En breve: La clasificación de la información en ISO 27001 consiste en asignar a cada activo (documentos, bases de datos, correos, contratos) un nivel de sensibilidad —típicamente público, interno, confidencial y restringido— según el daño que causaría su filtración, alteración o pérdida. Ese nivel determina cómo se etiqueta, quién accede y cómo se maneja la información en el día a día.

¿Qué es la clasificación de la información y por qué es obligatoria en ISO 27001?

Clasificar la información significa ponerle una etiqueta de sensibilidad a cada tipo de dato que maneja tu empresa. No es un capricho burocrático: es la base sobre la que se apoyan casi todos los demás controles de seguridad. Si no sabes qué información es crítica, no puedes decidir con criterio quién debe verla, cómo se cifra, dónde se guarda o qué pasa si se pierde un portátil.

El Anexo A de ISO/IEC 27001:2022 reúne 93 controles agrupados en cuatro temas: organizativos, de personas, físicos y tecnológicos. La clasificación de la información se sitúa en el bloque organizativo, junto al inventario de activos y al etiquetado. Y aquí está el matiz que se le escapa a muchas pymes cuando empiezan: la norma exige que exista un esquema de clasificación y que se aplique de forma consistente, pero no impone niveles concretos ni nombres fijos. Cada organización define su propio esquema en función de su realidad —tamaño, sector, tipo de datos que trata— y lo justifica en su Declaración de Aplicabilidad (SoA), el documento obligatorio que recoge qué controles aplica la empresa y cuáles excluye, con su motivo.

En la práctica, esto significa que puedes adaptar el esquema a tu negocio: una consultora que trata datos de clientes no necesita el mismo detalle que una fábrica con secretos industriales, pero ambas deben poder demostrar que han pensado en ello y que lo aplican de forma real, no solo sobre el papel.

¿Qué niveles de clasificación se usan habitualmente en una pyme?

El esquema más extendido entre pymes españolas —y el que suelo recomendar en las auditorías que hago para empresas que se preparan para certificar— usa cuatro niveles. Es sencillo de explicar al equipo, cubre la mayoría de casos reales y no satura de matices innecesarios a quien tiene que aplicarlo cada día.

NivelQué incluyeCriterio de asignaciónEjemplo típico
PúblicaInformación destinada a difundirse sin restricciónSu divulgación no genera ningún perjuicio para la empresaNotas de prensa, catálogo de productos, contenido de la web corporativa
InternaUso exclusivo del personal de la organizaciónSu filtración causaría un perjuicio leve o de imagenManuales internos, actas de reunión, organigramas
ConfidencialDatos que requieren protección reforzadaSu filtración causaría un perjuicio grave (económico, legal o reputacional)Datos de clientes, condiciones comerciales, nóminas, contratos
RestringidaInformación crítica de acceso muy limitadoSu filtración pondría en riesgo la viabilidad del negocio o la seguridad de las personasCredenciales de administración, propiedad intelectual clave, datos de salud, planes estratégicos

No hace falta inventar categorías exóticas. Lo importante es que los cuatro niveles queden definidos por escrito en tu política de seguridad de la información, con ejemplos concretos de tu propio negocio, y que el equipo entienda la diferencia entre ellos sin tener que preguntar cada vez.

¿Quién decide el nivel de clasificación de cada documento?

La responsabilidad recae en el propietario del activo de información, no en el departamento de sistemas ni en el responsable de seguridad. Esto suele sorprender: quien clasifica no es quien custodia el dato técnicamente, sino quien lo genera o lo gestiona en el día a día porque es quien mejor conoce su impacto real si algo sale mal.

En una pyme típica esto se traduce así:

Cuando el negocio es pequeño y no hay tantos departamentos diferenciados, es habitual que una sola persona —normalmente quien lidera el proyecto de certificación— asuma varios de estos roles. Lo que no puede pasar es que nadie tenga esa responsabilidad asignada por escrito, porque entonces la clasificación se convierte en un criterio distinto para cada empleado y pierde todo su valor.

¿Cómo se etiqueta la información según su nivel?

El etiquetado es el paso que convierte la clasificación en algo visible y operativo. De poco sirve tener un esquema de cuatro niveles si nadie sabe, con solo mirar un documento, a qué nivel pertenece.

Etiquetado de documentos digitales

Lo más sencillo y efectivo para una pyme es incluir el nivel en el pie de página o en la cabecera del propio documento («Confidencial — uso interno», por ejemplo), y reforzarlo con el nombre del archivo o la carpeta donde se guarda. Herramientas como Microsoft Purview o Google Workspace permiten automatizar este etiquetado en correo y documentos, pero no hace falta invertir en software específico para empezar: una convención clara y bien comunicada ya cubre buena parte del riesgo.

Etiquetado de información física

Los documentos en papel —contratos firmados, expedientes, facturas— también necesitan su marca visible y, sobre todo, un lugar de almacenamiento coherente con su nivel: armario cerrado con llave para lo confidencial, acceso restringido con registro para lo restringido.

Etiquetado de sistemas y bases de datos

Cuando el activo no es un documento sino una base de datos completa (el CRM, el ERP, el sistema de nóminas), la clasificación se aplica al conjunto y se refleja en los permisos de acceso configurados en el propio sistema, no en una etiqueta física.

¿Cómo se maneja la información en cada nivel?

La clasificación solo tiene sentido si va acompañada de reglas de manejo distintas para cada nivel. Esta es la tabla que suelo entregar a mis clientes como referencia rápida:

NivelAccesoEnvío por correoCopias de seguridadDestrucción
PúblicaSin restricciónSin cifradoEstándarReciclaje normal
InternaPersonal de la empresaDominio corporativo, sin cifrado obligatorioEstándarTrituradora o borrado simple
ConfidencialPersonal autorizado por funciónCifrado obligatorio o canal seguroCifradas, con control de accesoTrituradora certificada o borrado seguro
RestringidaLista nominal cerrada, con registro de accesoCanal seguro dedicado, nunca correo abiertoCifradas, con copia offsite bajo control estrictoDestrucción certificada con evidencia documental

Un detalle que muchas pymes pasan por alto: la copia de seguridad de la información confidencial y restringida debe seguir la regla 3-2-1 —tres copias de los datos, en dos soportes distintos, con una copia fuera de las instalaciones— y en su variante más robusta, 3-2-1-1-0, sumar una copia inmutable u offline y verificar que las restauraciones se completan sin errores. No sirve de nada clasificar un dato como crítico y luego respaldarlo con el mismo criterio que un catálogo público.

¿Cómo encaja la clasificación con las cinco dimensiones del ENS?

Si tu empresa presta servicios a una administración pública o a un cliente sujeto al Esquema Nacional de Seguridad, la clasificación de la información no solo alimenta ISO 27001: también es la puerta de entrada a la categorización que exige el Real Decreto 311/2022.

El ENS estructura sus 73 medidas del Anexo II en tres marcos —organizativo, operacional y de protección— y obliga a categorizar cada sistema de información (BÁSICA, MEDIA o ALTA) según el impacto que tendría un incidente en cinco dimensiones de seguridad:

Aquí es donde el trabajo de clasificación de ISO 27001 y la categorización del ENS se retroalimentan de forma muy directa: si ya has valorado cada activo de información según su impacto para asignarle un nivel de confidencial o restringido, tienes recorrido casi todo el análisis que te pide el ENS, solo que ampliado a las otras cuatro dimensiones. La categoría resultante —BÁSICA, MEDIA o ALTA— determina si tu empresa necesita auditoría bienal por entidad acreditada ENAC (MEDIA y ALTA) o le basta con una autoevaluación (BÁSICA).

Este es precisamente uno de los puntos donde recomiendo apoyo externo antes de fijar el esquema definitivo: un fallo al categorizar por debajo del nivel real puede dejar a tu empresa fuera de un concurso público o, peor, con un incidente que no estaba cubierto por las medidas correctas. Si tu empresa necesita ayuda para definir este esquema con garantías, en mi servicio de cumplimiento normativo trabajo precisamente esta parte junto con el resto del sistema de gestión.

¿Qué errores cometen las pymes al clasificar su información?

Después de acompañar a varias empresas en este proceso, hay patrones que se repiten casi siempre:

La clasificación de la información no es un trámite aislado: es el hilo conductor que conecta el inventario de activos, la política de seguridad, el análisis de riesgos y, si aplica, la categorización del ENS. Dedicarle el tiempo necesario al principio del proyecto ahorra muchos quebraderos de cabeza —y bastantes no conformidades— cuando llega la auditoría.