Unsere Datensicherheitspraktiken entsprechen dem Sarbanes-Oxley Act, EU-Datenschutz-Grundverordnung (DSGVO) und Greif's Richtlinie zur Datensatzverwaltung und -aufbewahrung. Greifs IT-Team unter der Leitung unseres Managers für globale IT-Sicherheit kümmert sich um die Datensicherheit, die jährliche Prüfungen der IT-Kontrollprozesse, vierteljährliche Überprüfungen der Datenberechtigungen und vierteljährliche Phishing-Simulationen umfasst. Die Führungskräfte von Greif erhalten Updates über ein Cybersicherheits-Dashboard, das wir auch vierteljährlich mit Greifs Enterprise Risk Management Team und dem Vorstand teilen. Das Dashboard verfolgt unsere Leistung mithilfe des Nationales Institut für Standards und Technologie (NSF) Reifeindex-Wert. Der Vizepräsident und Chief Administrative Officer von Greif versorgt den Vorstand regelmäßig mit sicherheitsrelevanten Updates.

Sollte Greif Opfer einer Cybersicherheitsverletzung werden, verfügen wir über einen IT Services Cyber Incident and Response Plan und einen IT Services Global Business Continuity Plan, die unsere Schritte zur schnellen Reaktion auf einen Vorfall und zur Eindämmung seiner Auswirkungen beschreiben. Im Jahr 2021 haben wir mit unserem Executive Leadership Team szenariobasierte Planspiele durchgeführt, um unseren IT Services Cyber Incident and Response Plan und unseren IT Services Global Business Continuity Plan zu testen. Aus den wichtigsten Erkenntnissen haben wir Möglichkeiten identifiziert und zusätzliche Playbooks entwickelt, um die Identifizierung und Eindämmung von Vorfällen zu unterstützen. Wir arbeiten sowohl mit Branchen- als auch mit regionalen Verbänden und Konsortien zusammen, um den Wissensaustausch über Best Practices in den Bereichen Vorfallreaktion, Geschäftskontinuität und Cybersicherheit zu unterstützen.

Im Jahr 2018 haben wir in Zusammenarbeit mit einem Drittanbieter eine Bewertung der Cybersicherheitsreife durchgeführt. Wir begannen mit der Umsetzung der Ergebnisse der Reifegradbewertung und entwickelten eine dreijährige Cybersicherheitsstrategie. Im Rahmen dieser Strategie haben wir Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) für die exponierten Anwendungen von Greif implementiert. Wir haben Antivirenlösungen der nächsten Generation mit Endpoint Detection and Response Services implementiert. Im Jahr 2021 haben wir unsere Fähigkeiten zur Überwachung und Erkennung potenzieller Probleme sowie zur Automatisierung von Erkennungs- und Präventionsprozessen erweitert. Wir haben auch den Grundstein für das Risikomanagement von Drittanbietern gelegt und erwarten, dieses Programm im Jahr 2022 umzusetzen. Darüber hinaus haben wir in Europa Lösungen implementiert, um den physischen Netzwerkzugriff auf ausschließlich von Greif autorisierte Geräte zu beschränken, und planen, diese Bemühungen ab 2022 auf Nordamerika auszuweiten. Wir führen eine weitere Reifegradbewertung durch, um unsere Fortschritte zu messen und Möglichkeiten zur weiteren Verbesserung unseres Sicherheitsansatzes zu identifizieren.

Im Mittelpunkt unserer Sicherheitsmaßnahmen steht die Schulung. Schulungen zu Cybersicherheit und -bewusstsein helfen unseren Kollegen, potenzielle Bedrohungen besser zu erkennen und darauf zu reagieren und Risiken sowohl im digitalen als auch im physischen Raum zu minimieren. Wir schulen Kollegen zu Themen wie Phishing-Angriffen, Cybersicherheitshygiene und allgemeiner Internetsicherheit. Nach Abschluss der Schulung müssen alle Kollegen vierteljährlich einen Checkup absolvieren, um sicherzustellen, dass das Wissen erhalten bleibt und in die Praxis umgesetzt wird. Die Schulung ist für jeden Kollegen mit Zugang zu Computern obligatorisch, einschließlich unseres Führungsteams. Die Kollegen erhalten außerdem vierteljährliche Newsletter zur Förderung des Cybersicherheitsbewusstseins und wöchentliche Sicherheitstipps zu Themen wie Passwortsicherheit bis hin zur Vermeidung von Phishing-Betrug, und sie nehmen jedes Jahr im Oktober an unserem jährlichen Cybersicherheitsmonat teil. Darüber hinaus haben wir externe Redner eingeladen, die unseren Kollegen in einem Live-Webinar und einer Aufzeichnung, die über die Greif University verfügbar ist, Vorträge halten.

Jeden Monat treffen sich Mitglieder der Cybersicherheits-, Personal- und Rechtsabteilungen von Greif, um die Einhaltung aktueller und neuer Vorschriften zu Datensicherheit und Datenschutz zu besprechen. Wir überwachen regulatorische Änderungen und erforderliche Maßnahmen zur Gewährleistung der Einhaltung. Greif erhielt keine begründeten Beschwerden über Verletzungen der Privatsphäre von Kunden und stellte im Jahr 2021 keine Lecks, Diebstähle oder Verluste von Kundendaten fest. Zum Schutz der Kundendaten folgen wir einem Need-to-Know-Modell, um die Anzahl der Personen mit Zugriff auf sichere Informationen zu begrenzen. In diesem Jahr haben wir Softwarelösungen zum Schutz und zur Verschlüsselung unserer Endpunkte implementiert, um unsere Gefährdung durch potenzielle Datenschutzverletzungen zu begrenzen und unsere Daten durch manuelles Tagging zu klassifizieren. Unsere Kollegen haben jetzt die Möglichkeit, ihre Informationen und E-Mails basierend auf unserem neuen Datenklassifizierungsrahmen selbst mit der richtigen Datenklassifizierung zu taggen. Außerdem haben wir im Jahr 2021 eine neue Schulung gestartet, um Kollegen über unsere Richtlinien zur Datensatzverwaltung und -aufbewahrung sowie zum Datenschutz zu informieren. Um die DSGVO noch besser einzuhalten, haben wir DSGVO-Schulungen für unsere Kollegen in EMEA durchgeführt und mit der Einrichtung eines formellen Datenklassifizierungsrahmens begonnen. Im Jahr 2022 werden wir unseren Ansatz zum Schutz der Privatsphäre unserer Kunden weiterhin überwachen und anpassen.

Um die physische Sicherheit unserer Gebäude zu gewährleisten, installiert Greif in unseren Einrichtungen Tag-Lesegeräte und PIN-Code-Schlösser. Für jede Sendung, die von unseren Einrichtungen abgeholt wird, benötigen wir einen Frachtbrief. Greif unterstützt die Produktsicherheit in unserer gesamten Lieferkette, indem er manipulationssichere Verschlüsse anbietet.