by drmunozcl
Share
Por drmunozcl
Compartir
El control 7.4 de la ISO/IEC 27001:2022 se titula “Seguridad física en oficinas, salas e instalaciones”, y forma parte del conjunto de controles del tema 7: Seguridad física. Este control busca garantizar que el acceso físico a espacios que contengan activos críticos de información esté restringido, monitoreado y gestionado adecuadamente para reducir el riesgo de accesos no autorizados.
A continuación te explico en detalle cómo puedes implementar el control 7.4 paso a paso.
Pasos para implementar el control 7.4
1. Clasifica y delimita las zonas físicas
Define claramente zonas con distintos niveles de seguridad. Por ejemplo:
| Zona | Nivel de protección sugerido |
|---|---|
| Recepción | Bajo |
| Área operativa | Medio |
| Sala de servidores | Alto |
| Archivos físicos | Medio o alto |
Establece zonas restringidas y zonas comunes, y documenta sus límites.
2. Implementa controles de acceso físico
Según el nivel de riesgo, puedes aplicar controles como:
-
Cerraduras con llave (mínimo).
-
Tarjetas de acceso con registro.
-
Reconocimiento biométrico.
-
Cámaras de vigilancia (CCTV).
-
Guardias de seguridad o recepción con registro de visitas.
3. Establece procedimientos para visitantes
Crea un protocolo de visitas que incluya:
-
Registro de identidad.
-
Acompañamiento por un empleado autorizado.
-
Entrega y recolección de credenciales temporales.
-
Prohibición de acceso a áreas restringidas, salvo autorización.
4. Controla el acceso fuera del horario laboral
Asegúrate de que fuera del horario habitual:
-
Solo personal autorizado pueda ingresar.
-
Se active una alarma o monitoreo reforzado.
-
Quede registro de todos los ingresos y egresos.
5. Protege las áreas críticas
Las zonas con servidores, comunicaciones o respaldo deben tener:
-
Doble control de acceso (ej. tarjeta + llave).
-
Sistemas de detección de incendios y climatización.
-
UPS y protección contra cortes eléctricos.
-
Sensor de apertura de puertas o monitoreo en tiempo real.
Importante: Para estos casos es donde externalizar servicios con proveedores certificados ISO 27001 o similar, nos ahorra trabajo adicional, ya que al estar certificados podemos estar seguros que poseen estos controles y de esta forma transferir el riesgo.
Conclusión
Implementar correctamente el control 7.4 permite reducir la superficie de ataque física y prevenir accesos no autorizados a información crítica. No es necesario tener un centro de datos de clase mundial: lo importante es alinear las medidas físicas con el nivel de riesgo de cada zona.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La inteligencia artificial (IA) está transformando la forma en que las organizaciones operan, toman decisiones y ofrecen servicios. Desde asistentes virtuales hasta sistemas de análisis predictivo, el uso de IA crece rápidamente en empresas de todos los sectores. Sin embargo, junto con los beneficios también surgen nuevos riesgos: sesgos en los algoritmos, uso indebido de
Durante años, muchas organizaciones vieron la certificación como una obligación: un requisito para licitaciones, auditorías o clientes exigentes. Pero en 2026 el escenario cambió radicalmente. La ISO 27001 como ventaja competitiva dejó de ser un concepto teórico y se transformó en una realidad estratégica para empresas que entienden el valor del riesgo bien gestionado. Hoy,
La conversación dejó de ser “si me van a atacar” y pasó a “cuándo, cómo y qué tan caro me va a salir”. Hoy, los costos de ciberseguridad en empresas ya no se miden solo en tecnología, sino en interrupciones operativas, sanciones regulatorias y pérdida de confianza del mercado. A modo de referencia reciente, un
Hoy probé el Test de phishing de google y lo encontré bastante bueno para revelar nuestros puntos ciegos frente a correos maliciosos. Es una herramienta simple y gratuita que puedes usar para concientizar a tu equipo o para evaluar tu propia capacidad de detección. Te dejo el enlace directo: https://phishingquiz.withgoogle.com/ Cada día recibimos mensajes que
