Ir al contenido
¡Trabaje de forma más inteligente con nuestra nueva navegación mejorada!
Vea cómo IO facilita el cumplimiento. Leer el blog
SGSI.online

ISO 27002:2022 – Control 7.5 – Protección contra amenazas físicas y ambientales

El Control 27002 de la norma ISO 2022:7.5 destaca la necesidad de que las organizaciones evalúen y mitiguen las amenazas físicas y ambientales (por ejemplo, desastres naturales, disturbios civiles y delitos) para proteger la infraestructura crítica y los activos de información. Hace hincapié en las evaluaciones de riesgos y las medidas preventivas, como la extinción de incendios y los controles de seguridad, para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.

Autor
Sam Peters
Actualizado julio 25, 2025
Estrellas 4 / 5

Cómo proteger su organización de amenazas físicas y ambientales

Las amenazas a los activos de información no son meramente digitales: la infraestructura física crítica de una organización que alberga los activos de información también está expuesta a amenazas ambientales y físicas que pueden resultar en pérdida, destrucción, robo y compromiso de activos de información y datos confidenciales.

Estas amenazas pueden incluir eventos naturales como terremotos, inundaciones e incendios forestales. También pueden incluir desastres provocados por el hombre, como disturbios civiles y actividades delictivas.

El Control 7.5 aborda cómo las organizaciones pueden evaluar, identificar y mitigar los riesgos para la infraestructura física crítica debido a amenazas físicas y ambientales.

Propósito del Control 7.5

Control 7.5 permite a las organizaciones medir la Posibles efectos adversos de amenazas ambientales y físicas. y mitigar y/o eliminar estos efectos mediante la implementación de medidas apropiadas.

Tabla de Atributos de Control 7.5

El Control 7.5 es un tipo de control preventivo que Requiere que las organizaciones eliminen y/o mitiguen las consecuencias. que probablemente surjan de riesgos externos como desastres naturales e incidentes provocados por el hombre.

Tipo de control Propiedades de seguridad de la información Conceptos de ciberseguridad Capacidades operativas Dominios de seguridad
#Preventivo #Confidencialidad #Proteger #Seguridad física #Proteccion
#Integridad
#Disponibilidad

Propiedad del Control 7.5

Control 7.5 requiere que las organizaciones llevar a cabo una evaluación de riesgos en profundidad antes de comenzar cualquier operación en una instalación física e implementar las medidas necesarias acordes con el nivel de riesgo identificado.

Por lo tanto, los jefes de seguridad deben ser responsables de la creación, gestión, implementación y revisión de todo el proceso.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Empezar


Orientación general sobre cumplimiento

El Control 7.5 especifica un proceso de tres pasos para identificar y eliminar riesgos debido a amenazas físicas y ambientales:

  • Paso 1: completar una evaluación de riesgos

Las organizaciones deberían realizar una evaluación de riesgos identificar posibles desastres físicos y ambientales que pueden ocurrir en cada instalación física específica y luego medir los efectos que probablemente surjan debido a las amenazas físicas y ambientales identificadas.

Considerando que cada local físico e infraestructura en el mismo estará sujeto a diferentes condiciones ambientales y factores de riesgo físico, el tipo de amenaza y el nivel de riesgo identificado variarán según cada local y su ubicación.

Por ejemplo, si bien una instalación puede ser más vulnerable a los incendios forestales, otra puede estar ubicada en un área donde los terremotos ocurren con frecuencia.

Otro requisito crítico establecido por el control 7.5 es que esta evaluación de riesgos debe realizarse antes del inicio de las operaciones en una instalación física.

  • Paso 2: Identificar e implementar controles

Según el tipo de amenaza y el nivel de riesgo identificado en el primer paso, las organizaciones deben implementar controles apropiados teniendo en cuenta las posibles consecuencias de las amenazas ambientales y físicas.

A modo de ilustración, el Control 7.5 proporciona ejemplos de controles que se pueden implementar para las siguientes amenazas:

Fuego: Las organizaciones deben implementar sistemas para activar alarmas cuando se detecta un incendio o para activar sistemas de extinción de incendios capaces de proteger los medios de almacenamiento y los sistemas de información contra daños.

Inundación: Se deben implementar y configurar sistemas para detectar inundaciones en áreas donde se almacenan activos de información. Además, las herramientas como las bombas de agua deben estar listas para usarse en caso de inundación.

Sobretensiones eléctricas: Servidores y críticos sistemas de gestión de información Deben mantenerse y protegerse contra cortes eléctricos.

Explosivos y Armas: Las organizaciones deberían realizar auditorías aleatorias e inspecciones de todas las personas, artículos y vehículos que ingresan a las instalaciones que albergan infraestructura crítica.

  • Paso 3: Monitoreo

Teniendo en cuenta que el tipo de amenazas y el nivel de riesgos pueden cambiar con el tiempo, las organizaciones deben monitorear continuamente las evaluaciones de riesgos y reconsiderar los controles que implementaron si fuera necesario.

Orientación complementaria

El Control 7.5 enumera cuatro consideraciones específicas que las organizaciones deben tener en cuenta.

Consulta con expertos

Cada tipo específico de amenaza ambiental y física, ya sean desechos tóxicos, terremotos o incendios, es único en términos de su naturaleza, los riesgos que presenta y las contramedidas que requiere.

Por lo tanto, las organizaciones deben buscar asesoramiento de expertos sobre cómo identificar, eliminar y/o mitigar los riesgos que surgen de estas amenazas.

Elección de la ubicación del local

Tener en cuenta la topografía local, los niveles de agua y los movimientos tectónicos de la posible ubicación de las instalaciones puede ayudar a identificar y eliminar los riesgos desde el principio.

Además, las organizaciones deben considerar los riesgos de desastres provocados por el hombre en el área urbana elegida, como disturbios políticos y actividad criminal.

Capa adicional de seguridad

Además de los controles específicos implementados, almacenamiento seguro de información métodos como las cajas fuertes pueden añadir una capa adicional de seguridad contra desastres como incendios e inundaciones.

Prevención del delito a través del diseño ambiental

Control 7.5 recomienda que las organizaciones consideren este concepto al implementar controles para mejorar la seguridad de las instalaciones. Este método se puede utilizar para eliminar amenazas urbanas como actividades criminales, disturbios civiles y terrorismo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Cambios y diferencias con respecto a ISO 27002:2013

27002:2022/7.5 replaces 27002:2013/(11.1.4)

Mientras que la versión 2013 abordó cómo las organizaciones deberían implementar medidas preventivas adecuadas contra amenazas físicas y ambientales, la versión 2022 es mucho más completa en términos de pasos de cumplimiento específicos que las organizaciones deberían tomar.

En general, existen dos diferencias clave:

  • La versión 2022 proporciona orientación sobre el cumplimiento

La versión de 2013 no incluía ninguna orientación sobre cómo las organizaciones deberían identificar y eliminar los riesgos debidos a amenazas ambientales y físicas.

La versión 2022, en contrato, describe un proceso de tres pasos que las organizaciones deben seguir, incluida la realización de una evaluación de riesgos.

  • La versión 2022 recomienda que las organizaciones consideren implementar una capa adicional de medidas

En la guía complementaria, la versión 2022 se refiere a medidas como el uso de cajas fuertes y la prevención del delito a través de conceptos de diseño ambiental que pueden utilizarse para mejorar la protección contra amenazas.

Por otra parte, la versión de 2013 no abordaba tales medidas adicionales.

Nuevos controles ISO 27002

Nuevos controles
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.7 NUEVO Inteligencia de amenazas
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.30 NUEVO Preparación de las TIC para la continuidad del negocio
7.4 NUEVO Monitoreo de seguridad física
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.16 NUEVO Actividades de monitoreo
8.23 NUEVO Filtrado Web
8.28 NUEVO Codificación segura
Controles organizacionales
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
5.1 05.1.1, 05.1.2 Políticas de seguridad de la información.
5.2 06.1.1 Funciones y responsabilidades de seguridad de la información
5.3 06.1.2 Segregación de deberes
5.4 07.2.1 Responsabilidades de gestión
5.5 06.1.3 Contacto con autoridades
5.6 06.1.4 Contacto con grupos de intereses especiales
5.7 NUEVO Inteligencia de amenazas
5.8 06.1.5, 14.1.1 Seguridad de la información en la gestión de proyectos.
5.9 08.1.1, 08.1.2 Inventario de información y otros activos asociados
5.10 08.1.3, 08.2.3 Uso aceptable de la información y otros activos asociados
5.11 08.1.4 Devolución de activos
5.12 08.2.1 Clasificación de la información
5.13 08.2.2 Etiquetado de información
5.14 13.2.1, 13.2.2, 13.2.3 Transferencia de información
5.15 09.1.1, 09.1.2 Control de acceso
5.16 09.2.1 Gestión de identidad
5.17 09.2.4, 09.3.1, 09.4.3 Información de autenticación
5.18 09.2.2, 09.2.5, 09.2.6 Derechos de acceso
5.19 15.1.1 Seguridad de la información en las relaciones con proveedores
5.20 15.1.2 Abordar la seguridad de la información en los acuerdos con proveedores
5.21 15.1.3 Gestión de la seguridad de la información en la cadena de suministro de TIC
5.22 15.2.1, 15.2.2 Seguimiento, revisión y gestión de cambios de servicios de proveedores.
5.23 NUEVO Seguridad de la información para el uso de servicios en la nube.
5.24 16.1.1 Planificación y preparación de la gestión de incidentes de seguridad de la información.
5.25 16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
5.26 16.1.5 Respuesta a incidentes de seguridad de la información
5.27 16.1.6 Aprender de los incidentes de seguridad de la información
5.28 16.1.7 Recolección de evidencia
5.29 17.1.1, 17.1.2, 17.1.3 Seguridad de la información durante la interrupción
5.30 5.30 Preparación de las TIC para la continuidad del negocio
5.31 18.1.1, 18.1.5 Requisitos legales, estatutarios, reglamentarios y contractuales
5.32 18.1.2 Derechos de propiedad intelectual
5.33 18.1.3 Protección de registros
5.34 18.1.4 Privacidad y protección de la PII
5.35 18.2.1 Revisión independiente de la seguridad de la información.
5.36 18.2.2, 18.2.3 Cumplimiento de políticas, reglas y estándares de seguridad de la información
5.37 12.1.1 Procedimientos operativos documentados
Controles de personas
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
6.1 07.1.1 examen en línea.
6.2 07.1.2 Términos y condiciones de empleo
6.3 07.2.2 Concientización, educación y capacitación sobre seguridad de la información.
6.4 07.2.3 Proceso Disciplinario
6.5 07.3.1 Responsabilidades tras el despido o cambio de empleo
6.6 13.2.4 Acuerdos de confidencialidad o no divulgación
6.7 06.2.2 Trabajo remoto
6.8 16.1.2, 16.1.3 Informes de eventos de seguridad de la información
Controles físicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
7.1 11.1.1 Perímetros de seguridad física
7.2 11.1.2, 11.1.6 Entrada física
7.3 11.1.3 Seguridad de oficinas, habitaciones e instalaciones.
7.4 NUEVO Monitoreo de seguridad física
7.5 11.1.4 Protección contra amenazas físicas y ambientales.
7.6 11.1.5 Trabajar en áreas seguras
7.7 11.2.9 Escritorio claro y pantalla clara
7.8 11.2.1 Ubicación y protección de equipos.
7.9 11.2.6 Seguridad de los activos fuera de las instalaciones
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Medios de almacenamiento
7.11 11.2.2 Servicios públicos de apoyo
7.12 11.2.3 Seguridad del cableado
7.13 11.2.4 Mantenimiento de equipo
7.14 11.2.7 Eliminación segura o reutilización del equipo
Controles Tecnológicos
Identificador de control ISO/IEC 27002:2022 Identificador de control ISO/IEC 27002:2013 Nombre de control
8.1 06.2.1, 11.2.8 Dispositivos terminales de usuario
8.2 09.2.3 Derechos de acceso privilegiados
8.3 09.4.1 Restricción de acceso a la información
8.4 09.4.5 Acceso al código fuente
8.5 09.4.2 Autenticación segura
8.6 12.1.3 Gestión de la capacidad
8.7 12.2.1 Protección contra malware
8.8 12.6.1, 18.2.3 Gestión de vulnerabilidades técnicas.
8.9 NUEVO gestión de la configuración
8.10 NUEVO Eliminación de información
8.11 NUEVO Enmascaramiento de datos
8.12 NUEVO Prevención de fuga de datos
8.13 12.3.1 Copia de seguridad de la información
8.14 17.2.1 Redundancia de instalaciones de procesamiento de información.
8.15 12.4.1, 12.4.2, 12.4.3 Inicio de sesión
8.16 NUEVO Actividades de monitoreo
8.17 12.4.4 sincronización de los relojes
8.18 09.4.4 Uso de programas de utilidad privilegiados.
8.19 12.5.1, 12.6.2 Instalación de software en sistemas operativos.
8.20 13.1.1 Seguridad en redes
8.21 13.1.2 Seguridad de los servicios de red.
8.22 13.1.3 Segregación de redes
8.23 NUEVO Filtrado Web
8.24 10.1.1, 10.1.2 Uso de criptografía
8.25 14.2.1 Ciclo de vida de desarrollo seguro
8.26 14.1.2, 14.1.3 Requisitos de seguridad de la aplicación
8.27 14.2.5 Principios de ingeniería y arquitectura de sistemas seguros
8.28 NUEVO Codificación segura
8.29 14.2.8, 14.2.9 Pruebas de seguridad en desarrollo y aceptación.
8.30 14.2.7 Desarrollo subcontratado
8.31 12.1.4, 14.2.6 Separación de los entornos de desarrollo, prueba y producción.
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Gestión del cambio
8.33 14.3.1 Información de prueba
8.34 12.7.1 Protección de los sistemas de información durante las pruebas de auditoría.

Cómo ayuda ISMS.online

El elemento Plataforma en línea ISMS proporciona una gama de potentes herramientas que simplifican la forma en que puede documentar, implementar, mantener y mejorar su sistema de gestión de seguridad de la información (SGSI) y lograr el cumplimiento de la norma ISO 27002.

El paquete integral de herramientas le brinda un lugar central donde puede crear un conjunto personalizado de políticas y procedimientos que se alineen con sus riesgos y necesidades específicas de la organización.

Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.

Sam Peters

Sam es director de productos en ISMS.online y lidera el desarrollo de todas las características y funcionalidades del producto. Sam es un experto en muchas áreas de cumplimiento y trabaja con clientes en proyectos personalizados o de gran escala.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.