Nossas práticas de segurança de dados estão em conformidade com a Sarbanes-Oxley, Regulamento Geral de Proteção de Dados da UE (GDPR) e Greif Política de Gestão e Retenção de Registros. A equipe de tecnologia da informação da Greif, liderada por nosso gerente de segurança global de TI, gerencia a segurança de dados, o que inclui auditorias anuais para processos de controle de TI, revisões trimestrais de permissões de dados e simulações trimestrais de phishing. Os executivos da Greif recebem atualizações por meio de um painel de segurança cibernética que também compartilhamos trimestralmente com a equipe de gerenciamento de risco empresarial e o conselho da Greif. O painel rastreia nosso desempenho usando o Pontuação do índice de maturidade NSF do Instituto Nacional de Padrões e Tecnologia. O vice-presidente e diretor administrativo da Greif fornece ao conselho atualizações relacionadas à segurança periodicamente.

Caso a Greif seja vítima de uma violação de segurança cibernética, mantemos um Plano de Resposta e Incidente Cibernético de Serviços de TI e um Plano de Continuidade de Negócios Global de Serviços de TI, que descrevem nossas etapas para responder e mitigar o impacto de um incidente rapidamente. Em 2021, conduzimos exercícios de mesa baseados em cenários com nossa Equipe de Liderança Executiva para testar nosso Plano de Resposta e Incidente Cibernético de Serviços de TI e Plano de Continuidade de Negócios Global de Serviços de TI. A partir dos principais aprendizados, identificamos oportunidades e desenvolvemos manuais adicionais para dar suporte à identificação e contenção de incidentes. Trabalhamos com associações e consórcios regionais e do setor para dar suporte ao compartilhamento de conhecimento sobre resposta a incidentes, continuidade de negócios e melhores práticas de segurança cibernética.

Em 2018, conduzimos uma avaliação de maturidade de segurança cibernética em colaboração com um parceiro terceirizado. Começamos a trabalhar para implementar as descobertas da avaliação de maturidade e estabelecemos uma estratégia de segurança cibernética de três anos. Como parte dessa estratégia, implementamos o logon único (SSO) e a autenticação multifator (MFA) para os aplicativos expostos da Greif. Implementamos soluções antivírus de última geração com serviços de detecção e resposta de endpoint. Em 2021, ampliamos nossas capacidades para monitorar e detectar problemas potenciais e automatizar os processos de detecção e prevenção. Também estabelecemos as bases para o gerenciamento de risco de terceiros e esperamos implementar esse programa em 2022. Além disso, implementamos soluções na Europa para limitar o acesso físico à rede apenas a equipamentos autorizados pela Greif e planejamos expandir esse esforço para a América do Norte a partir de 2022. Estamos conduzindo outra avaliação de maturidade para medir nosso progresso e identificar oportunidades para melhorar ainda mais nossa abordagem de segurança.

No centro de nossas operações de segurança está o treinamento. O treinamento em Segurança Cibernética e Conscientização ajuda a melhorar a capacidade de nossos colegas de identificar e responder a ameaças potenciais e minimizar riscos em espaços digitais e físicos. Treinamos colegas em tópicos como ataques de phishing, higiene de segurança cibernética e segurança geral na Internet. Após concluir o treinamento, todos os colegas devem concluir um check-up trimestral, garantindo que o conhecimento seja retido e colocado em prática. O treinamento é obrigatório para qualquer colega com acesso a computadores, incluindo nossa Equipe de Liderança Executiva. Os colegas também recebem boletins trimestrais promovendo a conscientização sobre segurança cibernética e dicas semanais de segurança sobre tópicos que vão desde segurança de senha até como evitar golpes de phishing, e participam do nosso Mês de Segurança Cibernética anual todo mês de outubro. Além disso, recebemos palestrantes externos para apresentar aos nossos colegas por meio de um webinar ao vivo e gravação disponibilizados pela Greif University.

Todo mês, membros dos departamentos de segurança cibernética, recursos humanos e jurídico da Greif se reúnem para discutir a conformidade com as regulamentações atuais e emergentes de segurança de dados e privacidade de dados. Monitoramos mudanças regulatórias e ações necessárias para garantir a conformidade. A Greif não recebeu nenhuma reclamação fundamentada sobre violações de privacidade do cliente e não identificou vazamentos, roubos ou perdas de dados do cliente em 2021. Para proteger os dados do cliente, seguimos um modelo de necessidade de saber para limitar o número de pessoas com acesso a informações seguras. Este ano, implementamos soluções de software para proteger e criptografar nossos endpoints para limitar nossa exposição a potenciais violações de dados e classificar nossos dados por meio de marcação manual. Nossos colegas agora têm a capacidade de automarcar suas informações e e-mails com a classificação de dados adequada com base em nossa nova estrutura de classificação de dados. Também lançamos um novo treinamento em 2021 para educar os colegas sobre nossas políticas de gerenciamento e retenção de registros e privacidade de dados. Para cumprir ainda mais com o GDPR, conduzimos o treinamento do GDPR para nossos colegas na EMEA e começamos a estabelecer uma estrutura formal de classificação de dados. Em 2022, continuaremos monitorando e ajustando nossa abordagem para proteger a privacidade do cliente.

Para gerenciar a segurança física de nossos prédios, a Greif instala leitores de etiquetas e fechaduras de código PIN em nossas instalações. Exigimos um conhecimento de embarque para cada remessa retirada de nossas instalações. A Greif oferece suporte à segurança do produto em toda a nossa cadeia de suprimentos, oferecendo fechos resistentes a violações.