La seguridad “no técnica” se refiere a todas aquellas medidas, políticas, roles y procedimientos que no dependen de herramientas tecnológicas, pero son esenciales para proteger la información y garantizar un entorno seguro. Estas medidas actúan como capa organizativa, operativa o de gestión, dentro de una estrategia de seguridad integral.
Clasificación de la seguridad no técnica (según el documento FGSI-T3 y ampliación)
Relacionado: NIS2. RGPD. Alcance. Controles. Herramientas.
1. Seguridad organizativa
-
Define cómo se estructura la organización para abordar la seguridad.
-
Asigna roles, responsabilidades y autoridad en seguridad.
-
Determina el alcance, los objetivos y la política de seguridad.
Ejemplos:
-
Comité de Seguridad TIC
-
Designación de responsables (CISO, DPO, responsable del sistema)
-
Marco normativo (ENS, ISO 27001, RGPD, etc.)
-
Políticas de clasificación de la información
2. ️ Seguridad operacional o procedimental
-
Se basa en rutinas, normas y procedimientos repetibles para gestionar la seguridad día a día.
-
Mitiga riesgos relacionados con el uso humano de los sistemas.
Ejemplos:
-
Procedimientos de alta y baja de usuarios
-
Guías de uso aceptable de correo, navegación o dispositivos
-
Planes de concienciación y formación
-
Controles de acceso físicos y lógicos
3. Seguridad técnico-instrumental (aunque incluye tecnología, se enmarca dentro de una visión más estructural)
-
Uso correcto de las herramientas existentes
-
No se refiere solo a tecnología de defensa, sino a cómo se gestionan y configuran de forma planificada.
Ejemplos:
-
Inventario de activos
-
Planificación del mantenimiento
-
Revisión de logs
-
Gestión de vulnerabilidades
Principios clave de la seguridad no técnica
-
Gobierno y liderazgo: compromiso visible de la dirección.
-
Cultura organizativa: crear conciencia, fomentar buenas prácticas.
-
Ciclo PDCA (Plan-Do-Check-Act): mejora continua y gestión estructurada.
-
Enfoque basado en riesgos: priorizar medidas según criticidad.
-
Políticas documentadas: claridad y obligatoriedad.
-
Separación de funciones y mínimo privilegio.
-
Auditoría y rendición de cuentas: trazabilidad y revisión.
-
Cumplimiento legal: alineación con RGPD, ENS, NIS2, etc.
¿Por qué es crítica?
-
Reduce los fallos humanos, que son la principal causa de incidentes.
-
Garantiza coherencia y sostenibilidad de la seguridad en el tiempo.
-
Es requisito obligatorio en normativas como el ENS, ISO/IEC 27001 o DORA.
-
Sin ella, las medidas técnicas son ineficaces o mal implementadas.
Conclusión
La seguridad no técnica es la columna vertebral del gobierno de la seguridad: sin una estructura organizativa clara, formación, roles, procedimientos y cultura de seguridad, ningún sistema técnico puede ser seguro por sí solo.
Esta dimensión es esencial para garantizar el cumplimiento normativo y sostener la resiliencia a largo plazo.
¿Quieres una tabla comparativa entre seguridad técnica y no técnica con ejemplos aplicables al sector público o a una empresa privada? ¿O una plantilla de estructura de política de seguridad no técnica según ENS?