Este artículo explica los pasos que deberá seguir para implementar la capacitación en concientización sobre seguridad y las pruebas de phishing simulado en su consola de KSAT. Consulte las secciones a continuación para tener más información.
Paso 1: Agregue sus usuarios
Puede agregar a sus usuarios a la consola de KSAT para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de capacitación. Tiene varias opciones para agregar a sus usuarios a su consola de KSAT. A continuación, revise sus opciones y los artículos asociados vinculados:
- Aprovisionamiento de usuarios: Este es el método preferido para sincronizar usuarios con su consola de KSAT y mantener su lista de usuarios en el transcurso del tiempo. Puede usar Integración de Active Directory (ADI) o SCIM para aprovisionar usuarios de manera automática en su consola de KSAT. Para obtener más información, consulte nuestra Guía de configuración de Integración de Active Directory (ADI) o nuestraGuía de configuración de SCIM.
- Importación rápida: Este método es útil para importar menos de 100 usuarios. Para obtener más información, consulte la sección Importación rápida de nuestro artículo Usuarios y grupos.
- Importar CSV: Este método es útil para importar una mayor cantidad de usuarios e incluir otros datos del usuario, como nombres, números de teléfono, membresías de grupos y más. Para obtener más información, consulte nuestro artículo Cómo importar usuarios con un archivo CSV.
- Otro: Hay otras formas de importar usuarios para su organización específica. Si necesita asesoramiento específico, póngase en contacto con nuestro equipo de soporte al cliente o lea los siguientes artículos de nuestra Base de conocimientos:
Paso 2: Realice una prueba de phishing de referencia
Antes de comenzar su programa de capacitación en concientización sobre seguridad, le recomendamos enérgicamente que envíe una prueba de phishing inicial a todos sus usuarios. Puede usar esta prueba como punto de partida para su programa de capacitación en concientización sobre seguridad.
Para obtener más información sobre nuestras recomendaciones para el proceso de phishing inicial, consulte las subsecciones siguientes o nuestro vídeoCampaña de phishing inicial de un minuto (clics).
Campaña de prueba preliminar
Antes de crear una campaña de phishing inicial para sus usuarios, le recomendamos que ejecute al menos una campaña de prueba que se limite a un grupo pequeño de usuarios, como su equipo de TI.
El objetivo de esta campaña de prueba preliminar es garantizar que haya implementado las listas seguras de manera correcta y que los correos electrónicos pasen por sus filtros de correo no deseado (spam) y protección del firewall.
Esta campaña preliminar también garantizará que los clics y otros errores en las pruebas de phishing se registren en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que los errores se estén registrando en su cuenta. Para obtener más información, consulte nuestro artículo Cómo crear y administrar campañas de phishing o nuestro artículo Cómo supervisar y revisar campañas de phishing.
Cómo establecer una prueba de referencia
Después de que haya confirmado que su campaña de prueba de phishing preliminar se realizó con éxito, deberá crear una campaña de prueba de phishing de referencia para todos sus usuarios. Esta prueba mostrará el porcentaje de Phish-prone (predisposición para ser víctima de phishing) inicial de su organización. Considere el porcentaje de Phish-prone (predisposición para ser víctima de phishing) inicial como punto de partida. Use este Porcentaje de Phish-prone (predisposición para ser víctima de phishing) inicial para evaluar el éxito de su plan de capacitación en concientización sobre seguridad.
Para conocer nuestras recomendaciones para configurar su campaña de phishing inicial, consulte nuestro artículo ¿Cuál es el mejor método para configurar una prueba inicial? o nuestro artículo ¿Qué correo electrónico debo usar en mi prueba inicial?.
Envíe una prueba inicial a su equipo de TI
Otra opción es enviar dos pruebas de phishing iniciales: una para su departamento de TI o soporte técnico y luego otra por separado para el resto de los empleados. De esta manera, cuando el resto de los empleados comiencen a informar el correo electrónico sospechoso, los empleados de TI o del soporte técnico conocerán la situación y también habrán tenido la oportunidad de participar en la evaluación inicial. Además, es una buena forma de garantizar que hayan creado listas seguras de nuestros servidores de correo electrónico de manera eficaz y que sus pruebas de referencia lleguen a todas las bandejas de entrada.
Paso 3: Capacite a sus usuarios
Para su campaña de capacitación inicial en concientización sobre seguridad, le recomendamos que inscriba a todos sus usuarios en la Capacitación en concientización sobre seguridad de KnowBe4 de 45 minutos o en otro curso integral. Para obtener información sobre el contenido de capacitación disponible para usted, consulte nuestra Guía de la biblioteca y ModStore.
Para conocer nuestras recomendaciones sobre cómo configurar su primera campaña de capacitación, consulte nuestro artículo Cree su primera campaña de capacitación en concientización sobre seguridad.
Haga clic en los siguientes enlaces para obtener más información sobre cómo llevar a cabo campañas de capacitación:
- Cómo crear y administrar campañas de capacitación
- Cómo configurar una campaña de capacitación sobre medidas correctivas
- Video: Cómo crear una campaña de capacitación
- Video: Cómo supervisar las campañas de capacitación
- Video: Comenzar con su capacitación en concientización sobre seguridad de KnowBe4
Paso 4: Realice campañas de phishing y capacitación continuas
Realizar campañas de phishing y capacitación continuas es fundamental para ayudar a su organización a afrontar el problema de phishing y la ingeniería social.
Podrá elegir entre tres planes de ejemplo para integrar KnowBe4 a su organización: Concientización alta, Concientización intermedia, Concientización baja. Estos planes se clasifican según esos niveles de concientización. El nivel de concientización de su organización se basa en el nivel de madurez que quiere lograr con su programa de capacitación en concientización sobre seguridad. Para obtener más información sobre los distintos niveles de concientización, consulte nuestra Guía de prácticas recomendadas: Artículo ¿Cómo puedo integrar eficazmente KnowBe4 en mi organización?
Si no sabe con certeza cuál es el plan adecuado para usted, consulte alguna de nuestras recomendaciones generales acerca de capacitaciones en concientización sobre seguridad en las siguientes subsecciones.
Recomendaciones de campañas de phishing continuas
Como mínimo, envíe una prueba de phishing a todos sus usuarios una vez al mes. Para hacer esto, puede crear una campaña de phishing mensual con los siguientes criterios:
- Incluya varias categorías de correo electrónico y diferentes tipos de pruebas de phishing.
- Distribuya los correos electrónicos a lo largo de más tiempo, como una semana. De esa forma, los usuarios no sabrán cuándo recibirán una prueba de phishing.
- Agregue los usuarios que no pasen la prueba de phishing a un grupo de capacitación sobre medidas correctivas.
Además de las pruebas de phishing mensuales para todos los usuarios, le recomendamos que configure pruebas adicionales para sus departamentos o empleados de alto riesgo que sean más vulnerables a un ataque de phishing.
Para obtener información sobre cómo determinar cuáles de los departamentos o los empleados de su organización tienen un mayor riesgo, consulte nuestra Guía de puntaje de riesgo y de Virtual Risk Officer (VRO).
Para obtener más información sobre cómo crear y personalizar campañas de phishing, consulte los siguientes artículos:
- Cómo crear y administrar campañas de phishing
- Cómo personalizar correos electrónicos y páginas de inicio
- Cómo usar marcadores de posición
- Cómo usar marcadores de posición: Casos de uso
Recomendaciones de capacitación continua
A continuación, encontrará nuestras recomendaciones mínimas para realizar capacitaciones continuas en concientización sobre seguridad en cualquier organización:
- Cree un grupo de capacitación sobre medidas correctivas y una campaña de capacitación sobre medidas correctivas. Para obtener más información acerca de la capacitación sobre medidas correctivas, consulte nuestro artículo Cómo configurar una campaña de capacitación sobre medidas correctivas o nuestro video Campañas de capacitación sobre medidas correctivas.
- Dicte capacitaciones basadas en roles y otros cursos de especialización para grupos o empleados específicos. Le recomendamos que explore ModStore para encontrar los cursos que necesita. Para obtener más información, vea nuestra Guía de la biblioteca y ModStore.
- Configure una campaña mensual para enviar Sugerencias y consejos de seguridad por correo electrónico a sus usuarios. Para obtener más información, consulte nuestro artículo ¿Qué es el boletín informativo Sugerencias y consejos de seguridad?
- Para mantener a sus usuarios informados y preparados para protegerse de las estafas de phishing e ingeniería social más recientes, configure una campaña para enviar la Estafa de la semana por correo electrónico a sus usuarios. Para obtener más información, consulte nuestro artículo ¿Qué es el boletín Estafa de la semana?