Nuestras prácticas de seguridad de datos cumplen con la ley Sarbanes-Oxley, Reglamento General de Protección de Datos de la UE (RGPD) y Greif Política de gestión y conservación de registrosEl equipo de tecnología de la información de Greif, dirigido por nuestro gerente de seguridad informática global, administra la seguridad de los datos, que incluye auditorías anuales de los procesos de control de TI, revisiones trimestrales de los permisos de datos y simulaciones trimestrales de phishing. Los ejecutivos de Greif reciben actualizaciones a través de un panel de control de ciberseguridad que también compartimos trimestralmente con el equipo de gestión de riesgos empresariales y la junta directiva de Greif. El panel de control rastrea nuestro desempeño utilizando Puntuación del índice de madurez NSF del Instituto Nacional de Estándares y TecnologíaEl vicepresidente y director administrativo de Greif proporciona periódicamente a la junta actualizaciones relacionadas con la seguridad.

Si Greif es víctima de una violación de la seguridad cibernética, mantenemos un Plan de respuesta e incidentes cibernéticos de servicios de TI y un Plan de continuidad comercial global de servicios de TI, que describen nuestros pasos para responder y mitigar el impacto de un incidente rápidamente. En 2021, realizamos ejercicios de simulación basados en escenarios con nuestro Equipo de liderazgo ejecutivo para probar nuestro Plan de respuesta e incidentes cibernéticos de servicios de TI y el Plan de continuidad comercial global de servicios de TI. A partir de los aprendizajes clave, identificamos oportunidades y desarrollamos manuales adicionales para respaldar la identificación y contención de incidentes. Trabajamos con asociaciones y consorcios tanto de la industria como regionales para respaldar el intercambio de conocimientos sobre respuesta a incidentes, continuidad comercial y mejores prácticas de seguridad cibernética.

En 2018, realizamos una evaluación de madurez de la ciberseguridad en colaboración con un socio externo. Comenzamos a trabajar para implementar los hallazgos de la evaluación de madurez y establecimos una estrategia de ciberseguridad de tres años. Como parte de esta estrategia, hemos implementado el inicio de sesión único (SSO) y la autenticación multifactor (MFA) en las aplicaciones expuestas de Greif. Hemos implementado soluciones antivirus de última generación con servicios de detección y respuesta de endpoints. En 2021, ampliamos nuestras capacidades para monitorear y detectar problemas potenciales y automatizar los procesos de detección y prevención. También sentamos las bases para la gestión de riesgos de terceros y esperamos implementar este programa en 2022. Además, hemos implementado soluciones en Europa para limitar el acceso físico a la red solo a los equipos autorizados por Greif y planeamos expandir este esfuerzo a América del Norte a partir de 2022. Estamos realizando otra evaluación de madurez para medir nuestro progreso e identificar oportunidades para mejorar aún más nuestro enfoque de seguridad.

En el centro de nuestras operaciones de seguridad se encuentra la capacitación. La capacitación en ciberseguridad y concienciación ayuda a mejorar la capacidad de nuestros colegas para identificar y responder a posibles amenazas y minimizar el riesgo tanto en espacios digitales como físicos. Capacitamos a los colegas en temas como ataques de phishing, higiene en materia de ciberseguridad y seguridad general en Internet. Después de completar la capacitación, todos los colegas deben completar un control trimestral, para garantizar que retengan los conocimientos y los pongan en práctica. La capacitación es obligatoria para cualquier colega con acceso a computadoras, incluido nuestro equipo de liderazgo ejecutivo. Los colegas también reciben boletines trimestrales que promueven la concienciación sobre la ciberseguridad y consejos de seguridad semanales sobre temas que van desde la seguridad de las contraseñas hasta cómo evitar las estafas de phishing, y participan en nuestro Mes de la Ciberseguridad anual cada octubre. Además, hemos invitado a oradores externos para que se presenten ante nuestros colegas a través de un seminario web en vivo y una grabación disponible a través de Greif University.

Cada mes, los miembros de los departamentos de ciberseguridad, recursos humanos y legal de Greif se reúnen para analizar el cumplimiento de las normativas actuales y emergentes sobre seguridad y privacidad de datos. Monitoreamos los cambios normativos y las acciones necesarias para garantizar el cumplimiento. Greif no recibió quejas fundamentadas sobre violaciones de la privacidad de los clientes y no identificó fugas, robos ni pérdidas de datos de clientes en 2021. Para proteger los datos de los clientes, seguimos un modelo de necesidad de saber para limitar la cantidad de personas con acceso a información segura. Este año, implementamos soluciones de software para proteger y cifrar nuestros puntos finales para limitar nuestra exposición a posibles violaciones de datos y clasificar nuestros datos mediante etiquetado manual. Nuestros colegas ahora tienen la capacidad de autoetiquetar su información y correos electrónicos con la clasificación de datos adecuada según nuestro nuevo marco de clasificación de datos. También lanzamos una nueva capacitación en 2021 para educar a los colegas sobre nuestras políticas de gestión y retención de registros y privacidad de datos. Para cumplir aún más con el RGPD, hemos realizado una capacitación sobre el RGPD para nuestros colegas en EMEA y comenzamos a establecer un marco de clasificación de datos formal. En 2022, continuaremos monitoreando y ajustando nuestro enfoque para proteger la privacidad del cliente.

Para gestionar la seguridad física de nuestros edificios, Greif instala lectores de etiquetas y cerraduras con código PIN en nuestras instalaciones. Requerimos un conocimiento de embarque para cada envío que se retira de nuestras instalaciones. Greif respalda la seguridad de los productos en toda nuestra cadena de suministro ofreciendo cierres a prueba de manipulaciones.