Seguridad informática en Fresenius Kabi

En Fresenius Kabi, sabemos que la seguridad de la información es importante para nuestros clientes, pacientes y socios comerciales. Nos comprometemos a mantener la seguridad de la información mediante una gestión responsable, un uso adecuado y una protección conforme a los requisitos legales y normativos.

 

Organización de la seguridad informática

Publicamos una Política de Ciberseguridad por escrito que describe las funciones y responsabilidades de ciberseguridad que se definen dentro de la organización.

Nuestro equipo de seguridad se centra en la seguridad de la información, la auditoría de seguridad global y el cumplimiento, así como en la definición de los controles de seguridad para la protección del hardware y la infraestructura de Fresenius Kabi. El equipo de seguridad recibe notificaciones de seguridad del sistema de información de forma regular y distribuye información de alerta y asesoramiento de seguridad a la organización de forma rutinaria.

Modelo de capacidades de seguridad de la información

Hemos adoptado un Modelo de Capacidad de Seguridad de la Información basado en los Controles Críticos de Seguridad (CIS 18), que se complementa con otras medidas de seguridad basadas en las mejores prácticas del sector. Esto nos permite mantener un enfoque holístico del cumplimiento en materia de seguridad.  Además, se realizan evaluaciones periódicas de la madurez de nuestras capacidades de seguridad, y los resultados se comunican a la dirección de Fresenius Kabi.

Gestión del cumplimiento de la seguridad

Estamos en el proceso de desarrollar un conjunto de normas que estén alineadas con los requisitos básicos del Grupo Fresenius, un catálogo de control interno de todo el Grupo Fresenius alineado con las mejores prácticas de la industria.

Fresenius Kabi tiene un programa formal de auditoría interna implementado para asegurar el cumplimiento de nuestras políticas internas, leyes y regulaciones relevantes de ciberseguridad. 

Gestión segura de datos

Hemos establecido un proceso de clasificación de datos para aplicar las medidas de seguridad adecuadas para proteger los datos de nuestros clientes, pacientes y socios comerciales.

Siempre que es posible y práctico, ciframos los datos sensibles en tránsito y en reposo.

Gestión del control de acceso

Hemos establecido requisitos de gestión de acceso para conceder, gestionar y revocar el acceso de los usuarios. Se implementan controles de acceso basados en roles para acceder a los sistemas de información de Fresenius Kabi.

Los controles de acceso a datos sensibles en nuestras bases de datos, sistemas y entornos se establecen según el principio de necesidad de conocer. Además, concedemos permisos de acceso únicamente según el principio del menor privilegio. 

A los usuarios de los sistemas de información se les asignan cuentas de usuario y contraseñas únicas, y se definen y aplican los requisitos de contraseña.

Restringimos los privilegios de administrador a cuentas de administrador específicas.

Proporcionamos a nuestros usuarios software de red privada virtual (VPN) para permitir un acceso remoto seguro a través de Internet a los sistemas clave. También exigimos la autenticación multifactor para el acceso remoto a la red.

Gestión de vulnerabilidades y revisiones

Nos esforzamos por aplicar los últimos parches y actualizaciones de seguridad a los sistemas operativos, puntos finales e infraestructura de red para mitigar la exposición a vulnerabilidades.

Existe un proceso de gestión de parches para aplicar las actualizaciones de los parches de seguridad a medida que las publican los proveedores.

Realizamos análisis periódicos de los activos expuestos externa e internamente. 

Pruebas de penetración

Tenemos procesos establecidos para evaluar y corregir las vulnerabilidades descubiertas durante las pruebas de penetración bianuales realizadas por nuestro socio cualificado e independiente Cobalt Labs Inc.

Gestión de la respuesta a incidentes

Tenemos un plan formalizado de respuesta a incidentes y procedimientos asociados que se activan en caso de incidente de seguridad. El plan de respuesta a incidentes define las responsabilidades del personal clave e identifica los procesos y procedimientos de notificación y escalada. El personal de respuesta a incidentes recibe formación y la ejecución del plan de respuesta a incidentes se comprueba periódicamente.  

Seguimos el Proceso de Respuesta a Incidentes SANS, un marco estándar del sector para la respuesta a incidentes, con el fin de ayudar a preparar, identificar, prevenir, detectar y responder a los incidentes de seguridad. Para ello contamos con el apoyo del Equipo de Respuesta a Emergencias de Ciberseguridad de Fresenius (CERT). 

Protección de endpoints

Nuestros terminales están equipados con una solución antivirus gestionada de forma centralizada para garantizar que las últimas definiciones de virus estén siempre disponibles en los terminales y que se apliquen políticas de seguridad coherentes en todos los terminales. 

Todos los portátiles están cifrados en disco completo y las claves se gestionan mediante una cámara acorazada de seguridad.

Hemos configurado el bloqueo automático de sesiones en los activos de la empresa tras un periodo definido de inactividad.

Los dispositivos móviles están sujetos a un sistema de gestión de dispositivos móviles y sólo se permite el acceso desde dispositivos configurados de acuerdo con nuestra política de seguridad. Esta política de seguridad exige la introducción de un código para acceder al dispositivo y permite borrarlo a distancia si se denuncia su pérdida o robo.

Seguridad de redes y correo electrónico

Realizamos filtrado de tráfico entre segmentos de red.

Sólo se permiten redes inalámbricas gestionadas por Fresenius Kabi dentro de nuestro entorno. Los controles de seguridad de acceso inalámbrico incluyen la segregación del acceso corporativo y de invitados y la rotación de claves inalámbricas.

Hemos desplegado una solución que actualiza regularmente el software de filtrado de URL que bloquea el acceso a sitios web inapropiados desde su red.

Nuestras pasarelas de correo electrónico actúan como barreras que filtran el tráfico malicioso y detienen el phishing y sólo permiten comunicaciones auténticas.

Registro y supervisión

Los registros de los sistemas de aplicaciones e infraestructuras se almacenan para la resolución de problemas, las revisiones de seguridad y el análisis por parte del personal autorizado. Los registros se conservan de acuerdo con los requisitos normativos.

Se implementan alertas de eventos de seguridad centralizadas en todos los activos de la empresa para la correlación y el análisis de registros. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta salvaguarda.

Formación y sensibilización de los empleados

Los empleados de Fresenius Kabi están obligados a participar en la formación de concienciación sobre ciberseguridad. Para ello, proporcionamos varios formatos para presentar el tema de la ciberseguridad y hacerlo sencillo de entender. Nuestro lema es «La ciberseguridad es un deporte de equipo» y con este espíritu nos esforzamos regularmente por inspirar a nuestros empleados con diversas campañas de concienciación, con artículos de noticias y entradas de blog sobre el tema de la seguridad para que se conviertan en un miembro activo en la estrategia de defensa de nuestra empresa.

Como complemento a nuestro programa de concienciación sobre seguridad, cada persona con acceso a nuestros sistemas informáticos recibe trimestralmente pruebas de simulación de phishing. Las campañas trimestrales contribuyen a la concienciación sobre la seguridad, ya que aumentan el conocimiento y la vigilancia de todos sobre los correos electrónicos de phishing.

Seguridad física

En nuestras oficinas se aplican controles de acceso físico. Los controles incluyen la seguridad del edificio y el acceso seguro a las instalaciones de Fresenius Kabi. Se requiere el acceso con tarjeta de proximidad para entrar en las oficinas y plantas de producción de Fresenius Kabi. Existen procedimientos definidos para el control de acceso de visitantes, que requieren que todos los visitantes se presenten en recepción.