Por: Gary McAlum, Diretor de Segurança da Informação, AIG 

Na verdade, um relatório recente descobriu que pequenas empresas têm três vezes mais probabilidade de serem alvo de criminosos cibernéticos do que grandes empresas. Felizmente, você não precisa ter um orçamento multimilionário de cibersegurança para proteger sua empresa de ataques cibernéticos. Seja você responsável por proteger uma empresa da Fortune 500 ou uma operação de cinco pessoas, aqui estão quatro etapas simples que você pode tomar para reduzir significativamente seu risco cibernético.

1. Exija senhas fortes

Torne as contas dos funcionários o mais difíceis possível para os criminosos cibernéticos invadirem, exigindo senhas longas, únicas e complexas. Para uma proteção ainda melhor, as senhas devem ter pelo menos 12 caracteres e incluir letras maiúsculas e minúsculas, números e caracteres especiais.

2. Ative a autenticação multifatorial

A autenticação multifatorial ajuda a manter os criminosos cibernéticos longe de contas importantes no caso de a senha de um funcionário ser comprometida. Exigir um método secundário para verificar a identidade de um funcionário adiciona uma camada adicional de proteção.

3. Eduque seus funcionários

Não importará quão impenetráveis você tenha tornado as contas dos seus funcionários se eles não souberem como identificar e evitar ameaças cibernéticas. Foi relatado que a maioria dos ataques cibernéticos são causados por erro humano. Se você tomar apenas uma medida para aprimorar a cibersegurança da sua empresa, eduque seus funcionários!

• Concentre-se no phishing. Phishing representa 90% das violações de dados, então é essencial ensinar seus funcionários a reconhecer tentativas de phishing e o que fazer se receberem um e-mail suspeito, de acordo com um relatório recente. A National Cybersecurity Alliance oferece uma visão geral sobre phishing útil. A mensagem mais simples para compartilhar com seus funcionários é: Na dúvida, não clique!

• Forneça treinamento anual de conscientização sobre cibersegurança. Seja trabalhando com um fornecedor para fornecer treinamento formal ou simplesmente realizando uma reunião para discutir conceitos básicos de segurança online com seus funcionários, ofereça uma atualização sobre cibersegurança pelo menos uma vez por ano. Quando novos funcionários entrarem, certifique-se de que recebam treinamento como parte de sua integração.

• Participe do Mês de Conscientização sobre Segurança Cibernética. Use outubro como uma oportunidade para educar seus funcionários sobre cibersegurança. Registre-se como um Campeão do Mês de Conscientização sobre Segurança Cibernética para receber um kit de ferramentas gratuito de materiais que você pode compartilhar com seus funcionários.

• Torne os recursos de conscientização sobre cibersegurança disponíveis durante todo o ano. Se possível, torne os recursos de conscientização sobre cibersegurança disponíveis para os funcionários em um site intranet. Inclua conteúdo de cibersegurança em boletins informativos e outras comunicações recorrentes para funcionários.

4. Considere o Seguro Cibernético

Os criminosos cibernéticos estão constantemente desenvolvendo novas táticas e técnicas, então, mesmo que você tome todas as etapas acima, sua empresa ainda pode enfrentar um incidente cibernético. Não importa o tamanho do seu negócio, o custo de recuperação de um ataque cibernético pode ser catastrófico. Comprar seguro cibernético pode ajudar a cobrir o custo de recuperação de muitos tipos de incidentes cibernéticos, como violações de dados e ataques de ransomware.

Além disso, muitas apólices incluem avaliações de riscos cibernéticos, insights e acesso a ferramentas que ajudam as empresas a identificar e reconhecer como remediar vulnerabilidades. Uma equipe de sinistros engajada e experiente pode interagir com uma organização antes que um ataque e uma reivindicação aconteçam, fornecendo informações sobre a experiência e o processo de sinistros, incluindo introduções a escritórios de advocacia e fornecedores de cibersegurança que fariam parte de uma equipe de resposta a incidentes, caso essa necessidade surgisse. Isso é especialmente valioso para pequenas empresas que não possuem recursos dedicados à cibersegurança.

Para mais informações sobre como proteger seu negócio de ataques cibernéticos, explore o programa CyberSecure My Business da National Cybersecurity Alliance.

Gary McAlum, Diretor de Segurança da Informação, American International Group (AIG)

Neste cargo, ele é responsável por desenvolver, implementar e operar uma estratégia de segurança da informação para lidar com os riscos cibernéticos da AIG. Ele é responsável por proteger os dados da AIG, gerenciar os riscos relacionados à cibersegurança e garantir o cumprimento das regulamentações, ao mesmo tempo que habilita o negócio.

Em 2021, Gary se aposentou da USAA, uma empresa de serviços financeiros focada na comunidade militar, onde atuou como Diretor de Segurança por mais de 11 anos. Nesse cargo, ele liderou uma equipe de mais de 1.000 pessoas, abrangendo Segurança da Informação, Privacidade, Operações de Fraude, Continuação de Negócios, Operações de Segurança Física e Investigações Corporativas. Enquanto estava na USAA, ele serviu por 10 anos no Conselho da Internet Security Alliance (ISA) e contribuiu para várias de suas publicações. Além disso, ele foi um orador frequente da indústria no Curso Executivo de Operações no Ciberespaço do Departamento de Defesa (DoD), que foi projetado para fornecer aos líderes militares seniores uma melhor compreensão das tecnologias, políticas e operações sendo implementadas para defender e operar no domínio cibernético.

Antes da USAA, Gary serviu 25 anos na Força Aérea dos EUA, aposentando-se como Coronel. Ao longo de sua carreira militar, ele trabalhou em uma variedade de cargos de liderança e equipe na área de tecnologia da informação e cibernética, incluindo operações de cibersegurança, telecomunicações, comunicações via satélite, operações de rede implantadas e segurança da informação. Gary teve várias implantações no Oriente Médio em apoio a operações militares. Notavelmente, ele estava na linha de frente das operações de ciberespaço para o DoD, onde apoiou o estabelecimento e evolução da Força-Tarefa Conjunta de Operações de Rede Global (JTF-GNO), a organização que era o ponto focal para a operação e segurança dos sistemas de informação e redes do DoD e uma organização precursora do Comando Cibernético dos EUA. Durante esse tempo, Gary foi frequentemente convocado para fornecer insights sobre ameaças cibernéticas a uma ampla variedade de fóruns interagenciais, incluindo a Comissão de Revisão Econômica e de Segurança EUA-China e o Grupo de Estudos Cibernéticos Nacional do Presidente, bem como para fornecer depoimentos ao Congresso. Em 2016, ele foi incluído no Hall da Fama de Operações no Ciberespaço da Força Aérea. Após sua aposentadoria da Força Aérea, ele passou um curto período com a Deloitte & Touche, LLP, em sua prática federal.

Gary obteve um B.A. em Matemática da The Citadel, um M.S. em Sistemas de Informação de Gestão da Universidade do Arizona e um M.S. do Colégio Industrial das Forças Armadas. Ele é um Profissional Certificado em Segurança de Sistemas de Informação (CISSP) e um Examinador de Fraude Certificado (CFE). Gary completou o curso de certificação de Supervisão de Riscos Cibernéticos da Associação Nacional de Diretores Corporativos (NACD), o Programa de Desenvolvimento Executivo de Segurança da Wharton e o curso de educação executiva Cibersegurança: A Interseção de Política e Tecnologia na Escola de Governo Kennedy de Harvard. Além disso, ele participou da Academia CISO do FBI e da Academia Executiva de Segurança Doméstica.

Gary atua no Conselho de Diretores do National Cybersecurity Center, uma organização sem fins lucrativos para inovação e conscientização cibernética, e no Fisher House Inc., uma organização sem fins lucrativos que apoia membros do serviço militar, veteranos e suas famílias hospedados na Fisher House enquanto recebem tratamento médico na área de San Antonio.