Informatiebeveiliging bij Fresenius Kabi

Bij Fresenius Kabi weten we dat informatiebeveiliging belangrijk is voor onze klanten, patiënten en zakenpartners. Wij zetten ons in voor het handhaven van informatiebeveiliging door middel van verantwoordelijk beheer, gepast gebruik en bescherming in overeenstemming met de wettelijke en reglementaire vereisten.

Organisatie van informatiebeveiliging

We hebben een schriftelijk cyberbeveiligingsbeleid gepubliceerd waarin de rollen en verantwoordelijkheden op het gebied van cyberbeveiliging binnen de organisatie zijn vastgelegd.
Ons beveiligingsteam richt zich op informatiebeveiliging, wereldwijde beveiligingsaudits en naleving, alsmede het definiëren van de beveiligingscontroles voor de bescherming van de hardware en infrastructuur van Fresenius Kabi. Het beveiligingsteam ontvangt regelmatig meldingen over de beveiliging van informatiesystemen en verspreidt routinematig informatie over beveiligingswaarschuwingen en -adviezen naar de organisatie.

Model voor informatiebeveiligingsvermogen

We have adopted an Information Security Capability Model based on the Critical Security Controls (CIS 18), that is complemented by other security measures based on industry best practices. This allows us to maintain a holistic approach to compliance with respect to security.  Also, periodic maturity assessments of our security capabilities are regularly conducted, and the results reported to the Fresenius Kabi management.

Beheer van beveiligingsnaleving

Wij ontwikkelen momenteel  een reeks regels die zijn afgestemd op de basisvereisten van de Fresenius Groep, een interne controlecatalogus voor de hele Fresenius Groep die in overeenstemming is met de beste praktijken in de sector.

Fresenius Kabi heeft een formeel intern auditprogramma ingevoerd om de naleving van ons interne beleid en de relevante wet- en regelgeving op het gebied van cyberbeveiliging te waarborgen.

Veilig gegevensbeheer

Wij hebben een proces ingesteld voor het classificeren van gegevens, om passende beveiligingsmaatregelen toe te passen ter bescherming van de gegevens van onze klanten, patiënten en zakenpartners.

Wij versleutelen gevoelige data in transit en data in rust waar dat mogelijk en praktisch is.

Beheer van toegangscontrole

We hebben vereisten voor toegangsbeheer opgesteld voor het toekennen, beheren en intrekken van gebruikerstoegang. Voor de toegang tot de informatiesystemen van Fresenius Kabi zijn rolgebaseerde toegangscontroles ingevoerd.

De toegangscontrole tot gevoelige gegevens in onze databanken, systemen en omgevingen is gebaseerd op het need-to-knowprincipe. Verder zijn de toegangsrechten die we verlenen beperkt tot het strikte minimum (‘least privilege’-principe).

Gebruikers van informatiesystemen krijgen unieke gebruikersaccounts en wachtwoorden, de wachtwoordvereisten worden gedefinieerd en gehandhaafd.

Wij beperken de beheerdersrechten tot speciale beheerdersaccounts.

Onze gebruikers beschikken over VPN-software (Virtual Private Network) voor veilige toegang op afstand tot de belangrijkste systemen via internet. Wij maken ook gebruik van multi-factor authenticatie voor netwerktoegang op afstand.

Beheer van kwetsbaarheden en patches

Wij streven ernaar om de nieuwste beveiligingspatches en -updates toe te passen op besturingssystemen, endpoints en netwerkinfrastructuur om de blootstelling aan kwetsbaarheden te beperken.

Er is een patchmanagementproces om beveiligingspatchupdates te implementeren wanneer die door leveranciers worden uitgebracht.

We voeren periodieke scans uit van extern blootgestelde en intern blootgestelde activa.

Penetratietesten

Als er kwetsbaarheden worden ontdekt tijdens tweejaarlijkse penetratietests door onze gekwalificeerde en onafhankelijke partner Cobalt Labs Inc., passen we processen toe om die kwetsbaarheden te beoordelen en te corrigeren.

Beheer van incidenten

We beschikken over een geformaliseerd incidentenbestrijdingsplan en bijbehorende procedures die in werking treden in geval van een beveiligingsincident. Het incidentenbestrijdingsplan omschrijft de verantwoordelijkheden van key medewerkers en identificeert processen en procedures voor kennisgeving en escalatie. Het incidentenbestrijdingspersoneel wordt opgeleid en de uitvoering van het incidentenbestrijdingsplan wordt periodiek getest. 

Wij volgen het “SANS Incident Response Process”, een industrieel standaardkader voor incident response, om beveiligingsincidenten te helpen voorbereiden, identificeren, voorkomen, detecteren en beantwoorden. Wij worden hierbij ondersteund door het Fresenius Cybersecurity Emergency Response Team (CERT).

Bescherming van eindpunten

Onze endpoints zijn uitgerust met een centraal beheerde antivirusoplossing om ervoor te zorgen dat de nieuwste virusdefinities altijd beschikbaar zijn op de endpoints en dat een consistent beveiligingsbeleid wordt afgedwongen.

Alle laptops zijn volledig gecodeerd en de sleutels worden beheerd met behulp van een beveiligingskluis.

We hebben automatische sessievergrendeling op bedrijfsmiddelen geconfigureerd na een bepaalde periode van inactiviteit.

Mobiele apparaten zijn onderworpen aan een beheersysteem voor mobiele apparaten en toegang is alleen toegestaan vanaf apparaten die zijn geconfigureerd in overeenstemming met ons beveiligingsbeleid. Dit veiligheidsbeleid vereist dat een code wordt ingevoerd om toegang te krijgen tot het apparaat en maakt het mogelijk het apparaat op afstand te wissen als het als verloren of gestolen wordt gemeld.

Network & e-mailbeveiliging

We filteren het verkeer tussen netwerksegmenten.

Alleen door Fresenius Kabi beheerde draadloze netwerken zijn toegestaan binnen onze omgeving. Beveiligingsmaatregelen voor draadloze toegang omvatten scheiding van bedrijfs- en gasttoegang en rotatie van draadloze sleutels.

We hebben een oplossing geïmplementeerd die regelmatig URL-filtersoftware bijwerkt die de toegang tot ongepaste websites vanaf het netwerk blokkeert.

Onze e-mailgateways fungeren als barrières die kwaadwillig verkeer filteren, phishing tegenhouden en alleen authentieke communicatie toelaten.

Registratie & Monitoring

Toepassings- en infrastructuurlogs worden opgeslagen voor probleemoplossing, beveiligingsbeoordelingen en analyse door bevoegd personeel. Logs worden bewaard in overeenstemming met de wettelijke vereisten.

Gecentraliseerde waarschuwingen voor beveiligingsgebeurtenissen in alle bedrijfsmiddelen voor logboekcorrelatie en -analyse worden geïmplementeerd. Een platform voor logboekanalyse dat is geconfigureerd met veiligheidsrelevante correlatie-waarschuwingen voldoet ook aan deze waarborg.

Opleiding en bewustmaking van werknemers

Medewerkers van Fresenius Kabi zijn verplicht om deel te nemen aan een cyberbewustzijnstraining. Voor dit doel bieden we verschillende formats om het onderwerp cyberbeveiliging te presenteren en eenvoudig te begrijpen. Onze slogan is "Cybersecurity is een teamsport" en met die ingesteldheid streven we er regelmatig naar onze medewerkers te inspireren met diverse bewustmakingscampagnes, met nieuwsartikelen en blogposts over het onderwerp beveiliging om een actief lid te worden in de verdedigingsstrategie van ons bedrijf.

Ter begeleiding van ons beveiligingsbewustzijnsprogramma krijgt iedereen met toegang tot onze IT-systemen elk kwartaal phishingsimulatietests. De driemaandelijkse campagnes ondersteunen het beveiligingsbewustzijn, omdat ze ieders kennis en waakzaamheid voor phishing-e-mails vergroten.

Fysieke veiligheid

In onze kantoren worden fysieke toegangscontroles uitgevoerd. De controles omvatten gebouwbeveiliging en beveiligde toegang tot de gebouwen van Fresenius Kabi. Een toegangsbadge is vereist om de Fresenius Kabi-kantoren en productiefaciliteiten te betreden. Er zijn procedures voor de toegangscontrole van bezoekers, waarbij alle bezoekers zich bij de receptie moeten (aan)melden.