Keamanan Informasi di Fresenius Kabi

Di Fresenius Kabi, kami memahami bahwa keamanan informasi sangat penting bagi pelanggan, pasien, dan mitra bisnis kami. Kami berkomitmen untuk menjaga keamanan informasi melalui pengelolaan yang bertanggung jawab, penggunaan yang tepat, dan perlindungan sesuai dengan aturan hukum dan peraturan yang berlaku.

 

Organisasi Keamanan Informasi

Kami telah menerbitkan Kebijakan Keamanan Siber (Cybersecurity Policy) tertulis yang menjelaskan peran dan tanggung jawab keamanan siber yang ditetapkan di dalam organisasi. Tim keamanan kami berfokus pada keamanan informasi, audit dan kepatuhan keamanan global, serta menetapkan kontrol keamanan untuk melindungi perangkat keras dan infrastruktur Fresenius Kabi. Tim keamanan menerima pemberitahuan keamanan sistem informasi secara teratur dan secara rutin mendistribusikan informasi peringatan dan saran keamanan ke seluruh organisasi.

Model Kemampuan Keamanan Informasi

Untuk memastikan keamanan informasi, kami telah menerapkan Model Kemampuan Keamanan Informasi yang didasarkan pada Kontrol Keamanan Kritis (CIS 18). Model ini dilengkapi dengan langkah-langkah keamanan lain berdasarkan praktik terbaik di industri. Pendekatan menyeluruh ini memungkinkan kami untuk mematuhi standar keamanan secara konsisten. Selain itu, penilaian kematangan kemampuan keamanan kami dilakukan secara berkala, dan hasilnya dilaporkan kepada manajemen Fresenius Kabi.

Pengelolaan Kepatuhan Keamanan

Saat ini kami sedang mengembangkan seperangkat aturan yang sesuai dengan persyaratan dasar Fresenius Group. Persyaratan dasar ini tercantum dalam katalog kontrol internal Fresenius Group secara menyeluruh, yang tentunya mengikuti praktik terbaik di industri.

Fresenius Kabi menerapkan program audit internal formal untuk memastikan kepatuhan terhadap kebijakan internal kami, serta hukum dan peraturan keamanan siber yang relevan. 

Pengelolaan Data Aman

Kami telah menerapkan proses untuk mengklasifikasikan data guna menerapkan langkah-langkah keamanan yang tepat untuk melindungi data pelanggan, pasien, dan mitra bisnis kami.

Selain itu, kami juga mengenkripsi data sensitif saat sedang dikirim dan disimpan, jika memungkinkan dan praktis untuk dilakukan.

Pengelolaan Kontrol Akses

Untuk keamanan data, Fresenius Kabi telah menerapkan berbagai langkah pengelolaan akses pengguna. Kami telah menetapkan aturan yang jelas untuk pemberian, pengaturan, dan pencabutan akses pengguna ke sistem informasi kami.

Akses ke informasi tersebut diberikan berdasarkan peran (role-based access control) sehingga pengguna hanya dapat mengakses informasi yang dibutuhkan untuk menjalankan tugasnya.

Untuk data sensitif yang tersimpan di basis data, sistem, dan lingkungan kami, akses diberikan berdasarkan prinsip "perlu tahu" (need-to-know). Selain itu, kami hanya memberikan akses dengan mengikuti prinsip "hak akses minimum" (least privilege), yaitu pengguna hanya memiliki akses yang dibutuhkan untuk menjalankan tugasnya.

Setiap pengguna sistem informasi memiliki akun pengguna dan kata sandi yang unik. Aturan untuk kekuatan dan penggunaan kata sandi pun telah ditetapkan dengan ketat.

Akses administrator dibatasi hanya untuk akun administrator khusus.

Untuk memungkinkan akses jarak jauh yang aman ke sistem penting melalui internet, kami menyediakan perangkat lunak jaringan pribadi virtual (VPN) kepada pengguna. Selain itu, kami juga menerapkan autentikasi multi-faktor untuk akses jaringan jarak jauh..

Manajemen Kerentanan dan Patch

Kami berkomitmen untuk selalu menerapkan pembaruan dan patch keamanan terbaru pada sistem operasi, titik akhir (endpoint), dan infrastruktur jaringan untuk mengurangi risiko terpapar kerentanan.

Untuk mencapai hal tersebut, kami memiliki proses manajemen patch yang memastikan pembaruan keamanan diterapkan segera setelah dirilis oleh vendor.

Selain itu, kami juga melakukan pemindaian secara berkala pada aset yang terekspos secara eksternal maupun internal. 

Uji Penetrasi

Kami memiliki proses yang telah ditetapkan untuk menilai dan memperbaiki kerentanan yang ditemukan selama pengujian penetrasi dua tahunan oleh mitra pengujian penetrasi independen dan berkualifikasi kami, Cobalt Labs Inc.

Manajemen Penanganan Insiden

Kami memiliki rencana tanggap insiden formal dan prosedur terkait yang akan diaktifkan jika terjadi insiden keamanan. Rencana tanggap insiden ini menjelaskan tanggung jawab personel kunci dan mengidentifikasi proses serta prosedur untuk pelaporan dan peningkatan penanganan. Personel tanggap insiden diberikan pelatihan, dan pelaksanaan rencana tanggap insiden diuji secara berkala.

Untuk membantu persiapan, identifikasi, pencegahan, deteksi, dan penanganan insiden keamanan, kami mengikuti Proses Tanggap Insiden SANS, sebuah kerangka kerja standar industri untuk penanganan insiden. Dalam hal ini, kami didukung oleh Tim Tanggap Darurat Keamanan Siber Fresenius (Fresenius Cybersecurity Emergency Response Team, CERT). 

Perlindungan Titik Akhir

Untuk memastikan keamanan perangkat kami selalu terdepan, kami telah melengkapi seluruh titik akhir (endpoint) dengan solusi antivirus yang terpusat. Ini menjamin definisi virus terbaru selalu tersedia dan kebijakan keamanan yang konsisten diterapkan.

Semua laptop kami terenkripsi penuh. Kunci enkripsi disimpan dan dikelola dengan aman menggunakan brankas keamanan khusus.

Kami telah mengonfigurasi penguncian sesi otomatis pada seluruh aset perusahaan setelah periode tidak aktif tertentu.

Perangkat seluler kami diwajibkan untuk menggunakan sistem manajemen khusus (mobile device management system). Akses hanya diizinkan dari perangkat yang telah dikonfigurasi sesuai dengan kebijakan keamanan kami. Kebijakan ini mengharuskan pengguna memasukkan kode untuk mengakses perangkat, dan memungkinkan penghapusan data dari jarak jauh jika perangkat dilaporkan hilang atau dicuri.

Network & Email Security

Di sini, kami menerapkan pemfilteran lalu lintas (traffic filtering) antar segmen jaringan. Ini artinya, hanya jaringan nirkabel terkelola Fresenius Kabi yang diizinkan beroperasi di lingkungan kami. Keamanan akses nirkabel kami meliputi pemisahan akses karyawan dan tamu, serta rotasi kunci nirkabel secara berkala.

Selain itu, kami menggunakan solusi yang memperbarui perangkat lunak pemfilteran URL secara rutin. Perangkat lunak ini berfungsi untuk memblokir akses ke situs web yang tidak pantas dari jaringan kami.

Gateway email kami bertindak sebagai penghalang yang dapat menyaring lalu lintas berbahaya dan menghentikan upaya phishing (penipuan daring). Dengan demikian, hanya komunikasi yang sah yang diizinkan masuk.

Pencatatan & Pemantauan

Sistem log aplikasi dan infrastruktur disimpan untuk keperluan troubleshooting (pemecahan masalah), tinjauan keamanan, dan analisis oleh personel yang berwenang. Log tersebut akan disimpan sesuai dengan peraturan yang berlaku.

Untuk melakukan korelasi dan analisis log, diterapkan pelaporan kejadian keamanan terpusat di seluruh aset perusahaan. Platform analitik log yang dikonfigurasi dengan peringatan korelasi yang relevan dengan keamanan juga memenuhi pengamanan ini.

Pelatihan dan Kesadaran Karyawan

Karyawan Fresenius Kabi diwajibkan untuk mengikuti pelatihan kesadaran keamanan siber. Untuk itu, kami menyediakan berbagai format penyampaian materi keamanan siber agar mudah dipahami. Sesuai dengan slogan kami, "Keamanan siber adalah kerja tim", kami secara rutin menyelenggarakan kampanye kesadaran dengan berbagai cara, seperti artikel berita dan blog tentang keamanan untuk memotivasi karyawan menjadi anggota aktif dalam strategi pertahanan perusahaan.

Selain program kesadaran keamanan, setiap orang yang memiliki akses ke sistem IT kami akan dikirimi tes simulasi phishing setiap kuartal. Kampanye kuartalan ini mendukung kesadaran keamanan karena dapat meningkatkan pengetahuan dan kewaspadaan semua orang terhadap email phishing.

Keamanan Fisik

Kantor kami menerapkan kontrol akses fisik. Kontrol ini meliputi keamanan gedung dan akses aman ke area Fresenius Kabi. Kartu akses jarak dekat diperlukan untuk memasuki kantor dan pabrik produksi Fresenius Kabi. Ada prosedur khusus untuk mengontrol akses pengunjung, di mana semua pengunjung wajib melapor ke resepsionis.