Por: Gary McAlum, Director de Seguridad de la Información, AIG 

De hecho, un informe reciente encontró que las pequeñas empresas tienen tres veces más probabilidades de ser atacadas por ciberdelincuentes que las grandes empresas. Afortunadamente, no necesitas tener un presupuesto multimillonario en ciberseguridad para proteger a tu empresa de los ciberataques. Ya sea que seas responsable de proteger una empresa de la lista Fortune 500 o una operación de cinco personas, aquí hay cuatro pasos simples que puedes tomar para reducir significativamente tu riesgo cibernético.

1. Requerir contraseñas fuertes

Haz que las cuentas de los empleados sean lo más difíciles posible de violar por ciberdelincuentes exigiendo contraseñas largas, únicas y complejas. Para una protección aún mejor, las contraseñas deben tener al menos 12 caracteres y deben incluir letras mayúsculas y minúsculas, números y caracteres especiales.

2. Habilitar la autenticación multifactor

La autenticación multifactor ayuda a mantener a los ciberdelincuentes fuera de cuentas importantes en caso de que la contraseña de un empleado se vea comprometida. Requerir un método secundario para verificar la identidad de un empleado añade una capa adicional de protección.

3. Educar a tus empleados

No importará cuán impenetrables hayas hecho las cuentas de tus empleados si no saben cómo identificar y evitar amenazas cibernéticas. Se ha informado que la mayoría de los ciberataques son causados por errores de los empleados. Si solo tomas una medida para mejorar la ciberseguridad de tu empresa, ¡educa a tus empleados!

• Enfócate en el phishing. El phishing representa el 90 por ciento de las violaciones de datos, por lo que es esencial enseñar a tus empleados cómo reconocer intentos de phishing y qué hacer si reciben un correo electrónico sospechoso, según un informe reciente. La National Cybersecurity Alliance ofrece una visión general útil sobre phishing. El mensaje más sencillo para compartir con tus empleados es: ¡Si tienes dudas, no hagas clic!

• Proporcionar capacitación anual de concientización sobre ciberseguridad. Ya sea que trabajes con un proveedor para proporcionar capacitación formal o simplemente organices una reunión para discutir conceptos básicos de seguridad en línea con tus empleados, ofrece una actualización sobre ciberseguridad al menos una vez al año. Cuando se incorporen nuevos empleados, asegúrate de que reciban capacitación como parte de su integración.

• Participar en el Mes de la Concientización sobre la Ciberseguridad. Usa octubre como una oportunidad para educar a tus empleados sobre ciberseguridad. Regístrate como campeón del Mes de la Concientización sobre la Ciberseguridad para recibir un kit gratuito de materiales que puedes compartir con tus empleados.

• Hacer que los recursos de concientización sobre ciberseguridad estén disponibles todo el año. Si es posible, haz que los recursos de concientización sobre ciberseguridad estén disponibles para los empleados en un sitio de intranet. Incluye contenido de ciberseguridad en boletines y otras comunicaciones recurrentes para empleados.

4. Considerar el seguro cibernético

Los ciberdelincuentes están desarrollando constantemente nuevas tácticas y técnicas, por lo que incluso si tomas todas las medidas anteriores, tu empresa podría aún experimentar un incidente cibernético. No importa el tamaño de tu negocio, el costo de recuperarse de un ciberataque puede ser catastrófico. Comprar un seguro cibernético puede ayudar a cubrir el costo de la recuperación de muchos tipos de incidentes cibernéticos, como violaciones de datos y ataques de ransomware.

Además, muchas pólizas incluyen evaluaciones de riesgo cibernético, conocimientos y acceso a herramientas que ayudan a las empresas a identificar y reconocer cómo remediar vulnerabilidades. Un equipo de reclamos comprometido y experimentado puede interactuar con una organización antes de que ocurra un ataque y una reclamación, y proporcionar información sobre la experiencia y el proceso de reclamaciones, incluidas introducciones a bufetes de abogados y proveedores de ciberseguridad que serían parte de un equipo de respuesta a incidentes si se desarrolla esa necesidad. Esto es especialmente valioso para pequeñas empresas que no tienen recursos dedicados a la ciberseguridad.

Para obtener más información sobre cómo proteger tu negocio de los ciberataques, explora el programa CyberSecure My Business de la National Cybersecurity Alliance.

Gary McAlum, Director de Seguridad de la Información, American International Group (AIG)

En este cargo, él es responsable de desarrollar, implementar y operar una estrategia de seguridad de la información para abordar los riesgos cibernéticos de AIG. Es responsable de proteger los datos de AIG, gestionar los riesgos relacionados con la ciberseguridad y garantizar el cumplimiento normativo, al tiempo que habilita el negocio.

En 2021, Gary se retiró de USAA, una compañía de servicios financieros enfocada en la comunidad militar, donde se desempeñó como su Director de Seguridad durante más de 11 años. En ese cargo, dirigió un equipo de más de 1000 personas en áreas de Seguridad de la Información, Privacidad, Operaciones contra el Fraude, Continuidad de Negocios, Operaciones de Seguridad Física e Investigaciones Corporativas. Mientras estuvo en USAA, sirvió durante 10 años en la Junta de la Internet Security Alliance (ISA) y contribuyó a varias de sus publicaciones. Además, fue un ponente habitual de la industria en el Department of Defense (DoD) Cyberspace Operations Executive Course (COEC) que fue diseñado para proporcionar a los líderes militares senior una mejor comprensión de las tecnologías, políticas y operaciones que se están implementando para defender y operar en el dominio cibernético.

Antes de USAA, Gary sirvió 25 años en la Fuerza Aérea de los EE.UU., retirándose como Coronel.  A lo largo de su carrera militar, trabajó en una variedad de posiciones de liderazgo y personal dentro del campo de la tecnología de la información y la ciberseguridad, incluidas operaciones de ciberseguridad, telecomunicaciones, comunicaciones por satélite, operaciones de red desplegada y seguridad de la información. Gary tuvo múltiples despliegues en Medio Oriente en apoyo de operaciones militares. Más notablemente, estuvo en la línea del frente de las operaciones cibernéticas para el DoD, donde apoyó el establecimiento y la evolución del Joint Task Force Global Network Operations (JTF-GNO), la organización que fue el punto focal para la operación y seguridad de los sistemas y redes de información del DoD y una organización precursora al Comando Cibernético de los EE.UU. Durante este tiempo, Gary fue invitado frecuentemente a proporcionar conocimientos sobre amenazas cibernéticas a una amplia variedad de foros interinstitucionales, incluido el US-China Economic and Security Review Commission y el Grupo Nacional de Estudio Cibernético del Presidente, así como a proporcionar testimonio ante el Congreso. En 2016, fue incluido en el Salón de la Fama de las Operaciones Cibernéticas de la Fuerza Aérea. Después de su retiro de la Fuerza Aérea, pasó un corto tiempo con Deloitte & Touche, LLP, en su práctica federal.

Gary obtuvo un B.A. en Matemáticas de The Citadel, un M.S. en Sistemas de Información de Gestión de la Universidad de Arizona, y un M.S. del Industrial College of the Armed Forces. Es Profesional Certificado en Seguridad de Sistemas de Información (CISSP) y Examinador de Fraude Certificado (CFE). Gary ha completado el curso de certificación de Supervisión de Riesgos Cibernéticos de la National Association of Corporate Directors (NACD), el Programa de Desarrollo Ejecutivo en Seguridad de Wharton, y el curso de educación ejecutiva Ciberseguridad: La Intersección de la Política y la Tecnología en la Escuela Kennedy de Gobierno de Harvard. Además, asistió a la Academia CISO del FBI y a la Academia Ejecutiva de Seguridad Nacional.

Gary sirve en el Consejo de Directores del National Cybersecurity Center, una organización sin fines de lucro para la innovación y conciencia cibernética, y en Fisher House Inc., una organización sin fines de lucro que apoya a los miembros militares, veteranos y sus familias que permanecen en Fisher House mientras reciben tratamiento médico en el área de San Antonio.