Compromiso de OCLC con servicios bibliotecarios seguros
Proteger sus datos mientras compartimos sus colecciones
OCLC comprende que la confidencialidad, la integridad y la disponibilidad de la información de nuestros miembros son vitales para sus operaciones de negocio y para su propio éxito. Para proteger la información clave, utilizamos un enfoque de varios niveles que consiste en la supervisión y la mejora constantes de nuestros sistemas, procesos y aplicaciones, a fin de satisfacer las exigencias y dificultades cada vez mayores que presentan las amenazas dinámicas a la seguridad. Como reconocimiento a nuestros esfuerzos de seguridad, OCLC ha cumplido con las normas de seguridad ISO 27001, ha recibido la certificación del esquema Cyber Essentials y el registro de CSA STAR.
Administración de riesgos empresariales y seguridad de la información
- Se ha implementado un Sistema de administración de seguridad de la información de conformidad con la norma ISO/IEC 27001:2013
- Personal profesional integrado por profesionales certificados en seguridad de la información y tecnología de la información, y un especialista en Recuperación de desastres de dedicación exclusiva a tiempo completo
Controles físicos y ambientales
- Seguridad con personal durante las 24 horas
- Acceso restringido a través de tarjetas de proximidad
- Equipo informático en áreas de acceso controlado
- Vigilancia con video en toda la instalación y el perímetro
- Control de humedad y temperatura
- Suelo elevado para facilitar la circulación continua de aire
- Alimentación eléctrica subterránea
- Sistemas de alimentación eléctrica ininterrumpida (UPS)
- Unidades de distribución de energía (PDU) redundantes
- Generadores diésel con almacenamiento de combustible diésel en el lugar
- Sensores de detección de humo e incendio en todos los centros de datos
- El Dublin Service Delivery Center (DSDC) está protegido con el sistema Halon y cuenta con reservas suficientes para varias descargas
- El Columbus Service Delivery Center (CSDC) está protegido con el sistema contra incendios DuPont FM-200
- Los centros de datos también están protegidos con sistemas de rociadores de tubería húmeda
- Hay extintores de incendio en buenas condiciones en todas las instalaciones de DSDC y CSDC
Controles de acceso lógico
- Identificación de usuario y administración de accesos
- Conexiones a los datos de usuario por medio de TLS 1.1 y 1.2, utilizando certificados ascendentes globales emitidos por Thawte, que garantizan que nuestros usuarios tengan una conexión segura desde sus navegadores a nuestro servicio
- Se identifican sesiones de usuario individuales que se vuelven a verificar con cada transacción utilizando aserciones de seguridad con cifrado XML a través de SAML 2.0
- En función de los servicios específicos que se utilizan
Controles de seguridad operativa
- Conexión a Internet a través de distintos enlaces enrutados redundantes de varios proveedores de servicio de Internet abastecidos desde múltiples puntos de presencia de proveedores de telecomunicaciones
- Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los protocolos no utilizados
- Servidores de seguridad internos que segregan el tráfico entre la aplicación y los niveles de base de datos
- Equilibradores de carga que proporcionan servidores proxy para tráfico interno
- OCLC utiliza distintos métodos para evitar, detectar y erradicar malware
- También se llevan a cabo periódicamente evaluaciones de seguridad independientes por parte de terceros
- Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos
- Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de cinta seguro
- Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando se vuelven obsoletas
- El personal de Seguridad de la información de OCLC supervisa las notificaciones de distintas fuentes y las alertas del sistema interno para identificar y controlar amenazas
Desarrollo y mantenimiento de sistemas
- OCLC prueba la vulnerabilidad de la seguridad de todos los códigos antes de emitirlos y escanea con regularidad nuestra red y los sistemas para detectar vulnerabilidades
- Evaluaciones de vulnerabilidad de red
- Pruebas de penetración seleccionadas y revisión de códigos
- Revisión y prueba de marco de control de seguridad
Continuidad del negocio y recuperación de desastres
- El servicio de OCLC realiza una réplica del disco en tiempo real en cada centro de datos y una réplica de datos casi en tiempo real entre el centro de producción de datos y el sitio de recuperación de desastres
- Los datos confidenciales se transmiten a través de enlaces dedicados
- Las pruebas de recuperación de desastres verifican nuestros tiempos de recuperación proyectados y la integridad de los datos del cliente
Respuesta, notificación y corrección de incidentes
- Proceso de administración de incidentes para eventos de seguridad que pueden afectar a la confidencialidad, integridad o disponibilidad de los sistemas o datos
- El Equipo de seguridad de la información está capacitado en pericias forenses y tratamiento de pruebas en preparación para un evento, incluido el uso de herramientas de terceros y de propiedad exclusiva
Cumplimiento
- Los terceros pueden obtener información solamente a través de procesos legales como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante una exención jurídica o el consentimiento del usuario
- OCLC mantiene una declaración de privacidad sólida que ayuda a proteger los datos de usuarios y clientes.
Los servicios de OCLC cumplen o superan las recomendaciones del Gartner Group 1 (Tabla 1.) y la “Guía para la seguridad en áreas críticas de atención en Cloud Computing” (Security Guidance for Critical Areas of Focus in Cloud Computing) de Cloud Security Alliance.
Tabla 1. Gartner: Siete riesgos de seguridad en Cloud-Computing (Seven Cloud-Computing Security Risks)
| Recomendaciones de Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Control de acceso de usuarios con privilegios | X | X | X |
| Cumplimiento normativo | X | X | X |
| Ubicación de datos | X | X | X (no divulgación) |
| Segregación de datos | X | X | X |
| Recuperación | X | X | X |
| Apoyo en investigaciones | X | X | X |
| Viabilidad a largo plazo | X | X | X |
1 Jay Heiser y Mark Nicolett. “Assessing the Security Risks of Cloud Computing” (Evaluación de los riesgos de seguridad de Cloud Computing). Gartner Group. 3 de junio de 2008