Ir al contenido principal

Cambio climático: Requisito de ISO 27001 ☀️

Si recientemente implementaste o estás implementando un sistema de gestión basado en normativas ISO, y ya te topaste con los requisitos sobre cambio climático, es posible que tengas varias dudas, como por ejemplo qué es esto, qué tiene que ver con mi empresa de tecnología, seguramente no es mi responsabilidad, etcétera.

¡Pero calma que en este artículo te contaremos todo sobre este requisito! 🚀

Contexto general

La Organización Internacional de Normalización, es decir la ISO, publicó una enmienda el 23 de febrero de 2024, en la cual exige a las empresas considerar los riesgos e impactos asociados al cambio climático dentro de sus análisis de contexto interno, externo y de sus partes interesadas.

Concepto de cambio climático dentro de ISO 27001

Sabemos que en términos generales el cambio climático consiste en la alteración previsible que está teniendo el clima terrestre, provocado en su mayor parte por acciones humanas. Ahora bien, entendiendo este concepto podremos también comprender mejor el objetivo de esta enmienda.

La norma ISO 27001 considera que el cambio climático es un factor externo a la organización, pero crítico para el entorno, el cual debe ser considerado al implementar controles de seguridad de la información porque puede afectar significativamente el logro de sus objetivos.

¿Cómo el cambio climático afecta la seguridad de la información?

Bueno, justo antes ya dijimos que este factor externo puede afectar significativamente el logro de los objetivos de seguridad de la información de una empresa ¿cierto? Pero ahora seguramente te estás preguntando ¿por qué, cómo puede afectarme?

Y aquí es donde tenemos dos enfoques:

  • el impacto del cambio climático sobre la empresa,

  • y el impacto que puede tener la empresa sobre el cambio climático.

Revisemos el primer punto. A continuación te enlistamos algunas de las implicaciones del cambio climático para ISO 27001 que pueden afectar el correcto funcionamiento de un SGSI:

  • Seguridad física: Fenómenos meteorológicos más intensos pueden dañar o destruir infraestructuras físicas como centros de datos, lo que requiere medidas de protección adicionales.

    • Ejemplos de fenómenos meteorológicos: Lluvias, nevadas, granizadas, tormentas eléctricas, tornados, huracanes, o por el contrario sequías, etcétera.

💡Sabemos que serían las ubicaciones más críticas pero aquí no solo pienses en los centros de datos de tu proveedor de nube (AWS, Google, Azure, etcétera), sino también en las oficinas, coworks o lugares donde puedes trabajar. Aunque no tengas una responsabilidad directa sobre la protección de estas ubicaciones, es súper importante que sepas actuar en escenarios de emergencia.

  • Seguridad de las personas: Derivado de los fenómenos meteorológicos, también se pueden dar escenarios importantes a considerar relacionados con tus colaboradores que pueden poner en riesgo la continuidad de las operaciones, o incluso la propia integridad y seguridad de las personas.

    • Como por ejemplo perder el acceso a servicios básicos para trabajar, complicaciones y/o riesgos de traslado, enfermedades o accidentes, etcétera.

  • Continuidad de las operaciones: Como bien lo veíamos en el punto anterior, se necesitarán entonces planes de recuperación ante desastres y de continuidad del negocio más robustos para hacer frente a todos los fenómenos que actualmente podrían ocurrir relacionados con el clima.

  • Cadena de suministro: La interrupción de la cadena de suministro por eventos climáticos puede afectar el acceso a equipos y servicios críticos de TI.

Ahora bien, para abordar el 2ndo punto sobre cómo la empresa contribuye de alguna manera al cambio climático, y poder darle la importancia adecuada al tema, vamos a separarlo en una sección particular, ¡así que sigue leyendo! 🤓

¿Cómo mi empresa puede impactar en el cambio climático?

La mayoría de empresas actualmente son digitales o están en su transformación, y si bien esto puede ser una gran vía para lograr una economía y una sociedad más sostenibles, existe un término llamado contaminación digital.

Esta contaminación hace referencia a las emisiones de carbono detrás de todas las actividades digitales, desde el consumo de los centros de datos hasta el de las redes de transmisión y del uso de los dispositivos que usamos todos los días.

Se considera un problema en aumento, en gran medida por el consumo de electricidad por parte del sector de las tecnologías de la información (IT). Si deseas conocer más sobre este tema, te recomendamos leer el siguiente artículo 👈🏼.

Las grandes empresas ya tienen esto muy claro e implementado dentro de sus operaciones. Te compartimos a continuación algunos recursos que lo demuestran:

¿Cómo alinearme y cumplir con este requisito?

Como bien ya lo veíamos en la sección anterior, el principal impacto está relacionado con la eficiencia energética.

Y para lograr lo esperado por las normativas ISO, es importante que la organización analice cómo optimizar el consumo de energía en sus operaciones de TI, para así mitigar su impacto en el cambio climático y mejorar la sostenibilidad.

Implementación de buenas prácticas ambientales

Principalmente, lograrás cumplir con este requisito implementando buenas prácticas, como pueden ser las siguientes.

Acciones sobre los activos de tecnología:

  • Uso de fuentes renovables para alimentar las operaciones.

  • Configuración de ordenadores y otros dispositivos en modos de ahorro de energía.

  • Desconectar los dispositivos cuando no estén en uso.

  • Sustituir equipos antiguos por modelos más eficientes energéticamente.

Acciones en las oficinas:

  • Uso de iluminación LED.

  • Aprovechamiento de la luz natural.

  • Uso de sensores de movimiento para apagar luces automáticamente en áreas poco utilizadas.

  • Implementar programas de reciclaje de residuos.

  • Reducir el consumo de papel.

Acciones en los colaboradores:

  • Mejorar y promover una cultura de seguridad y sostenibilidad ambiental con todos los colaboradores de la empresa por medio de programas de capacitación y concientización, u otras actividades que se consideren adecuadas.

Documentación Hackmetrix

Recordemos también que tener todo documentado es súper importante si deseas certificarte en cualquier normativa ISO, y que ésta documentación funge como evidencia de cumplimiento en todas las auditorías.

Lo único que debes hacer para alinearte a este requisito de cambio climático y así evitar cualquier tipo de hallazgo en auditorías es abrir tu Política de SGSI y hacer lo siguiente:

  • Incluye el cambio climático como un factor externo dentro de tu “Análisis del entorno” (dentro de la tablita de nuestro template, esto se pondría en la columna de la categoría “Socioambiental”).

  • Incluye fortalezas, oportunidades, debilidades y/o amenazas de tu empresa relacionadas al cambio climático dentro de tu “Análisis FODA” en su apartado correspondiente.

💡Recuerda que lo señalado en la imagen como fortaleza y oportunidad relacionada al cambio climático (así como todo lo subrayado en rojo dentro de nuestro template) es solo un ejemplo y/o recomendación, pero debes ajustarlo al contexto real de tu empresa.

  • Incluye dentro de los requisitos de partes interesadas aspectos relacionados al cambio climático.

📝Ejemplos:

Nuestro template ya cuenta con estos ejemplos así como otras recomendaciones al respecto, pero es súper importante que lo revises y ajustes al contexto y necesidades reales de tu organización.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
54. Evidencia de controles implementados - ISO 27001 | 27002
FAQs - 5. Política de Seguridad de la Información
¡Conoce los cambios qué trae la versión 2022 de ISO 27001!
Informe del Impacto Ético y Social de los Sistemas de IA
Logra cumplir TISAX con la ISO 27001
¿Ha quedado contestada tu pregunta?