Información de seguridad en Fresenius Kabi
En Fresenius Kabi, sabemos que la seguridad de la información es importante para nuestros clientes, pacientes y socios comerciales. Estamos comprometidos a mantener la seguridad de la información a través de la gestión responsable, el uso adecuado y la protección de acuerdo con los requisitos legales y reglamentarios.
Organización de la seguridad de la información
Publicamos una Política de seguridad cibernética por escrito que describe las funciones y responsabilidades de seguridad cibernética que se definen dentro de la organización.
Nuestro equipo de seguridad se centra en la seguridad de la información, la auditoría y el cumplimiento de la seguridad global, así como en la definición de los controles de seguridad para la protección del hardware y la infraestructura de Fresenius Kabi. El equipo de seguridad recibe notificaciones de seguridad del sistema de información de manera regular y distribuye alertas de seguridad e información de asesoramiento a la organización de forma rutinaria.
Modelo de capacidad de seguridad de información
Hemos adoptado un Modelo de Capacidad de Seguridad de la Información basado en los Controles Críticos de Seguridad (CIS 18), que se complementa con otras medidas de seguridad basadas en las mejores prácticas de la industria. Esto nos permite mantener un enfoque holístico del cumplimiento con respecto a la seguridad. Además, periódicamente se llevan a cabo evaluaciones periódicas de la madurez de nuestras capacidades de seguridad y los resultados se informan a la gerencia de Fresenius Kabi.
Gestión de cumplimiento de seguridad
Estamos en el proceso de desarrollar un conjunto de reglas que están alineadas con los requisitos básicos del Grupo Fresenius, un amplio catálogo de control interno del Grupo Fresenius alineado con las mejores prácticas de la industria.
Fresenius Kabi cuenta con un programa formal de auditoría interna implementado para garantizar el cumplimiento de nuestras políticas internas, leyes y reglamentos de seguridad cibernética relevantes.
Gestión segura de datos
Hemos establecido un proceso de clasificación de datos para aplicar las medidas de seguridad adecuadas para proteger los datos de nuestros clientes, pacientes y socios comerciales.
Ciframos datos confidenciales en tránsito y en reposo siempre que sea posible y práctico.
Gestión del control de acceso
Hemos establecido requisitos de administración de acceso para otorgar, administrar y revocar el acceso de los usuarios. Se implementan controles de acceso basados en funciones para acceder a los sistemas de información de Fresenius Kabi.
Los controles de acceso a datos confidenciales en nuestras bases de datos, sistemas y entornos se establecen según el principio de necesidad de saber. Además, otorgamos permisos de acceso solo según el principio de privilegio mínimo.
Los usuarios de los sistemas de información reciben cuentas de usuario y contraseñas únicas, los requisitos de contraseña están definidos y se aplican.
Restringimos los privilegios de administrador a cuentas de administrador dedicadas.
El software de red privada virtual (VPN) se proporciona a nuestros usuarios para permitir el acceso remoto seguro basado en Internet a los sistemas clave. También requerimos autenticación multifactor para el acceso remoto a la red.
Gestión de vulnerabilidades y parches
Nos esforzamos por aplicar los últimos parches de seguridad y actualizaciones a los sistemas operativos, puntos finales e infraestructura de red para mitigar la exposición a vulnerabilidades.
Existe un proceso de administración de parches para implementar actualizaciones de parches de seguridad a medida que los proveedores las publican.
Realizamos exploraciones periódicas de activos expuestos externamente e internamente.
Pruebas de penetración
Contamos con procesos establecidos para evaluar y corregir las vulnerabilidades descubiertas durante las pruebas de penetración bianuales realizadas por nuestro socio independiente y calificado, Cobalt Labs Inc.
Gestión de respuesta a incidentes
Tenemos un plan de respuesta a incidentes formalizado y procedimientos asociados que se activan en caso de un incidente de seguridad. El plan de respuesta a incidentes define las responsabilidades del personal clave e identifica procesos y procedimientos para notificación y escalamiento. El personal de respuesta a incidentes está capacitado y la ejecución del plan de respuesta a incidentes se prueba periódicamente.
Seguimos el proceso de respuesta a incidentes de SANS, un marco estándar de la industria para la respuesta a incidentes, para ayudar a preparar, identificar, prevenir, detectar y responder a incidentes de seguridad. Contamos con el apoyo del Equipo de Respuesta a Emergencias de Ciberseguridad (CERT) de Fresenius.
Registro y monitoreo
Los registros de los sistemas de aplicaciones e infraestructura se almacenan para la resolución de problemas, las revisiones de seguridad y el análisis por parte del personal autorizado. Los registros se conservan de acuerdo con los requisitos reglamentarios.
Se implementan alertas de eventos de seguridad centralizados en los activos de la empresa para la correlación y el análisis de registros. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta protección.
Formación y concienciación de los empleados
Los empleados de Fresenius Kabi deben participar en la capacitación de concientización sobre seguridad cibernética. Para ello, proporcionamos varios formatos para presentar el tema de la ciberseguridad y hacerlo sencillo de entender. Nuestro eslogan es "La ciberseguridad es un deporte de equipo" y con este espíritu nos esforzamos regularmente para inspirar a nuestros empleados con diversas campañas de concienciación, con artículos de noticias y publicaciones de blog sobre el tema de la seguridad para que se conviertan en un miembro activo en la estrategia de defensa de nuestra empresa.
Junto con nuestro programa de concientización sobre seguridad, todas las personas con acceso a nuestros sistemas de TI reciben trimestralmente pruebas de simulación de phishing. Las campañas trimestrales respaldan la concienciación sobre la seguridad, ya que aumentan el conocimiento y la vigilancia de todos sobre los correos electrónicos de phishing.
Seguridad física
En nuestras oficinas se implementan controles de acceso físico. Los controles incluyen la seguridad del edificio y el acceso seguro a las instalaciones de Fresenius Kabi. Se requiere acceso con tarjeta de proximidad para ingresar a las oficinas y plantas de producción de Fresenius Kabi. Hay procedimientos definidos para el control de acceso de visitantes, que requieren que todos los visitantes se presenten en recepción.