Cybersicherheit ist eine gemeinsame Verantwortung der gesamten Organisation, die von unserem Chief Information and Digital Officer geleitet wird, der dem Prüfungsausschuss vierteljährlich und dem Vorstand zweimal jährlich Updates liefert. Darüber hinaus führt das Cyber-Team von Greif regelmäßig Bewertungen der Sicherheitsreife und Roadmap-Updates durch, um sicherzustellen, dass unser Programm weiterhin den Anforderungen von Greif entspricht und mit den Best Practices der Branche übereinstimmt.

Wir nutzen ein Sicherheits-Dashboard, das wir mit Führungskräften, unserem Enterprise Risk Management Team und dem Vorstand teilen. Das Dashboard verfolgt unsere Leistung unter Verwendung des Cybersecurity Framework des National Institute of Standards and Technology als Referenz. Wir verfügen außerdem über einen Reaktionsplan für Cybersicherheitsvorfälle und einen globalen Geschäftskontinuitätsplan, die unsere Schritte zur Reaktion auf und zur Eindämmung der Auswirkungen im Falle eines Vorfalls darlegen.

Greif unterhält interne Richtlinien zum Schutz unserer Daten, einschließlich unserer Richtlinie zur Datensatzverwaltung und -aufbewahrung, Datenschutzhinweis, Informationssicherheitsrichtlinie und IT-Beschaffungs- und Ausgabenrichtlinie, die alle unsere Datensicherheitspraktiken im Einklang mit Branchenrahmen und -vorschriften wie Sarbanes-Oxley und der EU-Datenschutz-Grundverordnung (DSGVO) leiten. Das IT-Team von Greif führt jährliche Audits anhand dieser Richtlinien für Sarbanes-Oxley-bezogene IT-Kontrollprozesse durch und weist Kollegen Schulungen zu DSGVO- und Datenschutzkonzepten zu, um sicherzustellen, dass wir die Richtlinien- und behördlichen Anforderungen erfüllen oder übertreffen. Im Jahr 2023 erhielten unsere globalen Kollegen eine Datenschutzschulung, die die Elemente der DSGVO und anderer relevanter Datenschutzbestimmungen abdeckte. Kollegen in Rollen, in denen der Umgang mit personenbezogenen Daten häufiger vorkommt – wie z. B. in den Bereichen Personalwesen oder IT – erhielten zusätzliche Einzelheiten zu unseren Erwartungen und unserem Engagement zum Schutz personenbezogener Daten. Ungefähr 93 Prozent der relevanten Kollegen haben die Datenschutzschulung im Jahr 2023 abgeschlossen.

Jeden Monat treffen sich Mitglieder der Abteilungen Cybersicherheit, Personalwesen und Recht, um regulatorische Änderungen im Datenschutz zu überwachen und zu besprechen und die erforderlichen Maßnahmen zur Gewährleistung der Einhaltung zu prüfen. Wir arbeiten auch mit Branchen- und Regionalverbänden und Konsortien zusammen, um den Wissensaustausch über Vorschriften, neue Technologieprobleme und bewährte Verfahren im Bereich Cybersicherheit zu unterstützen.

Um die Daten unserer Kunden und Kollegen zu schützen, folgen wir einem Need-to-Know-Modell, um die Anzahl der Personen zu begrenzen, die intern und extern Zugriff auf sichere Informationen haben. Um einen ordnungsgemäßen Umgang mit vertraulichen Daten zu gewährleisten, holen wir außerdem die Zustimmung durch Vereinbarungen und Vertragsklauseln ein und halten alle relevanten Vorschriften ein. Wir implementieren Softwarelösungen zum Schutz und zur Verschlüsselung unserer Endpunkte, um unser Risiko potenzieller Datenschutzverletzungen zu begrenzen, und wir informieren unsere Kollegen weiterhin über unsere Datensatzverwaltung und -aufbewahrung Und Datenschutz Richtlinien. Darüber hinaus vernichten wir Hardware und Ausdrucke vertraulicher Informationen routinemäßig und sicher bei geprüften Dienstleistern.

Schulungen zu Cybersicherheit und Sensibilisierung ermöglichen es unseren Kollegen, potenzielle Bedrohungen zu erkennen und darauf zu reagieren sowie digitale und physische Risiken zu minimieren. Wir schulen Kollegen unter anderem zu Themen wie persönlicher Informationssicherheit, Cybersicherheitshygiene und allgemeiner Internetsicherheit. Alle Kollegen mit Computerzugang – einschließlich unseres Executive Leadership Teams – müssen die Schulung absolvieren. Alle administrativen und professionellen Kollegen werden mit der Cyber- und Datenschutzschulung beauftragt, und 93 Prozent der zugewiesenen Kollegen haben die Schulung im Jahr 2023 abgeschlossen.

Wir ergänzen allgemeine Sicherheitsschulungen durch spezielle Schulungen zum Thema Phishing. Unser Programm umfasst monatlich simulierte Phishing-E-Mails, die an unsere Verwaltungs- und Fachkollegen gesendet werden. Diese Nachrichten testen ihre Fähigkeit, verdächtige Nachrichten zu erkennen und zu melden. Diejenigen, die dabei keinen Erfolg haben, erhalten zusätzliche Schulungen, um ihnen dabei zu helfen, Phishing-Risiken zu erkennen.

Unsere Kollegen erhalten außerdem vierteljährliche Newsletter zur Sensibilisierung für Cybersicherheit, wöchentliche Sicherheitstipps zu Themen wie Passwortsicherheit und Vermeidung von Phishing-Betrug sowie Links zu externen Schulungsinhalten zur Sicherheit über die Greif University. Außerdem veranstalten wir jedes Jahr im Oktober eine Sensibilisierungskampagne zum Cybersicherheitsmonat.

Wir sichern den physischen Zugang zu unseren Anlagen durch die Installation von Tag-Lesegeräten und PIN-Code-Schlössern und verlangen für jede Sendung, die wir von unseren Anlagen abholen, einen Frachtbrief. Darüber hinaus werden in der gesamten Lieferkette manipulationssichere Gehäuse verwendet, um den Kunden die Gewissheit zu geben, dass ihre Produkte geschützt und sicher sind.

Greif bietet Kollegen verschiedene Möglichkeiten, verdächtiges Verhalten, potenzielle Datenschutzverletzungen, Phishing-Aktivitäten und andere Vorfälle zu melden. Die Ethik-Hotline von Greif steht allen Kollegen ebenfalls zur Verfügung, um Probleme zu melden.