Unsere Datensicherheitspraktiken entsprechen Sarbanes-Oxley, EU-Datenschutz-Grundverordnung (DSGVO) und Greif’s Richtlinie zur Verwaltung und Aufbewahrung von Aufzeichnungen. Das Informationstechnologie-Team von Greif unter der Leitung unseres Managers für globale IT-Sicherheit verwaltet die Datensicherheit, die jährliche Audits für IT-Kontrollprozesse, vierteljährliche Überprüfungen von Datenberechtigungen und vierteljährliche Phishing-Simulationen umfasst. Im Mittelpunkt unserer Sicherheitsoperationen steht die Schulung. Alle Kollegen mit Zugang zu Computern müssen vierteljährliche Cybersicherheitsschulungen absolvieren, vierteljährliche Newsletter zur Sensibilisierung für Cybersicherheit und wöchentliche Sicherheitstipps zu Themen wie Passwortsicherheit und Vermeidung von Phishing-Betrug erhalten und jeden Oktober an unserem jährlichen Cybersicherheitsmonat teilnehmen. Führungskräfte von Greif erhalten Updates über ein Cybersicherheits-Dashboard, das vierteljährlich mit dem Enterprise Risk Management Team und dem Vorstand von Greif geteilt wird. Das Dashboard verfolgt derzeit unsere Leistung anhand des NSF-Reifeindex-Scores des National Institute of Standards and Technology . Sollte Greif Opfer einer Cybersicherheitsverletzung werden, unterhalten wir einen IT Services Cyber Incident and Response Plan und einen IT Services Global Business Continuity Plan, der unsere Schritte umreißt, um schnell auf einen Vorfall zu reagieren und die Auswirkungen zu mindern. Greif hat im Jahr 2020 keine begründeten Beschwerden über Verletzungen der Privatsphäre von Kunden erhalten und keine Lecks, Diebstähle oder Verluste von Kundendaten festgestellt.

Um die physische Sicherheit unserer Gebäude zu verwalten, installiert Greif Tag-Lesegeräte und PIN-Code-Schlösser in unseren Einrichtungen. Wir benötigen für jede Sendung, die von unseren Einrichtungen abgeholt wird, einen Frachtbrief. Greif unterstützt die Produktsicherheit in unserer gesamten Lieferkette, indem es manipulationssichere Verschlüsse anbietet.

Seit 2018 arbeiten wir daran, Erkenntnisse aus einer Cybersicherheits-Reifegradbewertung umzusetzen, die wir in Zusammenarbeit mit einem Drittpartner durchgeführt haben. Wir haben jährliche Online-Cybersicherheits- und Sensibilisierungsschulungen eingeführt, um die Fähigkeit unserer Kollegen zu verbessern, potenzielle Bedrohungen zu erkennen und darauf zu reagieren und Risiken sowohl im digitalen als auch im physischen Bereich zu minimieren. Nach Abschluss der Schulung muss jeder unserer Kollegen einen vierteljährlichen Checkup absolvieren, um sicherzustellen, dass das Wissen erhalten und in die Praxis umgesetzt wird. Die Schulung ist für alle Kollegen mit Zugang zu Computern obligatorisch, einschließlich unseres Executive Leadership Teams. Um die DSGVO weiter einzuhalten, haben wir eine DSGVO-Schulung für unsere Kollegen in EMEA durchgeführt und mit der Einrichtung eines formellen Datenklassifizierungsrahmens begonnen. Das Framework wird uns helfen, die von uns gespeicherten personenbezogenen Daten besser zu verstehen und letztendlich zu verwalten.

Jeden Monat treffen sich Mitglieder der Cybersicherheits- und Rechtsabteilung von Greif, um die Einhaltung aktueller und zukünftiger Datensicherheits- und Datenschutzbestimmungen zu besprechen. Wir überwachen regulatorische Änderungen und Maßnahmen, die zur Gewährleistung der Einhaltung erforderlich sind.

2019 haben wir eine dreijährige Cybersicherheitsstrategie festgelegt, mit deren Umsetzung wir 2020 begonnen haben. Als Teil dieser Strategie haben wir Single-Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) für Greif-exponierte Anwendungen implementiert. Wir haben auch Antivirenlösungen der nächsten Generation mit Endpoint Detection and Response Services implementiert. Unsere Kollegen haben jetzt die Möglichkeit, ihre Informationen und E-Mails mit der richtigen Datenklassifizierung basierend auf unserem neuen Datenklassifizierungs-Framework selbst zu kennzeichnen. Im Jahr 2021 werden wir unsere Cybersicherheitsstrategie mit Schwerpunkt auf dem industriellen Internet der Dinge, dem Risikomanagement von Drittanbietern und der Verbesserung unserer Reaktionsfähigkeit auf Vorfälle weiterentwickeln.