Кібербезпека є спільною відповідальністю для всієї організації, очолюваної нашим директором з інформації та цифрових технологій, який щоквартально надає оновлення Аудиторському комітету та двічі на рік Раді директорів. Крім того, кіберкоманда Greif проводить періодичні оцінки зрілості безпеки та оновлення дорожньої карти, щоб переконатися, що наша програма продовжує відповідати потребам Greif і відповідає найкращим галузевим практикам.

Ми використовуємо інформаційну панель безпеки, щоб ділитися інформацією з керівниками, командою управління ризиками підприємства та Радою. Інформаційна панель відстежує нашу ефективність, використовуючи як довідковий документ Національного інституту стандартів і технологій кібербезпеки. Ми також підтримуємо план реагування на інциденти кібербезпеки та глобальний план безперервності бізнесу, у яких описано наші кроки щодо реагування на інцидент і пом’якшення наслідків у разі виникнення інциденту.

Greif дотримується внутрішньої політики щодо захисту наших даних, у тому числі наших Політика управління та зберігання записів, Політика конфіденційності даних, Політика інформаційної безпеки та Політика закупівель і витрат на ІТ, які керують нашими методами безпеки даних у відповідності з галузевими рамками та правилами, такими як Сарбейнса-Окслі та Загальний регламент ЄС щодо захисту даних (GDPR). ІТ-команда Грейфа проводить щорічні перевірки цих політик для процесів контролю ІТ, пов’язаних із Сарбейнсом-Окслі, і призначає навчання колегам щодо GDPR і концепцій конфіденційності даних, щоб переконатися, що ми відповідаємо або перевищуємо вимоги політики та нормативні вимоги. У 2023 році наші колеги з усього світу пройшли тренінги з конфіденційності даних, які охоплювали елементи GDPR та інші відповідні норми щодо конфіденційності. Колеги, які обіймають посади, де обробка особистих даних є більш поширеною, наприклад посади відділу кадрів або ІТ, отримали додаткові відомості про наші очікування та наше зобов’язання щодо захисту особистої інформації. Приблизно 93 відсотки відповідних колег пройшли навчання з конфіденційності даних у 2023 році.

Щомісяця представники відділу кібербезпеки, відділу кадрів і юридичного відділу збираються для моніторингу й обговорення нормативних змін у сфері конфіденційності даних і перегляду дій, необхідних для забезпечення відповідності. Ми також співпрацюємо з галузевими та регіональними асоціаціями та консорціумами для підтримки обміну знаннями, що стосуються нормативних актів, нових технологічних проблем і передового досвіду кібербезпеки.

Щоб захистити дані клієнтів і колег, ми дотримуємося моделі «необхідності знати», щоб обмежити кількість людей, які мають доступ до захищеної інформації всередині та ззовні. Крім того, щоб забезпечити надійне управління конфіденційними даними, ми отримуємо згоду через угоди та договірні положення та дотримуємося всіх відповідних норм. Ми впроваджуємо програмні рішення для захисту та шифрування наших кінцевих точок, щоб обмежити наш вплив на потенційні порушення даних, і ми продовжуємо навчати колег нашим Управління та зберігання записів і Конфіденційність даних політики. Крім того, ми регулярно та безпечно знищуємо апаратне забезпечення та друковані копії конфіденційної інформації за допомогою перевірених постачальників послуг.

Навчання з кібербезпеки та підвищення обізнаності дозволяє нашим колегам виявляти й реагувати на потенційні загрози та мінімізувати цифрові та фізичні ризики. Серед інших тем ми навчаємо колег із безпеки особистої інформації, гігієни кібербезпеки та загальної безпеки в Інтернеті. Усі колеги, які мають доступ до комп’ютера, включаючи нашу команду виконавчого керівництва, повинні пройти навчання. Усі адміністративні та професійні колеги проходять навчання з питань кібернетики та конфіденційності, і 93 відсотки призначених колег пройшли навчання у 2023 році.

Ми доповнюємо загальне навчання безпеки спеціальним навчанням з фішингу. Наша програма включає щомісячні симуляції фішингових електронних листів, які надсилаються нашим адміністративним і професійним колегам. Ці повідомлення перевіряють їх здатність ідентифікувати підозрілі повідомлення та повідомляти про них. Ті, хто не зазнають успіху, проходять додаткове навчання, щоб допомогти їм визначити ризики фішингу.

Наші колеги також отримують щоквартальні інформаційні бюлетені, що сприяють підвищенню обізнаності про кібербезпеку, щотижневі поради щодо безпеки на різні теми: від захисту паролів до уникнення фішингових шахрайств і підключення до зовнішнього навчального контенту з безпеки через Університет Грайфа. Щороку в жовтні ми також проводимо інформаційну кампанію Місяць кібербезпеки.

Ми захищаємо фізичний доступ до наших об’єктів, встановлюючи зчитувачі тегів і замки з PIN-кодом, і ми вимагаємо накладну для кожного вантажу, отриманого з наших об’єктів. Крім того, у всьому ланцюжку постачання використовуються захищені від несанкціонованого доступу корпуси, щоб дати клієнтам впевненість у тому, що їхні продукти захищені та безпечні.

Greif надає колегам різні варіанти повідомити про підозрілу поведінку, потенційні витоки даних, фішингову діяльність та інші інциденти. Гаряча лінія з питань етики Грайфа також доступна для всіх колег, щоб повідомити про проблеми, що викликають занепокоєння.