Seguridad de la Información en Fresenius Kabi

En Fresenius Kabi, sabemos que la seguridad de la información es importante para nuestros clientes, pacientes y socios comerciales. Nos comprometemos a mantener la seguridad de la información a través de una gestión responsable, un uso adecuado y una protección de acuerdo con los requisitos legales y reglamentarios.

 

Organización de la Seguridad de la Información

Publicamos una Política de Ciberseguridad escrita que describe las funciones y responsabilidades de ciberseguridad que se definen dentro de la organización.

Nuestro equipo de seguridad se centra en la seguridad de la información, la auditoría de seguridad global y el cumplimiento, así como en la definición de los controles de seguridad para la protección del hardware y la infraestructura de Fresenius Kabi. El equipo de seguridad recibe notificaciones de seguridad del sistema de información de forma periódica y distribuye información de alerta y asesoramiento de seguridad a la organización de forma rutinaria.

Modelo de capacidad de seguridad de la información

Hemos adoptado un Modelo de Capacidad de Seguridad de la Información basado en los Controles Críticos de Seguridad (CIS 18), que se complementa con otras medidas de seguridad basadas en las mejores prácticas de la industria. Esto nos permite mantener un enfoque holístico del cumplimiento con respecto a la seguridad. Además, se realizan evaluaciones periódicas de madurez de nuestras capacidades de seguridad y se informa de los resultados a la dirección de Fresenius Kabi.

Gestión del cumplimiento de la seguridad

Estamos en el proceso de desarrollar un conjunto de reglas que estén alineadas con los requisitos básicos de Fresenius Group, un catálogo de control interno de todo Fresenius Group alineado con las mejores prácticas de la industria.

Fresenius Kabi ha implementado un programa formal de auditoría interna para garantizar el cumplimiento de nuestras políticas internas, las leyes y regulaciones de ciberseguridad relevantes.

Gestión segura de datos

Hemos establecido un proceso de clasificación de datos para aplicar las medidas de seguridad adecuadas para proteger los datos de nuestros clientes, pacientes y socios comerciales.

Encriptamos los datos confidenciales en tránsito y en reposo siempre que sea posible y práctico.

Gestión del control de acceso

Hemos establecido requisitos de administración de acceso para otorgar, administrar y revocar el acceso de los usuarios. Se implementan controles de acceso basados en roles para el acceso a los sistemas de información de Fresenius Kabi.

Los controles de acceso a datos confidenciales en nuestras bases de datos, sistemas y entornos se establecen según el principio de necesidad de conocer. Además, concedemos permisos de acceso solo según el principio de privilegios mínimos.

A los usuarios de los sistemas de información se les asignan cuentas de usuario y contraseñas únicas, se definen y aplican los requisitos de contraseña.

Restringimos los privilegios de administrador a las cuentas de administrador dedicadas.

El software de red privada virtual (VPN) se proporciona a nuestros usuarios para permitir el acceso remoto seguro y basado en Internet a los sistemas clave. También requerimos autenticación multifactor para el acceso remoto a la red.

Gestión de vulnerabilidades y parches

Nos esforzamos por aplicar los últimos parches y actualizaciones de seguridad a los sistemas operativos, los endpoints y la infraestructura de red para mitigar la exposición a las vulnerabilidades.

Existe un proceso de gestión de parches para implementar las actualizaciones de parches de seguridad a medida que los proveedores las publican.

Realizamos escaneos periódicos de activos expuestos externamente e internamente.

Pruebas de penetración

Contamos con procesos establecidos para evaluar y corregir las vulnerabilidades descubiertas durante las pruebas de penetración semestrales por parte de nuestro socio calificado e independiente de pruebas de penetración Cobalt Labs Inc.

Gestión de la respuesta a incidentes

Contamos con un plan formalizado de respuesta a incidentes y procedimientos asociados que se activan en caso de un incidente de seguridad. El plan de respuesta a incidentes define las responsabilidades del personal clave e identifica los procesos y procedimientos para la notificación y el escalamiento. Se capacita al personal de respuesta a incidentes y se prueba periódicamente la ejecución del plan de respuesta a incidentes.

Seguimos el Proceso de Respuesta a Incidentes de SANS, un marco estándar de la industria para la respuesta a incidentes, para ayudar a preparar, identificar, prevenir, detectar y responder a incidentes de seguridad. En este sentido, contamos con el apoyo del Equipo de Respuesta a Emergencias de Ciberseguridad (CERT) de Fresenius.

Protección de endpoints

Nuestros endpoints están equipados con una solución antivirus gestionada de forma centralizada para garantizar que las últimas definiciones de virus estén siempre disponibles en los endpoints y que se apliquen políticas de seguridad coherentes en todos los endpoints.

Todas las computadoras portátiles están encriptadas en disco completo con las claves administradas mediante una bóveda de seguridad.

Hemos configurado el bloqueo automático de sesión en los activos de la empresa después de un período definido de inactividad.

Los dispositivos móviles están sujetos a un sistema de gestión de dispositivos móviles y solo se permite el acceso desde dispositivos configurados de acuerdo con nuestra política de seguridad. Esta política de seguridad requiere que se ingrese un código para acceder al dispositivo y permite el borrado remoto si se reporta como perdido o robado.

Seguridad de red y correo electrónico

Realizamos el filtrado de tráfico entre segmentos de red.

Solo las redes inalámbricas administradas por Fresenius Kabi están permitidas dentro de nuestro entorno. Los controles de seguridad de acceso inalámbrico incluyen la segregación del acceso corporativo y de invitados y la rotación de las llaves inalámbricas.

Hemos implementado una solución que actualiza regularmente el software de filtrado de URL que bloquea el acceso a sitios web inapropiados desde su red.

Nuestras pasarelas de correo electrónico actúan como barreras que filtran el tráfico malicioso y detienen el phishing y solo permiten comunicaciones auténticas.

Registro y monitoreo

Los registros de los sistemas de aplicaciones e infraestructura se almacenan para la resolución de problemas, las revisiones de seguridad y el análisis por parte del personal autorizado. Los registros se conservan de acuerdo con los requisitos reglamentarios.

Se implementa la alerta centralizada de eventos de seguridad en todos los activos de la empresa para la correlación y el análisis de registros. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta protección.

Capacitación y concientización de los empleados

Los empleados de Fresenius Kabi deben participar en una formación de concienciación sobre ciberseguridad. Para ello, proporcionamos varios formatos para presentar el tema de la ciberseguridad y hacerlo fácil de entender. Nuestro lema es "La ciberseguridad es un deporte de equipo" y, con este espíritu, nos esforzamos regularmente por inspirar a nuestros empleados con diversas campañas de concienciación, con artículos de noticias y entradas de blog sobre el tema de la seguridad para que se conviertan en un miembro activo de la estrategia de defensa de nuestra empresa.

Junto con nuestro programa de concientización sobre seguridad, cada persona con acceso a nuestros sistemas de TI recibe trimestralmente pruebas de simulación de phishing. Las campañas trimestrales respaldan la concienciación sobre la seguridad, ya que aumentan el conocimiento y la vigilancia de todos sobre los correos electrónicos de phishing.

Seguridad Física

En nuestras oficinas se implementan controles de acceso físico. Los controles incluyen la seguridad del edificio y el acceso seguro a las instalaciones de Fresenius Kabi. Se requiere acceso con tarjeta de proximidad para ingresar a las oficinas y plantas de producción de Fresenius Kabi. Existen procedimientos definidos para el control de acceso de visitantes, que requieren que todos los visitantes se presenten en recepción.