Por: Gary McAlum, Director de Seguridad de la Información, AIG 

De hecho, un informe reciente encontró que las pequeñas empresas tienen tres veces más probabilidades de ser blanco de los ciberdelincuentes que las grandes compañías. Por suerte, no necesita contar con un presupuesto multimillonario de ciberseguridad para proteger a su empresa de los ciberataques. Tanto si es responsable de proteger una empresa Fortune 500 como una operación de cinco personas, aquí tiene cuatro pasos simples que puede seguir para reducir significativamente su riesgo cibernético.

1. Exija contraseñas seguras

Haga que las cuentas de los empleados sean lo más difíciles posible de vulnerar para los ciberdelincuentes, exigiendo contraseñas largas, únicas y complejas. Para una protección aún mejor, las contraseñas deben tener al menos 12 caracteres e incluir letras mayúsculas y minúsculas, números y caracteres especiales.

2. Habilite la autenticación multifactor

La autenticación multifactor ayuda a mantener alejados a los ciberdelincuentes de las cuentas importantes en caso de que la contraseña de un empleado se vea comprometida. Exigir un método secundario para verificar la identidad de un empleado agrega una capa adicional de protección.

3. Capacite a sus empleados

No importará cuán impenetrables haya hecho las cuentas de sus empleados si no saben identificar y evitar las amenazas cibernéticas. Se ha informado que la mayoría de los ciberataques son causados por errores de los empleados. Si solo va a dar un paso para fortalecer la ciberseguridad de su empresa, ¡capacite a sus empleados!

• Céntrese en el phishing. El phishing representa el 90 por ciento de las filtraciones de datos, por lo que es fundamental enseñar a sus empleados a reconocer los intentos de phishing y qué hacer si reciben un correo electrónico sospechoso, según un informe reciente. National Cybersecurity Alliance ofrece un útil resumen sobre phishing. El mensaje más simple para compartir con sus empleados es: ¡si tiene dudas, no haga clic!

• Proporcione capacitación anual de concientización sobre ciberseguridad. Ya sea que trabaje con un proveedor para brindar capacitación formal o simplemente organice una reunión para hablar sobre conceptos básicos de seguridad en línea con sus empleados, ofrezca una actualización sobre ciberseguridad al menos una vez al año. Cuando se incorporen nuevos empleados, asegúrese de que reciban capacitación como parte de su proceso de inducción.

• Participe en el Mes de la Concientización sobre la Ciberseguridad. Use octubre como una oportunidad para educar a sus empleados sobre ciberseguridad. Regístrese como Campeón del Mes de la Concientización sobre la Ciberseguridad para recibir un kit gratuito de materiales que puede compartir con sus empleados.

• Haga que los recursos de concientización sobre ciberseguridad estén disponibles durante todo el año. Si es posible, ponga recursos de concientización sobre ciberseguridad a disposición de los empleados en un sitio de intranet. Incluya contenido de ciberseguridad en boletines y otras comunicaciones periódicas para empleados.

4. Considere un seguro cibernético

Los ciberdelincuentes desarrollan constantemente nuevas tácticas y técnicas, por lo que incluso si toma todas las medidas anteriores, su empresa podría sufrir todavía un incidente cibernético. Sin importar el tamaño de su negocio, el costo de recuperarse de un ciberataque puede ser catastrófico. Contratar un seguro cibernético puede ayudar a cubrir el costo de recuperación de muchos tipos de incidentes cibernéticos, como filtraciones de datos y ataques de ransomware.

Además, muchas pólizas incluyen evaluaciones de riesgo cibernético, información y acceso a herramientas que ayudan a las empresas a identificar y reconocer cómo corregir vulnerabilidades. Un equipo de reclamaciones comprometido y con experiencia puede interactuar con una organización antes de que ocurra un ataque o una reclamación y ofrecer información sobre la experiencia y el proceso de reclamación, incluidas presentaciones a firmas de abogados y proveedores de ciberseguridad que formarían parte de un equipo de respuesta ante incidentes si surge esa necesidad. Esto es especialmente valioso para las pequeñas empresas que no cuentan con recursos dedicados de ciberseguridad.

Para obtener más información sobre cómo proteger su empresa de los ciberataques, explore el programa CyberSecure My Business de la National Cybersecurity Alliance.

Gary McAlum, Director de Seguridad de la Información, American International Group (AIG)

En este cargo, es responsable de desarrollar, implementar y operar una estrategia de seguridad de la información para abordar los riesgos cibernéticos de AIG. Es responsable de proteger los datos de AIG, gestionar los riesgos relacionados con la ciberseguridad y garantizar el cumplimiento normativo, al tiempo que habilita el negocio.

En 2021, Gary se retiró de USAA, una empresa de servicios financieros enfocada en la comunidad militar, donde se desempeñó como su Director de Seguridad durante más de 11 años. En ese cargo, dirigió un equipo de más de 1,000 personas que abarcaba Seguridad de la Información, Privacidad, Operaciones de Fraude, Continuidad del Negocio, Operaciones de Seguridad Física e Investigaciones Corporativas. Mientras estuvo en USAA, formó parte durante 10 años de la junta directiva de Internet Security Alliance (ISA) y contribuyó a varias de sus publicaciones. Además, fue un conferencista frecuente de la industria en el Curso Ejecutivo de Operaciones en el Ciberespacio del Departamento de Defensa (DoD) (COEC), diseñado para brindar a los líderes militares de alto rango una mejor comprensión de las tecnologías, políticas y operaciones que se implementan para defender y operar en el dominio cibernético.

Antes de USAA, Gary sirvió durante 25 años en la Fuerza Aérea de los Estados Unidos, retirándose con el rango de coronel.  A lo largo de su carrera militar, trabajó en diversos puestos de liderazgo y de personal dentro del campo profesional de tecnología de la información y ciberseguridad, incluyendo operaciones de ciberseguridad, telecomunicaciones, comunicaciones satelitales, operaciones de red desplegadas y seguridad de la información. Gary realizó múltiples despliegues en Medio Oriente en apoyo a operaciones militares. En particular, estuvo en la primera línea de las operaciones en el ciberespacio para el DoD, donde apoyó el establecimiento y la evolución de la Joint Task Force Global Network Operations (JTF-GNO), la organización que fue el punto focal para la operación y seguridad de los sistemas y redes de información del DoD y una organización predecesora del US Cyber Command. Durante este tiempo, se recurrió frecuentemente a Gary para aportar información sobre amenazas cibernéticas en una amplia variedad de foros interinstitucionales, incluida la Comisión de Revisión Económica y de Seguridad entre Estados Unidos y China y el Grupo de Estudio Nacional sobre Ciberseguridad del Presidente, así como para brindar testimonio ante el Congreso. En 2016, fue incluido en el Salón de la Fama de Operaciones en el Ciberespacio de la Fuerza Aérea. Después de retirarse de la Fuerza Aérea, pasó un breve tiempo con Deloitte & Touche, LLP, en su práctica federal.

Gary obtuvo una licenciatura en Matemáticas de The Citadel, una maestría en Sistemas de Información de Administración de la Universidad de Arizona y una maestría del Industrial College of the Armed Forces. Es Profesional Certificado en Seguridad de Sistemas de Información (CISSP) y Examinador Certificado de Fraude (CFE). Gary ha completado el curso de certificación de Supervisión de Riesgos Cibernéticos de la National Association of Corporate Directors (NACD), el Programa de Desarrollo Ejecutivo en Seguridad de Wharton y el curso de educación ejecutiva Ciberseguridad: la intersección entre política y tecnología en la Kennedy School of Government de Harvard. Además, asistió a la Academia CISO del FBI y a la Academia Ejecutiva de Seguridad Nacional.

Gary forma parte de la Junta Directiva del National Cybersecurity Center, una organización sin fines de lucro dedicada a la innovación y la concientización sobre ciberseguridad, y de Fisher House Inc., una organización sin fines de lucro que apoya a miembros del servicio militar, veteranos y sus familias que se alojan en Fisher House mientras reciben tratamiento médico en el área de San Antonio.