Ciberseguridad

Seguridad física en ISO 27001: controles del Anexo A

Por Equipo GRC360 20 de March, 2026 12 min de lectura
Controles de seguridad física en ISO 27001

La seguridad de la información no se limita al mundo digital. Los controles de seguridad física son una parte fundamental de ISO 27001:2022, agrupados en la categoría 7 del Anexo A (Controles Físicos). Un centro de datos con firewalls de última generación pero con una puerta de acceso sin control es vulnerable. Un portátil con datos confidenciales robado de un escritorio puede causar más daño que muchos ataques cibernéticos.

Controles físicos del Anexo A de ISO 27001:2022

ISO 27001:2022 agrupa los controles físicos en la categoría 7, con 14 controles específicos:

ControlNombreObjetivo
A.7.1Perímetros de seguridad físicaDefinir áreas que contienen información e instalaciones de procesamiento
A.7.2Entrada físicaAsegurar que solo personas autorizadas accedan a áreas seguras
A.7.3Seguridad de oficinas, despachos e instalacionesDiseñar y aplicar seguridad a los espacios de trabajo
A.7.4Supervisión de seguridad físicaDetección de accesos no autorizados mediante monitoreo continuo
A.7.5Protección contra amenazas físicas y ambientalesProteger contra desastres naturales, incendios, inundaciones
A.7.6Trabajo en áreas segurasControles adicionales para trabajo dentro de áreas de alta seguridad
A.7.7Escritorio limpio y pantalla limpiaReducir riesgo de acceso no autorizado a información visible
A.7.8Ubicación y protección de equiposUbicar equipos para reducir riesgos ambientales y acceso no autorizado
A.7.9Seguridad de activos fuera de las instalacionesProteger equipos y medios que salen de las instalaciones
A.7.10Medios de almacenamientoGestión segura del ciclo de vida de medios de almacenamiento
A.7.11Servicios de suministroProteger equipos contra fallas de suministro eléctrico y otras
A.7.12Seguridad del cableadoProteger cables de alimentación y telecomunicaciones
A.7.13Mantenimiento de equiposMantenimiento correcto para asegurar disponibilidad e integridad
A.7.14Eliminación o reutilización segura de equiposVerificar que datos se eliminan antes de descarte o reutilización

Perímetros y áreas seguras

El concepto de defensa en profundidad también aplica a la seguridad física. Las instalaciones deben organizarse en zonas de seguridad concéntricas, donde cada zona requiere un nivel mayor de autorización para acceder. La zona pública (recepción, sala de reuniones) tiene el menor nivel de control. La zona de trabajo general (oficinas) requiere control de acceso básico. La zona restringida (sala de servidores, archivo de documentos confidenciales) requiere control de acceso reforzado. Y la zona de alta seguridad (centro de datos, áreas de procesamiento de información clasificada) requiere controles máximos.

Seguridad física en el contexto del teletrabajo

Con el teletrabajo, la seguridad física se extiende al hogar del empleado. Aunque no se puede controlar el entorno doméstico como se controla una oficina, se pueden establecer requisitos mínimos: espacio de trabajo privado, protección de pantalla, almacenamiento seguro de documentos físicos, y política de escritorio limpio aplicable al entorno remoto.

Dato clave: El control A.7.7 (escritorio limpio y pantalla limpia) es uno de los más fáciles de implementar y con mayor impacto en la prevención de divulgación no autorizada de información. Establece la política, comunícala claramente y verifícala en las auditorías internas.

Protección ambiental

El control A.7.5 aborda la protección contra amenazas ambientales: incendios, inundaciones, terremotos, tormentas y otras amenazas naturales. En Chile, la sismicidad es un factor particularmente relevante que debe considerarse en el diseño de las instalaciones de procesamiento de información. Los controles incluyen sistemas de detección y supresión de incendios, protección contra inundaciones, racks antisísmicos para equipos de TI, y respaldos de energía y climatización.

La protección ambiental también se vincula con la continuidad de negocio: los planes de continuidad deben considerar escenarios de desastre físico que afecten las instalaciones.

Buena práctica: Realiza inspecciones periódicas de seguridad física como parte de tu programa de auditoría interna. Incluye verificación de controles de acceso, estado de los sistemas de protección ambiental, cumplimiento de la política de escritorio limpio y seguridad del cableado.

Gestiona la seguridad física con GRC360

GRC360 incluye los controles físicos del Anexo A de ISO 27001 con checklists de verificación, evaluación de cumplimiento y seguimiento de acciones correctivas.

Crear Cuenta Gratis

Profundiza con nuestros artículos sobre controles del Anexo A, implementación del SGSI y análisis de riesgos.

Certificación Controles
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis