Clasificación de la Información: Cómo proteger lo que realmente importa en tu empresa
La clasificación de información es uno de los pilares clave en el dominio de Asset Security del CISSP.
Aunque puede parecer teórico, su implementación práctica permite reducir riesgos reales desde el inicio.
Definir niveles de sensibilidad y responsables no es opcional: es gestión activa del riesgo.
Si apuntas a certificarte o a fortalecer la seguridad de tu organización, este tema no se puede dejar pasar.
En seguridad de la información, hay algo que muchos todavía pasan por alto: no todo lo que tienes que proteger tiene el mismo valor. Y ese es justamente el problema. Cuando protegemos todo por igual, terminamos no protegiendo nada bien.
La clasificación de la información te permite poner foco, ordenar tus recursos y reducir riesgos reales, entendiendo qué tipo de datos manejas y qué impacto tendría si llegaran a caer en manos equivocadas. Esto no es solo para bancos o instituciones del Estado. Aplica para cualquier organización que quiera cuidar sus activos y no quedarse solo con la excusa de que “a nosotros no nos va a pasar”.
Si bien esto es una parte del dominio 2 del CISSP, lo importante es que entiendas cómo esta práctica puede marcar una diferencia real en la seguridad de tu negocio, incluso si estás recién partiendo o tienes una pyme.
¿Y qué es exactamente clasificar información?
Es tan simple como ponerle una etiqueta a los datos, según su nivel de sensibilidad. Pero no es solo un sticker que dice “Confidencial” en una carpeta. Es entender qué pasaría si esa información se filtra, se borra o se modifica sin control.
Lo ideal es que puedas identificar qué es público, qué es interno, qué es confidencial y qué debería estar absolutamente restringido. Y eso implica pensar en qué valor tiene esa información, qué edad tiene, si sigue siendo útil o si involucra datos personales o regulados.
Por ejemplo, no es lo mismo una lista pública de productos que un Excel con los sueldos del equipo. O un contrato con una empresa externa versus una historia clínica. Todo eso debe tener un tratamiento distinto, porque el impacto también es distinto.
¿Y quién se hace cargo de esto?
Aquí no es cosa de que el área de TI lo vea solo porque sabe de computadores. Se necesita que haya un dueño de la información (que diga qué tan crítica es y cuánto tiempo se guarda), un custodio (que implemente los controles como cifrado o backups) y un usuario que simplemente cumpla las reglas.
Además, si manejas datos sensibles o regulados, como PII o información financiera, hay un marco legal que no puedes ignorar: GDPR, Ley 19.628 en Chile, PCI DSS, HIPAA, entre otros. Todo eso también impacta en cómo clasificas y quién puede ver qué cosa.
¿Qué pasa si no lo hago?
Pasa que un día te llega una solicitud judicial, una filtración o una auditoría, y nadie sabe dónde están los datos más sensibles. O lo peor: todos piensan que el otro se está haciendo cargo. Y ahí es cuando el problema se convierte en crisis.
Por eso es mejor partir ahora, aunque sea con algo básico: identificar lo más crítico, etiquetarlo, documentarlo y protegerlo. Esto lo puedes hacer como parte del ciclo de vida de la información, y revisarlo cada cierto tiempo. Porque lo que era relevante hace seis meses, hoy puede no serlo. Y viceversa.
Algunos tips que valen oro
- No lo hagas solo: arma un equipo o comité que defina criterios y revise los casos especiales.
- Hazlo parte de tus procesos: inclúyelo en la creación de nuevos sistemas o cuando recibas datos externos.
- Apóyate en herramientas: hay soluciones como Microsoft Purview, Varonis, o incluso open-source que pueden ayudarte a clasificar grandes volúmenes automáticamente.
- Comunica: no sirve de nada clasificar si nadie sabe cómo debe tratar esa información. Capacita a tus equipos.
Clasificar información no es un trámite, es una forma concreta de gestionar el riesgo real. Te ayuda a ser más eficiente, más responsable y más confiable. Si estás en el mundo de la ciberseguridad, esto es parte de tu día a día. Si estás liderando un negocio, esta es una de las decisiones que puede marcar la diferencia entre un problema menor o una crisis reputacional.
Así que si estás en esa etapa donde quieres hacer las cosas bien, este es un excelente punto para comenzar. Clasifica, protege y asegura lo que de verdad importa.
Recomendaciones de Mitigación
- Implementar un proceso formal de clasificación de la información, estableciendo niveles claros como "Público", "Interno", "Confidencial" y "Restringido", alineados con la sensibilidad y criticidad del activo.
- Asignar responsables por rol: propietarios de datos (data owners), custodios y usuarios, con funciones bien definidas según el modelo de gobernanza de seguridad.
- Incorporar el ciclo de vida del dato en los procesos de negocio, considerando la clasificación desde su creación, mantenimiento y destrucción (de acuerdo a NIST SP 800-60 y NIST SP 800-88).
- Realizar revisiones periódicas de la clasificación de activos e integrar controles compensatorios como cifrado, control de acceso basado en etiquetas y registros de auditoría.
- Capacitar al personal para asegurar el cumplimiento de políticas internas de seguridad y manejo de datos sensibles, incluyendo el uso de herramientas DLP y soluciones automatizadas de descubrimiento de datos.
Etiquetas Relacionadas
Fuentes
NIST Special Publication 800-60 Volume I & II
NIST Special Publication 800-88 Revision 1
(ISC)² CISSP Official Study Guide, 9th Edition
ISO/IEC 27001:2022 & ISO/IEC 27002:2022