Por: Gary McAlum, Diretor de Segurança da Informação, AIG 

De facto, um relatório recente concluiu que as pequenas empresas têm três vezes mais probabilidade de ser alvo de cibercriminosos do que as grandes empresas. Felizmente, não precisa de um orçamento multimilionário de cibersegurança para proteger a sua empresa de ciberataques. Quer seja responsável por proteger uma empresa Fortune 500 ou uma operação de cinco pessoas, aqui estão quatro passos simples que pode seguir para reduzir significativamente o seu risco cibernético.

1. Exija palavras-passe fortes

Torne as contas dos funcionários o mais difíceis possível de serem comprometidas por cibercriminosos, exigindo palavras-passe longas, únicas e complexas. Para uma proteção ainda melhor, as palavras-passe devem ter pelo menos 12 caracteres e devem incluir letras maiúsculas e minúsculas, números e caracteres especiais.

2. Ative a autenticação multifator

A autenticação multifator ajuda a manter os cibercriminosos afastados de contas importantes caso a palavra-passe de um funcionário seja comprometida. Exigir um método secundário para verificar a identidade de um funcionário acrescenta uma camada adicional de proteção.

3. Eduque os seus funcionários

Não importa quão impenetráveis tenham ficado as contas dos seus funcionários, se eles não souberem identificar e evitar ameaças cibernéticas. Foi reportado que a maioria dos ciberataques é causada por erro dos funcionários. Se só der um passo para reforçar a cibersegurança da sua empresa, eduque os seus funcionários!

• Concentre-se no phishing. O phishing é responsável por 90 por cento das violações de dados, por isso é essencial ensinar os seus funcionários a reconhecer tentativas de phishing e o que fazer se receberem um e-mail suspeito, de acordo com um relatório recente. A National Cybersecurity Alliance oferece uma visão geral útil sobre phishing. A mensagem mais simples para partilhar com os seus funcionários é: Na dúvida, não clique!

• Ofereça formação anual de sensibilização para a cibersegurança. Quer trabalhe com um fornecedor para dar formação formal ou simplesmente organize uma reunião para discutir as noções básicas de segurança online com os seus funcionários, ofereça uma atualização sobre cibersegurança pelo menos uma vez por ano. Quando novos funcionários entrarem, certifique-se de que recebem formação como parte da integração.

• Participe no Mês de Conscientização sobre Segurança Cibernética. Use outubro como uma oportunidade para educar os seus funcionários sobre cibersegurança. Registe-se como Embaixador do Mês de Conscientização sobre Segurança Cibernética para receber um kit gratuito de materiais que pode partilhar com os seus funcionários.

• Disponibilize recursos de sensibilização para a cibersegurança durante todo o ano. Se possível, torne os recursos de sensibilização para a cibersegurança disponíveis para os funcionários num site intranet. Inclua conteúdo sobre cibersegurança em newsletters e outras comunicações regulares com os funcionários.

4. Considere o seguro cibernético

Os cibercriminosos estão constantemente a desenvolver novas táticas e técnicas, por isso, mesmo que siga todos os passos acima, a sua empresa ainda pode sofrer um incidente cibernético. Independentemente da dimensão do seu negócio, o custo de recuperar de um ciberataque pode ser catastrófico. A aquisição de um seguro cibernético pode ajudar a cobrir o custo da recuperação de muitos tipos de incidentes cibernéticos, como violações de dados e ataques de ransomware.

Além disso, muitas apólices incluem avaliações de risco cibernético, informações e acesso a ferramentas que ajudam as empresas a identificar e a compreender como corrigir vulnerabilidades. Uma equipa de sinistros empenhada e experiente pode interagir com uma organização antes de acontecer um ataque ou de ser apresentado um sinistro e fornecer informações sobre a experiência e o processo de sinistros, incluindo apresentações a escritórios de advogados e fornecedores de cibersegurança que fariam parte de uma equipa de resposta a incidentes, caso essa necessidade surja. Isto é especialmente valioso para as pequenas empresas que não dispõem de recursos dedicados de cibersegurança.

Para mais informações sobre como proteger a sua empresa de ciberataques, explore o programa CyberSecure My Business da National Cybersecurity Alliance.

Gary McAlum, Diretor de Segurança da Informação, American International Group (AIG)

Nesta função, é responsável por desenvolver, implementar e operar uma estratégia de segurança da informação para responder aos riscos cibernéticos da AIG. É responsável por proteger os dados da AIG, gerir os riscos relacionados com a cibersegurança e garantir a conformidade regulamentar, enquanto permite o funcionamento do negócio.

Em 2021, Gary reformou-se da USAA, uma empresa de serviços financeiros centrada na comunidade militar, onde desempenhou o cargo de Diretor de Segurança durante mais de 11 anos. Nessa função, liderou uma equipa com mais de 1.000 colaboradores abrangendo Segurança da Informação, Privacidade, Operações de Fraude, Continuidade do Negócio, Operações de Segurança Física e Investigações Corporativas. Enquanto esteve na USAA, serviu durante 10 anos no conselho da Internet Security Alliance (ISA) e contribuiu para várias das suas publicações. Além disso, foi orador regular do setor no Curso Executivo de Operações no Ciberespaço do Departamento de Defesa (DoD) (COEC), concebido para proporcionar aos altos líderes militares uma melhor compreensão das tecnologias, políticas e operações implementadas para defender e operar no domínio cibernético.

Antes da USAA, Gary serviu 25 anos na Força Aérea dos EUA, reformando-se como Coronel.  Ao longo da sua carreira militar, trabalhou numa variedade de funções de liderança e de estado-maior na área das tecnologias da informação e da cibersegurança, incluindo operações de cibersegurança, telecomunicações, comunicações por satélite, operações de rede destacadas e segurança da informação. Gary realizou várias missões no Médio Oriente em apoio a operações militares. Mais notavelmente, esteve na linha da frente das operações no ciberespaço para o DoD, onde apoiou a criação e a evolução da Joint Task Force Global Network Operations (JTF-GNO), a organização que era o ponto focal para a operação e segurança dos sistemas e redes de informação do DoD e uma organização antecessora do US Cyber Command. Durante este período, Gary foi frequentemente chamado a fornecer informações sobre ameaças cibernéticas a uma vasta gama de fóruns interagências, incluindo a US-China Economic and Security Review Commission e o President’s National Cyber Study Group, bem como a prestar testemunho ao Congresso. Em 2016, foi integrado no Hall of Fame das Operações no Ciberespaço da Força Aérea. Após a reforma da Força Aérea, passou um curto período na Deloitte & Touche, LLP, na sua prática federal.

Gary obteve uma licenciatura em Matemática no The Citadel, um M.S. em Sistemas de Informação de Gestão na University of Arizona e um M.S. no Industrial College of the Armed Forces. É Certified Information Systems Security Professional (CISSP) e Certified Fraud Examiner (CFE). Gary concluiu o curso de certificação Cyber Risk Oversight da National Association of Corporate Directors (NACD), o Wharton Security Executive Development Program e o curso de formação executiva Cybersecurity: The Intersection of Policy and Technology na Harvard’s Kennedy School of Government. Além disso, frequentou a CISO Academy do FBI e a Domestic Security Executive Academy.

Gary integra o Conselho de Administração do National Cybersecurity Center, uma organização sem fins lucrativos dedicada à inovação e sensibilização para a cibersegurança, e da Fisher House Inc., uma organização sem fins lucrativos que apoia militares, veteranos e as suas famílias que permanecem na Fisher House enquanto recebem tratamento médico na área de San Antonio.