Nuestras prácticas de seguridad de datos cumplen con Sarbanes-Oxley, el Reglamento General de Protección de Datos (RGPD) de la UE y la Política de Retención y Gestión de Registros de Greif. El equipo de tecnología de la información de Greif, dirigido por nuestro gerente de seguridad de TI global, administra la seguridad de los datos, lo que incluye auditorías anuales para los procesos de control de TI, revisiones trimestrales de permisos de datos y simulaciones de phishing trimestrales. Los ejecutivos de Greif reciben actualizaciones a través de un panel de seguridad cibernética que también compartimos trimestralmente con el equipo y la junta de administración de riesgos empresariales de Greif. El tablero realiza un seguimiento de nuestro desempeño utilizando el puntaje del índice de madurez NSF del Instituto Nacional de Estándares y Tecnología . El vicepresidente y director administrativo de Greif proporciona periódicamente a la junta actualizaciones relacionadas con la seguridad.

En caso de que Greif sea víctima de una violación de seguridad cibernética, mantenemos un Plan de Respuesta e Incidentes Cibernéticos de Servicios de TI y un Plan de Continuidad Comercial Global de Servicios de TI, que describen nuestros pasos para responder y mitigar el impacto de un incidente rápidamente. En 2021, llevamos a cabo ejercicios de simulación basados en escenarios con nuestro Equipo de Liderazgo Ejecutivo para probar nuestro Plan de Respuesta e Incidentes Cibernéticos de Servicios de TI y el Plan de Continuidad Comercial Global de Servicios de TI. A partir de los aprendizajes clave, identificamos oportunidades y desarrollamos guías adicionales para respaldar la identificación y contención de incidentes. Trabajamos con asociaciones y consorcios regionales y de la industria para respaldar el intercambio de conocimientos sobre respuesta a incidentes, continuidad del negocio y mejores prácticas de ciberseguridad.

En 2018, llevamos a cabo una evaluación de la madurez de la ciberseguridad en colaboración con un socio externo. Comenzamos a trabajar para implementar los hallazgos de la evaluación de madurez y establecimos una estrategia de seguridad cibernética de tres años. Como parte de esta estrategia, implementamos el inicio de sesión único (SSO) y la autenticación multifactor (MFA) en las aplicaciones expuestas de Greif. Hemos implementado soluciones antivirus de próxima generación con servicios de detección y respuesta de punto final. En 2021, ampliamos nuestras capacidades para monitorear y detectar posibles problemas y automatizar los procesos de detección y prevención. También sentamos las bases para la gestión de riesgos de terceros y esperamos implementar este programa en 2022. Además, hemos implementado soluciones en Europa para limitar el acceso a la red física solo a equipos autorizados por Greif y planeamos expandir este esfuerzo a América del Norte a partir de 2022. Estamos realizando otra evaluación de madurez para medir nuestro progreso e identificar oportunidades para mejorar aún más nuestro enfoque de seguridad.

En el centro de nuestras operaciones de seguridad está la capacitación. La capacitación en ciberseguridad y concientización ayuda a mejorar la capacidad de nuestros colegas para identificar y responder a amenazas potenciales y minimizar el riesgo tanto en espacios digitales como físicos. Capacitamos a colegas en temas como ataques de phishing, higiene de ciberseguridad y seguridad general en Internet. Después de completar la capacitación, todos los colegas deben completar un chequeo trimestral, asegurando que el conocimiento se retenga y se ponga en práctica. La capacitación es obligatoria para cualquier colega con acceso a computadoras, incluido nuestro Equipo de Liderazgo Ejecutivo. Los colegas también reciben boletines trimestrales que promueven la concientización sobre la seguridad cibernética y consejos de seguridad semanales sobre temas que van desde la seguridad de las contraseñas hasta cómo evitar las estafas de phishing, y participan en nuestro Mes de la Seguridad Cibernética anual cada octubre. Además, hemos recibido oradores externos para presentar a nuestros colegas a través de un seminario web en vivo y una grabación disponible a través de la Universidad de Greif.

Cada mes, los miembros de los departamentos de seguridad cibernética, recursos humanos y legal de Greif se reúnen para discutir el cumplimiento de las regulaciones actuales y emergentes de seguridad y privacidad de datos. Monitoreamos los cambios regulatorios y las acciones requeridas para asegurar el cumplimiento. Greif no recibió quejas fundamentadas sobre violaciones de la privacidad de los clientes y no identificó fugas, robos o pérdidas de datos de clientes en 2021. Para proteger los datos de los clientes, seguimos un modelo de necesidad de saber para limitar la cantidad de personas con acceso a información segura. Este año, implementamos soluciones de software para proteger y cifrar nuestros puntos finales para limitar nuestra exposición a posibles filtraciones de datos y para clasificar nuestros datos mediante el etiquetado manual. Nuestros colegas ahora tienen la capacidad de autoetiquetar su información y correos electrónicos con la clasificación de datos adecuada basada en nuestro nuevo marco de clasificación de datos. También lanzamos una nueva capacitación en 2021 para educar a los colegas sobre nuestras políticas de gestión y retención de registros y privacidad de datos. Para cumplir aún más con el RGPD, llevamos a cabo una capacitación sobre el RGPD para nuestros colegas en EMEA y comenzamos a establecer un marco de clasificación de datos formal. En 2022, continuaremos monitoreando y ajustando nuestro enfoque para proteger la privacidad del cliente.

Para gestionar la seguridad física de nuestros edificios, Greif instala lectores de etiquetas y candados con código PIN en nuestras instalaciones. Requerimos un conocimiento de embarque para cada envío recogido de nuestras instalaciones. Greif respalda la seguridad del producto en toda nuestra cadena de suministro al ofrecer cierres resistentes a la manipulación.