Nuestras prácticas de seguridad de datos cumplen con la ley Sarbanes-Oxley, Reglamento General de Protección de Datos de la UE (GDPR) y Greif Política de gestión y conservación de registros. El equipo de tecnología de la información de Greif, dirigido por nuestro gerente de seguridad informática global, administra la seguridad de los datos, que incluye auditorías anuales de los procesos de control de TI, revisiones trimestrales de los permisos de datos y simulaciones trimestrales de phishing. En el centro de nuestras operaciones de seguridad se encuentra la capacitación. Todos los colegas con acceso a computadoras deben completar una capacitación trimestral sobre ciberseguridad, recibir boletines trimestrales que promuevan la concienciación sobre la ciberseguridad y consejos de seguridad semanales sobre temas que van desde la seguridad de las contraseñas hasta cómo evitar las estafas de phishing, y participar en nuestro Mes de la ciberseguridad anual cada octubre. Los ejecutivos de Greif reciben actualizaciones a través de un panel de control de ciberseguridad que se comparte con el equipo de gestión de riesgos empresariales y la junta directiva de Greif trimestralmente. El panel actualmente rastrea nuestro desempeño utilizando Puntuación del índice de madurez NSF del Instituto Nacional de Estándares y TecnologíaEn caso de que Greif sea víctima de una violación de la seguridad cibernética, mantenemos un Plan de respuesta e incidentes cibernéticos de servicios de TI y un Plan de continuidad comercial global de servicios de TI, que describe nuestros pasos para responder rápidamente y mitigar el impacto de un incidente. Greif no recibió quejas fundamentadas sobre violaciones de la privacidad del cliente y no identificó fugas, robos ni pérdidas de datos de clientes en 2020.

Para gestionar la seguridad física de nuestros edificios, Greif instala lectores de etiquetas y cerraduras con código PIN en nuestras instalaciones. Requerimos un conocimiento de embarque para cada envío que se retira de nuestras instalaciones. Greif respalda la seguridad de los productos en toda nuestra cadena de suministro ofreciendo cierres a prueba de manipulaciones.

Desde 2018, hemos estado trabajando para implementar los hallazgos de una evaluación de madurez en materia de ciberseguridad que realizamos en colaboración con un socio externo. Presentamos una capacitación anual en línea sobre ciberseguridad y concienciación para ayudar a mejorar la capacidad de nuestros colegas de identificar y responder a posibles amenazas y minimizar el riesgo tanto en espacios digitales como físicos. Después de completar la capacitación, cada uno de nuestros colegas debe completar un control trimestral, para garantizar que retengan los conocimientos y los pongan en práctica. La capacitación es obligatoria para todos los colegas con acceso a computadoras, incluido nuestro equipo de liderazgo ejecutivo. Para cumplir aún más con el RGPD, hemos realizado una capacitación sobre el RGPD para nuestros colegas en EMEA y comenzamos a establecer un marco formal de clasificación de datos. El marco nos ayudará a comprender mejor y, en última instancia, administrar la información personal que almacenamos.

Cada mes, los miembros de los departamentos jurídico y de ciberseguridad de Greif se reúnen para analizar el cumplimiento de las normas actuales y emergentes sobre seguridad y privacidad de datos. Monitoreamos los cambios normativos y las medidas necesarias para garantizar el cumplimiento.

En 2019, establecimos una estrategia de ciberseguridad de tres años que comenzamos a implementar en 2020. Como parte de esta estrategia, hemos implementado el inicio de sesión único (SSO) y la autenticación multifactor (MFA) en las aplicaciones expuestas a Greif. También hemos implementado soluciones antivirus de última generación con servicios de detección y respuesta de endpoints. Nuestros colegas ahora tienen la capacidad de autoetiquetar su información y correos electrónicos con la clasificación de datos adecuada según nuestro nuevo marco de clasificación de datos. En 2021, continuaremos desarrollando nuestra estrategia de ciberseguridad con un enfoque en la Internet industrial de las cosas, la gestión de riesgos de terceros y el aumento de nuestra capacidad de respuesta a incidentes.