ISO 27001 y controles físicos: el mapeo que casi nadie lee

ISO 27001 es citada en miles de pliegos como prueba de madurez, y leída en pocos. El Anexo A, en su revisión de 2022, contiene catorce controles físicos que muchos responsables de seguridad de la información tratan como un párrafo decorativo entre las secciones de criptografía y gestión de incidentes. Esa lectura es el error.

La norma no separa lo físico de lo lógico porque sus autores no quisieran. Los separa para que cada bloque pueda ser auditado con criterios propios. Pero quien gestiona una planta, un centro logístico o una subestación sabe que la frontera entre ambas dimensiones es artificial. Un servidor que arde es un incidente lógico. El incendio es físico. El acceso no autorizado a una sala técnica es un evento físico. La exfiltración que ocurre dentro de esa sala es lógica. Quien audita la ISO 27001 sin recorrer el perímetro está leyendo media norma.

Lo que el Anexo A pide en su bloque físico

La versión 2022 de la norma reorganizó los antiguos ciento catorce controles en noventa y tres, agrupados en cuatro temas. El tema de controles físicos, identificado como A.7, contiene catorce puntos que cubren desde los perímetros de seguridad hasta el mantenimiento de equipos y la eliminación segura de soportes. El cambio respecto a la versión 2013 no es cosmético. Antes, el bloque físico estaba diluido en cláusulas que mezclaban responsabilidades organizativas con elementos materiales. Ahora, los catorce controles forman una unidad que puede ser auditada por un equipo distinto del que revisa los controles tecnológicos.

El control A.7.1 establece los perímetros de seguridad física. No dice cuántos perímetros debe haber ni qué materiales se usan. Dice que deben definirse, documentarse y mantenerse. Esa formulación es deliberadamente abierta porque la norma se aplica a un banco en Madrid, a una planta química en Tarragona y a un centro de datos en Frankfurt. Lo que la auditoría comprueba no es la altura de la valla, sino la coherencia entre el análisis de riesgos, la decisión sobre el perímetro y la evidencia de su mantenimiento. Un perímetro mal definido en el papel se convierte en un hallazgo aunque la valla sea impecable. Un perímetro bien definido sin valla se convierte en un hallazgo aunque la documentación sea brillante.

El control A.7.2 regula las entradas físicas. El A.7.3 trata la seguridad de oficinas, salas e instalaciones. El A.7.4 introduce la monitorización de la seguridad física, una novedad de la versión 2022 que recoge expresamente la videovigilancia y los sistemas de detección. El A.7.5 cubre la protección frente a amenazas físicas y ambientales. Del A.7.6 al A.7.14 se despliegan controles sobre trabajo en áreas seguras, escritorios limpios, ubicación y protección de equipos, seguridad de activos fuera de las instalaciones, soportes de almacenamiento, servicios de soporte, seguridad del cableado, mantenimiento de equipos y eliminación segura. Catorce puntos que, leídos en orden, dibujan el ciclo completo de un activo físico dentro de la organización.

El error de tratar los catorce controles como una lista

La trampa habitual es responder al Anexo A.7 marcando casillas. Una declaración de aplicabilidad puede aceptar los catorce controles, anotar una política de referencia para cada uno y cerrar el bloque en una tarde. Esa tarde, sin embargo, no resiste la primera visita de un auditor que conoce el oficio. Lo que el auditor busca no es la casilla, sino la trazabilidad. Cada control debe poder ligarse al análisis de riesgos que lo justifica, a la medida concreta que lo implementa y a la evidencia que demuestra su funcionamiento durante el período auditado.

Un ejemplo concreto. El control A.7.4 sobre monitorización de la seguridad física se cumple, sobre el papel, con un sistema de videovigilancia perimetral. Pero la auditoría no se conforma con que las cámaras existan. Pregunta quién revisa las grabaciones, con qué periodicidad, durante cuánto tiempo se conservan, cómo se protegen frente a manipulación, qué pasa cuando una cámara falla, cómo se integra el sistema con el centro de control y qué procedimiento se sigue ante un evento detectado. Cada una de esas preguntas se traduce en una evidencia documental o un registro operativo. La diferencia entre cumplir y aparentar se mide en horas de trabajo previo, no en metros de cable instalado.

El segundo error frecuente es confundir el Anexo A con el cuerpo de la norma. El Anexo A es una referencia. La obligación real del sistema de gestión está en las cláusulas del 4 al 10, donde se exige el establecimiento, la implementación, el mantenimiento y la mejora continua. Un control físico bien ejecutado pero aislado del sistema de gestión no aporta certificación. Forma parte de un conjunto que tiene que respirar como organismo. La integración entre la seguridad física y el sistema documental del SGSI es lo que distingue una organización certificable de una organización que ha comprado tecnología.

El mapeo a perímetros reales

Una instalación industrial típica no tiene un perímetro, tiene cinco. El perímetro exterior define los límites de la parcela y se materializa habitualmente con vallado, accesos controlados y vigilancia. El perímetro de edificio separa el espacio cubierto del descubierto y suele incorporar puertas con control de acceso, ventanas protegidas y detección volumétrica. El perímetro de zona operativa segmenta las áreas dentro del edificio según su criticidad, separando oficinas de zonas técnicas, salas de servidores o áreas de proceso sensible. El perímetro de armario o rack protege equipos individuales con cerraduras, sellos y registros de apertura. El perímetro lógico, finalmente, define las fronteras de red, pero esa frontera tiene un anclaje físico en el cableado, los puntos de acceso y los puntos de presencia de operadores.

ISO 27001 no nombra estos cinco niveles, pero su lectura combinada de los controles A.7.1, A.7.2, A.7.3 y A.7.13 los implica. Una organización que define un único perímetro está exponiendo todos sus activos a las mismas medidas, lo que en términos de gestión de riesgo es ineficiente y, en términos de auditoría, frágil. Las recomendaciones del CCN-CERT sobre arquitectura de seguridad en infraestructuras críticas, así como las guías del INCIBE para empresas industriales, insisten en la segmentación por niveles. La norma ISO 22301 sobre continuidad de negocio refuerza la misma idea desde la perspectiva de la disponibilidad. Quien mapea sus catorce controles físicos sobre cinco perímetros tiene un sistema legible. Quien los aplica como una lista uniforme tiene un sistema costoso y poco granular.

El mapeo, además, debe ser bidireccional. Cada activo crítico debe poder situarse en uno o varios perímetros, y cada perímetro debe poder enumerar los activos que protege. Esta correspondencia es la base de cualquier análisis de impacto serio. Sin ella, la decisión de reforzar una zona se toma por intuición. Con ella, la decisión se toma sobre un argumento que el auditor entiende y la dirección financia.

La novedad del control A.7.4 y la videovigilancia integrada

La versión 2022 de la norma introdujo de forma explícita el control A.7.4 sobre monitorización de la seguridad física. La inclusión es tardía si se considera que la videovigilancia lleva décadas instalada en cualquier organización medianamente seria. Pero su formalización en el Anexo A obliga ahora a documentar lo que antes se daba por hecho.

La monitorización exigida no es la mera grabación. El control habla de detección, registro y respuesta. Detección significa que el sistema identifica eventos relevantes, no que recoge imágenes. Registro significa que esos eventos quedan asociados a marcas temporales fiables, conservados durante un período definido y protegidos frente a alteración. Respuesta significa que existe un procedimiento documentado que se activa cuando el sistema detecta un evento. Los tres componentes deben coexistir. Un sistema con detección pero sin respuesta es un archivo de incidentes. Un sistema con respuesta pero sin detección es una guardia ciega. Un sistema con registro pero sin los otros dos es un coste sin función.

La implementación coherente de A.7.4 obliga a revisar las políticas de protección de datos, porque la videovigilancia tratada como medida de seguridad de la información debe articularse con el cumplimiento del RGPD y con las instrucciones de la AEPD sobre tratamiento de imágenes con finalidad de seguridad. Aquí aparece la frontera con otro bloque normativo que no se puede ignorar. Una cámara que registra una zona de paso obligado genera datos personales y obliga a información a los empleados, definición de plazos de conservación, evaluación de impacto cuando proceda y limitaciones técnicas sobre acceso a las grabaciones. ISO 27001 no resuelve esos requisitos, pero exige que el sistema de gestión los integre. La auditoría de certificación verifica que existe esa integración. Si la videovigilancia es robusta desde el punto de vista de la seguridad pero inadecuada desde el punto de vista de la protección de datos, la organización tiene dos hallazgos: uno técnico y uno legal.

La eliminación segura y los activos que viajan

Dos controles del bloque físico se olvidan con frecuencia en las primeras certificaciones. El A.7.14 sobre eliminación segura de equipos y soportes, y el A.7.9 sobre seguridad de activos fuera de las instalaciones. Ambos son frecuentes en los hallazgos no conformes.

La eliminación segura no se cumple con un contrato con un gestor autorizado de residuos. Se cumple con un procedimiento que describa qué se elimina, cuándo, con qué método, quién lo verifica y qué documentación se conserva. Un disco duro retirado de un servidor debe seguir una cadena que termine en una destrucción certificada, con un acta que asocie número de serie, fecha y método. La auditoría comprueba esa cadena. Las organizaciones que externalizan la retirada sin trazabilidad están delegando el riesgo, pero no la responsabilidad. El día que un disco aparece en un mercado de segunda mano con datos recuperables, el origen es la organización que lo entregó, no el gestor que falló.

Los activos fuera de las instalaciones son la otra frontera porosa. Ordenadores portátiles, teléfonos, soportes USB que viajan con personal técnico, equipos cedidos a colaboradores en proyectos, dispositivos en obra. El control A.7.9 exige que esos activos estén protegidos con medidas equivalentes a las que tendrían dentro del perímetro. Cifrado obligatorio, autenticación robusta, capacidad de borrado remoto, registro de ubicación cuando proceda, política de devolución. La tendencia al trabajo distribuido ha multiplicado el inventario de activos en movimiento, y muchas organizaciones lo descubren cuando un equipo perdido obliga a notificar una brecha de datos.

Cómo se prepara la auditoría sin sobresaltos

La auditoría de certificación se prepara en tres movimientos. El primero es la declaración de aplicabilidad, donde la organización justifica qué controles aplica, cuáles excluye y por qué. La exclusión de un control físico es legítima cuando el contexto la sustenta. Una empresa de software sin instalaciones físicas propias puede excluir parte del bloque, pero debe argumentarlo y referirlo a los acuerdos con sus proveedores de alojamiento. El segundo movimiento es la recopilación de evidencias. Cada control en aplicación genera evidencias durante el período auditado, normalmente doce meses. Esas evidencias son registros, no documentos teóricos. Bitácoras de acceso, informes de revisión, actas de pruebas, capturas de alertas, contratos con proveedores, certificados de destrucción. Sin evidencias del período, no hay certificación.

El tercer movimiento es la auditoría interna previa. La norma exige que la organización audite su propio sistema antes de presentarse a la certificación. Esa auditoría interna debe ser ejecutada por personas independientes del proceso auditado, con cualificación demostrable. Su informe es el documento que el auditor externo lee antes de visitar las instalaciones. Un informe interno bien hecho identifica los hallazgos antes del auditor y permite corregirlos. Un informe interno superficial deja al descubierto las debilidades durante la visita externa, lo que multiplica los costes y, en el peor caso, retrasa la certificación.

La visita del auditor combina revisión documental con inspección física. El equipo recorre los perímetros, comprueba accesos, observa el funcionamiento del centro de control, entrevista a operadores, verifica registros, inspecciona armarios técnicos. Las semanas posteriores se dedican a la respuesta a hallazgos, que pueden ser observaciones menores, no conformidades menores o no conformidades mayores. Solo estas últimas impiden la certificación. Las demás se cierran en planes de acción que el auditor verifica en visitas sucesivas.

Lo que permanece

ISO 27001 es una norma seria cuando se ejecuta como tal. Su Anexo A no es un catálogo opcional, es la materia sobre la que se construye la certificación. El bloque físico de catorce controles es la mitad menos visible y, paradójicamente, la que con más frecuencia genera hallazgos en organizaciones que han invertido bien en ciberseguridad y mal en perímetros.

Quien aborda la certificación con seriedad mapea sus catorce controles físicos sobre los perímetros reales de su instalación, integra la videovigilancia con las exigencias de la AEPD, documenta la eliminación segura como un proceso trazable, protege los activos en movimiento como protege los estáticos y construye evidencias durante el año completo previo a la auditoría. Quien lo hace de otra manera puede llegar a certificarse, pero arrastra un sistema frágil que reaparece en cada vigilancia anual y en cada renovación trienal.

Para los responsables que reconocen que su mapeo entre Anexo A y perímetro real no está cerrado, BOSWAU + KNAUER ofrece una auditoría de tres a cinco días que entrega un informe estructurado en seis productos. Ese informe es propiedad del cliente y puede usarse internamente o presentarse al auditor de certificación. La metodología está descrita en el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad", en la sección sobre integración entre disciplinas físicas y lógicas. El audit no genera dependencia. Genera el documento que faltaba.

Preguntas frecuentes

¿Qué pide ISO 27001?

ISO 27001 pide que la organización establezca un sistema de gestión de seguridad de la información basado en análisis de riesgos. La obligación principal está en las cláusulas 4 a 10, que cubren contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora. El Anexo A aporta noventa y tres controles de referencia agrupados en cuatro temas: organizacionales, personales, físicos y tecnológicos. La organización debe justificar qué controles aplica y demostrar su funcionamiento con evidencias del período auditado. No es una norma técnica, es una norma de gestión que exige coherencia entre riesgos, decisiones y resultados.

¿Cómo aplica a seguridad física?

El bloque A.7 del Anexo A contiene catorce controles físicos que abarcan perímetros, entradas, oficinas, monitorización, amenazas ambientales, áreas seguras, escritorios limpios, ubicación de equipos, activos fuera de instalaciones, soportes, servicios de soporte, cableado, mantenimiento y eliminación segura. La aplicación correcta exige mapear cada control sobre los perímetros reales de la instalación, integrarlos con el sistema de gestión documental y generar evidencias operativas durante doce meses. La videovigilancia, formalizada como control A.7.4 en la versión 2022, debe articularse con las exigencias de la AEPD sobre protección de datos cuando trata imágenes de personas identificables.

¿Es obligatoria?

ISO 27001 no es obligatoria por ley con carácter general. Es una norma voluntaria de certificación. Sin embargo, su exigencia se ha generalizado en contratos públicos y privados, en pliegos de proveedores y en cadenas de suministro de sectores regulados. Para operadores de servicios esenciales bajo NIS2 o RD-ley equivalente en España, y para sujetos obligados por el Esquema Nacional de Seguridad, la certificación ISO 27001 se considera evidencia de cumplimiento de requisitos paralelos. En la práctica, muchas organizaciones medianas y grandes la tratan como obligatoria porque sin ella pierden oportunidades comerciales.

¿Cómo se audita?

La auditoría se desarrolla en dos fases. La fase uno revisa documentación y la fase dos verifica implementación. El auditor externo, acreditado por un organismo nacional como ENAC en España, combina revisión documental con inspección física, entrevistas a personal y comprobación de registros. La organización debe presentar previamente su declaración de aplicabilidad, sus evidencias del período auditado y el informe de su auditoría interna. Los hallazgos se clasifican en observaciones, no conformidades menores y no conformidades mayores. Solo estas últimas impiden la certificación. El ciclo es trienal con vigilancias anuales.