Наши методы обеспечения безопасности данных соответствуют Закону Сарбейнса-Оксли, Общему регламенту ЕС по защите данных (GDPR) и Политике управления и хранения записей Greif. Группа информационных технологий Greif, возглавляемая нашим менеджером по глобальной ИТ-безопасности, управляет безопасностью данных, которая включает в себя ежегодные проверки процессов управления ИТ, ежеквартальные проверки разрешений на доступ к данным и ежеквартальное моделирование фишинга. Руководители Greif получают обновления через информационную панель кибербезопасности, которую мы также ежеквартально передаем группе управления корпоративными рисками и совету директоров Greif. Панель инструментов отслеживает наши показатели с помощью индекса зрелости Национального института стандартов и технологий NSF . Вице-президент и главный административный директор Greif периодически предоставляет совету директоров обновления, связанные с безопасностью.

Если Greif станет жертвой нарушения кибербезопасности, мы разработаем План реагирования на кибер-инциденты ИТ-служб и Глобальный план обеспечения непрерывности бизнеса ИТ-служб, в которых изложены наши действия по быстрому реагированию на инцидент и смягчению его последствий. В 2021 году мы провели настольные учения на основе сценариев с нашей группой высшего руководства, чтобы протестировать наш план реагирования на кибер-инциденты в сфере ИТ-услуг и план реагирования на них, а также глобальный план обеспечения непрерывности бизнеса в сфере ИТ-услуг. Из ключевых выводов мы определили возможности и разработали дополнительные сценарии для поддержки выявления и сдерживания инцидентов. Мы работаем как с отраслевыми, так и с региональными ассоциациями и консорциумами, чтобы поддерживать обмен знаниями о реагировании на инциденты, обеспечении непрерывности бизнеса и передовых методах кибербезопасности.

В 2018 году мы провели оценку зрелости кибербезопасности в сотрудничестве со сторонним партнером. Мы начали работу по внедрению результатов оценки зрелости и разработали трехлетнюю стратегию кибербезопасности. В рамках этой стратегии мы внедрили единый вход (SSO) и многофакторную аутентификацию (MFA) для открытых приложений Greif. Мы внедрили антивирусные решения нового поколения со службами обнаружения и реагирования на конечные точки. В 2021 году мы расширили наши возможности для мониторинга и обнаружения потенциальных проблем и автоматизации процессов обнаружения и предотвращения. Мы также заложили основу для управления рисками третьих лиц и рассчитываем реализовать эту программу в 2022 году. Кроме того, мы внедрили в Европе решения, ограничивающие доступ к физической сети только оборудованием, авторизованным Greif, и планируем распространить эту работу на Северную Америку, начиная с 2022 года. Мы проводим еще одну оценку зрелости, чтобы измерить наш прогресс и определить возможности для дальнейшего улучшения нашего подхода к безопасности.

В центре наших операций по обеспечению безопасности обучение. Обучение кибербезопасности и осведомленности помогает улучшить способность наших коллег выявлять потенциальные угрозы и реагировать на них, а также минимизировать риски как в цифровом, так и в физическом пространстве. Мы обучаем коллег таким темам, как фишинговые атаки, гигиена кибербезопасности и общая безопасность в Интернете. После завершения обучения все коллеги должны проходить ежеквартальную проверку, чтобы убедиться, что знания сохранены и применены на практике. Обучение обязательно для всех коллег, имеющих доступ к компьютерам, в том числе для нашей группы высшего руководства. Коллеги также получают ежеквартальные информационные бюллетени, пропагандирующие кибербезопасность, и еженедельные советы по безопасности по различным темам, от безопасности паролей до предотвращения фишинговых атак, и каждый октябрь они участвуют в нашем ежегодном Месяце кибербезопасности. Кроме того, мы пригласили внешних спикеров, чтобы представить их нашим коллегам через живой вебинар и запись, доступную через Университет Грайфа.

Каждый месяц члены отдела кибербезопасности, отдела кадров и юридического отдела Greif встречаются, чтобы обсудить соответствие текущим и новым правилам безопасности и конфиденциальности данных. Мы отслеживаем нормативные изменения и действия, необходимые для обеспечения соответствия. Компания Greif не получала обоснованных жалоб на нарушение конфиденциальности клиентов и не выявила утечек, краж или потерь данных клиентов в 2021 году. Чтобы защитить данные клиентов, мы следуем модели «необходимо знать», чтобы ограничить количество людей, имеющих доступ к защищенной информации. В этом году мы внедрили программные решения для защиты и шифрования наших конечных точек, чтобы ограничить нашу подверженность потенциальным утечкам данных и классифицировать наши данные с помощью ручной маркировки. Теперь наши коллеги могут самостоятельно помечать свою информацию и электронные письма соответствующей классификацией данных на основе нашей новой системы классификации данных. В 2021 году мы также запустили новый курс обучения для ознакомления коллег с нашими политиками управления записями, их хранения и конфиденциальности данных. Чтобы еще больше соответствовать GDPR, мы провели обучение GDPR для наших коллег в регионе EMEA и начали создавать официальную структуру классификации данных. В 2022 году мы продолжим отслеживать и корректировать наш подход к защите конфиденциальности клиентов.

Для обеспечения физической безопасности наших зданий компания Greif устанавливает на своих объектах считыватели бирок и замки с PIN-кодом. Мы требуем коносамент на каждую партию, забираемую с наших объектов. Greif поддерживает безопасность продукции на протяжении всей цепочки поставок, предлагая защищенные от несанкционированного доступа крышки.