Ciberataques pueden ocurrir a empresas de todos los tamaños.
Por: Gary McAlumDirector de Seguridad de la Información, AIG
De hecho, según un informe reciente, las pequeñas empresas tienen tres veces más probabilidades de convertirse en objetivo de los ciberdelincuentes que las grandes empresas. Por suerte, no es necesario disponer de un presupuesto multimillonario en ciberseguridad para proteger a su empresa de los ciberataques. Tanto si es responsable de la protección de una empresa de Fortune 500 como de una operación de cinco personas, aquí tiene cuatro sencillos pasos que puede dar para reducir significativamente su riesgo cibernético.
1. Exija contraseñas seguras
Haga que las cuentas de los empleados sean lo más difíciles posible de violar para los ciberdelincuentes exigiendo contraseñas largas, únicas y complejas. Para una mayor protección, las contraseñas deben tener al menos 12 caracteres e incluir mayúsculas, minúsculas, números y caracteres especiales.
2. Activar la autenticación multifactor
La autenticación multifactor ayuda a mantener a los ciberdelincuentes fuera de las cuentas importantes en caso de que la contraseña de un empleado se vea comprometida. Exigir un método secundario para verificar la identidad de un empleado añade una capa adicional de protección.
3. Eduque a sus empleados
No importa lo impenetrables que hayas hecho las cuentas de tus empleados si no saben cómo identificar y evitar las ciberamenazas. La mayoría de los ciberataques se deben a errores de los empleados. Si sólo tiene que dar un paso para mejorar la ciberseguridad de su empresa, ¡eduque a sus empleados!
- Céntrese en el phishing. El phishing es responsable del 90% de las filtraciones de datos, por lo que es esencial enseñar a los empleados a reconocer los intentos de phishing y a saber qué hacer si reciben un correo electrónico sospechoso, según un informe reciente. La Alianza Nacional de Ciberseguridad ofrece una útil visión general sobre el phishing. El mensaje más sencillo para compartir con sus empleados es: En caso de duda, ¡no hagas clic!
- Ofrezca formación anual sobre ciberseguridad. Tanto si trabaja con un proveedor para impartir formación formal como si simplemente celebra una reunión para debatir con sus empleados los aspectos básicos de la seguridad en línea, ofrezca un repaso sobre ciberseguridad al menos una vez al año. Cuando se incorporen nuevos empleados, asegúrese de que reciben formación como parte de su incorporación.
- Participe en el Mes de concienciación sobre la ciberseguridad. Aproveche octubre para educar a sus empleados en materia de ciberseguridad. Regístrese como Campeón del Mes de Concienciación sobre Ciberseguridad para recibir un kit de herramientas gratuito con materiales que puede compartir con sus empleados.
- Ponga a disposición de los empleados recursos de concienciación sobre ciberseguridad durante todo el año. Si es posible, ponga a disposición de los empleados recursos de concienciación sobre ciberseguridad en un sitio de la intranet. Incluya contenidos sobre ciberseguridad en boletines y otras comunicaciones periódicas con los empleados.
4. Considere la posibilidad de un ciberseguro
Los ciberdelincuentes desarrollan constantemente nuevas tácticas y técnicas, por lo que incluso si toma todas las medidas anteriores, su empresa podría sufrir un incidente cibernético. Independientemente del tamaño de su empresa, el coste de recuperación de un ciberataque puede ser catastrófico. Adquirir un seguro cibernético puede ayudar a cubrir el coste de recuperación de muchos tipos de incidentes cibernéticos, como las violaciones de datos y los ataques de ransomware.
Además, muchas pólizas incluyen evaluaciones de riesgos cibernéticos, conocimientos y acceso a herramientas que ayudan a las empresas a identificar y reconocer cómo remediar las vulnerabilidades. Un equipo de reclamaciones comprometido y con experiencia puede interactuar con una organización antes de que se produzca un ataque y una reclamación y proporcionar información sobre la experiencia y el proceso de reclamaciones, incluidas las presentaciones a bufetes de abogados y proveedores de ciberseguridad que formarían parte de un equipo de respuesta a incidentes en caso necesario. Esto es especialmente valioso para las pequeñas empresas que no disponen de recursos dedicados a la ciberseguridad.
Para obtener más información sobre cómo proteger su empresa de los ciberataques, explore el programa CyberSecure My Business de la National Cybersecurity Alliance.
Gary McAlum, Director de Seguridad de la Información, American International Group (AIG)
En este puesto, es responsable de desarrollar, implementar y operar una estrategia de seguridad de la información para hacer frente a los riesgos cibernéticos de AIG. Es responsable de proteger los datos de AIG, gestionar los riesgos relacionados con la ciberseguridad y garantizar el cumplimiento de la normativa, al tiempo que facilita el negocio.
En 2021, Gary se jubiló de USAA, una empresa de servicios financieros centrada en la comunidad militar, donde ocupó el cargo de Director de Seguridad durante más de 11 años. En ese puesto, dirigió un equipo de más de 1.000 personas que abarcaba Seguridad de la Información, Privacidad, Operaciones de Fraude, Continuación del Negocio, Operaciones de Seguridad Física e Investigaciones Corporativas. Durante su estancia en USAA, formó parte durante 10 años del Consejo de la Alianza para la Seguridad en Internet (ISA) y colaboró en varias de sus publicaciones. Además, fue ponente habitual del sector en el Curso Ejecutivo de Operaciones Ciberespaciales (COEC) del Departamento de Defensa (DoD), diseñado para proporcionar a los altos mandos militares una mejor comprensión de las tecnologías, políticas y operaciones que se están aplicando para defender y operar en el dominio cibernético.
Antes de trabajar en USAA, Gary sirvió 25 años en las Fuerzas Aéreas de EE.UU., retirándose como Coronel. A lo largo de su carrera militar, trabajó en una variedad de puestos de liderazgo y personal dentro del campo de la tecnología de la información y la carrera cibernética, incluyendo operaciones de ciberseguridad, telecomunicaciones, comunicaciones por satélite, operaciones de red desplegadas y seguridad de la información. Gary realizó varios despliegues en Oriente Próximo en apoyo de operaciones militares. En particular, estuvo en primera línea de las operaciones ciberespaciales para el Departamento de Defensa, donde apoyó el establecimiento y la evolución de la Joint Task Force Global Network Operations (JTF-GNO), la organización que era el punto central para el funcionamiento y la seguridad de los sistemas y redes de información del Departamento de Defensa y una organización precursora del Mando Cibernético de Estados Unidos. Durante este tiempo, Gary fue llamado con frecuencia para proporcionar información sobre amenazas cibernéticas a una amplia variedad de foros interinstitucionales, incluida la Comisión de Revisión Económica y de Seguridad Estados Unidos-China y el Grupo de Estudio Cibernético Nacional del Presidente, así como para prestar testimonio ante el Congreso. En 2016, fue incluido en el Salón de la Fama de las Operaciones Ciberespaciales del Ejército del Aire. Tras su jubilación del Ejército del Aire, trabajó durante un breve periodo en Deloitte & Touche, LLP, en el ámbito federal.
Gary se licenció en Matemáticas en The Citadel, obtuvo un máster en Sistemas de Información de Gestión en la Universidad de Arizona y otro en la Escuela Industrial de las Fuerzas Armadas. Es Profesional Certificado en Seguridad de Sistemas de Información (CISSP) y Examinador de Fraudes Certificado (CFE). Gary ha completado el curso de certificación de Supervisión de Riesgos Cibernéticos de la Asociación Nacional de Directores Corporativos (NACD), el Programa de Desarrollo de Ejecutivos de Seguridad de Wharton y el curso de educación ejecutiva Ciberseguridad: The Intersection of Policy and Technology enla Kennedy School of Government de Harvard. Además, asistió a la CISO Academy y a la Domestic Security Executive Academy del FBI.
Gary forma parte del Consejo de Administración del National Cybersecurity Center, una organización sin ánimo de lucro dedicada a la ciberinnovación y la concienciación, y de Fisher House Inc, una organización sin ánimo de lucro que apoya a militares, veteranos y sus familias que se alojan en Fisher House mientras reciben tratamiento médico en la zona de San Antonio.