Protección de la información en Fresenius Kabi

En Fresenius Kabi, sabemos que la seguridad de la información es importante para nuestros clientes, pacientes y socios comerciales. Estamos comprometidos a mantener la seguridad de la información mediante una gestión responsable, el uso adecuado y la protección de acuerdo con los requisitos legales y regulatorios.

Organización de la Seguridad de la Información

Hemos publicado una Política de Ciberseguridad por escrito que define los roles y responsabilidades en ciberseguridad dentro de la organización.

Nuestro equipo de seguridad se enfoca en la seguridad de la información, auditorías globales de seguridad y cumplimiento, así como en la definición de los controles de seguridad para proteger el hardware y la infraestructura de Fresenius Kabi. El equipo de seguridad recibe notificaciones de seguridad del sistema de información regularmente y distribuye información de alertas y avisos de seguridad a la organización de manera rutinaria.

Modelo de Capacidad en Seguridad de la Información

Hemos adoptado un Modelo de Capacidad en Seguridad de la Información basado en los Controles Críticos de Seguridad (CIS 18), complementado por otras medidas de seguridad basadas en las mejores prácticas de la industria. Esto nos permite mantener un enfoque holístico hacia el cumplimiento en cuanto a seguridad. Además, se realizan evaluaciones periódicas de la madurez de nuestras capacidades de seguridad, y los resultados se reportan a la gestión de Fresenius Kabi.

Gestión del cumplimiento de seguridad

Estamos en el proceso de desarrollar un conjunto de reglas alineadas con los requisitos básicos del Grupo Fresenius, un catálogo interno de controles del Grupo Fresenius en alineación con las mejores prácticas de la industria.

Fresenius Kabi cuenta con un programa formal de auditoría interna implementado para asegurar el cumplimiento de nuestras políticas internas, leyes y regulaciones de ciberseguridad relevantes.

Gestión segura de datos

Hemos establecido un proceso para clasificar los datos y aplicar medidas de seguridad adecuadas para proteger los datos de nuestros clientes, pacientes y socios comerciales.

Encriptamos los datos sensibles en tránsito y en reposo siempre que sea posible y práctico.

Gestión de control de accesos

Hemos establecido requisitos de gestión de accesos para otorgar, gestionar y revocar el acceso de los usuarios. Se implementan controles de acceso basados en roles para el acceso a los sistemas de información de Fresenius Kabi.

Los controles de acceso a datos sensibles en nuestras bases de datos, sistemas y entornos se basan en el principio de necesidad de saber. Además, otorgamos permisos de acceso solo bajo el principio de menor privilegio.

A los usuarios de los sistemas de información se les proporcionan cuentas y contraseñas únicas, y los requisitos de contraseña están definidos y aplicados.

Restringimos los privilegios de administrador a cuentas de administrador dedicadas.

Se VPNs a nuestros usuarios para permitir el acceso remoto seguro a los sistemas clave. También requerimos autenticación multifactor para el acceso remoto a la red.

Gestión de vulnerabilidades y parcheo

Nos esforzamos por aplicar los últimos parches de seguridad y actualizaciones a sistemas operativos, endpoints e infraestructura de red para mitigar la exposición a vulnerabilidades.

Contamos con un proceso de gestión de parches para implementar actualizaciones de seguridad a medida que los proveedores las publican.

Pruebas de penetración

Tenemos procesos establecidos para evaluar y corregir vulnerabilidades descubiertas durante las pruebas de penetración semestrales realizadas por nuestro socio independiente en pruebas de penetración, Cobalt Labs Inc.

Gestión de respuesta a incidentes

Contamos con un plan formal de respuesta a incidentes y procedimientos asociados que se activan en caso de un incidente de seguridad. El plan de respuesta a incidentes define las responsabilidades del personal clave e identifica los procesos y procedimientos para notificación y escalamiento. El personal de respuesta a incidentes está capacitado y la ejecución del plan de respuesta a incidentes se prueba periódicamente.

Seguimos el Proceso de Respuesta a Incidentes de SANS, un marco estándar de la industria para la respuesta a incidentes, para ayudar a prepararnos, identificar, prevenir, detectar y responder a incidentes de seguridad. Contamos con el apoyo del Equipo de Respuesta a Emergencias en Ciberseguridad de Fresenius (CERT).

Protección de endpoints

Nuestros endpoints están equipados con una solución antivirus gestionada centralmente para asegurar que las últimas definiciones de virus estén siempre disponibles en los endpoints y que se apliquen políticas de seguridad consistentes en todos los endpoints.

Todos los portátiles están cifrados con el disco completo con las claves gestionadas utilizando un bóveda de seguridad.

Hemos configurado el bloqueo automático de sesiones en los activos empresariales después de un período definido de inactividad.

Los dispositivos móviles están sujetos a un sistema de gestión de dispositivos móviles y el acceso solo está permitido desde dispositivos configurados de acuerdo con nuestra política de seguridad. Esta política de seguridad requiere ingresar un código para acceder al dispositivo y permite la borrado remoto si se informa que el dispositivo está perdido o robado.

Seguridad de red y correo electrónico

Realizamos filtrado de tráfico entre segmentos de red.

Solo se permiten redes inalámbricas gestionadas por Fresenius Kabi dentro de nuestro entorno. Los controles de seguridad del acceso inalámbrico incluyen la segregación de acceso corporativo y de invitados y la rotación de claves inalámbricas.

Hemos implementado una solución que actualiza regularmente el software de filtrado de URL que bloquea el acceso a sitios web inapropiados desde nuestra red.

Nuestros gateways de correo electrónico actúan como barreras que filtran tráfico malicioso y detienen el phishing y permiten solo comunicaciones auténticas.

Registro y monitoreo

Los registros de sistemas de aplicaciones e infraestructura se almacenan para solución de problemas, revisiones de seguridad y análisis por personal autorizado. Los registros se conservan de acuerdo con los requisitos regulatorios.

Se implementa una alerta de eventos de seguridad centralizada en los activos empresariales para la correlación y análisis de registros. También se configura una plataforma de análisis de registros con alertas de correlación relevantes para la seguridad.

Capacitación

Los empleados de Fresenius Kabi deben participar en capacitación sobre conciencia de ciberseguridad. Para ello, proporcionamos diversos formatos para presentar el tema de la ciberseguridad y hacerlo sencillo de entender. Nuestro lema es "La ciberseguridad es un deporte en equipo" y, en ese espíritu, nos esforzamos regularmente por inspirar a nuestros empleados con diversas campañas de concienciación, artículos de noticias y publicaciones en blogs sobre el tema de la seguridad para convertirnos en miembros activos de la estrategia de defensa de nuestra empresa.

Acompañando nuestro programa de conciencia de seguridad, a cada persona con acceso a nuestros sistemas informáticos se le proporcionan pruebas de simulación de phishing trimestralmente. Las campañas trimestrales apoyan la conciencia de seguridad al aumentar el conocimiento y la vigilancia de los correos electrónicos de phishing.

Seguridad física

Se implementan controles de acceso en nuestras oficinas. Los controles incluyen seguridad del edificio y acceso asegurado a las instalaciones de Fresenius Kabi. Se requiere el uso de tarjetas de proximidad para ingresar a las oficinas y plantas de producción de Fresenius Kabi.