A segurança cibernética é uma responsabilidade compartilhada por toda a organização, liderada por nosso Chief Information and Digital Officer, que fornece atualizações trimestrais ao Audit Committee e atualizações semestrais ao Board of Directors. Além disso, a equipe cibernética da Greif realiza avaliações periódicas de maturidade de segurança e atualizações de roteiro para garantir que nosso programa continue a atender às necessidades da Greif e se alinhe com as melhores práticas do setor.

Utilizamos um painel de segurança para compartilhar com executivos, nossa Equipe de Gestão de Riscos Corporativos e o Conselho. O painel rastreia nosso desempenho usando o National Institute of Standards and Technology Cybersecurity Framework como referência. Também mantemos um plano de resposta a incidentes de segurança cibernética e um plano global de continuidade de negócios, que descrevem nossas etapas para responder e mitigar impactos no caso de um incidente.

A Greif mantém políticas internas para proteger nossos dados, incluindo nossos Política de Gestão e Retenção de Registros, Política de Privacidade de Dados, Política de Segurança da Informação e Política de Aquisição e Gastos de TI, todas as quais orientam nossas práticas de segurança de dados em alinhamento com estruturas e regulamentações do setor, como Sarbanes-Oxley e o Regulamento Geral de Proteção de Dados (GDPR) da UE. A equipe de TI da Greif realiza auditorias anuais em relação a essas políticas para processos de controle de TI relacionados à Sarbanes-Oxley e atribui treinamento a colegas sobre conceitos de GDPR e privacidade de dados para garantir que atendemos ou excedemos os requisitos de política e regulatórios. Em 2023, nossos colegas globais receberam treinamento em privacidade de dados abrangendo os elementos do GDPR e outros regulamentos de privacidade relevantes. Colegas em funções nas quais o manuseio de dados pessoais é mais comum — como Recursos Humanos ou funções de TI — receberam detalhes adicionais sobre nossas expectativas e nosso compromisso com a proteção de informações pessoais. Aproximadamente 93% dos colegas relevantes concluíram o treinamento em privacidade de dados em 2023.

Todo mês, membros da Cybersecurity, Recursos Humanos e do Departamento Jurídico se reúnem para monitorar e discutir mudanças regulatórias em privacidade de dados e revisar ações necessárias para garantir a conformidade. Também fazemos parcerias com associações e consórcios regionais e da indústria para dar suporte ao compartilhamento de conhecimento envolvendo regulamentações, questões tecnológicas emergentes e melhores práticas de segurança cibernética.

Para proteger os dados de clientes e colegas, seguimos um modelo de necessidade de saber para limitar o número de pessoas com acesso a informações seguras interna e externamente. Além disso, para garantir o gerenciamento sólido de dados confidenciais, obtemos consentimento por meio de acordos e cláusulas contratuais e cumprimos todos os regulamentos relevantes. Implementamos soluções de software para proteger e criptografar nossos endpoints para limitar nossa exposição a potenciais violações de dados e continuamos a educar os colegas sobre nossos Gestão e retenção de registros e Privacidade de dados políticas. Além disso, destruímos rotineiramente e com segurança hardware e cópias impressas de informações confidenciais com provedores de serviços verificados.

O treinamento de conscientização e segurança cibernética permite que nossos colegas identifiquem e respondam a ameaças potenciais e minimizem riscos digitais e físicos. Treinamos colegas sobre segurança de informações pessoais, higiene de segurança cibernética e segurança geral na Internet, entre outros tópicos. Todos os colegas com acesso a computadores – incluindo nossa Equipe de Liderança Executiva – devem concluir o treinamento. Todos os colegas administrativos e profissionais recebem o treinamento de privacidade e cibernética e 93% dos colegas designados concluíram o treinamento em 2023.

Complementamos o treinamento geral de segurança com educação específica sobre phishing. Nosso programa inclui e-mails de phishing simulados mensais enviados aos nossos colegas administrativos e profissionais. Essas mensagens testam sua capacidade de identificar e relatar mensagens suspeitas. Aqueles que não têm sucesso recebem treinamento adicional para ajudá-los a identificar riscos de phishing.

Nossos colegas também recebem boletins trimestrais promovendo conscientização sobre segurança cibernética, dicas semanais de segurança sobre tópicos que vão desde segurança de senha até como evitar golpes de phishing e conexões com conteúdo de treinamento de segurança externo por meio da Greif University. Também realizamos uma campanha anual de conscientização do Mês da Segurança Cibernética todo mês de outubro.

Instalamos leitores de etiquetas e travas de código PIN para proteger o acesso físico em nossas instalações, e um conhecimento de embarque é necessário para cada remessa retirada de nossas instalações. Além disso, invólucros invioláveis são usados em toda a cadeia de suprimentos para dar aos clientes a confiança de que seus produtos estão protegidos e seguros.

A Greif fornece várias opções para colegas relatarem comportamento suspeito, potenciais violações de dados, atividade de phishing e outros incidentes. A Linha Direta de Ética da Greif também está disponível para todos os colegas relatarem problemas de preocupação.