Latin America and Caribbean

Compromiso de OCLC con servicios bibliotecarios seguros

Protege sus datos mientras comparte sus colecciones

imagem:  Certificado ISO 27001

En OCLC comprendemos que la confidencialidad, integridad y disponibilidad de la información de nuestros miembros son vitales para sus operaciones comerciales y nuestro propio éxito. Usamos un enfoque basado en múltiples capas para proteger la información clave mediante el control y la mejora constantes de nuestras aplicaciones, sistemas y procesos con el objetivo de cumplir con las crecientes demandas y desafíos de amenazas de seguridad dinámicas. Como reconocimiento a nuestros esfuerzos de seguridad, OCLC ha cumplido con las normas de seguridad ISO 27001 y ha recibido la certificación correspondiente.

Administración de riesgos empresariales y seguridad de la información.

  • Se ha implementado un Sistema de administración de seguridad de la información de conformidad con la norma ISO/IEC 27001:2005.
  • Personal profesional integrado por profesionales certificados en auditoría informática y seguridad de la información, y un especialista en Planificación de continuidad del negocio y Recuperación de desastres de dedicación exclusiva a tiempo completo

Controles físicos y ambientales

  • Seguridad mediante personal durante las 24 horas
  • Acceso restringido a través de tarjetas de proximidad
  • Equipo informático en áreas de acceso controlado
  • Vigilancia con video en toda la instalación y el perímetro
  • Control de humedad y temperatura
  • Suelo elevado para facilitar la circulación continua de aire
  • Alimentación eléctrica subterránea
  • Sistemas de alimentación ininterrumpida (UPS)
  • Unidades de distribución de energía (PDU) redundantes
  • Generadores diésel con almacenamiento de combustible diésel en el lugar
  • Sensores de detección de humo e incendio en todos los centros de datos
  • El Dublin Service Delivery Center (DSDC) está protegido con el sistema Halon y cuenta con reservas suficientes para varias descargas
  • El Columbus Service Delivery Center (CSDC) está protegido con el sistema contra incendios DuPont FM-200
  • Los centros de datos también están protegidos con sistemas de rociadores de tubería húmeda
  • Hay extinguidores de incendio en todas las instalaciones de DSDC y CSDC

Controles de acceso lógico

  • Identificación de usuario y administración de accesos

    * Conexiones a datos patrones a través de SSL 3.0/TLS 1.0 utilizando certificados ascendentes globales emitidos por Thawte, que garantizan que nuestros usuarios tengan una conexión segura desde sus navegadores a nuestro servicio.

    * Se identifican sesiones de usuario individuales que se vuelven a verificar con cada transacción utilizando aserciones de seguridad encriptadas XML a través de SAML 2.0.

    * En función de los servicios específicos que se utilizan

Controles de seguridad opcionales

  • Se conectan a Internet a través de distintos enlaces enrutados redundantes de varios proveedores de servicio de Internet abastecidos desde múltiples puntos de presencia de proveedores de telecomunicaciones
  • Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los protocolos no utilizados
  • Servidores de seguridad internos que segregan el tráfico entre la aplicación y los niveles de base de datos
  • Equilibradores de carga que proporcionan servidores proxy para tráfico interno
  • OCLC utiliza distintos métodos para evitar, detectar y erradicar malware
  • También se llevan a cabo periódicamente evaluaciones de seguridad independientes por parte de terceros
  • Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos
  • Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de cinta seguro
  • Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando se vuelven obsoletas
  • El personal de Seguridad de la información de OCLC controla las notificaciones de distintas fuentes y las alertas del sistema interno para identificar y controlar amenazas

Desarrollo y mantenimiento de sistemas

  • OCLC prueba la vulnerabilidad de la seguridad de todos los códigos antes de emitirlos y escanea con regularidad nuestra red y los sistemas para detectar vulnerabilidades
  • Evaluaciones de vulnerabilidad de red
  • Prueba de penetración seleccionadas y revisión de códigos
  • Revisión y prueba de marco de control de seguridad

Continuidad del negocio y recuperación de desastres

  • El servicio de OCLC realiza una réplica del disco en tiempo real en cada centro de datos y una réplica de datos casi en tiempo real entre el centro de producción de datos y el sitio de recuperación de desastres
  • Los datos confidenciales se transmiten a través de enlaces dedicados
  • Las pruebas de recuperación de desastres verifican nuestros tiempos de recuperación proyectados y la integridad de los datos del cliente

Respuesta, notificación y corrección de incidentes

  • Proceso de administración de incidentes para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos
  • El Equipo de seguridad de la información está capacitado para realizar pruebas forenses y manejar evidencias en preparación para un evento, incluido el uso de herramientas de terceros y de propiedad exclusiva

Cumplimiento

  • Los terceros pueden obtener información solamente a través de procesos legales como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante una exención jurídica o el consentimiento del usuario
  • OCLC mantiene una política de privacidad sólida que ayuda a proteger los datos de usuarios y clientes.

Los servicios de OCLC cumplen o exceden las recomendaciones del Gartner Group 1 (Tabla 1.) y la “Guía para la seguridad en áreas críticas de atención en Cloud Computing” (Security Guidance for Critical Areas of Focus in Cloud Computing) de Cloud Security Alliance.

Tabla 1. Gartner: Siete riesgos de seguridad en Cloud-Computing (Seven Cloud-Computing Security Risks)
Recomendaciones de Gartner OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
Control de acceso de usuarios con privilegios X X X
Cumplimiento normativo X X X
Ubicación de datos X X X (no divulgación)
Segregación de datos X X X
Recuperación X X X
Apoyo en investigaciones X X X
Viabilidad a largo plazo X X X

1 Jay Heiser y Mark Nicolett. “Evaluación de los riesgos de seguridad de Cloud Computing” (Assessing the Security Risks of Cloud Computing). Gartner Group. 30 de junio de 2008