1. Fase de planificación: definición del alcance, recursos y cronograma de auditoría.
    2. Fase de ejecución: recopilación de evidencias, entrevistas y pruebas sustantivas.
    3. Técnicas de muestreo en auditoría informática y análisis de logs del sistema.
    4. Elaboración del informe de auditoría: hallazgos, riesgos, recomendaciones y plan de acción.

 

 

 

  1. Análisis y evaluación de riesgos (Metodología MAGERIT):
    1. Identificación y valoración de activos de información en la entidad pública.
    2. Identificación de amenazas: naturales, de origen industrial y ciberataques deliberados.
    3. Cálculo del riesgo intrínseco y riesgo residual tras la aplicación de salvaguardas.
    4. Uso de herramientas de soporte para el análisis de riesgos (Pilar del CCN).
  2. Identificación de vulnerabilidades y vectores de ataque:
    1. Auditoría de vulnerabilidades técnicas mediante escáneres automatizados.
    2. Amenazas persistentes avanzadas (APT) dirigidas contra el sector público.
    3. Ataques de ransomware y secuestro de la información institucional.
    4. Ingeniería social y phishing: el factor humano como principal vulnerabilidad.
  3. Controles compensatorios y planes de mitigación:
    1. Diseño y selección de controles de seguridad proporcionales al riesgo evaluado.
    2. Establecimiento de métricas e Indicadores Clave de Riesgo (KRI).
    3. Elaboración y seguimiento del Plan de Tratamiento de Riesgos.
    4. Revisión periódica de la matriz de riesgos ante cambios organizativos o tecnológicos.

  1. Revisión de la topología y segmentación de redes:
    1. Auditoría del diseño de la arquitectura de red y mapas de sistemas físicos.
    2. Evaluación de la segmentación en subredes y separación de entornos (producción/desarrollo).
    3. Seguridad en el enrutamiento y control del tráfico interno (VLANs).
    4. Verificación de la obsolescencia del hardware de red (routers, switches).
  2. Seguridad perimetral y sistemas de detección:
    1. Auditoría de las políticas de filtrado en cortafuegos (Firewalls) de próxima generación.
    2. Sistemas de Prevención y Detección de Intrusiones (IDS/IPS).
    3. Controles contra ataques de Denegación de Servicio Distribuido (DDoS).
    4. Evaluación de las zonas desmilitarizadas (DMZ) para servicios públicos.
  3. Auditoría de redes inalámbricas y conexiones remotas:
    1. Revisión de protocolos de cifrado y autenticación en redes Wi-Fi institucionales.
    2. Auditoría de la infraestructura de Redes Privadas Virtuales (VPN) para teletrabajo.
    3. Control de acceso de dispositivos de terceros y redes de invitados.
    4. Monitorización del tráfico de red y captura de paquetes (sniffing) autorizado.

  1. Modelos de servicio y despliegue en la nube:
    1. Auditoría de modelos de servicio: IaaS, PaaS y SaaS en la administración.
    2. Evaluación de despliegues en nube pública, privada, híbrida y comunitaria.
    3. El modelo de responsabilidad compartida entre el proveedor y la entidad pública.
    4. Análisis de riesgos específicos del cloud: pérdida de gobernanza y fuga de datos.
  2. Auditoría de proveedores cloud y acuerdos de nivel de servicio:
    1. Verificación del cumplimiento del ENS por parte de los proveedores de servicios en la nube.
    2. Revisión de los Acuerdos de Nivel de Servicio (SLA) y penalizaciones por caídas.
    3. Auditoría del derecho de portabilidad de los datos y estrategias de salida (Exit strategy).
    4. Control sobre la ubicación física de los servidores y transferencia internacional de datos.
  3. Migración segura y protección del dato en la nube:
    1. Auditoría de la fase de planificación técnica para la migración al cloud.
    2. Controles de cifrado de la información en tránsito y en reposo en el proveedor.
    3. Gestión de las claves criptográficas propias frente a las del proveedor cloud (BYOK).
    4. Auditoría de las interfaces de programación de aplicaciones (APIs) expuestas.

  1. Arquitectura de repositorios y sistemas gestores:
    1. Evaluación de los Sistemas Gestores de Bases de Datos (SGBD) relacionales y NoSQL.
    2. Auditoría de la integridad referencial y restricciones de los diccionarios de datos.
    3. Revisión de los parámetros de configuración seguros por defecto (Hardening).
    4. Control sobre el uso de bases de datos departamentales no homologadas (Shadow IT).
  2. Controles de acceso, privilegios y segregación:
    1. Auditoría de la asignación del principio de mínimo privilegio en el acceso a datos.
    2. Identificación y control estricto de cuentas de superusuario y administradores de bases de datos.
    3. Segregación de funciones incompatibles en la gestión de la información financiera.
    4. Trazabilidad total: revisión de la activación de auditoría nativa en el motor de base de datos.
  3. Planes de respaldo, copias de seguridad y retención:
    1. Auditoría de la política de copias de seguridad: completas, incrementales y diferenciales.
    2. Verificación del almacenamiento seguro y externalización física/lógica de las cintas de backup.
    3. Pruebas periódicas de restauración real para garantizar la disponibilidad de los datos.
    4. Cumplimiento de los plazos legales de retención y eliminación segura de registros obsoletos.

  1. Fundamentos criptográficos y cifrado de información:
    1. Principios de la criptografía simétrica y asimétrica aplicados a la administración.
    2. Funciones hash y su papel en la verificación de la integridad de los documentos públicos.
    3. Auditoría de la obsolescencia de algoritmos criptográficos débiles o deprecados.
    4. Políticas de cifrado de discos duros en ordenadores portátiles y dispositivos extraíbles.
  2. Infraestructura de Clave Pública (PKI) y certificados:
    1. Auditoría de la gestión de certificados digitales de sede, sello y empleado público.
    2. Control sobre la Autoridad de Certificación (CA) y las Listas de Revocación de Certificados (CRL).
    3. Custodia segura de claves privadas en módulos de seguridad hardware (HSM).
    4. Procedimientos técnicos de renovación, suspensión y revocación de credenciales.
  3. Auditoría de la privacidad y ciclo de vida del dato:
    1. Clasificación de la información pública según su nivel de confidencialidad e impacto.
    2. Técnicas de enmascaramiento y desidentificación en bases de datos de desarrollo.
    3. Aplicación práctica de la Privacidad por Diseño y por Defecto en nuevos sistemas.
    4. Procedimientos de borrado seguro y destrucción física de soportes de almacenamiento.

  1. Ciclo de vida del desarrollo seguro de software:
    1. Auditoría de la integración de requisitos de seguridad en la fase de análisis de sistemas.
    2. Revisión de los controles de seguridad en las metodologías ágiles de desarrollo (Scrum).
    3. Separación estricta entre los entornos de desarrollo, pruebas, preproducción y producción.
    4. Control de versiones, trazabilidad del código fuente y pase seguro a producción.
  2. Pruebas de seguridad en aplicaciones web (OWASP Top 10):
    1. Auditoría de vulnerabilidades de Inyección (SQL, NoSQL, OS Command).
    2. Revisión de fallos en la autenticación y gestión de sesiones de los ciudadanos.
    3. Evaluación de riesgos por exposición de datos sensibles y criptografía defectuosa.
    4. Pruebas de concepto sobre vulnerabilidades de Cross-Site Scripting (XSS) y SSRF.
  3. Integración de herramientas de seguridad automatizadas:
    1. Análisis estático de seguridad del código fuente (SAST) durante la programación.
    2. Análisis dinámico de aplicaciones (DAST) en entornos de ejecución simulados.
    3. Auditoría del uso de componentes de terceros y librerías open-source vulnerables.
    4. Validación continua y despliegue continuo con controles de seguridad (Pipelines CI/CD).

  1. Políticas de autenticación y contraseñas robustas:
    1. Auditoría de la política corporativa de complejidad, longitud y caducidad de contraseñas.
    2. Integración de directorios activos (Active Directory) y gestión centralizada de cuentas.
    3. Procedimientos automatizados para altas, bajas y modificaciones de personal funcionario.
    4. Bloqueo de cuentas por intentos fallidos y auditoría de cuentas genéricas o huérfanas.
  2. Autenticación multifactor y accesos privilegiados:
    1. Verificación de la implementación obligatoria de MFA para accesos externos y críticos.
    2. Auditoría de sistemas de Single Sign-On (SSO) para aplicaciones institucionales.
    3. Gestión de Accesos Privilegiados (PAM) para aislar y monitorizar a los administradores.
    4. Rotación de contraseñas de servicio y cuentas de aplicación integradas.
  3. Seguridad en dispositivos móviles y control del teletrabajo:
    1. Auditoría de soluciones MDM (Mobile Device Management) para la flota de móviles públicos.
    2. Revisión de las políticas de teletrabajo seguro y dotación tecnológica de los empleados.
    3. Controles de acceso condicional basados en la salud del dispositivo remoto y ubicación.
    4. Prevención de la copia de información pública hacia entornos personales (BYOD).

  1. Gestión de brechas de seguridad y protocolos de respuesta:
    1. Creación y funciones de los equipos de respuesta a incidentes informáticos (CSIRT/CERT).
    2. Procedimientos de contención, erradicación y recuperación de sistemas comprometidos.
    3. Obligación de notificación de incidentes críticos al CCN-CERT e INCIBE.
    4. Simulacros de ciberataques (Red Teaming) y ejercicios de gestión de crisis institucional.
  2. Informática forense y cadena de custodia:
    1. Protocolos técnicos para la recolección de evidencias volátiles (memoria RAM).
    2. Mantenimiento estricto de la cadena de custodia para la validez legal de las pruebas.
    3. Auditoría forense sobre el correo electrónico corporativo y extracción de artefactos.
    4. Elaboración de informes periciales informáticos para procedimientos judiciales o disciplinarios.
  3. Planes de Continuidad y Recuperación ante Desastres:
    1. Auditoría del Análisis de Impacto en el Negocio (BIA) para priorizar servicios críticos públicos.
    2. Verificación del Plan de Continuidad de Negocio (BCP) frente a contingencias graves.
    3. Evaluación técnica del Plan de Recuperación ante Desastres (DRP) en los centros de datos.
    4. Métricas de recuperación: auditoría de los objetivos RTO (tiempo) y RPO (datos).

  1. Auditoría de cumplimiento del RGPD y LOPDGDD:
    1. Verificación de la licitud del tratamiento de datos de los ciudadanos.
    2. Auditoría del Registro de Actividades de Tratamiento (RAT) de la entidad pública.
    3. Control de los mecanismos para el ejercicio de los derechos ARSULIPO.
    4. Revisión de los acuerdos de encargo de tratamiento firmados con empresas tecnológicas.
  2. El papel del Delegado de Protección de Datos (DPD):
    1. Evaluación de la independencia, recursos y posición del DPD en la administración.
    2. Auditoría de la comunicación y coordinación entre el departamento TIC y el DPD.
    3. Asesoramiento del DPD en los protocolos de notificación de brechas de datos personales a la AEPD.
    4. Revisión de la formación en concienciación de privacidad impartida a los empleados públicos.
  3. Evaluaciones de Impacto y régimen sancionador:
    1. Verificación metodológica de las Evaluaciones de Impacto en la Privacidad (EIPD).
    2. Análisis de la necesidad y proporcionalidad de los nuevos desarrollos informáticos invasivos.
    3. Resoluciones recientes de la Agencia Española de Protección de Datos en el sector público.
    4. Consecuencias disciplinarias y de reputación institucional ante auditorías deficientes.

Titulación Certificada

Acreditado por la Universidad Tecnológica Atlántico Mediterráneo

Universidad Tecnológica Atlántico Mediterráneo

La Universidad Tecnológica Atlántico Mediterráneo (UTAMED) es una institución universitaria privada orientada a la innovación educativa y especializada en formación superior online de última generación. Como “La Universidad Online del Siglo XXI”, UTAMED impulsa un modelo académico flexible, digital y conectado con las necesidades reales del mercado laboral, promoviendo la docencia, la investigación aplicada, la formación continua y la transferencia de conocimiento tecnológico.

UTAMED y Universal Formación trabajan de manera conjunta para ampliar y fortalecer la oferta educativa online, poniendo a disposición del alumnado programas formativos de alta calidad académica y con un enfoque competencial y profesionalizador. Esta colaboración representa una oportunidad para los estudiantes que buscan una formación universitaria moderna, accesible y adaptada a los retos del entorno digital global.

Título expedido

Una vez finalice su programa formativo, le será expedido el Diploma acreditativo por la Universidad Tecnológica Atlántico Mediterráneo (UTAMED). A continuación se muestra un modelo orientativo:

Diploma UTAMED
Diploma Universidad Tecnológica Atlántico Mediterráneo

Validez europea
Firma del Rector
Código de verificación
Realizar inscripción
Imagen de Curso en Auditoría de Sistemas de Información y Ciberseguridad en Entidades Públicas

150€

Garantía de devolución de 30 días

Este curso incluye

  • 125 Horas
  • E-learning | Online
  • 6 Meses de acceso
  • Certificado de finalización

¿Eres experto en tu sector?

Colabora con Meritum Formación y participa en proyectos orientados a la formación, la innovación y la empleabilidad.

Colabora con nosotros
150€
Añadir al carrito

Síguenos

Conócenos

Meritum Formación es un centro especializado en formación online y para empresas, orientado al desarrollo profesional y la mejora de la empleabilidad a través de programas actualizados y de calidad.

Conócenos

Empresa

Formación

© 2026 Meritum EdTech · Todos los derechos reservados