Clasificación de la Información: Niveles, Criterios y Etiquetado

La clasificación de la información es uno de los controles fundamentales de ISO 27001:2022. Sin saber qué tan sensible es cada activo de información, es imposible aplicar controles proporcionales al riesgo. Los controles A.5.12 (Clasificación de la información) y A.5.13 (Etiquetado de la información) del Anexo A establecen los requisitos para este proceso.

¿Qué son los controles A.5.12 y A.5.13?

A.5.12 — Clasificación de la información

La información debe clasificarse según su valor para la organización, los requisitos legales, la sensibilidad y la criticidad para el negocio. La clasificación determina qué controles de protección son necesarios y proporcionales.

A.5.13 — Etiquetado de la información

Una vez clasificada, la información debe etiquetarse de acuerdo con el esquema de clasificación adoptado. El etiquetado puede ser físico (sellos, carátulas de documentos) o digital (metadatos, encabezados de archivos, campos en sistemas).

Niveles de clasificación típicos

Nivel	Descripción	Ejemplos	Controles mínimos
Público	Información sin restricciones de divulgación	Página web, comunicados de prensa, folletos	Integridad básica
Interno	Para uso dentro de la organización	Políticas internas, manuales, comunicaciones generales	Control de acceso básico, no compartir externamente sin autorización
Confidencial	Información sensible con acceso restringido	Datos de clientes, contratos, información financiera, código fuente	Cifrado en reposo/tránsito, acceso basado en roles, registro de acceso
Restringido	Información altamente sensible con acceso muy limitado	Claves criptográficas, datos de contraseñas, planes estratégicos críticos, información regulada	Cifrado fuerte, MFA obligatorio, log de auditoría detallado, necesidad de conocer estricta

Cuántos niveles usar: Cuatro niveles es el estándar más común y equilibrado. Con dos niveles (sensible/no sensible) muchas organizaciones sobreprotegen información poco crítica. Con cinco o más niveles, el esquema se vuelve complejo de aplicar en la práctica y los empleados no lo usan consistentemente.

Criterios para clasificar la información

Para clasificar un activo de información, evalúa tres dimensiones:

1. Confidencialidad

¿Qué impacto tendría si esta información fuera divulgada a personas no autorizadas? Considera el daño reputacional, las obligaciones legales (datos personales bajo la Ley 19.628 o su reforma), las consecuencias comerciales y el impacto en clientes.

2. Integridad

¿Qué impacto tendría si esta información fuera alterada sin autorización? Los datos financieros, registros médicos y configuraciones de sistemas críticos requieren controles de integridad estrictos.

3. Disponibilidad

¿Qué impacto tendría si esta información no estuviera disponible cuando se necesita? Esto guía las decisiones sobre redundancia, backup y tiempos de recuperación.

Proceso de clasificación paso a paso

Inventariar los activos de información: Antes de clasificar, necesitas saber qué información existe. El control A.5.9 exige un inventario de activos.
Definir el propietario del activo: El propietario (no necesariamente quien lo crea) es responsable de clasificar la información bajo su custodia.
Aplicar los criterios de clasificación: Para cada activo, el propietario evalúa confidencialidad, integridad y disponibilidad y asigna el nivel más alto que corresponda.
Etiquetar el activo: Aplica la etiqueta según el esquema definido.
Aplicar los controles correspondientes: Cada nivel de clasificación tiene sus controles mínimos definidos en la política.
Revisar periódicamente: La clasificación puede cambiar. Un contrato confidencial puede volverse público después de ejecutarse. Revisa la clasificación al menos anualmente.

Reglas de etiquetado

Documentos físicos

Encabezado y pie de página en cada página con el nivel de clasificación
Carátula con nivel de clasificación visible
Sello físico para documentos impresos de nivel Restringido

Documentos digitales

Encabezado del documento (Word, PDF) con nivel de clasificación
Metadatos del archivo cuando sea técnicamente posible
Nombre del archivo puede incluir el nivel (ej: CONFIDENCIAL_contrato_XYZ.pdf)

Correo electrónico

Asunto del correo con el nivel cuando contenga información clasificada
Pie de correo automático cuando se envíe información confidencial o restringida

Errores frecuentes

Clasificar todo como Confidencial

Por precaución, algunas organizaciones clasifican toda la información como confidencial, lo que hace el esquema inútil. Si todo es confidencial, nada lo es realmente.

No revisar la clasificación

La información cambia de valor con el tiempo. Un precio de licitación es confidencial antes de adjudicarse y puede ser público después. Sin revisión periódica, la clasificación se desactualiza.

Clasificar sin definir controles correspondientes

La clasificación solo tiene valor si va acompañada de controles concretos para cada nivel. Clasificar sin controles es un ejercicio burocrático sin impacto real en la seguridad.

Atención regulatoria: Los datos personales bajo la legislación chilena vigente y su reform en tramitación deben considerarse al menos de nivel Confidencial y aplicar los controles correspondientes. La clasificación de la información y la protección de datos personales son complementarias.

Implementa la clasificación de información con GRC360

GRC360 incluye un módulo de gestión de activos de información con soporte para esquemas de clasificación, etiquetado y seguimiento del estado de cumplimiento por activo.

Crear Cuenta Gratis

Profundiza en los controles relacionados: control de acceso y mínimo privilegio, criptografía y cifrado, y el Anexo A completo de ISO 27001.