Latin America and Caribbean

Compromiso de OCLC con servicios bibliotecarios seguros

Protege sus datos mientras comparte sus colecciones

imagem:  Certificado ISO 27001

En OCLC comprendemos que la confidencialidad, integridad y disponibilidad de la información de nuestros miembros son vitales para sus operaciones comerciales y nuestro propio éxito. Usamos un enfoque basado en múltiples capas para proteger la información clave mediante el control y la mejora constantes de nuestras aplicaciones, sistemas y procesos con el objetivo de cumplir con las crecientes demandas y desafíos de amenazas de seguridad dinámicas. Como reconocimiento a nuestros esfuerzos de seguridad, OCLC ha cumplido con las normas de seguridad ISO 27001 y ha recibido la certificación correspondiente.

Administración de riesgos empresariales y seguridad de la información.

  • Se ha implementado un Sistema de administración de seguridad de la información de conformidad con la norma ISO/IEC 27001:2005.
  • Personal profesional integrado por profesionales certificados en auditoría informática y seguridad de la información, y un especialista en Planificación de continuidad del negocio y Recuperación de desastres de dedicación exclusiva a tiempo completo

Controles físicos y ambientales

  • Seguridad mediante personal durante las 24 horas
  • Acceso restringido a través de tarjetas de proximidad
  • Equipo informático en áreas de acceso controlado
  • Vigilancia con video en toda la instalación y el perímetro
  • Control de humedad y temperatura
  • Suelo elevado para facilitar la circulación continua de aire
  • Alimentación eléctrica subterránea
  • Sistemas de alimentación ininterrumpida (UPS)
  • Unidades de distribución de energía (PDU) redundantes
  • Generadores diésel con almacenamiento de combustible diésel en el lugar
  • Sensores de detección de humo e incendio en todos los centros de datos
  • El Dublin Service Delivery Center (DSDC) está protegido con el sistema Halon y cuenta con reservas suficientes para varias descargas
  • El Columbus Service Delivery Center (CSDC) está protegido con el sistema contra incendios DuPont FM-200
  • Los centros de datos también están protegidos con sistemas de rociadores de tubería húmeda
  • Hay extinguidores de incendio en todas las instalaciones de DSDC y CSDC

Controles de acceso lógico

  • Identificación de usuario y administración de accesos

    * Conexiones a datos patrones a través de SSL 3.0/TLS 1.0 utilizando certificados ascendentes globales emitidos por Thawte, que garantizan que nuestros usuarios tengan una conexión segura desde sus navegadores a nuestro servicio.

    * Se identifican sesiones de usuario individuales que se vuelven a verificar con cada transacción utilizando aserciones de seguridad encriptadas XML a través de SAML 2.0.

    * En función de los servicios específicos que se utilizan

Controles de seguridad opcionales

  • Se conectan a Internet a través de distintos enlaces enrutados redundantes de varios proveedores de servicio de Internet abastecidos desde múltiples puntos de presencia de proveedores de telecomunicaciones
  • Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los protocolos no utilizados
  • Servidores de seguridad internos que segregan el tráfico entre la aplicación y los niveles de base de datos
  • Equilibradores de carga que proporcionan servidores proxy para tráfico interno
  • OCLC utiliza distintos métodos para evitar, detectar y erradicar malware
  • También se llevan a cabo periódicamente evaluaciones de seguridad independientes por parte de terceros
  • Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos
  • Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de cinta seguro
  • Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando se vuelven obsoletas
  • El personal de Seguridad de la información de OCLC controla las notificaciones de distintas fuentes y las alertas del sistema interno para identificar y controlar amenazas

Desarrollo y mantenimiento de sistemas

  • OCLC prueba la vulnerabilidad de la seguridad de todos los códigos antes de emitirlos y escanea con regularidad nuestra red y los sistemas para detectar vulnerabilidades
  • Evaluaciones de vulnerabilidad de red
  • Prueba de penetración seleccionadas y revisión de códigos
  • Revisión y prueba de marco de control de seguridad

Continuidad del negocio y recuperación de desastres

  • El servicio de OCLC realiza una réplica del disco en tiempo real en cada centro de datos y una réplica de datos casi en tiempo real entre el centro de producción de datos y el sitio de recuperación de desastres
  • Los datos confidenciales se transmiten a través de enlaces dedicados
  • Las pruebas de recuperación de desastres verifican nuestros tiempos de recuperación proyectados y la integridad de los datos del cliente

Respuesta, notificación y corrección de incidentes

  • Proceso de administración de incidentes para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos
  • El Equipo de seguridad de la información está capacitado para realizar pruebas forenses y manejar evidencias en preparación para un evento, incluido el uso de herramientas de terceros y de propiedad exclusiva

Cumplimiento

  • Los terceros pueden obtener información solamente a través de procesos legales como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante una exención jurídica o el consentimiento del usuario
  • OCLC mantiene una política de privacidad sólida que ayuda a proteger los datos de usuarios y clientes.

Los servicios de OCLC cumplen o exceden las recomendaciones del Gartner Group 1 (Tabla 1.) y la “Guía para la seguridad en áreas críticas de atención en Cloud Computing” (Security Guidance for Critical Areas of Focus in Cloud Computing) de Cloud Security Alliance.

Tabla 1. Gartner: Siete riesgos de seguridad en Cloud-Computing (Seven Cloud-Computing Security Risks)
Recomendaciones de Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
Control de acceso de usuarios con privilegios X X X
Cumplimiento normativo X X X
Ubicación de datos X X X (no divulgación)
Segregación de datos X X X
Recuperación X X X
Apoyo en investigaciones X X X
Viabilidad a largo plazo X X X

1 Jay Heiser y Mark Nicolett. “Evaluación de los riesgos de seguridad de Cloud Computing” (Assessing the Security Risks of Cloud Computing). Gartner Group. 30 de junio de 2008

Somos una cooperativa internacional de bibliotecas dirigida y financiada por sus miembros, a quienes pertenece desde 1967. Nuestro fin público es una declaración de compromiso mutuo: trabajaremos juntos para mejorar el acceso a la información disponible en bibliotecas del mundo, y buscaremos maneras de reducir los costos para las bibliotecas a través de la colaboración. Aprender más »