03 Mar Control 5.13 ISO 27001: Etiquetado de la Información
El etiquetado de la información es un elemento clave dentro del sistema de gestión de seguridad de la información. El Control 5.13 de ISO/IEC 27001:2022 establece que las organizaciones deben definir y aplicar procedimientos adecuados para etiquetar la información, alineados con su esquema de clasificación.
Aunque a veces se percibe como un detalle menor, el etiquetado cumple una función esencial: ayudar a las personas a identificar rápidamente el nivel de protección que requiere cada información y cómo debe tratarse.
¿Qué exige el Control 5.13?
Para cumplir con este control, la organización debe:
-Definir procedimientos formales de etiquetado.
-Asegurar que dichos procedimientos estén alineados con el esquema de clasificación de la información (Control 5.12).
-Implementar el etiquetado en la práctica.
-Comunicar las reglas al personal.
No se trata solo de añadir palabras como “confidencial” en un documento, sino de establecer criterios claros sobre cuándo, cómo y por qué se etiqueta la información.
Diferencia entre clasificación y etiquetado
Es importante no confundir ambos conceptos:
-Clasificación: consiste en definir categorías (por ejemplo, pública, interna, confidencial, secreta).
-Etiquetado: es la aplicación práctica de esa clasificación, reflejada en documentos, sistemas o soportes.
El etiquetado es la manifestación visible de la clasificación.
Tipos de etiquetado
Aunque suele asociarse exclusivamente a la confidencialidad, el etiquetado también puede referirse a la integridad y disponibilidad.
Etiquetado de confidencialidad
Es el más habitual. Indica el nivel de sensibilidad de la información, por ejemplo:
-Uso interno
-Confidencial
-Secreto
También puede incluir avisos al acceder a sistemas que contienen información sensible.
Sin embargo, un uso excesivo o llamativo puede resultar contraproducente. Marcar todo como “confidencial” resta efectividad al sistema y puede generar desinterés o desatención.
Etiquetado de integridad
Permite indicar el estado del documento:
-Borrador
-Versión final
-Aprobado
Este tipo de etiquetado evita errores como utilizar documentos no validados o versiones obsoletas.
Etiquetado de disponibilidad
Puede señalar requisitos de conservación o advertencias específicas. Por ejemplo:
-“Conservar durante 5 años”
-Avisos automáticos en correos externos para advertir sobre posibles riesgos
Este enfoque ayuda a cumplir obligaciones legales y a gestionar adecuadamente los plazos de retención.
Aplicación en empresas de desarrollo de software
En empresas tecnológicas, el etiquetado adquiere especial importancia debido a la naturaleza crítica de la información que manejan.
En soluciones SaaS
En modelos SaaS, donde la empresa gestiona directamente datos de clientes en entornos cloud, el etiquetado debe aplicarse a:
-Bases de datos productivas.
-Repositorios de código.
-Documentación técnica.
-Entornos de desarrollo, pruebas y producción.
-Logs y credenciales.
El etiquetado ayuda a reforzar la segregación de entornos y a evitar accesos indebidos a datos sensibles.
En soluciones on-premise
En este modelo, el cliente gestiona la infraestructura. Aquí el etiquetado se centra en:
-Entregables al cliente.
-Documentación técnica.
-Versiones de software.
-Configuraciones específicas.
-Soportes físicos o digitales.
El riesgo operativo puede ser menor que en SaaS, pero la protección del código fuente y la propiedad intelectual sigue siendo crítica.
Aplicación en pequeñas empresas
En organizaciones de menor tamaño, el etiquetado puede ser sencillo y eficaz si se aplica con sentido común:
-Tres niveles básicos (Público, Interno, Confidencial).
-Identificación clara de borradores.
-Etiquetas en carpetas compartidas.
-Avisos automáticos en correos electrónicos externos.
No es necesario implantar sistemas complejos. Lo importante es que las personas comprendan el significado de cada etiqueta y actúen en consecuencia.
Claves para una implementación eficaz
Para que el Control 5.13 funcione correctamente:
-Debe estar alineado con el esquema de clasificación.
-Las reglas deben ser claras y simples.
-El personal debe recibir formación.
-Debe revisarse periódicamente su eficacia.
-No debe aplicarse de forma excesiva o indiscriminada.
Un etiquetado bien diseñado facilita la toma de decisiones y reduce el riesgo de incidentes por mal manejo de la información.
¿Qué revisará un auditor?
Durante una auditoría ISO 27001 se evaluará:
-Si existen procedimientos documentados.
-Si están alineados con la clasificación.
-Si el personal conoce las reglas.
-Si el etiquetado se aplica en la práctica.
-Si se revisa periódicamente.
La evidencia puede incluir políticas internas, ejemplos de documentos etiquetados o configuraciones en sistemas digitales.
Conclusión
El Control 5.13 no es un requisito meramente formal. Es una herramienta práctica para mejorar la gestión de la información y reforzar la cultura de seguridad.
Cuando el etiquetado está bien diseñado y se integra en los procesos habituales de trabajo, contribuye a proteger la confidencialidad, integridad y disponibilidad de la información de forma clara y eficiente.
En definitiva, etiquetar correctamente es una forma sencilla pero poderosa de reducir riesgos y fortalecer el sistema de gestión de seguridad de la información.