Sicurezza delle informazioni presso Fresenius Kabi

In Fresenius Kabi sappiamo che la sicurezza delle informazioni è importante per i nostri clienti, pazienti e partner commerciali. Ci impegniamo a mantenere la sicurezza delle informazioni attraverso una gestione responsabile, un uso appropriato e una protezione conforme ai requisiti legali e normativi.

 

Organizzazione della sicurezza informatica

Abbiamo pubblicato una politica di cybersecurity che delinea i ruoli e le responsabilità in materia di cybersecurity definiti all'interno dell'organizzazione.

Il nostro team di sicurezza si occupa della sicurezza delle informazioni, dell'audit globale della sicurezza e della compliance, nonché della definizione dei controlli di sicurezza per la protezione dell'hardware e dell'infrastruttura di Fresenius Kabi. Il team di sicurezza riceve regolarmente le notifiche relative alla sicurezza dei sistemi informativi e distribuisce regolarmente all'organizzazione avvisi e consulenze sulla sicurezza.

Modello di capacità di sicurezza delle informazioni

Abbiamo adottato un Modello di Capacità di Sicurezza delle Informazioni basato sui Controlli Critici di Sicurezza (CIS 18), integrato da altre misure di sicurezza basate sulle migliori pratiche del settore. Questo ci permette di mantenere un approccio olistico alla conformità in materia di sicurezza.  Inoltre, vengono regolarmente condotte valutazioni della maturità delle nostre capacità di sicurezza e i risultati vengono comunicati al management di Fresenius Kabi.

Gestione della compliance alla sicurezza

Stiamo sviluppando una serie di regole allineate ai requisiti di base del Gruppo Fresenius, un catalogo di controllo interno a livello di Gruppo Fresenius in linea con le best practice del settore.

Fresenius Kabi ha un programma formale di audit interno implementato per garantire la conformità alle politiche interne, alle leggi e alle normative sulla cybersecurity. 

Gestione sicura dei dati

Abbiamo stabilito un processo di classificazione dei dati per applicare misure di sicurezza adeguate a proteggere i dati dei nostri clienti, pazienti e partner commerciali.

I dati sensibili in transito e a riposo sono criptati, ove possibile e praticabile.

Gestione del controllo degli accessi

Abbiamo stabilito i requisiti di gestione degli accessi per concedere, gestire e revocare l'accesso agli utenti. Per l'accesso ai sistemi informativi di Fresenius Kabi sono stati implementati controlli di accesso basati sui ruoli.

I controlli di accesso ai dati sensibili nei nostri database, sistemi e ambienti sono impostati sul principio della necessità di sapere. Inoltre, concediamo i permessi di accesso solo in base al principio del minimo privilegio.

Agli utenti dei sistemi informativi vengono assegnati account utente e password unici, i requisiti per le password sono definiti e applicati.

Limitiamo i privilegi di amministratore agli account di amministratore dedicati.

Ai nostri utenti viene fornito un software di rete privata virtuale (VPN) per consentire un accesso internet remoto sicuro ai sistemi principali. Richiediamo inoltre l'autenticazione a più fattori per l'accesso remoto alla rete.

Gestione delle vulnerabilità e delle patch

Ci impegniamo ad applicare le patch e gli aggiornamenti di sicurezza più recenti ai sistemi operativi, agli endpoint e all'infrastruttura di rete per ridurre l'esposizione alle vulnerabilità.

È in atto un processo di gestione delle patch per implementare gli aggiornamenti delle patch di sicurezza quando vengono rilasciati dai fornitori.

Eseguiamo scansioni periodiche delle risorse esposte all'esterno e di quelle interne.

Test di penetrazione

Abbiamo stabilito dei processi per valutare e correggere le vulnerabilità scoperte durante i test di penetrazione biennali effettuati dal nostro partner qualificato e indipendente Cobalt Labs Inc.

Gestione della risposta agli incidenti

Disponiamo di un piano di risposta agli incidenti formalizzato e di procedure associate che vengono attivate in caso di incidente di sicurezza. Il piano di risposta agli incidenti definisce le responsabilità del personale chiave e identifica i processi e le procedure di notifica e di escalation. Il personale addetto alla risposta agli incidenti viene addestrato e l'esecuzione del piano di risposta agli incidenti viene verificata periodicamente. 

Seguiamo il SANS Incident Response Process, un framework standard del settore per la risposta agli incidenti, per aiutare a preparare, identificare, prevenire, rilevare e rispondere agli incidenti di sicurezza. In questo siamo supportati dal Cybersecurity Emergency Response Team (CERT) di Fresenius.

Protezione degli endpoint

I nostri endpoint sono dotati di una soluzione antivirus gestita centralmente per garantire che le definizioni dei virus più recenti siano sempre disponibili sugli endpoint e che vengano applicati criteri di sicurezza coerenti su tutti gli endpoint.

Tutti i computer portatili sono dotati di crittografia completa del disco, con le chiavi gestite tramite un archivio di sicurezza.

Abbiamo configurato il blocco automatico della sessione sui dispositivi aziendali dopo un periodo definito di inattività.

I dispositivi mobili sono soggetti a un sistema di gestione dei dispositivi mobili e l'accesso è consentito solo da dispositivi configurati in conformità alla nostra policy di sicurezza. Questa policy di sicurezza richiede l'inserimento di un codice per accedere al dispositivo e consente la cancellazione a distanza in caso di smarrimento o furto.

Sicurezza della rete e della posta elettronica

Eseguiamo il filtraggio del traffico tra i segmenti di rete.

All'interno del nostro ambiente sono consentite solo reti wireless gestite da Fresenius Kabi. I controlli di sicurezza dell'accesso wireless includono la segregazione degli accessi degli ospiti e quelli interni e la rotazione delle chiavi wireless.

Abbiamo implementato una soluzione che aggiorna regolarmente il software di filtraggio degli URL che blocca l'accesso dalla rete a siti web inappropriati.

I nostri gateway di posta elettronica agiscono come barriere che filtrano il traffico dannoso, bloccano il phishing e consentono solo comunicazioni autentiche.

Log e monitoraggio

I log delle applicazioni e dei sistemi infrastrutturali vengono archiviati per la risoluzione dei problemi, le revisioni di sicurezza e l'analisi da parte del personale autorizzato. I registri vengono conservati in conformità ai requisiti normativi.

È stata implementata la segnalazione centralizzata degli eventi di sicurezza tra gli asset aziendali per la correlazione e l'analisi dei registri. Una piattaforma di analisi dei log configurata con avvisi di correlazione rilevanti per la sicurezza soddisfa anche questa misura di sicurezza.

Formazione e sensibilizzazione dei dipendenti

I dipendenti di Fresenius Kabi sono tenuti a partecipare a corsi di formazione sulla cybersecurity. A tal fine, forniamo corsi in diversi format per presentare il tema della cybersecurity e renderlo semplice da capire. Il nostro slogan è "La cybersecurity è uno sport di squadra" e in questo spirito ci impegniamo regolarmente a ispirare i nostri dipendenti con varie campagne di sensibilizzazione, con articoli di cronaca e blog post sul tema della sicurezza, affinché diventino parte attiva nella strategia di difesa della nostra azienda.

Oltre al nostro programma di sensibilizzazione alla sicurezza, ogni persona che ha accesso ai nostri sistemi informatici riceve trimestralmente dei test di simulazione di phishing. Le campagne trimestrali supportano la consapevolezza della sicurezza, in quanto aumentano la conoscenza e la vigilanza di tutti sulle e-mail di phishing.

Sicurezza fisica

Presso i nostri uffici vengono attuati controlli fisici degli accessi. I controlli includono la sicurezza dell'edificio e l'accesso protetto ai locali di Fresenius Kabi. Per accedere agli uffici e agli impianti di produzione di Fresenius Kabi è necessario un accesso con tessera di prossimità. Esistono procedure definite per il controllo dell'accesso dei visitatori, a cui è richiesto di presentarsi alla reception.