Unsere Datensicherheitspraktiken entsprechen dem Sarbanes-Oxley Act, EU-Datenschutz-Grundverordnung (DSGVO) und Greifs interne Richtlinien, einschließlich Richtlinie zur Datensatzverwaltung und -aufbewahrung, Datenschutzhinweis, Informationssicherheitsrichtlinien und IT-Beschaffungs- und Ausgabenrichtlinien. Sicherheit ist eine gemeinsame Verantwortung der gesamten Organisation unter der Leitung des Chief Technology Officer (CTO), wobei insbesondere die Cybersicherheit in die Verantwortung des Chief Information and Digital Officer fällt. Der CTO von Greif stellt dem Vorstand und dem Prüfungsausschuss regelmäßig sicherheitsrelevante Updates zur Verfügung. Die Führungskräfte von Greif erhalten außerdem Updates über ein Cybersicherheits-Dashboard, das vierteljährlich mit dem Enterprise Risk Management Team und dem Vorstand von Greif geteilt wird. Das Dashboard verfolgt unsere Leistung mithilfe des Rahmenwerk für Cybersicherheit des Nationalen Instituts für Standards und Technologie als Referenz. Greifs IT-Team spielt auch eine Rolle bei der allgemeinen Datensicherheit, indem es jährliche Audits für IT-Kontrollprozesse sowie monatliche Phishing-Simulationen und Sensibilisierungsartikel durchführt (im Jahr 2021 verstärkt von vierteljährlich).

Sollte Greif Opfer eines Cybersicherheitsverstoßes werden, verfügen wir über einen Cyber-Vorfall- und Reaktionsplan sowie einen globalen Geschäftskontinuitätsplan für IT-Services, in dem unsere Schritte zur schnellen Reaktion auf einen Vorfall und zur Eindämmung seiner Auswirkungen beschrieben sind. Die Ethik-Hotline von Greif steht allen Kollegen für verdächtige Datenschutzverstöße zur Verfügung, und allen Kollegen mit E-Mail-Zugang steht eine automatische Phishing-Meldeoption zur Verfügung. Wir arbeiten mit Branchen- und Regionalverbänden und Konsortien zusammen, um den Wissensaustausch über bewährte Verfahren in den Bereichen Vorfallreaktion, Geschäftskontinuität und Cybersicherheit zu unterstützen.

Schulungen sind ein wesentlicher Bestandteil des Cybersicherheitsprogramms von Greif. Schulungen zu Cybersicherheit und Bewusstsein helfen unseren Kollegen, potenzielle Bedrohungen besser zu erkennen und darauf zu reagieren und Risiken sowohl im digitalen als auch im physischen Raum zu minimieren. Wir schulen unsere Kollegen unter anderem zu Phishing-Angriffen, Cybersicherheitshygiene und allgemeiner Internetsicherheit. Nach Abschluss der Schulung müssen alle Kollegen vierteljährlich einen Checkup durchführen, um sicherzustellen, dass das Wissen erhalten bleibt und angewendet wird. Diese Schulung ist für alle Kollegen mit Computerzugang, einschließlich unseres Executive Leadership Teams, obligatorisch. Unsere Kollegen erhalten außerdem vierteljährliche Newsletter zur Förderung des Cybersicherheitsbewusstseins, wöchentliche Sicherheitstipps zu Themen wie Passwortsicherheit und Vermeidung von Phishing-Betrug sowie Kontakte zu externen Sicherheitsrednern über die Greif University. Sie nehmen auch an unserer jährlichen Sensibilisierungskampagne zum Cybersicherheitsmonat im Oktober teil. Greif arbeitet mit einem externen Partner zusammen, um diese Schulungsinitiativen umzusetzen, und Greifs Gesamtwert für Phishing-Anfälligkeit ist 11 Prozent besser als der Branchendurchschnitt für Großhersteller.

Jeden Monat treffen sich Mitglieder der Abteilungen Cybersecurity, Personalwesen und Rechtsabteilung, um die Einhaltung aktueller und künftiger Vorschriften zu Datensicherheit und Datenschutz zu besprechen. Wir überwachen regulatorische Änderungen und erforderliche Maßnahmen zur Gewährleistung der Einhaltung. Zum Schutz von Kundendaten folgen wir einem Need-to-Know-Modell, um die Anzahl der Personen mit Zugriff auf sichere Informationen sowohl intern als auch extern zu begrenzen. Darüber hinaus holen wir zur Gewährleistung einer ordnungsgemäßen Verwaltung vertraulicher Daten die Zustimmung durch Vereinbarungen und Vertragsklauseln ein und halten alle relevanten Vorschriften ein. Wir implementieren Softwarelösungen zum Schutz und zur Verschlüsselung unserer Endpunkte, um unser Risiko potenzieller Datenschutzverletzungen zu begrenzen, und wir schulen unsere Kollegen weiterhin in unseren Richtlinien zur Datensatzverwaltung und -aufbewahrung sowie zum Datenschutz. Um die DSGVO noch besser einzuhalten, haben wir DSGVO-Schulungen für unsere Kollegen in Europa, dem Nahen Osten und Afrika durchgeführt. Darüber hinaus vernichten wir routinemäßig und sicher Hardware und Papierkopien mit vertraulichen Informationen bei verifizierten Dienstleistern.

Wir sichern den physischen Zugang zu unseren Anlagen durch die Installation von Tag-Lesegeräten und PIN-Code-Schlössern und verlangen für jede Sendung, die wir von unseren Anlagen abholen, einen Frachtbrief. Darüber hinaus werden in der gesamten Lieferkette manipulationssichere Gehäuse verwendet, um den Kunden die Gewissheit zu geben, dass ihre Produkte geschützt und sicher sind.