Seguridad de la información en Fresenius Kabi

En Fresenius Kabi, sabemos que la seguridad de la información es importante para nuestros clientes, pacientes y socios comerciales. Estamos comprometidos a mantener la seguridad de la información mediante una gestión responsable, un uso adecuado y una protección de acuerdo con los requisitos legales y reglamentarios.

Organización de la seguridad de la información.

Publicamos una Política de ciberseguridad escrita que describe las funciones y responsabilidades de ciberseguridad definidas dentro de la organización.

Nuestro equipo de seguridad se enfoca en seguridad de la información, auditoría de seguridad global y cumplimiento, además de definir los controles de seguridad para la protección del hardware y la infraestructura de Fresenius Kabi. El equipo de seguridad recibe notificaciones de seguridad del sistema de información de forma regular y distribuye alertas de seguridad e información de asesoramiento a la organización de forma rutinaria.

Modelo de capacidad de seguridad de la información

Hemos adoptado un Modelo de Capacidad de Seguridad de la Información basado en los Controles Críticos de Seguridad (CIS 18), que se complementa con otras medidas de seguridad basadas en las mejores prácticas de la industria. Esto nos permite mantener un enfoque holístico del cumplimiento con respecto a la seguridad. Además, se realizan periódicamente evaluaciones de madurez de nuestras capacidades de seguridad y los resultados se informan a la dirección de Fresenius Kabi.

Gestión de cumplimiento de seguridad

Estamos en el proceso de desarrollar un conjunto de reglas que estén alineadas con los requisitos básicos del Grupo Fresenius, un catálogo de control interno para todo el Grupo Fresenius alineado con las mejores prácticas de la industria.

Fresenius Kabi cuenta con un programa formal de auditoría interna implementado para garantizar el cumplimiento de nuestras políticas internas y las leyes y regulaciones de ciberseguridad relevantes.

Gestión segura de datos

Hemos establecido un proceso de clasificación de datos para aplicar medidas de seguridad adecuadas para proteger los datos de nuestros clientes, pacientes y socios comerciales.

Ciframos datos confidenciales en tránsito y en reposo cuando es posible y práctico.

Control de acceso

Hemos establecido requisitos de gestión de acceso para otorgar, gestionar y revocar el acceso de los usuarios. Se implementan controles de acceso basados ​​en roles para el acceso a los sistemas de información de Fresenius Kabi.

Los controles de acceso a datos confidenciales en nuestras bases de datos, sistemas y entornos se establecen según el principio de necesidad de saber. Además, otorgamos permisos de acceso solo según el principio de privilegio mínimo.

Los usuarios de sistemas de información reciben cuentas de usuario y contraseñas únicas, los requisitos de contraseña se definen y se aplican.

Restringimos los privilegios de administrador a cuentas de administrador dedicadas.

Nuestros usuarios reciben software de red privada virtual (VPN) para permitir un acceso remoto seguro basado en Internet a sistemas clave. También requerimos autenticación multifactor para el acceso remoto a la red.Vulnerability and Patch Management

Nos esforzamos por aplicar los últimos parches y actualizaciones de seguridad a los sistemas operativos, puntos finales e infraestructura de red para mitigar la exposición a vulnerabilidades.

Existe un proceso de gestión de parches para implementar actualizaciones de parches de seguridad a medida que los proveedores las lanzan.

Realizamos escaneos periódicos de activos expuestos externamente e internamente.

Penetration Testing

Contamos con procesos establecidos para evaluar y corregir las vulnerabilidades descubiertas durante las pruebas de penetración bianuales realizadas por nuestro socio de pentesting calificado e independiente, Cobalt Labs Inc.

Gestión de respuesta a incidentes

Contamos con un plan de respuesta a incidentes formalizado y procedimientos asociados que se activan en caso de un incidente de seguridad. El plan de respuesta a incidentes define las responsabilidades del personal clave e identifica procesos y procedimientos de notificación y escalamiento. El personal de respuesta a incidentes está capacitado y la ejecución del plan de respuesta a incidentes se prueba periódicamente.

Seguimos el proceso de respuesta a incidentes SANS, un marco estándar de la industria para la respuesta a incidentes, para ayudar a preparar, identificar, prevenir, detectar y responder a incidentes de seguridad. En esto contamos con el apoyo del Equipo de Respuesta a Emergencias de Ciberseguridad(CERT).

Proteccion de ultimos puntos o terminales. 

Nuestros puntos finales están equipados con una solución antivirus administrada centralmente para garantizar que las últimas definiciones de virus estén siempre disponibles en los puntos finales y que se apliquen políticas de seguridad consistentes en todos los puntos finales.

Todas las computadoras portátiles tienen un disco cifrado completo y las claves se administran mediante una bóveda de seguridad.

Hemos configurado el bloqueo automático de sesiones en los activos empresariales después de un período definido de inactividad.

Los dispositivos móviles están sujetos a un sistema de administración de dispositivos móviles y solo se permite el acceso desde dispositivos configurados de acuerdo con nuestra política de seguridad. Esta política de seguridad requiere que se ingrese un código para acceder al dispositivo y permite el borrado remoto si se reporta su pérdida o robo.

Seguridad de red y correo electrónico

Realizamos filtrado de tráfico entre segmentos de red.

En nuestro entorno solo se permiten redes inalámbricas administradas por Fresenius Kabi. Los controles de seguridad del acceso inalámbrico incluyen la segregación del acceso corporativo y de invitados y la rotación de claves inalámbricas.

Hemos implementado una solución que actualiza periódicamente el software de filtrado de URL que bloquea el acceso a sitios web inapropiados desde su red.

Nuestras puertas de enlace de correo electrónico actúan como barreras que filtran el tráfico malicioso, detienen el phishing y solo permiten comunicaciones auténticas.

Registro y monitoreo

Los registros de los sistemas de infraestructura y aplicaciones se almacenan para la resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado. Los registros se conservan de acuerdo con los requisitos reglamentarios.

Se implementan alertas de eventos de seguridad centralizadas en todos los activos empresariales para la correlación y el análisis de registros. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta protección.

Capacitación y sensibilización de los empleados

Fresenius Kabi employees are required to participate in cybersecurity awareness training. For this purpose, we provide various formats to present the topic of cybersecurity and make it simple to understand. Our slogan is "Cybersecurity is a team sport" and in this spirit we regularly strive to inspire our employees with various awareness campaigns, with news articles and blog posts on the topic of security to become an active member in the defense strategy of our company.

Accompanying our security awareness program, every person with access to our IT systems is provided quarterly with phishing simulation tests. The quarterly campaigns support security awareness as they increase everyone’s knowledge and vigilance of phishing emails.

Seguridad física

En nuestras oficinas se implementan controles de acceso físico. Los controles incluyen la seguridad del edificio y el acceso seguro a las instalaciones de Fresenius Kabi. Se requiere acceso con tarjeta de proximidad para ingresar a las oficinas y plantas de producción de Fresenius Kabi. Existen procedimientos definidos para el control de acceso de visitantes, que exigen que todos los visitantes se presenten en recepción.