Seguridad de la información en Fresenius Kabi

En Fresenius Kabi, sabemos que la seguridad de la información es importante para nuestros clientes, pacientes y socios comerciales. Nos comprometemos a mantener la seguridad de la información mediante una gestión responsable, un uso adecuado y una protección de acuerdo con los requisitos legales y reglamentarios.

 

Organización de la seguridad de la información

Publicamos una Política de Ciberseguridad escrita que describe los roles y responsabilidades en materia de ciberseguridad que están definidos dentro de la organización.

Nuestro equipo de seguridad se centra en la seguridad de la información, la auditoría y el cumplimiento de la seguridad global, así como en la definición de los controles de seguridad para la protección del hardware y la infraestructura de Fresenius Kabi. El equipo de seguridad recibe notificaciones de seguridad del sistema de información de forma regular y distribuye alertas de seguridad e información de asesoramiento a la organización de forma habitual.

Modelo de capacidad de seguridad de la información

Hemos adoptado un Modelo de Capacidad de Seguridad de la Información basado en los Controles Críticos de Seguridad (CIS 18), que se complementa con otras medidas de seguridad basadas en las mejores prácticas de la industria. Esto nos permite mantener un enfoque holístico del cumplimiento en materia de seguridad. Además, se realizan evaluaciones periódicas de madurez de nuestras capacidades de seguridad y se informan los resultados a la gerencia de Fresenius Kabi..

Gestión del cumplimiento de la seguridad

Estamos en el proceso de desarrollar un conjunto de reglas que estén alineadas con los requisitos básicos del Grupo Fresenius, un catálogo de control interno para todo el Grupo Fresenius en alineación con las mejores prácticas de la industria.

Fresenius Kabi tiene un programa de auditoría interna formal implementado para garantizar el cumplimiento de nuestras políticas internas y las leyes y regulaciones de ciberseguridad pertinentes. 

Gestión segura de datos

Hemos establecido un proceso de clasificación de datos para aplicar medidas de seguridad adecuadas para proteger los datos de nuestros clientes, pacientes y socios comerciales.

Ciframos datos confidenciales en tránsito y en reposo siempre que sea posible y práctico.

Gestión de control de acceso

Hemos establecido requisitos de gestión de acceso para otorgar, administrar y revocar el acceso de los usuarios. Se han implementado controles de acceso basados ​​en roles para acceder a los sistemas de información de Fresenius Kabi.

Los controles de acceso a datos confidenciales en nuestras bases de datos, sistemas y entornos se establecen según el principio de necesidad de conocer. Además, otorgamos permisos de acceso únicamente según el principio del mínimo privilegio. 

A los usuarios de los sistemas de información se les asignan cuentas de usuario y contraseñas únicas, y los requisitos de las contraseñas están definidos y se aplican.

Restringimos los privilegios de administrador a cuentas de administrador dedicadas.

Se proporciona a nuestros usuarios un software de red privada virtual (VPN) para permitir un acceso remoto seguro a través de Internet a sistemas clave. También exigimos autenticación multifactor para el acceso remoto a la red.

Gestión de vulnerabilidades y parches

Nos esforzamos por aplicar los últimos parches y actualizaciones de seguridad a los sistemas operativos, puntos finales e infraestructura de red para mitigar la exposición a vulnerabilidades.

Existe un proceso de gestión de parches para implementar actualizaciones de parches de seguridad a medida que los proveedores las publican.

Realizamos escaneos periódicos de activos expuestos externamente e internamente.

Pruebas de penetración

Contamos con procesos establecidos para evaluar y corregir vulnerabilidades descubiertas durante las pruebas de penetración semestrales realizadas por nuestro socio de pentesting independiente y calificado, Cobalt Labs Inc.

Gestión de respuesta a incidentes

Contamos con un plan de respuesta a incidentes formalizado y procedimientos asociados que se activan en caso de un incidente de seguridad. El plan de respuesta a incidentes define las responsabilidades del personal clave e identifica los procesos y procedimientos para la notificación y la escalada. El personal de respuesta a incidentes recibe capacitación y la ejecución del plan de respuesta a incidentes se prueba periódicamente.  

Seguimos el proceso de respuesta a incidentes SANS, un marco estándar de la industria para la respuesta a incidentes, para ayudar a preparar, identificar, prevenir, detectar y responder a incidentes de seguridad. Contamos con el apoyo del equipo de respuesta a emergencias de ciberseguridad de Fresenius (CERT). 

Protección de puntos finales

Nuestros puntos finales están equipados con una solución antivirus administrada de forma centralizada para garantizar que las últimas definiciones de virus estén siempre disponibles en los puntos finales y que se apliquen políticas de seguridad consistentes en todos ellos. 

Todas las computadoras portátiles tienen el disco completo encriptado y las claves se administran mediante una bóveda de seguridad.

Hemos configurado el bloqueo automático de sesiones en los activos empresariales después de un período definido de inactividad.

Los dispositivos móviles están sujetos a un sistema de gestión de dispositivos móviles y solo se permite el acceso desde dispositivos configurados de acuerdo con nuestra política de seguridad. Esta política de seguridad requiere que se ingrese un código para acceder al dispositivo y permite el borrado remoto si se informa de su pérdida o robo.

Seguridad de la red y del correo electrónico

Realizamos filtrado de tráfico entre segmentos de red.

En nuestro entorno solo se permiten redes inalámbricas administradas por Fresenius Kabi. Los controles de seguridad de acceso inalámbrico incluyen la segregación del acceso corporativo y de invitados y la rotación de claves inalámbricas.

Hemos implementado una solución que actualiza periódicamente el software de filtrado de URL que bloquea el acceso a sitios web inapropiados desde su red.

Nuestras pasarelas de correo electrónico actúan como barreras que filtran el tráfico malicioso, detienen el phishing y permiten únicamente comunicaciones auténticas.

Registro y monitoreo

Los registros de los sistemas de aplicaciones e infraestructura se almacenan para la resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado. Los registros se conservan de acuerdo con los requisitos normativos.

Se implementa una alerta centralizada de eventos de seguridad en todos los activos de la empresa para la correlación y el análisis de registros. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta protección.

Capacitación y concientización de empleados

Los empleados de Fresenius Kabi deben participar en cursos de concienciación sobre ciberseguridad. Para ello, ofrecemos diversos formatos para presentar el tema de la ciberseguridad y hacerlo fácil de entender. Nuestro lema es "La ciberseguridad es un deporte de equipo" y, con este espíritu, nos esforzamos regularmente por inspirar a nuestros empleados con diversas campañas de concienciación, artículos de noticias y publicaciones de blog sobre el tema de la seguridad para que se conviertan en miembros activos de la estrategia de defensa de nuestra empresa.

Como complemento a nuestro programa de concienciación sobre seguridad, cada persona con acceso a nuestros sistemas informáticos recibe pruebas de simulación de phishing trimestralmente. Las campañas trimestrales fomentan la concienciación sobre seguridad, ya que aumentan el conocimiento y la vigilancia de todos respecto de los correos electrónicos de phishing.

Seguridad física

En nuestras oficinas se han implementado controles de acceso físico. Los controles incluyen la seguridad del edificio y el acceso seguro a las instalaciones de Fresenius Kabi. Se requiere acceso con tarjeta de proximidad para ingresar a las oficinas y plantas de producción de Fresenius Kabi. Existen procedimientos definidos para el control de acceso de visitantes, que requieren que todos los visitantes se presenten en la recepción.