by drmunozcl
Share
Por drmunozcl
Compartir
El control 7.4 de la ISO/IEC 27001:2022 se titula “Seguridad física en oficinas, salas e instalaciones”, y forma parte del conjunto de controles del tema 7: Seguridad física. Este control busca garantizar que el acceso físico a espacios que contengan activos críticos de información esté restringido, monitoreado y gestionado adecuadamente para reducir el riesgo de accesos no autorizados.
A continuación te explico en detalle cómo puedes implementar el control 7.4 paso a paso.
Pasos para implementar el control 7.4
1. Clasifica y delimita las zonas físicas
Define claramente zonas con distintos niveles de seguridad. Por ejemplo:
| Zona | Nivel de protección sugerido |
|---|---|
| Recepción | Bajo |
| Área operativa | Medio |
| Sala de servidores | Alto |
| Archivos físicos | Medio o alto |
Establece zonas restringidas y zonas comunes, y documenta sus límites.
2. Implementa controles de acceso físico
Según el nivel de riesgo, puedes aplicar controles como:
-
Cerraduras con llave (mínimo).
-
Tarjetas de acceso con registro.
-
Reconocimiento biométrico.
-
Cámaras de vigilancia (CCTV).
-
Guardias de seguridad o recepción con registro de visitas.
3. Establece procedimientos para visitantes
Crea un protocolo de visitas que incluya:
-
Registro de identidad.
-
Acompañamiento por un empleado autorizado.
-
Entrega y recolección de credenciales temporales.
-
Prohibición de acceso a áreas restringidas, salvo autorización.
4. Controla el acceso fuera del horario laboral
Asegúrate de que fuera del horario habitual:
-
Solo personal autorizado pueda ingresar.
-
Se active una alarma o monitoreo reforzado.
-
Quede registro de todos los ingresos y egresos.
5. Protege las áreas críticas
Las zonas con servidores, comunicaciones o respaldo deben tener:
-
Doble control de acceso (ej. tarjeta + llave).
-
Sistemas de detección de incendios y climatización.
-
UPS y protección contra cortes eléctricos.
-
Sensor de apertura de puertas o monitoreo en tiempo real.
Importante: Para estos casos es donde externalizar servicios con proveedores certificados ISO 27001 o similar, nos ahorra trabajo adicional, ya que al estar certificados podemos estar seguros que poseen estos controles y de esta forma transferir el riesgo.
Conclusión
Implementar correctamente el control 7.4 permite reducir la superficie de ataque física y prevenir accesos no autorizados a información crítica. No es necesario tener un centro de datos de clase mundial: lo importante es alinear las medidas físicas con el nivel de riesgo de cada zona.
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
¿Quieres fortalecer tu ciberseguridad y acercarte al cumplimiento ISO 27001 sin dar palos de ciego? Empieza por la gestión de activos TI. Si no sabes con precisión qué hardware, software, cuentas y servicios en la nube existen en tu entorno, el resto de controles se vuelven frágiles. Gestión de activos TI e ISO 27001: por
Preparar una empresa de servicios para la auditoría ISO 27001 no tiene por qué ser una carrera de último minuto. Si tu equipo depende de datos para operar y cerrar contratos, fallar la auditoría puede costarte clientes, reputación y foco operativo. La buena noticia: con un plan claro, la auditoría ISO 27001 se convierte en
Esta guía visual explica cómo proteger datos personales y sensibles en el trabajo: qué son, cómo cumplir la ley (Ley de Protección de Datos y GDPR) y buenas prácticas para clasificar documentos, asegurar bases de datos y compartir información con control. Incluye recomendaciones clave como cifrado, MFA, minimización y auditoría.
La transición de ISO/IEC 27001:2013 a ISO/IEC 27001:2022 ya no es opcional: es una obligación con fechas límite claras. Si tu organización aún opera bajo la versión 2013, necesitas actuar ahora para evitar la caducidad del certificado, la pérdida de elegibilidad en licitaciones y la erosión de confianza con clientes y auditores. La fecha límite
