Objavili smo pisanu Politiku cyber sigurnosti, koja opisuje uloge i odgovornosti definirane unutar organizacije.
Naš sigurnosni tim fokusira se na sigurnost podataka, procjene i inspekcije globalne sigurnosti i usklađenosti, kao i na definiranje adekvatnih kontrola za zaštitu hardvera i infrastrukture tvrtke Fresenius Kabi. Sigurnosni tim prima i obrađuje obavijesti o sigurnosti informacijskog sustava te redovno i pravovremeno šalje organizaciji sigurnosna upozorenja i savjete.
Sigurnost podataka u tvrtki Fresenius Kabi
U tvrtki Fresenius Kabi znamo da je sigurnost podataka važna našim klijentima, pacijentima i poslovnim partnerima. Predani smo održavanju sigurnosti podataka putem odgovornog upravljanja, primjerene uporabe podataka i njihove zaštite u skladu sa zakonskim i regulatornim zahtjevima.
Usvojili smo Model pokazatelja sigurnosti podataka temeljen na Kritičnim sigurnosnim kontrolama (CIS 18), koji je dopunjen drugim sigurnosnim mjerama temeljenima na najboljim praksama u industriji. To nam omogućuje da održavamo holistički pristup usklađenosti u pogledu sigurnosti. Također, redovito se provode periodičke procjene zrelosti naših sposobnosti sigurnosti, a o rezultatima se izvještava uprava tvrtke Fresenius Kabi.
U procesu smo razvoja skupa pravila koja su usklađena s osnovnim zahtjevima Fresenius grupe, opsežnog internog kataloga Fresenius grupe u skladu s najboljim praksama u industriji.
Fresenius Kabi ima formalni program internih revizija koji je implementiran kako bi se osigurala usklađenost s našim internim politikama, odnosnim zakonima i propisima o cyber sigurnosti.
Uspostavili smo proces za klasifikaciju podataka kako bismo primijenili odgovarajuće sigurnosne mjere za zaštitu podataka naših klijenata, pacijenata i poslovnih partnera.
Ako je to moguće i izvedivo, šifriramo osjetljive podatke u tranzitu i mirovanju.
Uspostavili smo zahtjeve za upravljanje pristupom za odobravanje, upravljanje i povlačenje korisničkog pristupa. Za pristup informacijskim sustavima tvrtke Fresenius Kabi implementirane su kontrole pristupa na bazi dodijeljenih ulog na sustavima.
Kontrole pristupa osjetljivim podacima u našim bazama podataka, sustavima i okolinama postavljaju se po načelu nužnih informacija. Nadalje, odobravamo dozvole pristupa samo po principu najmanjih prava.
Korisnicima informacijskih sustava dodjeljuju se jedinstveni korisnički računi i lozinke, a zahtjevi za postavljanjem lozinki se definiraju i provode.
Ograničavamo administratorske privilegije na posebne administratorske račune.
Našim korisnicima omogućuje se VPN (virtual private network) softver kako bi se omogućio siguran, internetski, udaljeni pristup glavnim sustavima. Također zahtijevamo višestruku provjeru autentičnosti (MFA) za udaljeni pristup mreži.
Nastojimo primijeniti najnovije sigurnosne zakrpe i ažurirati operativne sustave (korisničku opremu, računala i mobilne uređaje) i mrežnu infrastrukturu kako bismo umanjili izloženost slabim točkama.
Pripremljen je proces upravljanja zakrpama kako bi se ažuriranja implementirala čim ih dobavljači objave.
Provodimo periodično skeniranje eksterno i interno izloženih sustava i infrastrukture.
Imamo uspostavljene procese za procjenu i korigiranje slabih točaka otkrivenih tijekom penetracijskih testiranja koje dva puta godišnje provodi naš kvalificirani i nezavisni partner za penetracijsko testiranje, tvrtka Cobalt Labs Inc.
Imamo formaliziran plan odgovora na incidente te povezane postupke koji se pokreću u slučaju sigurnosnog incidenta. Plan odgovora na incidente definira odgovornosti glavnog osoblja te identificira procese i postupke za obavještavanje i eskalaciju. Osoblje za odgovor na incidente prolazi obuku, a izvođenje plana za odgovor na incidente periodički se testira.
Slijedimo SANS proces odgovora na incidente, industrijski standard za odgovor na incidente, koji nam pomaže pripremiti se, identificirati, spriječiti, otkriti i odgovoriti na sigurnosne incidente. U tome nas podržava Fresenius tim za hitne situacije cyber sigurnosti (CERT).
Naši korisnički uređaji opremljeni su antivirusnim rješenjem s centralnim upravljanjem kako bi se osigurala dostupnost najnovijih definicija virusa te provođenje konzistentne sigurnosne politike na korisičkim uređajima.
Za sve laptope provodi se potpuna enkripcija diska, a šiframa se upravlja putem sigurnosne arhive (security vault).
Konfigurirali smo automatsko zaključavanje sesije na uređajima i sustavima nakon određenog razdoblja neaktivnosti.
Mobilni uređaji podliježu sustavu upravljanja mobilnim uređajima, a pristup je dozvoljen samo s uređaja konfiguriranih u skladu s našom politikom sigurnosti. Ova politika sigurnosti zahtijeva unos šifre da bi se pristupilo uređaju te dozvoljava udaljeno brisanje u slučaju krađe ili gubitka.
Filtriramo promet između mrežnih segmenata.
Unutar naših sustava dozvoljene su bežične mreže kojima upravlja isključivo Fresenius Kabi. Kontrole sigurnosti bežičnog pristupa uključuju razdvajanje korporativnog pristupa i pristupa gostiju te periodičku izmjenu pristupnih kodova bežičnoj mreži.
Postavili smo rješenje koje redovito ažurira softver za filtriranje URL-a koji blokira pristup neprimjerenim web stranicama iz ove mreže.
Naši pristupnici (gateways) za elektroničku poštu djeluju kao barijere koje filtriraju zlonamjerni promet i zaustavljaju phishing te omogućuju samo autentičnu komunikaciju.
Zapisi (logs) aplikacija i sustava infrastrukture čuvaju se radi otklanjanja problema, sigurnosnih pregleda i analiza koje provodi ovlašteno osoblje. Zapisi se čuvaju u skladu s regulatornim zahtjevima.
Provodi se centralizirano upozoravanje na sigurnosne događaje za imovinu poduzeća s obzirom na korelaciju i analizu zapisa. Ovu zaštitnu mjeru ispunjava i platforma za analitiku zapisa konfigurirana s upozorenjima na korelacije bitne za sigurnost.
Zaposlenici tvrtke Fresenius Kabi obavezni su sudjelovati u obuci o svijesti o cyber sigurnosti. U tu svrhu, omogućujemo različite formate koji prezentiraju temu cyber sigurnosti te olakšavaju njezino razumijevanje. Naš slogan je „Cyber sigurnost je ekipni sport“ i u tom duhu redovito nastojimo inspirirati naše zaposlenike različitim kampanjama za podizanje svijesti, novinskim člancima i objavama na blogu na temu sigurnosti da postanu aktivni članovi obrambene strategije naše tvrtke.
Uz naš program podizanja svijesti o sigurnosti, svakoj osobi s pristupom našim IT sustavima svaka tri mjeseca omogućuju se testovi koji simuliraju phishing. Ove kvartalne kampanje podržavaju svijest o sigurnosti jer povećavaju znanje i spremnost na elektroničku poštu koja sadrži phishing.
U našim uredima implementirane su fizičke kontrole pristupa. Kontrole uključuju sigurnost zgrade i zaštićen pristup prostoru tvrtke Fresenius Kabi. Za ulazak u urede i proizvodne pogone tvrtke Fresenius Kabi potreban je pristup proximity karticama. Postoje definirani postupci za kontrolu pristupa posjetitelja, koji od svih posjetitelja zahtijevaju da se prijave na recepciji.
Ako imate dodatnih pitanja o sigurnosti podataka u tvrtki Fresenius Kabi, rado ćemo u bilo kojem trenutku odgovoriti na Vaša pitanja o ovoj važnoj temi. Možete nam se javiti na Infosec@Fresenius-kabi.com.
