by drmunozcl
Share
Por drmunozcl
Compartir
El control 7.4 de la ISO/IEC 27001:2022 se titula “Seguridad física en oficinas, salas e instalaciones”, y forma parte del conjunto de controles del tema 7: Seguridad física. Este control busca garantizar que el acceso físico a espacios que contengan activos críticos de información esté restringido, monitoreado y gestionado adecuadamente para reducir el riesgo de accesos no autorizados.
A continuación te explico en detalle cómo puedes implementar el control 7.4 paso a paso.
Pasos para implementar el control 7.4
1. Clasifica y delimita las zonas físicas
Define claramente zonas con distintos niveles de seguridad. Por ejemplo:
| Zona | Nivel de protección sugerido |
|---|---|
| Recepción | Bajo |
| Área operativa | Medio |
| Sala de servidores | Alto |
| Archivos físicos | Medio o alto |
Establece zonas restringidas y zonas comunes, y documenta sus límites.
2. Implementa controles de acceso físico
Según el nivel de riesgo, puedes aplicar controles como:
-
Cerraduras con llave (mínimo).
-
Tarjetas de acceso con registro.
-
Reconocimiento biométrico.
-
Cámaras de vigilancia (CCTV).
-
Guardias de seguridad o recepción con registro de visitas.
3. Establece procedimientos para visitantes
Crea un protocolo de visitas que incluya:
-
Registro de identidad.
-
Acompañamiento por un empleado autorizado.
-
Entrega y recolección de credenciales temporales.
-
Prohibición de acceso a áreas restringidas, salvo autorización.
4. Controla el acceso fuera del horario laboral
Asegúrate de que fuera del horario habitual:
-
Solo personal autorizado pueda ingresar.
-
Se active una alarma o monitoreo reforzado.
-
Quede registro de todos los ingresos y egresos.
5. Protege las áreas críticas
Las zonas con servidores, comunicaciones o respaldo deben tener:
-
Doble control de acceso (ej. tarjeta + llave).
-
Sistemas de detección de incendios y climatización.
-
UPS y protección contra cortes eléctricos.
-
Sensor de apertura de puertas o monitoreo en tiempo real.
Importante: Para estos casos es donde externalizar servicios con proveedores certificados ISO 27001 o similar, nos ahorra trabajo adicional, ya que al estar certificados podemos estar seguros que poseen estos controles y de esta forma transferir el riesgo.
Conclusión
Implementar correctamente el control 7.4 permite reducir la superficie de ataque física y prevenir accesos no autorizados a información crítica. No es necesario tener un centro de datos de clase mundial: lo importante es alinear las medidas físicas con el nivel de riesgo de cada zona.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
Cuando la tecnología, la regulación y las expectativas de clientes cambian más rápido que tu roadmap, el riesgo no espera. La Evaluación Entorno Externo PESTEL ISO 27001 te permite anticipar amenazas y oportunidades con método, alineando el contexto externo con tu Sistema de Gestión de Seguridad de la Información (SGSI). ¿Por qué importa la Evaluación
Implementar un SGSI que resista auditorías y ataques no es cuestión de suerte. El Análisis FODA en ISO 27001 ofrece una forma clara y práctica de entender tu contexto, priorizar riesgos y alinear inversiones de seguridad con objetivos del negocio. Si diriges TI o una pyme, este enfoque te ayuda a decidir dónde actuar primero,
Si te preguntas cómo alinear tu empresa con ISO 27001 sin perder tiempo ni presupuesto, el análisis de brecha (GAP analysis) es tu mejor punto de partida. En InfoProteccion lo usamos para identificar, con precisión, qué necesitas para cumplir la norma y fortalecer tu Sistema de Gestión de Seguridad de la Información (SGSI). Evita sorpresas
Para muchos equipos TI y dueños de pyme, diferenciar estos tipos de auditorías suena como trabalenguas. Sin embargo, elegir bien evita costos innecesarios, sanciones regulatorias y riesgos operativos. En InfoProteccion te explicamos qué es una auditoría de primera, segunda y tercera parte, sus diferencias prácticas y cuándo usar cada una para fortalecer tu seguridad y
