Nuestras prácticas de seguridad de datos cumplen con la ley Sarbanes-Oxley, Reglamento General de Protección de Datos de la UE (RGPD) y las políticas internas de Greif, incluidas Política de gestión y conservación de registros, Política de privacidad de datos, política de seguridad de la información y política de compras y gastos de TI. La seguridad es una responsabilidad compartida en toda la organización, liderada por el Director de Tecnología (CTO), y la ciberseguridad, en particular, es responsabilidad del Director de Información y Digital. El CTO de Greif proporciona a la Junta y al Comité de Auditoría actualizaciones periódicas relacionadas con la seguridad. Los ejecutivos de Greif también reciben actualizaciones a través de un panel de control de ciberseguridad que se comparte trimestralmente con el Equipo de Gestión de Riesgos Empresariales y la Junta Directiva de Greif. El panel de control rastrea nuestro desempeño utilizando Instituto Nacional de Estándares y Tecnología Marco de Ciberseguridad Como referencia, el equipo de Tecnologías de la Información de Greif también desempeña un papel en la seguridad general de los datos, ya que realiza auditorías anuales de los procesos de control de TI y simulaciones de phishing y artículos de concientización mensuales, que en 2021 se incrementaron de trimestralmente.

Si Greif es víctima de una violación de seguridad cibernética, mantenemos un Plan de respuesta e incidentes cibernéticos y un Plan de continuidad comercial global de servicios de TI, que describe nuestros pasos para responder y mitigar el impacto de un incidente rápidamente. La línea directa de ética de Greif está disponible para todos los colegas en caso de sospechas de violación de datos, y una opción de informe automático de phishing está disponible para todos los colegas con acceso al correo electrónico. Trabajamos con asociaciones y consorcios regionales y de la industria para respaldar el intercambio de conocimientos sobre respuesta a incidentes, continuidad comercial y mejores prácticas de seguridad cibernética.

La capacitación es una parte vital del programa de ciberseguridad de Greif. La capacitación en ciberseguridad y concientización ayuda a mejorar la capacidad de nuestros colegas para identificar y responder a amenazas potenciales y minimizar el riesgo tanto en espacios digitales como físicos. Capacitamos a los colegas sobre ataques de phishing, higiene de ciberseguridad y seguridad general en Internet, entre otros temas. Después de completar la capacitación, todos los colegas deben realizar un control trimestral, para garantizar que retengan y practiquen los conocimientos. Esta capacitación es obligatoria para todos los colegas con acceso a computadoras, incluido nuestro Equipo de liderazgo ejecutivo. Nuestros colegas también reciben boletines trimestrales que promueven la concienciación sobre la ciberseguridad, consejos de seguridad semanales sobre temas que van desde la seguridad de las contraseñas hasta cómo evitar las estafas de phishing y conexiones con oradores externos sobre seguridad a través de Greif University. También participan en nuestra campaña anual de concientización sobre el Mes de la Ciberseguridad cada octubre. Greif trabaja con un socio externo para implementar estas iniciativas de capacitación, y el puntaje general de propensión al phishing de Greif es un 11 por ciento mejor que el promedio de nuestra industria para fabricantes a gran escala.

Cada mes, los miembros de los departamentos de Ciberseguridad, Recursos Humanos y Legal se reúnen para analizar el cumplimiento de las normas actuales y emergentes de seguridad y privacidad de los datos. Monitoreamos los cambios normativos y las acciones necesarias para garantizar el cumplimiento. Para proteger los datos de los clientes, seguimos un modelo de necesidad de saber para limitar la cantidad de personas con acceso a información segura, tanto interna como externamente. Además, para garantizar una gestión adecuada de los datos confidenciales, obtenemos el consentimiento a través de acuerdos y cláusulas contractuales y cumplimos con todas las normas pertinentes. Implementamos soluciones de software para proteger y cifrar nuestros puntos finales para limitar nuestra exposición a posibles violaciones de datos, y seguimos capacitando a nuestros colegas sobre nuestras políticas de gestión y retención de registros y privacidad de datos. Para cumplir aún más con el RGPD, hemos realizado capacitaciones sobre el RGPD para nuestros colegas en Europa, Oriente Medio y África. Además, destruimos de forma rutinaria y segura el hardware y las copias impresas con información confidencial con proveedores de servicios verificados.

Instalamos lectores de etiquetas y cerraduras con código PIN para proteger el acceso físico a nuestras instalaciones, y se requiere un conocimiento de embarque para cada envío que se retira de nuestras instalaciones. Además, se utilizan cajas resistentes a la manipulación en toda la cadena de suministro para brindarles a los clientes la confianza de que sus productos están protegidos y seguros.