Nuestras prácticas de seguridad de datos cumplen con Sarbanes-Oxley, Reglamento General de Protección de Datos (GDPR) de la UE y Greif Política de gestión y retención de registros. El equipo de tecnología de la información de Greif, dirigido por nuestro gerente de seguridad de TI global, administra la seguridad de los datos, lo que incluye auditorías anuales para los procesos de control de TI, revisiones trimestrales de permisos de datos y simulaciones de phishing trimestrales. En el centro de nuestras operaciones de seguridad está la capacitación. Todos los colegas con acceso a computadoras deben completar una capacitación trimestral en seguridad cibernética, recibir boletines informativos trimestrales que promuevan la concientización sobre seguridad cibernética y consejos de seguridad semanales sobre temas que van desde la seguridad de contraseñas hasta evitar estafas de phishing, y participar en nuestro Mes anual de seguridad cibernética cada octubre. Los ejecutivos de Greif reciben actualizaciones a través de un panel de seguridad cibernética que se comparte trimestralmente con el equipo y la junta de administración de riesgos empresariales de Greif. Actualmente, el tablero rastrea nuestro desempeño utilizando el puntaje del índice de madurez NSF del Instituto Nacional de Estándares y Tecnología . En caso de que Greif sea víctima de una violación de seguridad cibernética, mantenemos un Plan de Respuesta e Incidentes Cibernéticos de Servicios de TI y un Plan de Continuidad Comercial Global de Servicios de TI, que describe nuestros pasos para responder rápidamente y mitigar el impacto de un incidente. Greif no recibió quejas fundamentadas sobre violaciones de la privacidad de los clientes y no identificó fugas, robos o pérdidas de datos de clientes en 2020.

Para gestionar la seguridad física de nuestros edificios, Greif instala lectores de etiquetas y candados con código PIN en nuestras instalaciones. Requerimos un conocimiento de embarque para cada envío recogido de nuestras instalaciones. Greif respalda la seguridad del producto en toda nuestra cadena de suministro al ofrecer cierres resistentes a la manipulación.

Desde 2018, hemos estado trabajando para implementar los hallazgos de una evaluación de madurez de ciberseguridad que realizamos en colaboración con un socio externo. Introdujimos la capacitación anual en línea sobre ciberseguridad y concientización para ayudar a mejorar la capacidad de nuestros colegas para identificar y responder a amenazas potenciales y minimizar el riesgo en espacios digitales y físicos. Después de completar la capacitación, cada uno de nuestros colegas debe completar un chequeo trimestral, asegurando que el conocimiento se retenga y se ponga en práctica. La capacitación es obligatoria para todos los colegas con acceso a computadoras, incluido nuestro Equipo de Liderazgo Ejecutivo. Para cumplir aún más con el RGPD, llevamos a cabo una capacitación sobre el RGPD para nuestros colegas en EMEA y comenzamos a establecer un marco de clasificación de datos formal. El marco nos ayudará a comprender mejor y, en última instancia, a administrar la información personal que almacenamos.

Cada mes, los miembros de los departamentos legales y de seguridad cibernética de Greif se reúnen para discutir el cumplimiento de las regulaciones actuales y emergentes de seguridad y privacidad de datos. Monitoreamos los cambios regulatorios y las acciones requeridas para asegurar el cumplimiento.

En 2019 establecimos una estrategia de ciberseguridad de tres años que comenzamos a implementar en 2020. Como parte de esta estrategia, implementamos el inicio de sesión único (SSO) y la autenticación multifactor (MFA) en las aplicaciones expuestas de Greif. También hemos implementado soluciones antivirus de próxima generación con servicios de detección y respuesta de punto final. Nuestros colegas ahora tienen la capacidad de autoetiquetar su información y correos electrónicos con la clasificación de datos adecuada basada en nuestro nuevo marco de clasificación de datos. En 2021, continuaremos desarrollando nuestra estrategia de seguridad cibernética con un enfoque en el Internet industrial de las cosas, la gestión de riesgos de terceros y el aumento de nuestra capacidad de respuesta a incidentes.