by drmunozcl
Share
Por drmunozcl
Compartir
El control 7.4 de la ISO/IEC 27001:2022 se titula “Seguridad física en oficinas, salas e instalaciones”, y forma parte del conjunto de controles del tema 7: Seguridad física. Este control busca garantizar que el acceso físico a espacios que contengan activos críticos de información esté restringido, monitoreado y gestionado adecuadamente para reducir el riesgo de accesos no autorizados.
A continuación te explico en detalle cómo puedes implementar el control 7.4 paso a paso.
Pasos para implementar el control 7.4
1. Clasifica y delimita las zonas físicas
Define claramente zonas con distintos niveles de seguridad. Por ejemplo:
| Zona | Nivel de protección sugerido |
|---|---|
| Recepción | Bajo |
| Área operativa | Medio |
| Sala de servidores | Alto |
| Archivos físicos | Medio o alto |
Establece zonas restringidas y zonas comunes, y documenta sus límites.
2. Implementa controles de acceso físico
Según el nivel de riesgo, puedes aplicar controles como:
-
Cerraduras con llave (mínimo).
-
Tarjetas de acceso con registro.
-
Reconocimiento biométrico.
-
Cámaras de vigilancia (CCTV).
-
Guardias de seguridad o recepción con registro de visitas.
3. Establece procedimientos para visitantes
Crea un protocolo de visitas que incluya:
-
Registro de identidad.
-
Acompañamiento por un empleado autorizado.
-
Entrega y recolección de credenciales temporales.
-
Prohibición de acceso a áreas restringidas, salvo autorización.
4. Controla el acceso fuera del horario laboral
Asegúrate de que fuera del horario habitual:
-
Solo personal autorizado pueda ingresar.
-
Se active una alarma o monitoreo reforzado.
-
Quede registro de todos los ingresos y egresos.
5. Protege las áreas críticas
Las zonas con servidores, comunicaciones o respaldo deben tener:
-
Doble control de acceso (ej. tarjeta + llave).
-
Sistemas de detección de incendios y climatización.
-
UPS y protección contra cortes eléctricos.
-
Sensor de apertura de puertas o monitoreo en tiempo real.
Importante: Para estos casos es donde externalizar servicios con proveedores certificados ISO 27001 o similar, nos ahorra trabajo adicional, ya que al estar certificados podemos estar seguros que poseen estos controles y de esta forma transferir el riesgo.
Conclusión
Implementar correctamente el control 7.4 permite reducir la superficie de ataque física y prevenir accesos no autorizados a información crítica. No es necesario tener un centro de datos de clase mundial: lo importante es alinear las medidas físicas con el nivel de riesgo de cada zona.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La ISO/IEC 27001:2022 introduce una visión más actualizada y realista de los riesgos modernos, entre ellos, el uso extensivo de servicios en la nube. El control 5.23: Seguridad de la información para el uso de servicios en la nube nace de esa necesidad: asegurar que la información siga protegida cuando se procesa, almacena o transmite
En ciberseguridad, «inteligencia de amenazas» (en inglés, threat intelligence) se refiere al proceso de recolección, análisis y uso de información sobre amenazas potenciales o reales que afectan a los sistemas, redes y datos de una organización. Su objetivo es anticiparse a los ataques, mitigar riesgos y mejorar la defensa proactiva. Es la información procesable sobre
Cambios en el Anexo A Reducción y re estructuración de controles Número total de controles: 2013: 114 2022: 93 Los 114 controles se reducen mediante: 57 controles fusionados en 24 nuevos conjuntos 23 controles renombrados 1 control dividido en 2 Nueva estructura de dominio ISO 27001:2022 reorganiza los controles en 4 dominios temáticos (antes eran 14):
Importancia de la ISO 27001:2022 La reciente actualización de la ISO 27001 a la versión 2022 trae consigo modificaciones esenciales que refuerzan y modernizan el enfoque hacia la protección de la información. Esta versión no solo amplía los controles a seguir, sino que también alinea sus directrices con las amenazas actuales del entorno digital. No
