En breve: La clasificación de la información en ISO 27001 consiste en asignar a cada activo (documentos, bases de datos, correos, contratos) un nivel de sensibilidad —típicamente público, interno, confidencial y restringido— según el daño que causaría su filtración, alteración o pérdida. Ese nivel determina cómo se etiqueta, quién accede y cómo se maneja la información en el día a día.
¿Qué es la clasificación de la información y por qué es obligatoria en ISO 27001?
Clasificar la información significa ponerle una etiqueta de sensibilidad a cada tipo de dato que maneja tu empresa. No es un capricho burocrático: es la base sobre la que se apoyan casi todos los demás controles de seguridad. Si no sabes qué información es crítica, no puedes decidir con criterio quién debe verla, cómo se cifra, dónde se guarda o qué pasa si se pierde un portátil.
El Anexo A de ISO/IEC 27001:2022 reúne 93 controles agrupados en cuatro temas: organizativos, de personas, físicos y tecnológicos. La clasificación de la información se sitúa en el bloque organizativo, junto al inventario de activos y al etiquetado. Y aquí está el matiz que se le escapa a muchas pymes cuando empiezan: la norma exige que exista un esquema de clasificación y que se aplique de forma consistente, pero no impone niveles concretos ni nombres fijos. Cada organización define su propio esquema en función de su realidad —tamaño, sector, tipo de datos que trata— y lo justifica en su Declaración de Aplicabilidad (SoA), el documento obligatorio que recoge qué controles aplica la empresa y cuáles excluye, con su motivo.
En la práctica, esto significa que puedes adaptar el esquema a tu negocio: una consultora que trata datos de clientes no necesita el mismo detalle que una fábrica con secretos industriales, pero ambas deben poder demostrar que han pensado en ello y que lo aplican de forma real, no solo sobre el papel.
¿Qué niveles de clasificación se usan habitualmente en una pyme?
El esquema más extendido entre pymes españolas —y el que suelo recomendar en las auditorías que hago para empresas que se preparan para certificar— usa cuatro niveles. Es sencillo de explicar al equipo, cubre la mayoría de casos reales y no satura de matices innecesarios a quien tiene que aplicarlo cada día.
| Nivel | Qué incluye | Criterio de asignación | Ejemplo típico |
|---|---|---|---|
| Pública | Información destinada a difundirse sin restricción | Su divulgación no genera ningún perjuicio para la empresa | Notas de prensa, catálogo de productos, contenido de la web corporativa |
| Interna | Uso exclusivo del personal de la organización | Su filtración causaría un perjuicio leve o de imagen | Manuales internos, actas de reunión, organigramas |
| Confidencial | Datos que requieren protección reforzada | Su filtración causaría un perjuicio grave (económico, legal o reputacional) | Datos de clientes, condiciones comerciales, nóminas, contratos |
| Restringida | Información crítica de acceso muy limitado | Su filtración pondría en riesgo la viabilidad del negocio o la seguridad de las personas | Credenciales de administración, propiedad intelectual clave, datos de salud, planes estratégicos |
No hace falta inventar categorías exóticas. Lo importante es que los cuatro niveles queden definidos por escrito en tu política de seguridad de la información, con ejemplos concretos de tu propio negocio, y que el equipo entienda la diferencia entre ellos sin tener que preguntar cada vez.
¿Quién decide el nivel de clasificación de cada documento?
La responsabilidad recae en el propietario del activo de información, no en el departamento de sistemas ni en el responsable de seguridad. Esto suele sorprender: quien clasifica no es quien custodia el dato técnicamente, sino quien lo genera o lo gestiona en el día a día porque es quien mejor conoce su impacto real si algo sale mal.
En una pyme típica esto se traduce así:
- El responsable de RRHH clasifica los expedientes de personal y las nóminas.
- El responsable comercial clasifica los contratos y las condiciones con clientes.
- Dirección o el responsable de seguridad clasifica los planes estratégicos y la información financiera sensible.
- El área técnica clasifica las credenciales de acceso y la documentación de infraestructura.
Cuando el negocio es pequeño y no hay tantos departamentos diferenciados, es habitual que una sola persona —normalmente quien lidera el proyecto de certificación— asuma varios de estos roles. Lo que no puede pasar es que nadie tenga esa responsabilidad asignada por escrito, porque entonces la clasificación se convierte en un criterio distinto para cada empleado y pierde todo su valor.
¿Cómo se etiqueta la información según su nivel?
El etiquetado es el paso que convierte la clasificación en algo visible y operativo. De poco sirve tener un esquema de cuatro niveles si nadie sabe, con solo mirar un documento, a qué nivel pertenece.
Etiquetado de documentos digitales
Lo más sencillo y efectivo para una pyme es incluir el nivel en el pie de página o en la cabecera del propio documento («Confidencial — uso interno», por ejemplo), y reforzarlo con el nombre del archivo o la carpeta donde se guarda. Herramientas como Microsoft Purview o Google Workspace permiten automatizar este etiquetado en correo y documentos, pero no hace falta invertir en software específico para empezar: una convención clara y bien comunicada ya cubre buena parte del riesgo.
Etiquetado de información física
Los documentos en papel —contratos firmados, expedientes, facturas— también necesitan su marca visible y, sobre todo, un lugar de almacenamiento coherente con su nivel: armario cerrado con llave para lo confidencial, acceso restringido con registro para lo restringido.
Etiquetado de sistemas y bases de datos
Cuando el activo no es un documento sino una base de datos completa (el CRM, el ERP, el sistema de nóminas), la clasificación se aplica al conjunto y se refleja en los permisos de acceso configurados en el propio sistema, no en una etiqueta física.
¿Cómo se maneja la información en cada nivel?
La clasificación solo tiene sentido si va acompañada de reglas de manejo distintas para cada nivel. Esta es la tabla que suelo entregar a mis clientes como referencia rápida:
| Nivel | Acceso | Envío por correo | Copias de seguridad | Destrucción |
|---|---|---|---|---|
| Pública | Sin restricción | Sin cifrado | Estándar | Reciclaje normal |
| Interna | Personal de la empresa | Dominio corporativo, sin cifrado obligatorio | Estándar | Trituradora o borrado simple |
| Confidencial | Personal autorizado por función | Cifrado obligatorio o canal seguro | Cifradas, con control de acceso | Trituradora certificada o borrado seguro |
| Restringida | Lista nominal cerrada, con registro de acceso | Canal seguro dedicado, nunca correo abierto | Cifradas, con copia offsite bajo control estricto | Destrucción certificada con evidencia documental |
Un detalle que muchas pymes pasan por alto: la copia de seguridad de la información confidencial y restringida debe seguir la regla 3-2-1 —tres copias de los datos, en dos soportes distintos, con una copia fuera de las instalaciones— y en su variante más robusta, 3-2-1-1-0, sumar una copia inmutable u offline y verificar que las restauraciones se completan sin errores. No sirve de nada clasificar un dato como crítico y luego respaldarlo con el mismo criterio que un catálogo público.
¿Cómo encaja la clasificación con las cinco dimensiones del ENS?
Si tu empresa presta servicios a una administración pública o a un cliente sujeto al Esquema Nacional de Seguridad, la clasificación de la información no solo alimenta ISO 27001: también es la puerta de entrada a la categorización que exige el Real Decreto 311/2022.
El ENS estructura sus 73 medidas del Anexo II en tres marcos —organizativo, operacional y de protección— y obliga a categorizar cada sistema de información (BÁSICA, MEDIA o ALTA) según el impacto que tendría un incidente en cinco dimensiones de seguridad:
- Confidencialidad: qué pasaría si la información llega a quien no debe.
- Integridad: qué pasaría si el dato se altera sin autorización.
- Trazabilidad: qué pasaría si no se puede reconstruir quién hizo qué y cuándo.
- Autenticidad: qué pasaría si no se puede verificar el origen de la información o de quien accede a ella.
- Disponibilidad: qué pasaría si el sistema deja de estar accesible cuando se necesita.
Aquí es donde el trabajo de clasificación de ISO 27001 y la categorización del ENS se retroalimentan de forma muy directa: si ya has valorado cada activo de información según su impacto para asignarle un nivel de confidencial o restringido, tienes recorrido casi todo el análisis que te pide el ENS, solo que ampliado a las otras cuatro dimensiones. La categoría resultante —BÁSICA, MEDIA o ALTA— determina si tu empresa necesita auditoría bienal por entidad acreditada ENAC (MEDIA y ALTA) o le basta con una autoevaluación (BÁSICA).
Este es precisamente uno de los puntos donde recomiendo apoyo externo antes de fijar el esquema definitivo: un fallo al categorizar por debajo del nivel real puede dejar a tu empresa fuera de un concurso público o, peor, con un incidente que no estaba cubierto por las medidas correctas. Si tu empresa necesita ayuda para definir este esquema con garantías, en mi servicio de cumplimiento normativo trabajo precisamente esta parte junto con el resto del sistema de gestión.
¿Qué errores cometen las pymes al clasificar su información?
Después de acompañar a varias empresas en este proceso, hay patrones que se repiten casi siempre:
- Clasificar todo como confidencial «por si acaso». Parece la opción segura, pero en la práctica diluye el nivel: si todo es confidencial, nadie distingue lo que de verdad importa y las medidas de protección reforzada se acaban aplicando —o ignorando— sin criterio.
- No revisar la clasificación cuando cambia el contexto. Un contrato que hoy es interno puede convertirse en confidencial si incluye una cláusula de exclusividad nueva. El esquema necesita revisión periódica, no es un ejercicio de una sola vez.
- Clasificar el documento pero no el correo que lo acompaña. De poco sirve cifrar un archivo adjunto si el cuerpo del correo detalla la misma información sensible sin ninguna protección.
- Dejar la clasificación en manos de sistemas exclusivamente. El etiquetado automático ayuda, pero el criterio de fondo —qué es sensible y por qué— lo tiene que fijar una persona que entienda el negocio, no un algoritmo de coincidencia de patrones.
- No formar al equipo. Un esquema perfecto sobre el papel no sirve de nada si el personal no sabe identificar a qué nivel pertenece la información con la que trabaja cada día.
La clasificación de la información no es un trámite aislado: es el hilo conductor que conecta el inventario de activos, la política de seguridad, el análisis de riesgos y, si aplica, la categorización del ENS. Dedicarle el tiempo necesario al principio del proyecto ahorra muchos quebraderos de cabeza —y bastantes no conformidades— cuando llega la auditoría.