Наша практика безпеки даних відповідає Сарбейнсу-Окслі, Загальний регламент ЄС щодо захисту даних (GDPR) і Greif's Політика управління та зберігання записів. Команда інформаційних технологій компанії Greif на чолі з нашим менеджером із глобальної безпеки ІТ керує безпекою даних, що включає щорічні аудити процесів контролю ІТ, щоквартальні перевірки дозволів на дані та щоквартальні симуляції фішингу. Керівники компанії Greif отримують оновлення через інформаційну панель кібербезпеки, якою ми також щоквартально надаємо команду та правління компанії Greif з управління ризиками. Інформаційна панель відстежує нашу продуктивність за допомогою Індекс зрілості Національного інституту стандартів і технологій NSF. Віце-президент і головний адміністративний директор Greif періодично надає правлінню оновлення, пов’язані з безпекою.

Якщо Грайф стане жертвою порушення кібербезпеки, ми підтримуємо план реагування на кіберінциденти ІТ-послуг і Глобальний план безперервності бізнесу ІТ-послуг, у яких описано наші кроки для швидкого реагування на інцидент і пом’якшення його наслідків. У 2021 році ми разом із командою виконавчого керівництва провели настільні навчання на основі сценаріїв, щоб перевірити наш план реагування на кіберінциденти в сфері ІТ-послуг і глобальний план безперервності бізнесу в сфері ІТ-послуг. На основі ключових знань ми визначили можливості та розробили додаткові методичні посібники для підтримки ідентифікації інцидентів і стримування. Ми співпрацюємо як з галузевими, так і з регіональними асоціаціями та консорціумами, щоб підтримувати обмін знаннями щодо реагування на інциденти, безперервності бізнесу та найкращих практик кібербезпеки.

У 2018 році ми провели оцінку зрілості кібербезпеки у співпраці зі стороннім партнером. Ми розпочали роботу над впровадженням результатів оцінки зрілості та розробили трирічну стратегію кібербезпеки. У рамках цієї стратегії ми запровадили систему єдиного входу (SSO) і багатофакторну автентифікацію (MFA) для відкритих додатків Greif. Ми впровадили антивірусні рішення нового покоління зі службами виявлення кінцевих точок і реагування. У 2021 році ми розширили наші можливості для моніторингу та виявлення потенційних проблем, а також автоматизації процесів виявлення та запобігання. Ми також заклали основу для управління ризиками третіх сторін і плануємо запровадити цю програму в 2022 році. Крім того, ми впровадили рішення в Європі, щоб обмежити фізичний доступ до мережі лише для обладнання, авторизованого Greif, і плануємо розширити цю роботу в Північній Америці, починаючи з 2022 року. Ми проводимо ще одну оцінку зрілості, щоб оцінити наш прогрес і визначити можливості для подальшого вдосконалення нашого підходу до безпеки.

У центрі нашої безпеки – навчання. Навчання з кібербезпеки та обізнаності допомагає покращити здатність наших колег виявляти й реагувати на потенційні загрози та мінімізувати ризики як у цифровому, так і у фізичному просторі. Ми навчаємо колег таким темам, як фішингові атаки, гігієна кібербезпеки та загальна безпека в Інтернеті. Після завершення навчання всі колеги повинні щоквартально проходити перевірку, щоб переконатися, що знання зберігаються та застосовуються на практиці. Навчання є обов’язковим для всіх колег, які мають доступ до комп’ютерів, у тому числі для нашої команди виконавчого керівництва. Колеги також щоквартально отримують інформаційні бюлетені, що містять інформацію про кібербезпеку, і щотижневі поради щодо безпеки на різні теми: від захисту паролів до уникнення фішингових шахрайств, а також беруть участь у нашому щорічному Місяці кібербезпеки щороку в жовтні. Крім того, ми запросили зовнішніх доповідачів, щоб виступити перед нашими колегами через живий вебінар і запис, доступний через Університет Грайфа.

Щомісяця співробітники відділу кібербезпеки, кадрів і юридичного відділу Greif зустрічаються, щоб обговорити дотримання чинних і нових норм безпеки та конфіденційності даних. Ми відстежуємо нормативні зміни та дії, необхідні для забезпечення відповідності. Грайф не отримав жодних обґрунтованих скарг щодо порушень конфіденційності клієнтів і не виявив витоків, крадіжок або втрат даних клієнтів у 2021 році. Щоб захистити дані клієнтів, ми дотримуємося моделі «необхідності знати», щоб обмежити кількість людей, які мають доступ до безпечної інформації. Цього року ми запровадили програмні рішення для захисту та шифрування наших кінцевих точок, щоб обмежити наш вплив на потенційні витоки даних і класифікувати наші дані за допомогою ручного позначення. Тепер наші колеги мають можливість самостійно позначати свою інформацію та електронні листи відповідною класифікацією даних на основі нашої нової системи класифікації даних. У 2021 році ми також запустили новий тренінг, щоб ознайомити колег з нашими політиками щодо керування документами та їх збереження та конфіденційності даних. Для подальшої відповідності вимогам GDPR ми провели навчання щодо GDPR для наших колег у регіоні EMEA та почали створювати офіційну структуру класифікації даних. У 2022 році ми продовжимо контролювати та коригувати наш підхід до захисту конфіденційності клієнтів.

Щоб керувати фізичною безпекою наших будівель, Greif встановлює на наших підприємствах зчитувачі тегів і замки з PIN-кодом. Ми вимагаємо коносамент для кожного вантажу, отриманого з наших об’єктів. Компанія Greif забезпечує безпеку продукту в усьому ланцюжку поставок, пропонуючи запірки, захищені від несанкціонованого доступу.