Nuestro compromiso permanente con la seguridad
Apoyamos las exigencias de seguridad de nuestros miembros y la comunidad bibliotecaria por medio de comunicaciones regulares y transparencia sobre nuestros procesos, objetivos, certificaciones y principios.
En OCLC, contamos con sólidos controles para mantener la estricta seguridad de los datos y servicios en la nube. Nuestros procesos de dirección se enfocan en el cumplimiento y las normas de auditoría para garantizar que el acceso a los datos se lleve a cabo en ambientes seguros y controlados.
Objetivos estratégicos de seguridad
- Proteger la información y sistemas, enfocándonos en salvaguardar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de información y datos críticos para garantizar nuestra capacidad de prestar servicios a clientes y empleados.
- Reducir el riesgo de seguridad creando la cultura, los marcos y los procesos necesarios para abordar los riesgos de seguridad.
- Mejorar las capacidades de seguridad, desarrollando las prácticas, procesos, la fuerza laboral y las capacidades de seguridad en general requeridas para proteger a OCLC de las amenazas a la seguridad y garantizar una mejora continua para afrontar los retos de seguridad futuros. Esto lo hacemos a la vez que alineamos las prioridades de seguridad con las necesidades y estrategias empresariales.
- Enfocarse en la seguridad a nivel empresarial, mejorando la seguridad en toda la organización mediante la creación de programas de seguridad, mejores prácticas, marcos comunes y políticas de seguridad de la información a lo largo de la empresa.
- Liderar a la comunidad bibliotecaria como socio para ayudar a las bibliotecas, proveedores, editoriales y otros socios del sector a mejorar su seguridad mediante talleres, oportunidades educativas y de colaboración.
Certificaciones y confirmaciones
FedRAMP: Mercado de Proveedores en la Nube aprobado por el Gobierno Federal de los EE. UU.
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en ingles) consiste en un programa del gobierno federal de los Estados Unidos que ofrece un enfoque estandarizado a la evaluación de seguridad, autorización y supervisión continua de los productos y servicios de la nube. FedRAMP exige un conjunto principal de procesos, a fin de garantizar una seguridad en la nube eficaz y repetible para las ofertas de servicios en la nube que contienen datos del gobierno federal. OCLC posee la autoridad para utilizar FedRAMP Li-SAAS.
StateRAMP: mercado de proveedores en la nube aprobado por el gobierno estatal y local de EE. UU.
El Programa Estatal de Gestión de Riesgos y Autorizaciones (StateRAMP, por sus siglas en inglés) consiste en un programa del gobierno estatal y local de los Estados Unidos que ofrece un enfoque estandarizado a la evaluación de seguridad, autorización y supervisión continua de los productos y servicios que están en la nube. StateRAMP exige un conjunto de normas de seguridad basadas en la publicación especial 800-53 del Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés) que habla sobre los controles de seguridad y privacidad para los sistemas de información y organizaciones. OCLC consigue el estado "Ready" ("Preparado") de seguridad y es miembro de la Lista de proveedores autorizados del StateRAMP.
ISO/IEC 27001
El estándar de administración de seguridad de la información ISO/IEC 27001 consiste en un estándar de seguridad que especifica formalmente un Sistema de Gestión de Seguridad de la Información (SGSI) que pretende que la seguridad de la información esté explícitamente bajo el control de la administración. Establece requisitos que definen cómo implementar, supervisar, mantener y mejorar continuamente el SGSI. Esta certificación ayuda a OCLC a cumplir con los múltiples requisitos legales y regulatorios relacionados con la seguridad de la información.
ISO/IEC 27018
En cuanto a la norma ISO/IEC 27018 de protección de datos de información de identificación personal (PII, por sus siglas en inglés), representa un código internacional de práctica para la privacidad en la nube. Con base en las leyes de protección de datos de la UE, brinda orientación específica a los proveedores de servicios en la nube (CSP, por sus siglas en inglés), que actúan como procesadores de la PII al momento de evaluar riesgos e implementar controles más avanzados para proteger dicha información.
ISO/IEC 27701
La norma ISO/IEC 27701 del Sistema de Gestión de Información sobre la Privacidad (PIMS, por sus siglas en inglés) es un marco internacional de privacidad para la protección de la PII. La norma incluye los requisitos de protección de datos de los reglamentos de protección de datos, como el Reglamento General de Protección de Datos (RGPD).
SOC 2: norma de confidencialidad, integridad de procesamiento, disponibilidad y seguridad
SOC 2 consiste en un informe basado en los criterios de servicios de confianza existentes de la Junta de Normas de Auditoría del American Institute of Certified Public Accountants. El propósito de esta auditoría consiste en evaluar los sistemas de información de la organización relevantes en materia de seguridad, disponibilidad, integridad de procesamiento y confidencialidad.
Certificación registrada
Alianza de Seguridad en la Nube: norma de privacidad y seguridad en la nube
El programa Security Trust Assurance and Risk (Riesgos, garantías, confianza y seguridad) de la Alianza de Seguridad en la Nube promueve el uso de las mejores prácticas para brindar garantías de seguridad dentro de la computación en la nube. OCLC participa en el Registro voluntario de Garantías, Confianza y Seguridad de la Alianza de Seguridad en la Nube para registrar el cumplimiento con los controles de privacidad y seguridad publicados por la Alianza.
Ley de Ciberseguridad de la UE: norma de ciberseguridad europea
La Ley de Ciberseguridad de la UE establece un marco de seguridad cibernética para productos y servicios digitales. El marco de seguridad cibernética define los controles de seguridad necesarios que las empresas deben seguir al hacer negocios en la UE.
OCLC se somete a una auditoría anual de acuerdo con ISO 27001, a fin de demostrar el cumplimiento con esta normativa.
AgID de Italia: Mercado aprobado de proveedores en la nube de Italia
La Agencia para la Italia Digital (AgID) coordina las políticas en el campo de la innovación y apoya activamente la difusión de tecnologías de información y comunicación en favor de la digitalización y modernización de la Administración Pública. Todas sus guías y acciones se desarrollan a nivel nacional y europeo bajo una perspectiva unitaria y consistente para unificar la infraestructura tecnológica y garantizar la seguridad y fiabilidad para fines de la preservación y administración de datos públicos, y proporcionar servicios de alta calidad integrados y compartidos.
Esquema Nacional de Seguridad (ENS) de España: norma de ciberseguridad de España
El sistema de acreditación del ENS ha sido desarrollado por el Ministerio de Finanzas y Administración Pública y el Centro Criptológico Nacional (CCN). Este sistema comprende los principios básicos y requisitos mínimos necesarios para la protección adecuada de la información.
Certificación registrada
Cyber Essentials del Reino Unido: norma de ciberseguridad del Reino Unido
Cyber Essentials consiste en un sistema respaldado por el gobierno del Reino Unido y diseñado para ayudar a las organizaciones a evaluar y mitigar los riesgos de amenazas comunes de ciberseguridad a sus sistemas de tecnologías de la información. El sistema de Cyber Essentials es una norma de ciberseguridad que identifica los controles de seguridad con los que una organización debe contar dentro de sus sistemas de TI. El sistema de Cyber Essentials es un requisito para todos los proveedores del gobierno del Reino Unido que manejen datos personales.
Lo anterior es evaluado periódicamente por terceros y/o auditores independientes, dando lugar a una certificación, informe de auditoría, o confirmación de cumplimiento (a menos que se indique lo contrario). Las alineaciones y los marcos de cumplimiento incluyen requisitos publicados para fines específicos.
Principios de seguridad estratégica
En OCLC, creemos que todos nuestros esfuerzos para mejorar la seguridad deben:
- Reflejar adecuadamente la naturaleza global, interconectada y sin fronteras de la coyuntura actual
- Basarse en la gestión de riesgos
- Involucrar a todos los empleados de OCLC
- Adaptarse rápidamente a las amenazas, tecnologías y modelos de negocios emergentes
- Enfocarse en los participantes que actúen de mala fe y sus amenazas
Conozca a los expertos en seguridad de la información de OCLC
Equipo de Servicios de seguridad global de OCLC
El equipo de Servicios de Seguridad Global de OCLC está compuesto por un director del Programa de gobernanza de la seguridad, gerente de Seguridad de la información, arquitectos de seguridad, ingenieros de la Seguridad de la información y analistas de Gobernanza y Cumplimiento de la seguridad. Además, OCLC ha designado un oficial de Protección de datos y estos profesionales se dedican a la seguridad y protección de datos personales e institucionales asociados con clientes de OCLC.
Los miembros del equipo de servicios de seguridad global poseen diversas certificaciones profesionales reconocidas por la industria, como, entre otras, las de Profesional Certificado en Sistemas de Seguridad de la Información (CISSP) de ISC2, Auditor Certificado de la Seguridad de la Información de ISACA, Profesional de la Privacidad Certificado de la IAPP. Nuestro órgano de gobernanza de datos le reporta a la dirección ejecutiva; además, nuestro equipo de Respuesta a incidentes está capacitado para responder ante incidentes y realizar análisis forense. Todos los miembros del personal de OCLC se someten a sesiones de capacitación anual y pruebas periódicas como parte de nuestro programa de sensibilización sobre seguridad.
Seguridad de la información en Europa, África, Asia y el Pacífico
Mira Golsteijn es la gerente de Seguridad de la información de OCLC en las regiones de Europa, Medio Oriente y África, y Asia Pacífico. Ella es experta en el tema de programas de seguridad en estas regiones y está totalmente comprometida con la seguridad y protección de datos personales e institucionales.
¿Tiene alguna pregunta?
Comuníquese con el equipo global de Seguridad de la información de OCLC y un miembro de nuestro equipo se pondrá en contacto con usted.