Decorrente do compromisso de abordar o tema das alterações climáticas, como referido na Declaração de Londres da ISO – International Organization for Standardization, a ISO e o IAF – International Accreditation Forum, realizaram uma alteração ao capítulo 4 da Estrutura Harmonizada (Apêndice 2 do Anexo SL nas Diretivas ISO/IEC Parte 1 Suplemento ISO consolidado). Pode aceder aqui para mais informação.
A norma ISO 27001 - Sistema de Gestão de Segurança de Informação é uma das várias normas abrangidas por esta alteração.
O que deve ser considerado num Sistema de Gestão de Segurança de Informação de acordo com a norma ISO 27001?
Não existe uma abordagem padronizada para as considerações a ter sobre alterações climáticas num sistema de gestão de Segurança de Informação (SGSI), de acordo com a norma ISO 27001. No entanto, partilhamos como referência, parte do texto retirado de um White Paper desenvolvido pelos parceiros da IQNET Association, da qual a APCER faz parte em representação de Portugal.
Estas considerações não são suficientes por si só nem consideradas completas, são apenas identificadas como as mais prováveis de serem analisadas pelas organizações:
Segurança física e infraestruturas: As alterações climáticas podem conduzir a fenómenos meteorológicos mais frequentes e graves, como inundações, tempestades ou incêndios florestais, que podem ameaçar fisicamente uma infraestrutura de TI, pelo que podem ser necessárias considerações adicionais para proteger os ativos físicos contra estas ameaças ambientais.
Recuperação de catástrofes e continuidade de negócio: Os riscos relacionados com catástrofes ambientais podem exigir um planeamento mais robusto da recuperação de desastres e da continuidade do negócio. Se as organizações certificadas considerarem este aspeto significativo, o SGSI deve incorporar estratégias para manter a segurança da informação em caso de perturbações causadas por catástrofes relacionadas com o clima.
Segurança da cadeia de fornecimento: As alterações climáticas podem perturbar as cadeias de fornecimento, incluindo as de hardware e serviços informáticos. Se for caso disso, o SGSI deve ter em conta estes riscos, garantindo que a segurança da informação não é comprometida pelas vulnerabilidades da cadeia de fornecimento.
Gestão e eficiência energética: Como resposta às alterações climáticas, há uma ênfase crescente na eficiência energética e na sustentabilidade das operações de TI. Isto pode incluir a utilização de centros de dados ecológicos, hardware energeticamente eficiente e práticas de TI sustentáveis.
Conformidade regulamentar e reporte: Com um foco crescente na sustentabilidade e no impacto ambiental, podem surgir novos regulamentos e requisitos relacionados com as alterações climáticas. As organizações certificadas devem garantir a conformidade com esses regulamentos, especialmente aqueles que têm implicações na gestão e segurança dos dados.
Localização e design do Data Center: A escolha da localização e do design dos centros de dados pode ser influenciada por considerações relacionadas com as alterações climáticas, tais como áreas menos propensas a desastres naturais ou designs que minimizem o impacto ambiental, garantindo simultaneamente a segurança e a disponibilidade.
Outras considerações sobre Alterações Climáticas que todas as organizações certificadas pelas normas de sistemas de gestão abrangidas por esta emenda devem analisar
As organizações certificadas, independentemente do setor de atividade onde atuam e do tipo e âmbito do sistema de gestão, podem necessitar de rever e adaptar outros processos e considerar outras questões, de modo a melhor abordar e acomodar as mudanças no contexto, a evolução dos requisitos e as necessidades das partes interessadas, bem como os novos riscos decorrentes das alterações climáticas.
Formação e sensibilização: O enfoque e as práticas de gestão eficazes, no contexto das alterações climáticas, requerem pessoas informadas e conscientes. As organizações certificadas podem ter de incluir programas de formação que transmitam, aos seus colaboradores, os desafios e mudanças relacionados com o clima, assegurando que compreendem a natureza evolutiva dos riscos relacionados e as suas responsabilidades.
Envolvimento e comunicação com as partes interessadas: O envolvimento com as partes interessadas em questões de conformidade relacionadas com o clima é crucial. As organizações certificadas devem facilitar a comunicação e o envolvimento com as partes interessadas, incluindo investidores, clientes, organismos reguladores e a comunidade, sobre a forma como a organização aborda as questões de conformidade relacionadas com o clima.
Monitorização e melhoria contínua: Tendo em vista a natureza dinâmica das mudanças climáticas e dos seus impactos, as organizações certificadas devem ser capazes de monitorizar e melhorar continuamente. Tal garante que a organização possa adaptar as suas estratégias em resposta a novas informações, regulamentações e melhores práticas relacionadas com as mudanças climáticas.
Soluções inovadoras para uma maior resiliência: As organizações poderão ter de investir em soluções inovadoras para reforçar a resiliência face aos desafios e riscos induzidos pelo clima, e contribuir desta forma para um melhor desempenho e eficácia.
Planeamento estratégico a longo prazo: As organizações devem ter em conta as tendências e questões contextuais a longo prazo, incluindo as relacionadas com as alterações climáticas. Isto permite um planeamento estratégico que se alinha com os objetivos globais de sustentabilidade e com os esforços de mitigação das alterações climáticas.
Reputação e valor da marca: As organizações que não abordam os riscos das alterações climáticas ou que não adotam práticas sustentáveis podem sofrer em termos de reputação e valor da marca, uma vez que os consumidores e os investidores valorizam cada vez mais a sustentabilidade. Para algumas organizações, a perceção pública também pode ser crítica. As que não tomarem medidas adequadas para combater ou se adaptarem às alterações climáticas podem sofrer danos na sua reputação, o que pode ter um impacto direto na fidelidade dos clientes e no valor da marca.
Seguro e gestão de riscos: O aumento da frequência e da gravidade dos fenómenos meteorológicos pode conduzir a prémios de seguro mais elevados. Para as organizações com ativos físicos significativos, ou para as que operam em zonas de alto risco, isto pode representar um encargo financeiro substancial.
Identificação de novas oportunidades: As organizações podem também procurar oportunidades decorrentes da transição para uma economia mais ecológica, como o desenvolvimento de novos produtos ou serviços, melhorias de eficiência e o acesso a novos mercados.