Blog Grupo CFI

¿Qué formación es la requerida en el Esquema Nacional de Seguridad y en la ISO 27001? Conoce todas las claves.

Escrito por Cristina Corbillón Gómez | Sep 8, 2025 11:36:44 AM
¿Es obligatoria la formación en el Esquema Nacional de Seguridad (ENS)?
En un contexto creciente de ciberamenazas, resulta imprescindible que el personal laboral de las empresas cuente con una formación sólida en materia de ciberseguridad como medida para garantizar la seguridad de la información, principal activo de cualquier organización.
 
No obstante, no todo el personal de una organización requiere del mismo grado de formación. Este dependerá de cuáles sean sus asignaciones o responsabilidades. De esta forma, el personal técnico requerirá de un alto grado de especialización en el ámbito de la seguridad de la información y sus tecnologías, mientras que un usuario final que maneje una pequeña parte de la información de la empresa no requerirá de formación en aspectos técnicos.
 
Por tanto, será fundamental ser conscientes de la importancia de formar a nuestro personal laboral en materia de seguridad de la información (ENS y también en ISO 27001), teniendo en cuenta siempre las responsabilidades de cada rol juegan dentro de la organización.
 
¿Qué dice el ENS sobre la formación?

De acuerdo con lo establecido en la medida de seguridad [mp.per.4], del Anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, “formación”, establece que la organización garantizará la formación regular de todo el personal en materias relacionadas con la seguridad de la información, de forma proporcional a las funciones que desempeñe cada personal.

En particular, se cubrirán, al menos, las siguientes áreas de capacitación:
  • Configuración de sistemas: formación orientada a garantizar que el personal técnico aplica de forma adecuada los principios de seguridad en el diseño, implantación, configuración y mantenimiento de sistemas y servicios.
  • Detección y reacción ante incidentes: comunicación oportuna de incidentes y actuación conforme a los procedimientos establecidos para minimizar su impacto.
  • Gestión de la información en cualquier soporte: conocimiento de las medidas de seguridad aplicables a lo largo del ciclo de vida de la información, incluyendo almacenamiento, transferencia, copias de seguridad, distribución y destrucción.

Asimismo, conforme al artículo 16.3 del ENS, la organización determinará y documentará los requisitos de formación y experiencia necesarios para cada puesto de trabajo, asegurando que el personal disponga de las competencias adecuadas para el desempeño seguro de sus funciones.

La planificación de la formación será continua, documentada y revisada periódicamente, con el objetivo de:
  • Mantener actualizados los conocimientos en materia de ciberseguridad.
  • Fomentar la concienciación y cultura de seguridad en toda la organización.
  • Garantizar la alineación con los principios y requisitos del Esquema Nacional de Seguridad.
¿Qué formación es la adecuada para cumplir el ENS?
Ahondando en el concepto de formación, requisito indispensable del ENS, el Real Decreto 311/2022 establece que “se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso, así como de los responsables jerárquicos, con el fin de evitar que la ignorancia, la falta de organización, la ausencia de coordinación o la carencia de instrucciones adecuadas se conviertan en fuentes de riesgo para la seguridad”.
 

A continuación, se presenta la formación adecuada sobre el Esquema Nacional de Seguridad según el rol de cada cargo dentro de la empresa:

Rol 

Formación requerida 

Curso apropiado del Instituto Superior de Ciberseguridad (*)

Responsable de la Información 

Formación sobre los requisitos fundamentales del ENS (curso de 20 – 30 horas).

Curso Esquema Nacional de Seguridad (30h)

Responsable del Servicio 

Responsable del Sistema 

Formación sobre los requisitos fundamentales del ENS (curso de 20-30 horas) y formación sobre las tecnologías que utiliza la organización.

Curso Esquema Nacional de Seguridad (30h)

Responsable de la

Seguridad de la Información 

Formación profunda sobre la implantación y operación del ENS (curso de 90-100 horas). 

Curso Experto Implantador ENS (100h) 

Administrador de Seguridad 

Formación sobre los requisitos fundamentales del ENS (curso de 20-30 horas) y formación sobre las tecnologías de seguridad que utiliza la organización.

Curso Esquema Nacional de Seguridad  (30h) 

Delegado de Protección de Datos 

Formación sobre los requisitos fundamentales del ENS (curso de 20-30 horas) y formación profunda en protección de datos personales. 

Curso Esquema Nacional de Seguridad (30h)

Curso Delegado de Protección de Datos (180h)

Coordinador de Protección de Datos 

Formación sobre los requisitos fundamentales del ENS (curso de 20-30 horas) y formación en protección de datos personales. 

Curso Esquema Nacional de Seguridad (30h)

 

Curso Experto en el Reglamento General de Protección de Datos de Europa (RGPD) (60h)

Persona de Contacto para las AAPP (POC) 

Formación profunda sobre la implantación y operación del ENS (curso de 90-100 horas). 

Curso Experto Implantador del ENS(100h) 

Todos los usuarios de la organización

Curso básico de seguridad de la información, para que conozcan las amenazas que existen en Internet y el uso de la tecnología y cómo hacer un uso seguro de Internet y las tecnologías (curso de 4 horas).

Curso Seguridad de la Información para Noveles (4h) 

  Usuarios que tratan datos personales

Curso básico de protección de datos personales para no incumplir la normativa por desconocimiento (curso de 4 horas).

Curso LOPDGDD para Noveles (4h) 
(*) Todos nuestros cursos son 100% bonificables por FUNDAE
Volviendo al ENS y en relación con la formación, la medida de seguridad [m.p.3], del Anexo II del ENS, “Protección de la navegación web”, aclara que regularmente se llevarán a cabo actividades de concienciación sobre higiene en la navegación web, fomentando el uso seguro y alertando de usos incorrectos.
 
¿Qué ocurre si el personal de una organización no cuenta con la formación necesaria?
La empresa estaría incumpliendo uno de los requisitos fundamentales del Esquema Nacional de Seguridad, que exige disponer de un plan de formación adecuado y continuo para todos los empleados en materia de seguridad de la información. Este incumplimiento podría derivar en una no conformidad durante el proceso de auditoría y, en consecuencia, poner en riesgo la obtención de la certificación del Esquema Nacional de Seguridad.
 
¿Y qué formación es la adecuada según la norma ISO 27001?

La norma ISO 27001 en la cláusula 7.2 “competencia” estipula que las empresas deben asegurarse de que las personas que componen su organización sean “competentes, basándose en la educación, formación o experiencia adecuadas”.

Además, en el control 6.3 del Anexo A de la norma ISO 27001:2022, cuyo título es “concienciación, educación y formación en seguridad de la información” recoge que es fundamental que el personal y las partes interesadas relevantes conozcan y cumplan sus responsabilidades en materia de seguridad de la información. Indica también que una concienciación, educación y capacitación inicial puede ofrecerse al personal nuevo y a los que se trasladan a nuevos puestos o roles con requisitos de seguridad de la información sustancialmente diferentes.

En concreto se detalla que la organización debería identificar, preparar e implementar un plan de formación y concienciación para que el personal sea consciente de sus responsabilidades en la seguridad de la información, de las amenazas que existen y de cómo hacer un uso seguro de Internet y los medios tecnológicos.

La organización también debería preparar un plan de formación adecuado para los equipos técnicos cuyos roles requieran destrezas y experiencia específicos. Los equipos técnicos deberán tener las habilidades para configurar y mantener el nivel de seguridad requerido para dispositivos, sistemas, aplicaciones y servicios. Si faltan habilidades para ello, la organización debería tomar medidas para que las adquieran.

¿Qué formación es la adecuada para los empleados de la organización para cumplir la ISO 27001?

Rol 

Formación requerida 

Curso apropiado del Instituto Superior de Ciberseguridad (*)

Responsable de la Seguridad de la Información (ISO 27001) 

Formación profunda sobre la implantación y operación de la ISO 27001:2022 (curso de 50-60 horas).

 Curso Implantación y gestión de la ISO 27001:2022  (60h)

Todos los usuarios 

Curso básico de seguridad de la información, para que conozcan las amenazas que existen en Internet y el uso de la tecnología y cómo hacer un uso seguro de Internet y las tecnologías (curso de 4 horas).

Curso Seguridad de la Información para Noveles (4h) 

Usuarios que tratan datos personales

Curso básico de protección de datos personales para no incumplir la normativa por desconocimiento (curso de 4 horas).

Curso LOPDGDD para Noveles (4h) 
(*) Todos nuestros cursos son 100% bonificables por FUNDAE
¿Qué ocurre si el personal de la organización no está formado?
Si el personal de la organización no recibe la formación adecuada, se estaría incumpliendo un requisito esencial tanto del Esquema Nacional de Seguridad (ENS) como de la norma ISO/IEC 27001, que establece la obligación de contar con un plan de formación apropiada para la plantilla. En este contexto, durante una auditoría, el auditor podría emitir una no conformidad, lo que podría impedir a la empresa obtener la certificación en este estándar internacional.
 
Conclusión

La formación en seguridad de la información es un aspecto clave tanto en el Esquema Nacional de Seguridad (ENS) como en la norma ISO 27001. El Real Decreto 311/2022, de 3 de mayo, que regula el ENS, establece de manera clara que todas las organizaciones deben garantizar la capacitación continua de su personal, adaptada a las funciones y responsabilidades de cada rol. De esta manera, se asegura que el personal puede comprender los principios de seguridad y, además, puedan aplicarlos de manera efectiva. Requisitos similares contiene la norma ISO 27001.

Asimismo, la formación diferenciada según el nivel de responsabilidad permite crear una cultura de ciberseguridad en la organización.

Invertir en formación es una medida que fortalece la seguridad de la organización y garantiza el cumplimiento de las normativas, con el fin de evitar riesgos y proyectar una buena imagen de cara a clientes y/o potenciales clientes.

En el Instituto Superior de Ciberseguridad ofrecemos formación adaptada a cada nivel de responsabilidad dentro de la organización desde cursos básicos para usuarios hasta programas avanzados para responsables de seguridad, totalmente bonificables por FUNDAE, para que las empresas puedan cumplir con el ENS y la ISO 27001 de manera eficaz, incrementando, además, de forma notable el nivel de ciberseguridad de la organización.
Ver post completo