El etiquetado de la información es un elemento clave dentro del sistema de gestión de seguridad de la información. El Control 5.13 de ISO/IEC 27001:2022 establece que las organizaciones deben definir y aplicar procedimientos adecuados para etiquetar la información, alineados con su esquema de clasificación.
Aunque a veces se percibe como un detalle menor, el etiquetado cumple una función esencial: ayudar a las personas a identificar rápidamente el nivel de protección que requiere cada información y cómo debe tratarse.
¿Qué exige el Control 5.13?
Para cumplir con este control, la organización debe:
- Definir procedimientos formales de etiquetado.
- Asegurar que dichos procedimientos estén alineados con el esquema de clasificación de la información (Control 5.12).
- Implementar el etiquetado en la práctica.
- Comunicar las reglas al personal.
No se trata solo de añadir palabras como “confidencial” en un documento, sino de establecer criterios claros sobre cuándo, cómo y por qué se etiqueta la información.
Diferencia entre clasificación y etiquetado
Es importante no confundir ambos conceptos:
- Clasificación: consiste en definir categorías (por ejemplo, pública, interna, confidencial, secreta).
- Etiquetado: es la aplicación práctica de esa clasificación, reflejada en documentos, sistemas o soportes.
El etiquetado es la manifestación visible de la clasificación.
Tipos de etiquetado
Aunque suele asociarse exclusivamente a la confidencialidad, el etiquetado también puede referirse a la integridad y disponibilidad.
Etiquetado de confidencialidad
Es el más habitual. Indica el nivel de sensibilidad de la información, por ejemplo:
- Uso interno
- Confidencial
- Secreto
También puede incluir avisos al acceder a sistemas que contienen información sensible.
Sin embargo, un uso excesivo o llamativo puede resultar contraproducente. Marcar todo como “confidencial” resta efectividad al sistema y puede generar desinterés o desatención.
Etiquetado de integridad
Permite indicar el estado del documento:
- Borrador
- Versión final
- Aprobado
Este tipo de etiquetado evita errores como utilizar documentos no validados o versiones obsoletas.
Etiquetado de disponibilidad
Puede señalar requisitos de conservación o advertencias específicas. Por ejemplo:
- “Conservar durante 5 años”
- Avisos automáticos en correos externos para advertir sobre posibles riesgos
Este enfoque ayuda a cumplir obligaciones legales y a gestionar adecuadamente los plazos de retención.
Aplicación en empresas de desarrollo de software
En empresas tecnológicas, el etiquetado adquiere especial importancia debido a la naturaleza crítica de la información que manejan.
En soluciones SaaS
En modelos SaaS, donde la empresa gestiona directamente datos de clientes en entornos cloud, el etiquetado debe aplicarse a:
- Bases de datos productivas.
- Repositorios de código.
- Documentación técnica.
- Entornos de desarrollo, pruebas y producción.
- Logs y credenciales.
El etiquetado ayuda a reforzar la segregación de entornos y a evitar accesos indebidos a datos sensibles.
En soluciones on-premise
En este modelo, el cliente gestiona la infraestructura. Aquí el etiquetado se centra en:
- Entregables al cliente.
- Documentación técnica.
- Versiones de software.
- Configuraciones específicas.
- Soportes físicos o digitales.
El riesgo operativo puede ser menor que en SaaS, pero la protección del código fuente y la propiedad intelectual sigue siendo crítica.
Aplicación en pequeñas empresas
En organizaciones de menor tamaño, el etiquetado puede ser sencillo y eficaz si se aplica con sentido común:
- Tres niveles básicos (Público, Interno, Confidencial).
- Identificación clara de borradores.
- Etiquetas en carpetas compartidas.
- Avisos automáticos en correos electrónicos externos.
No es necesario implantar sistemas complejos. Lo importante es que las personas comprendan el significado de cada etiqueta y actúen en consecuencia.
Claves para una implementación eficaz
Para que el Control 5.13 funcione correctamente:
- Debe estar alineado con el esquema de clasificación.
- Las reglas deben ser claras y simples.
- El personal debe recibir formación.
- Debe revisarse periódicamente su eficacia.
- No debe aplicarse de forma excesiva o indiscriminada.
Un etiquetado bien diseñado facilita la toma de decisiones y reduce el riesgo de incidentes por mal manejo de la información.
¿Qué revisará un auditor?
Durante una auditoría ISO 27001 se evaluará:
- Si existen procedimientos documentados.
- Si están alineados con la clasificación.
- Si el personal conoce las reglas.
- Si el etiquetado se aplica en la práctica.
- Si se revisa periódicamente.
La evidencia puede incluir políticas internas, ejemplos de documentos etiquetados o configuraciones en sistemas digitales.
Conclusión
El Control 5.13 no es un requisito meramente formal. Es una herramienta práctica para mejorar la gestión de la información y reforzar la cultura de seguridad.
Cuando el etiquetado está bien diseñado y se integra en los procesos habituales de trabajo, contribuye a proteger la confidencialidad, integridad y disponibilidad de la información de forma clara y eficiente.
En definitiva, etiquetar correctamente es una forma sencilla pero poderosa de reducir riesgos y fortalecer el sistema de gestión de seguridad de la información.
