Como resultado del compromiso de abordar la cuestión del cambio climático, tal y como se recoge en la Declaración de Londres de la ISO - International Organization for Standardization, la ISO y el IAF - International Accreditation Forum, han realizado una enmienda al Capítulo 4 de la Estructura Armonizada (Apéndice 2 del Anexo SL en las Directivas ISO/IEC Parte 1 Suplemento ISO Consolidado). Encontrará más información aquí.
ISO 27001 - Sistema de Gestión de la Seguridad de la Información es una de las varias normas cubiertas por esta enmienda.
¿Qué debe tenerse en cuenta en un Sistema de Gestión de la Seguridad de la Información según la norma ISO 27001?
No existe un enfoque estandarizado para las consideraciones relativas al cambio climático en un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO 27001. No obstante, compartimos como referencia parte del texto extraído de un White Paper desarrollado por los socios de la IQNET Association, de la que APCER es miembro en representación de Portugal.
Estas consideraciones no son suficientes por sí solas, ni se consideran completas; simplemente se identifican como las más susceptibles de ser analizadas por las organizaciones:
Seguridad física e infraestructuras: El cambio climático puede provocar fenómenos meteorológicos más frecuentes y graves, como inundaciones, tormentas o incendios forestales, que pueden amenazar físicamente una infraestructura informática, por lo que pueden ser necesarias consideraciones adicionales para proteger los activos físicos frente a estas amenazas medioambientales.
Recuperación en caso de catástrofe y continuidad de la actividad: los riesgos relacionados con catástrofes medioambientales pueden requerir una planificación más sólida de la recuperación en caso de catástrofe y la continuidad de la actividad. Si las organizaciones certificadas lo consideran importante, el SGSI debe incorporar estrategias para mantener la seguridad de la información en caso de interrupciones causadas por desastres relacionados con el clima.
Seguridad de la cadena de suministro: El cambio climático puede interrumpir las cadenas de suministro, incluidas las de equipos y servicios informáticos. En su caso, el SGSI debe tener en cuenta estos riesgos, garantizando que la seguridad de la información no se vea comprometida por las vulnerabilidades de la cadena de suministro.
Gestión y eficiencia energética: En respuesta al cambio climático, cada vez se hace más hincapié en la eficiencia energética y la sostenibilidad de las operaciones informáticas. Esto puede incluir el uso de centros de datos ecológicos, hardware energéticamente eficiente y prácticas informáticas sostenibles.
Cumplimiento de la normativa y presentación de informes: con una atención cada vez mayor a la sostenibilidad y el impacto medioambiental, pueden surgir nuevas normativas y requisitos relacionados con el cambio climático. Las organizaciones certificadas deben garantizar el cumplimiento de estas normativas, especialmente las que tienen implicaciones para la gestión y la seguridad de los datos.
Ubicación y diseño del centro de datos: La elección de la ubicación y el diseño del centro de datos puede verse influida por consideraciones relacionadas con el cambio climático, como zonas menos propensas a los desastres naturales o diseños que minimicen el impacto medioambiental al tiempo que garantizan la seguridad y la disponibilidad.
Otras consideraciones sobre el Cambio Climático que todas las organizaciones certificadas según las normas de sistemas de gestión cubiertas por esta enmienda deben tener en cuenta
Las organizaciones certificadas, independientemente del sector de actividad en el que operen y del tipo y alcance del sistema de gestión, pueden necesitar revisar y adaptar otros procesos y considerar otras cuestiones para abordar y acomodar mejor los cambios de contexto, la evolución de los requisitos y las necesidades de las partes interesadas, así como los nuevos riesgos derivados del cambio climático.
Formación y sensibilización: Un enfoque y unas prácticas de gestión eficaces en el contexto del cambio climático requieren personas informadas y concienciadas. Las organizaciones certificadas pueden tener que incluir programas de formación que transmitan a sus empleados los retos y cambios relacionados con el clima, asegurándose de que comprenden la naturaleza evolutiva de los riesgos relacionados y sus responsabilidades.
Compromiso y comunicación con las partes interesadas: El compromiso con las partes interesadas en cuestiones de cumplimiento relacionadas con el clima es crucial. Las organizaciones certificadas deben facilitar la comunicación y el compromiso con las partes interesadas, incluidos los inversores, los clientes, los organismos reguladores y la comunidad, sobre la forma en que la organización aborda las cuestiones de cumplimiento relacionadas con el clima.
Seguimiento y mejora continua: Dada la naturaleza dinámica del cambio climático y sus impactos, las organizaciones certificadas deben ser capaces de realizar un seguimiento y una mejora continua. Esto garantiza que la organización pueda adaptar sus estrategias en respuesta a la nueva información, normativa y mejores prácticas relacionadas con el cambio climático.
Soluciones innovadoras para una mayor resiliencia: Las organizaciones pueden necesitar invertir en soluciones innovadoras para reforzar la resiliencia frente a los retos y riesgos inducidos por el clima, y contribuir así a un mejor rendimiento y eficacia.
Planificación estratégica a largo plazo: Las organizaciones deben tener en cuenta las tendencias a largo plazo y las cuestiones contextuales, incluidas las relacionadas con el cambio climático. Esto permite una planificación estratégica alineada con los objetivos globales de sostenibilidad y los esfuerzos de mitigación del cambio climático.
Reputación y valor de marca: Las organizaciones que no abordan los riesgos del cambio climático o no adoptan prácticas sostenibles pueden sufrir en términos de reputación y valor de marca, ya que los consumidores y los inversores valoran cada vez más la sostenibilidad. Para algunas organizaciones, la percepción pública también puede ser crítica. Las que no tomen las medidas adecuadas para combatir el cambio climático o adaptarse a él pueden ver dañada su reputación, lo que puede repercutir directamente en la fidelidad de los clientes y el valor de la marca.
Seguros y gestión de riesgos: La mayor frecuencia y gravedad de los fenómenos meteorológicos puede dar lugar a primas de seguro más elevadas. Para las organizaciones con activos físicos importantes, o las que operan en zonas de alto riesgo, esto puede representar una carga financiera sustancial.
Identificar nuevas oportunidades: Las organizaciones también pueden buscar oportunidades derivadas de la transición a una economía más ecológica, como el desarrollo de nuevos productos o servicios, la mejora de la eficiencia y el acceso a nuevos mercados.