La ciberseguridad es una responsabilidad compartida por toda la organización, liderada por nuestro director de información y tecnología digital, que proporciona actualizaciones trimestrales al comité de auditoría y actualizaciones dos veces al año a la junta directiva. Además, el equipo cibernético de Greif realiza evaluaciones periódicas de madurez de seguridad y actualizaciones de la hoja de ruta para garantizar que nuestro programa siga satisfaciendo las necesidades de Greif y se alinee con las mejores prácticas de la industria.

Utilizamos un panel de seguridad para compartir con los ejecutivos, nuestro equipo de gestión de riesgos empresariales y la junta directiva. El panel rastrea nuestro desempeño utilizando el marco de ciberseguridad del Instituto Nacional de Normas y Tecnología como referencia. También mantenemos un plan de respuesta a incidentes de ciberseguridad y un plan de continuidad comercial global, que describen nuestros pasos para responder y mitigar los impactos en caso de un incidente.

Greif mantiene políticas internas para salvaguardar nuestros datos, incluidos nuestros Política de gestión y conservación de registros, Política de privacidad de datos, Política de seguridad de la información y Política de adquisiciones y gastos de TI, que guían nuestras prácticas de seguridad de datos en consonancia con los marcos y regulaciones de la industria, como Sarbanes-Oxley y el Reglamento General de Protección de Datos (GDPR) de la UE. El equipo de TI de Greif realiza auditorías anuales en relación con estas políticas para los procesos de control de TI relacionados con Sarbanes-Oxley y asigna capacitación a los colegas sobre GDPR y conceptos de privacidad de datos para garantizar que cumplamos o superemos los requisitos normativos y de políticas. En 2023, nuestros colegas globales recibieron capacitación sobre privacidad de datos que cubría los elementos de GDPR y otras regulaciones de privacidad relevantes. Los colegas en roles donde el manejo de datos personales es más común, como Recursos Humanos o roles de TI, recibieron detalles adicionales sobre nuestras expectativas y nuestro compromiso con la protección de la información personal. Aproximadamente el 93 por ciento de los colegas relevantes completaron la capacitación sobre privacidad de datos en 2023.

Cada mes, los miembros de los departamentos de Ciberseguridad, Recursos Humanos y Asuntos Legales se reúnen para supervisar y analizar los cambios regulatorios en materia de privacidad de datos y revisar las medidas necesarias para garantizar el cumplimiento. También colaboramos con asociaciones y consorcios regionales y de la industria para respaldar el intercambio de conocimientos sobre regulaciones, cuestiones tecnológicas emergentes y mejores prácticas en materia de ciberseguridad.

Para proteger los datos de nuestros clientes y colegas, seguimos un modelo de necesidad de conocer para limitar la cantidad de personas con acceso a información segura interna y externamente. Además, para garantizar una gestión adecuada de los datos confidenciales, obtenemos el consentimiento a través de acuerdos y cláusulas contractuales y cumplimos con todas las regulaciones pertinentes. Implementamos soluciones de software para proteger y cifrar nuestros puntos finales para limitar nuestra exposición a posibles violaciones de datos, y continuamos capacitando a nuestros colegas sobre nuestras Gestión y conservación de registros y Privacidad de datos Además, destruimos de forma rutinaria y segura el hardware y las copias impresas de información confidencial con proveedores de servicios verificados.

La capacitación en ciberseguridad y concientización permite a nuestros colegas identificar y responder a posibles amenazas y minimizar los riesgos digitales y físicos. Capacitamos a nuestros colegas en seguridad de la información personal, higiene en materia de ciberseguridad y seguridad general en Internet, entre otros temas. Todos los colegas con acceso a computadoras, incluido nuestro equipo de liderazgo ejecutivo, deben completar la capacitación. A todos los colegas administrativos y profesionales se les asigna la capacitación en ciberseguridad y privacidad, y el 93 por ciento de los colegas asignados completaron la capacitación en 2023.

Complementamos la formación general sobre seguridad con formación específica sobre phishing. Nuestro programa incluye correos electrónicos de phishing simulados que se envían mensualmente a nuestros colegas administrativos y profesionales. Estos mensajes ponen a prueba su capacidad para identificar y denunciar mensajes sospechosos. A quienes no lo logran se les asigna formación adicional para ayudarlos a identificar los riesgos de phishing.

Nuestros colegas también reciben boletines trimestrales que promueven la concienciación sobre la ciberseguridad, consejos de seguridad semanales sobre temas que van desde la seguridad de las contraseñas hasta cómo evitar estafas de phishing y conexiones con contenido de capacitación en seguridad externa a través de Greif University. También organizamos una campaña anual de concienciación sobre el Mes de la Ciberseguridad cada octubre.

Instalamos lectores de etiquetas y cerraduras con código PIN para proteger el acceso físico a nuestras instalaciones, y se requiere un conocimiento de embarque para cada envío que se retira de nuestras instalaciones. Además, se utilizan cajas resistentes a la manipulación en toda la cadena de suministro para brindarles a los clientes la confianza de que sus productos están protegidos y seguros.

Greif ofrece varias opciones para que los colegas informen sobre comportamientos sospechosos, posibles violaciones de datos, actividades de phishing y otros incidentes. La línea directa de ética de Greif también está disponible para que todos los colegas informen sobre cuestiones que les preocupen.