A menudo, los clientes nos preguntan cuál es la mejor manera de integrar KnowBe4 en las prácticas generales de seguridad de sus organizaciones. Si bien no existe un plan de defensa de ciberseguridad a prueba de todo que funcione en todas las organizaciones o industrias, los siguientes planes de ejemplo se diseñaron para que sean un punto de partida para gestionar el problema de la ingeniería social en su organización.

Como alternativa a esta guía, o como complemento, le recomendamos que use nuestro producto Automated Security Awareness Program (ASAP). Esta función está incorporada en la consola y le ofrece un plan personalizado y detallado de seguridad que incluye instrucciones paso a paso para formar un firewall humano robusto.

Nuestro producto no está destinado a reemplazar los filtros de correo no deseado (spam) de calidad, los firewalls ni los antivirus. Se diseñó como herramienta para usar junto con otros productos como parte de una estrategia de defensa en profundidad. Lo que le ofrecemos es una plataforma fácil de usar que puede ayudar a gestionar los problemas que surgen cuando los ataques atraviesan estos otros mecanismos de defensa. El personal es su última línea de defensa. Mediante el uso de los servicios de KnowBe4, podrá preparar a sus usuarios para defender mejor su organización contra los ciberataques.

Primer paso: Lea el siguiente artículo para conocer los pasos que debe realizar antes de salir a detectar los intentos de phishing.

Comenzar a usar la consola de KnowBe4

En este artículo, se muestran los pasos para importar usuarios, incluir listas seguras en nuestros servidores de correo, personalizar la consola y mucho más.

Segundo paso: Elija un plan de ejemplo para integrar KnowBe4: concientización alta, intermedia y baja

A continuación, mostramos tres planes de ejemplo: concientización alta, intermedia y baja. Estos planes se basan en el nivel de madurez que quiere lograr con su programa en concientización sobre seguridad. Le recomendamos el plan de concientización alta para lograr los mejores resultados. Sin embargo, usted es la persona indicada para decidir exactamente cómo su organización debe implementar nuestros servicios.

Independientemente del plan que elija, la base de todos nuestros planes de la capacitación innovadora en concientización sobre seguridad consiste en un proceso de tres pasos. Este proceso se detalla a continuación:

1. Realice una prueba de phishing de referencia para determinar el porcentaje de Phish-prone (predisposición para ser víctima de phishing) de su organización.
2. Evalúe el conocimiento actual que tienen sus usuarios de la concientización sobre seguridad. Luego, asigne una capacitación en concientización sobre seguridad a todos los usuarios para aumentar sus conocimientos.
3. Lleve a cabo campañas de phishing continuas. Estas campañas les permitirán a los usuarios practicar las habilidades que obtuvieron durante la capacitación en concientización sobre seguridad.

Haga clic en los siguientes enlaces para ir a cada plan:

• Concientización alta
• Concientización intermedia
• Concientización baja

 

Concientización alta

Este plan les recordará constantemente a los usuarios que tengan en cuenta la seguridad. Le recomendamos enfáticamente este plan para las organizaciones de alto riesgo o para las organizaciones que manipulen información delicada.

Haga clic en cada paso para ver más detalles:

• Implique a las partes interesadas
• Complete una prueba a ciegas de referencia
• Para evitar que el soporte técnico se sobrecargue, primero, haga una prueba de phishing para su equipo de TI
• Comuníquese con su personal
• Evalúe la concientización sobre seguridad de sus usuarios
• Inscriba a su personal en una capacitación en concientización sobre seguridad
• Instale el Phish Alert Button
• Determine su cultura de la seguridad
• Optimice su plan de administración de respuesta ante incidentes por correo electrónico
• Cree un grupo de personas propensas a hacer clic
• Continúe intentando usar phishing en sus usuarios
  • Prueba de phishing quincenal
  • Prueba adicional opcional única mensual
  • Prueba adicional opcional de phishing todos los meses para las personas propensas a hacer clic
• Envíe sugerencias y consejos de seguridad o datos sobre la estafa de la semana
• Inicie una campaña de capacitación sobre medidas correctivas para las personas propensas a hacer clic
• Programe capacitaciones adicionales de seguridad trimestrales
• Complete pruebas adicionales de vulnerabilidad trimestrales
  • Verifique el progreso

Implique a las partes interesadas

Para garantizar que su organización reciba lo mejor de todos los programas, es crucial contar con la participación de las partes interesadas. Consulte el siguiente artículo para ver un correo electrónico de ejemplo que puede modificar y enviar a sus partes interesadas internas.

¿Cómo puedo hacer que las partes interesadas participen en mi plan de capacitación en concientización sobre seguridad?

Regresar a los detalles del plan de concientización alta

Complete una prueba a ciegas de referencia

Antes de comenzar a capacitar a sus usuarios con los módulos de nuestra capacitación en concientización sobre seguridad, le recomendamos encarecidamente que realice una prueba de phishing a ciegas de referencia para todos sus usuarios.

Asegúrese de seguir las instrucciones del siguiente artículo para comprender cómo configurar la prueba.

Involucrar a las partes interesadas para que participen en mi plan de capacitación en concientización sobre seguridad

Guía de prácticas recomendadas: Cómo configurar una prueba de referencia

Además, deberá tener en cuenta qué tipo de página de destino usará en su prueba a ciegas de referencia. Con las páginas de destino, podrá influir en la reacción de sus usuarios ante una prueba de phishing. Consulte el siguiente enlace para aprender sobre los diferentes tipos de página de destino y cómo los usuarios pueden reaccionar ante ellos.

Prueba de referencia de comunicación para su equipo de TI o de soporte técnico

Regresar a los detalles del plan de concientización alta

Para evitar que el soporte técnico se sobrecargue, primero, haga una prueba de phishing para su equipo de TI

Otra opción es enviar dos pruebas de phishing de referencia: una para su departamento de TI o Soporte técnico y, luego, otra por separado para el resto de los empleados. De esta manera, cuando el resto de los empleados comiencen a reportar el correo electrónico sospechoso, los empleados del Soporte técnico conocerán la situación pero también habrán tenido la oportunidad de participar en la evaluación de referencia. Además, es una buena forma de garantizar que hayan creado listas seguras de nuestros servidores de correo electrónico de manera eficaz y que sus pruebas de referencia lleguen a todas las bandejas de entrada.

Regresar a los detalles del plan de concientización alta

Comuníquese con su personal

Después de la prueba de referencia, el personal que recibió el correo electrónico de phishing simulado puede estar confundido. A quienes hayan hecho clic en el enlace de phishing quizás les preocupe enfrentar repercusiones. Le recomendamos que, una vez que se complete la duración de la campaña de phishing de las pruebas de referencia, avise al personal que se ha llevado a cabo una prueba y explique por qué.

Puede aprovechar esta oportunidad para destacar la importancia de que todas las personas completen la capacitación en concientización sobre seguridad. Informar a los usuarios sobre la posible amenaza a la organización o a ellos mismos puede aumentar su participación una vez que los inscriba en la capacitación. Ofrecemos una plantilla para este fin en el siguiente enlace.

Plantilla para después de su prueba de phishing de referencia

Regresar a los detalles del plan de concientización alta

Evalúe la concientización sobre seguridad de sus usuarios

Antes de inscribir a los usuarios en una capacitación en concientización sobre seguridad, es importante establecer cuál es su concientización sobre seguridad actual para ver cómo mejora con el tiempo. Asigne a sus usuarios la evaluación de la competencia en concientización sobre seguridad (SAPA) para evaluarlos en siete áreas de conocimiento diferentes. Le recomendamos que asigne la SAPA después de la primera prueba de phishing, pero antes de la primera campaña de capacitación. Siga asignando la SAPA a los usuarios todos los años para ver si se producen cambios en sus fortalezas y debilidades.

Use los siguientes enlaces para aprender más sobre cómo agregar evaluaciones y sobre la evaluación de la competencia en concientización sobre seguridad (SAPA).

Guía de evaluaciones organizativas

Descripción general de la evaluación de la competencia en concientización sobre seguridad (SAPA)

Regresar a los detalles del plan de concientización alta

Inscriba a su personal en una capacitación en concientización sobre seguridad

Después de su prueba de referencia, debe configurar la capacitación en concientización sobre seguridad para todos los usuarios. Antes de hacerlo, debe configurar la experiencia de aprendizaje y decidir si quiere incluir la gamificación como parte de su programa de capacitación.

Le recomendamos enfáticamente que inscriba a todo su personal en nuestra capacitación en concientización sobre seguridad de KnowBe4 que dura 45 minutos o un curso similar completo en su primera campaña de capacitación. También puede agregar políticas a las campañas de capacitación y pedir a los usuarios que acepten o reconozcan estas políticas. ¿Desea ver más? Consulte: Cómo crear y administrar políticas

Para ayudar a los usuarios a comenzar la capacitación, le recomendamos que les envíe un enlace a uno de nuestros videos introductorios. Cada video cuenta con instrucciones únicas que se basan en su configuración de inicio de sesión y detalla cómo usar la Experiencia de aprendizaje Use estos enlaces para encontrar el video que mejor se adapte a su organización:

• Guía para usuarios con configuración predeterminada de inicio de sesión
  • Guía temática de héroe cibernético para usuarios con configuración predeterminada de inicio de sesión
• Guía para usuarios con inicio de sesión único habilitado
  • Guía temática de héroe cibernético para usuarios con inicio de sesión único habilitado
• Guía para usuarios con inicio de sesión sin contraseña habilitado

Consulte el siguiente enlace para ver recomendaciones sobre cómo configurar su primera campaña de capacitación en concientización sobre seguridad.

Guía de prácticas recomendadas: Cómo crear su primera campaña de capacitación

Regresar a los detalles del plan de concientización alta

Instale el Phish Alert Button

El Phish Alert Button (PAB) es una herramienta gratuita que puede usar para alentar a los usuarios a que interactúen con su capacitación de seguridad. El PAB es un complemento para su cliente de correo (Consulte nuestra matriz de compatibilidad de PAB aquí) que les permite a sus usuarios denunciar un correo electrónico de phishing sospechoso. El mensaje denunciado puede ser una prueba de phishing simulado de KnowBe4 o un posible ciberataque real.

Para conocer más información sobre el PAB y cómo puede informar a sus usuarios sobre él una vez instalado, consulte el siguiente enlace.

Prácticas recomendadas: Implementación del Phish Alert Button (PAB)

Regresar a los detalles del plan de concientización alta

Determine su cultura de la seguridad

Para garantizar que su capacitación en concientización sobre seguridad tenga la eficacia correcta, debe establecer una cultura de la seguridad sólida. La cultura de la seguridad se define como las ideas, las costumbres y los comportamientos sociales que afectan la seguridad de su organización. La encuesta de cultura de la seguridad (SCS) desglosa la cultura de la seguridad de su organización en siete dimensiones diferentes. Utilice esta encuesta para ver qué dimensiones se pueden reforzar y para ver si se producen cambios en su cultura de la seguridad a lo largo del tiempo. Envíe estas encuestas a sus usuarios una vez al año para ver si se producen cambios en su puntaje de cultura de la seguridad.

Utilice los siguientes enlaces para conocer más sobre la encuesta de cultura de la seguridad (SCS) y cómo agregar evaluaciones.

Guía de evaluaciones organizativas

Descripción general de la encuesta de cultura de la seguridad (SCS)

Regresar a los detalles del plan de concientización alta

Optimice su plan de administración de respuesta ante incidentes por correo electrónico

Si opta por usar el PAB, o si les pide a sus usuarios que reenvíen los correos electrónicos maliciosos potenciales o sospechosos a un departamento o correo electrónico designado para tal fin en su organización, deberá contar con un producto que le permita gestionar estos correos electrónicos reenviados, analizarlos eficazmente y responder a ellos. PhishER es una plataforma que se puede usar para este fin.

Con PhishER como detective de control de seguridad, su organización puede identificar posibles amenazas y fortalecer sus medidas de seguridad y su plan de defensa en profundidad. PhishER se puede usar perfectamente con el PAB para administrar correos electrónicos de phishing denunciados, aunque también puede hacer que los correos electrónicos denunciados se envíen a su bandeja de entrada de PhishER. Para obtener más información sobre PhishER, consulte nuestro Manual del producto PhishER.

Regresar a los detalles del plan de concientización alta

Cree un grupo de personas propensas a hacer clic

Haga clic en Usuarios y luego en la pestaña Grupos, en la que verá una opción para crear un grupo nuevo. Aquí puede crear un grupo para los usuarios propensos a hacer clic. Puede usar este grupo en futuras campañas de phishing y configurar una capacitación sobre medidas correctivas automatizada para las personas que sigan desaprobando sus pruebas de phishing. Los clientes Platino y Diamante también pueden crear un grupo inteligente que agrupará automáticamente a los usuarios que desaprueben las pruebas de phishing.

Regresar a los detalles del plan de concientización alta

Continúe intentando usar phishing en sus usuarios 

Prueba de phishing quincenal

Para el plan de concientización alta, le recomendamos que realice pruebas quincenales como mínimo para todos los usuarios. Las pruebas de phishing periódicas permitirán al personal practicar las habilidades que aprendieron en la capacitación en concientización sobre seguridad.

La configuración recomendada se muestra a continuación, y sirve para maximizar la variedad de correos electrónicos de phishing que se utilizan y espaciar en el tiempo los correos electrónicos. A través de este método totalmente aleatorio, el personal no podrá advertirse entre sí cuando ocurra una prueba de phishing.

• Frecuencia: Quincenal.
• Envío: Envíe correos electrónicos durante al menos tres días hábiles.
  • Así los usuarios no recibirán los correos electrónicos al mismo tiempo y no podrán advertirse entre sí cuando ocurra una prueba de phishing.
• Seguimiento de la actividad: Haga un seguimiento de los errores de la prueba de phishing durante al menos tres días. 
• Realizar un seguimiento de las respuestas: Le recomendamos que habilite esta configuración. Para obtener información sobre las respuestas a los ataques de phishing, consulte el artículo Respuestas al manual del producto.
• Categorías: Elija varias categorías de plantilla y seleccione la opción “Totalmente aleatoria” del menú desplegable de la plantilla para seleccionar una plantilla aleatoria para cada usuario.
  • Excluya los idiomas que no correspondan, así como las categorías Estafa de la semana y Sugerencias y consejos de seguridad.
• Grado de dificultad: Opcional
  • Si así lo desea, aquí puede optar por limitar la dificultad de las plantillas que seleccionó a una dificultad de estrellas específica, de una a cinco.
• Dominio del enlace de phishing: Deje esta opción en aleatorio.
• Página de destino: Opcional
  • Elija la página de destino particular que desee usar para todas las plantillas de phishing o deje la opción predeterminada.
• Agregar usuarios propensos a hacer clic: Aquí puede seleccionar su grupo de personas propensas a hacer clic. Si está creando un grupo inteligente para una capacitación sobre medidas correctivas automatizada, puede dejar esta opción en blanco.
  • Cada vez que alguien desapruebe su prueba de phishing, se agregará a esa persona al grupo seleccionado.
• Marque “Enviar un informe por correo electrónico a los administradores de la cuenta…” si desea recibir una notificación cuando se complete la prueba de phishing que se realiza quincenalmente.

Regresar a los detalles del plan de concientización alta

Prueba adicional opcional única mensual con una plantilla objetivo o de eventos actuales

A veces, agregamos una plantilla nueva que querrá usar de inmediato con todos los usuarios o quizás usted invente un concepto creativo para una prueba de phishing que atrapará incluso a quienes rara vez hacen clic. Puede configurar una prueba única adicional cada mes para que sus pruebas de phishing sean irrepetibles y pertinentes.

Para el plan de concientización alta, lo ideal es que envíe al personal plantillas específicas de la organización o de la industria para estas pruebas, algo que realmente desafíe a los usuarios y los mantenga alerta.

La práctica recomendada para cuando use una sola plantilla es que desmarque la casilla “Espaciar los correos electrónicos a lo largo de la campaña” para que los usuarios reciban el correo electrónico de phishing simulado al mismo tiempo. Así podrá minimizar el tiempo que tienen los usuarios para advertirse entre sí cuando ocurra una prueba de phishing.

Regresar a los detalles del plan de concientización alta

Prueba opcional de phishing todos los meses para las personas propensas a hacer clic

Es posible que los usuarios propensos a hacer clic necesiten aún más pruebas a fin de aprender las habilidades necesarias para defenderse de los ataques de ingeniería social. Usted puede configurar una campaña continua de phishing que se dirija solo al grupo de personas propensas a hacer clic. Le recomendamos que la configure de manera similar a la campaña de phishing quincenal totalmente aleatoria con muchas de las categorías de plantilla seleccionadas y con los correos electrónicos esparcidos a lo largo de la duración de la campaña. También puede aprovechar para usar nuestra categoría Ataques de phishing de la semana informados si no la usó hasta ahora.

Regresar a los detalles del plan de concientización alta

Envíe sugerencias y consejos de seguridad o datos sobre la estafa de la semana

Además de las plantillas de phishing, contamos con Sugerencias y consejos de seguridad y una categoría llamada Estafa de la semana. La categoría Sugerencias y consejos de seguridad les recuerda a los usuarios sobre los diferentes métodos generales para mantenerse seguros en línea y en el trabajo. La categoría Estafa de la semana preparará a sus usuarios para que se defiendan contra las estafas de ingeniería social y ciberseguridad más recientes. 

Descripción general del boletín de sugerencias y consejos de seguridad

Descripción general del boletín de estafa de la semana

Regresar a los detalles del plan de concientización alta

Inicie una campaña de capacitación sobre medidas correctivas para las personas propensas a hacer clic

Con el objetivo de alentar a los usuarios propensos a hacer clic a que analicen los correos electrónicos que reciben con más detenimiento, puede programar una capacitación sobre medidas correctivas para el grupo de personas propensas a hacer clic.

Para eso, asegúrese de que, cuando configure la campaña de phishing quincenal recurrente, también elija la opción “Agregar usuarios propensos a hacer clic a” a su grupo de personas propensas a hacer clic.

Después de configurar su campaña de phishing, configure la capacitación sobre medidas correctivas para las personas propensas a hacer clic.

Si es un cliente Platino o Diamante, también puede configurar una capacitación sobre medidas correctivas automatizada usando los grupos inteligentes.

Cree una campaña de capacitación sobre medidas correctivas

Regresar a los detalles del plan de concientización alta

Programe capacitaciones adicionales de seguridad trimestrales

Además de nuestra capacitación en concientización sobre seguridad de KnowBe4, ofrecemos diversos módulos de capacitación que satisfacen las necesidades de capacitación de seguridad de su organización. Para ver una lista de nuestras capacitaciones, descripciones y vistas previas de su contenido, puede explorar ModStore desde su cuenta de KnowBe4.

Para mantener a los usuarios centrados en la seguridad, le recomendamos que les asigne capacitaciones trimestrales. Asignar un curso nuevo cada trimestre mantendrá a los usuarios involucrados con la capacitación en concientización sobre seguridad y mantendrá el contenido actualizado.

Si corresponde a su organización, también debe dirigirse a los departamentos con contenido específico relevante. Por ejemplo, al personal que encuentre datos delicados de tarjetas de crédito puede inscribirlo en nuestro curso sobre los aspectos básicos de seguridad de tarjetas de crédito. Puede filtrar nuestro contenido de ModStore para buscar temas específicos en los que desee enfocarse o usar nuestro filtro Capacitación dirigida. 

Le recomendamos que tenga una suscripción Platino para asegurarse de contar siempre con el mejor y más reciente contenido disponible. Si quiere analizar la posibilidad de actualizar su cuenta, comuníquese con su gerente de éxito del cliente o gerente de cuenta. Están disponibles para ayudar con lo que necesite.

Regresar a los detalles del plan de concientización alta

Complete pruebas adicionales de vulnerabilidad trimestrales (exclusivo para Platino y Diamante)

Además de controlar la vulnerabilidad que tienen sus usuarios de hacer clic en enlaces de phishing, le recomendamos que realice en ellos pruebas adicionales de vulnerabilidad a lo largo del año. A continuación, se muestran funciones Platino que puede configurar y gestionar fácilmente en nuestra consola.

• Pruebas de memoria USB: Para descubrir si los usuarios son propensos a usar memorias USB desconocidas y conectarlas en sus equipos, puede realizar una prueba de memoria USB mediante nuestra plataforma. Para esta prueba, deberá cargar archivos específicos diseñados y provistos por nosotros en memorias USB y dejarlas en ubicaciones de su oficina que el personal frecuente. Nosotros podremos dar seguimiento a los datos sobre los usuarios que conecten las memorias USB e intenten abrir los archivos. Consulte: Descripción general de la prueba de memoria USB

Regresar a los detalles del plan de concientización alta

Verifique el progreso

Lo ideal es que revise las diferentes opciones de informe que tiene en su consola para ver el progreso de su organización con el tiempo. Analizar los diferentes informes disponibles para usted puede ayudarlo a dar forma a los planes futuros de las pruebas de phishing o campañas de capacitación sobre seguridad gracias a que se revelarán los “eslabones débiles” de la organización, donde se requiere un mayor enfoque en la capacitación sobre seguridad.

Su Tablero ofrece una descripción general del puntaje de riesgo de su organización, el porcentaje de Phish-prone y otros datos que ayudan a ver de un vistazo cómo viene avanzando su programa en concientización sobre seguridad, pero usted debe ahondar más para identificar tendencias; descubrir qué usuarios todavía deben realizar la capacitación; analizar qué grupos, ubicaciones o departamentos son más vulnerables a hacer clic en enlaces de phishing; o incluso ver en qué plantilla de correo electrónico hicieron clic más usuarios.

Estos son los recursos relacionados con los informes disponibles para usted:

• Guía de informes (recomendado)
• Guía del Virtual Risk Officer y de puntaje de riesgo (recomendado)
• Supervisar y revisar los informes generales de phishing
• Guía de informes de capacitación
• Descripción general del tablero

Regresar a los detalles del plan de concientización alta

Concientización intermedia

Haga clic en cada paso para ver más detalles:

• Implique a las partes interesadas
• Complete una prueba a ciegas de referencia
• Para evitar que el soporte técnico se sobrecargue, primero, haga una prueba de phishing para su equipo de TI
• Comuníquese con su personal
• Evalúe la concientización sobre seguridad de sus usuarios
• Inscriba a su personal en una capacitación en concientización sobre seguridad
• Instale el Phish Alert Button
• Optimice su plan de administración de respuesta ante incidentes por correo electrónico
• Cree un grupo de personas propensas a hacer clic
• Continúe intentando usar phishing en sus usuarios
  • Prueba de phishing mensual
  • Prueba adicional opcional única mensual
• Determine su cultura de la seguridad
• Envíe sugerencias y consejos de seguridad o datos sobre la estafa de la semana
• Inicie una campaña de capacitación sobre medidas correctivas para las personas propensas a hacer clic
• Programe capacitaciones adicionales de seguridad semestrales
• Complete pruebas adicionales de vulnerabilidad semestrales
• Verifique el progreso

Implique a las partes interesadas

Para garantizar que su organización reciba lo mejor de todos los programas, es crucial contar con la participación de las partes interesadas. Consulte el siguiente artículo para ver un correo electrónico de ejemplo que puede modificar y enviar a sus partes interesadas internas.

Involucrar a las partes interesadas para que participen en mi plan de capacitación en concientización sobre seguridad

Regresar a los detalles del plan de concientización intermedia

Complete una prueba a ciegas de referencia

Antes de comenzar a capacitar a sus usuarios con los módulos de nuestra capacitación en concientización sobre seguridad, le recomendamos encarecidamente que realice una prueba de phishing a ciegas de referencia para todos sus usuarios.

Asegúrese de seguir las instrucciones del siguiente artículo para comprender cómo configurar la prueba.

Guía de prácticas recomendadas: Cómo configurar una prueba de referencia

Prueba de referencia de comunicación para su equipo de TI o de soporte técnico

Además, deberá tener en cuenta qué tipo de página de destino usará en su prueba a ciegas de referencia. Con las páginas de destino, podrá influir en la reacción de sus usuarios ante una prueba de phishing. Consulte el siguiente enlace para aprender sobre los diferentes tipos de página de destino y cómo los usuarios pueden reaccionar ante ellos.

Prácticas recomendadas: Elija una página de destino

Regresar a los detalles del plan de concientización intermedia

Para evitar que el soporte técnico se sobrecargue, primero, haga una prueba de phishing para su equipo de TI

Otra opción es enviar dos pruebas de phishing de referencia: una para su departamento de TI o Soporte técnico y, luego, otra por separado para el resto de los empleados. De esta manera, cuando el resto de los empleados comiencen a reportar el correo electrónico sospechoso, los empleados del Soporte técnico conocerán la situación pero también habrán tenido la oportunidad de participar en la evaluación de referencia. Además, es una buena forma de garantizar que hayan creado listas seguras de nuestros servidores de correo electrónico de manera eficaz y que sus pruebas de referencia lleguen a todas las bandejas de entrada.

Regresar a los detalles del plan de concientización intermedia

Comuníquese con su personal

Después de la prueba de referencia, el personal que recibió el correo electrónico de phishing simulado puede estar confundido. A quienes hayan hecho clic en el enlace de phishing quizás les preocupe enfrentar repercusiones. Le recomendamos que, una vez que se complete la duración de la campaña de phishing de las pruebas de referencia, avise al personal que se ha llevado a cabo una prueba y explique por qué.

Puede aprovechar esta oportunidad para destacar la importancia de que todas las personas completen la capacitación en concientización sobre seguridad. Informar a los usuarios sobre la posible amenaza a la organización o a ellos mismos puede aumentar su participación una vez que los inscriba en la capacitación. Ofrecemos una plantilla para este fin en el siguiente enlace.

Plantilla para después de su prueba de phishing de referencia

Regresar a los detalles del plan de concientización intermedia

Evalúe la concientización sobre seguridad de sus usuarios

Antes de inscribir a los usuarios en una capacitación en concientización sobre seguridad, es importante establecer cuál es su concientización sobre seguridad actual para ver cómo mejora con el tiempo. Asigne a sus usuarios la evaluación de la competencia en concientización sobre seguridad (SAPA) para evaluarlos en siete áreas de conocimiento diferentes. Le recomendamos que asigne la SAPA después de la primera prueba de phishing, pero antes de la primera campaña de capacitación. Siga asignando la SAPA a los usuarios todos los años para ver si se producen cambios en sus fortalezas y debilidades.

Use los siguientes enlaces para aprender más sobre cómo agregar evaluaciones y sobre la evaluación de la competencia en concientización sobre seguridad (SAPA).

Guía de evaluaciones organizativas

Descripción general de la evaluación de la competencia en concientización sobre seguridad (SAPA)

Regresar a los detalles del plan de concientización intermedia

Inscriba a su personal en una capacitación en concientización sobre seguridad

Después de su prueba de referencia, debe configurar la capacitación en concientización sobre seguridad para todos los usuarios. Antes de hacerlo, debe configurar la experiencia de aprendizaje y decidir si quiere incluir la gamificación como parte de su programa de capacitación.

Le recomendamos enfáticamente que inscriba a todo su personal en nuestra capacitación en concientización sobre seguridad de KnowBe4 que dura 45 minutos o un curso similar completo en su primera campaña de capacitación. También puede agregar políticas a las campañas de capacitación y pedir a los usuarios que acepten o reconozcan estas políticas. ¿Desea ver más? Consulte: Cómo crear y administrar políticas

Para ayudar a los usuarios a comenzar la capacitación, le recomendamos que les envíe un enlace a uno de nuestros videos introductorios. Cada video cuenta con instrucciones únicas que se basan en su configuración de inicio de sesión y detalla cómo usar la Experiencia de aprendizaje Use estos enlaces para encontrar el video que mejor se adapte a su organización:

• Guía para usuarios con configuración predeterminada de inicio de sesión
  • Guía temática de héroe cibernético para usuarios con configuración predeterminada de inicio de sesión
• Guía para usuarios con inicio de sesión único habilitado
  • Guía temática de héroe cibernético para usuarios con inicio de sesión único habilitado
• Guía para usuarios con inicio de sesión sin contraseña habilitado

Consulte el siguiente enlace para ver recomendaciones sobre cómo configurar su primera campaña de capacitación en concientización sobre seguridad.

Guía de prácticas recomendadas: Cómo crear su primera campaña de capacitación

Regresar a los detalles del plan de concientización intermedia

Instale el Phish Alert Button

El Phish Alert Button (PAB) es una herramienta gratuita que puede usar para alentar a los usuarios a que interactúen con su capacitación de seguridad. El PAB es un complemento para su cliente de correo (Consulte nuestra matriz de compatibilidad de PAB aquí) que les permite a sus usuarios denunciar un correo electrónico de phishing sospechoso. El mensaje denunciado puede ser una prueba de phishing simulado de KnowBe4 o un posible ciberataque real.

Para conocer más información sobre el PAB y cómo puede informar a sus usuarios sobre él una vez instalado, consulte el siguiente enlace.

Prácticas recomendadas: Implementación del Phish Alert Button (PAB)

Regresar a los detalles del plan de concientización intermedia

Optimice su plan de administración de respuesta ante incidentes por correo electrónico

Si opta por usar el PAB, o si les pide a sus usuarios que reenvíen los correos electrónicos maliciosos potenciales o sospechosos a un departamento o correo electrónico designado para tal fin en su organización, deberá contar con un producto que le permita gestionar estos correos electrónicos reenviados, analizarlos eficazmente y responder a ellos. PhishER es una plataforma que se puede usar para este fin.

Con PhishER como detective de control de seguridad, su organización puede identificar posibles amenazas y fortalecer sus medidas de seguridad y su plan de defensa en profundidad. PhishER se puede usar perfectamente con el PAB para administrar correos electrónicos de phishing denunciados, aunque también puede hacer que los correos electrónicos denunciados se envíen a su bandeja de entrada de PhishER. Para obtener más información sobre PhishER, consulte nuestro Manual del producto PhishER.

Regresar a los detalles del plan de concientización intermedia

Cree un grupo de personas propensas a hacer clic

Haga clic en Usuarios y luego en la pestaña Grupos, en la que verá una opción para crear un grupo nuevo. Aquí puede crear un grupo para los usuarios propensos a hacer clic. Puede usar este grupo en futuras campañas de phishing y configurar una capacitación sobre medidas correctivas automatizada para las personas que sigan desaprobando sus pruebas de phishing. Los clientes Platino y Diamante también pueden crear un grupo inteligente que agrupará automáticamente a los usuarios que desaprueben las pruebas de phishing.

Regresar a los detalles del plan de concientización intermedia

Continúe intentando usar phishing en sus usuarios 

Prueba de phishing mensual

Para el plan de concientización intermedia, le recomendamos que realice una prueba mensual para todos los usuarios. Las pruebas de phishing periódicas permitirán al personal practicar las habilidades que aprendieron en la capacitación en concientización sobre seguridad.

La configuración recomendada se muestra a continuación, y sirve para maximizar la variedad de correos electrónicos de phishing que se utilizan y espaciar en el tiempo los correos electrónicos. A través de este método totalmente aleatorio, el personal no podrá advertirse entre sí cuando ocurra una prueba de phishing.

• Frecuencia: Mensual.
  • Envío: Enviar correos electrónicos durante 5 a 10 días hábiles.
  • Así los usuarios no recibirán los correos electrónicos al mismo tiempo y no podrán advertirse entre sí cuando ocurra una prueba de phishing.
• Seguimiento de la actividad: Haga un seguimiento de los errores de la prueba de phishing durante al menos tres días.
• Realizar un seguimiento de las respuestas: Le recomendamos que habilite esta configuración. Para obtener información sobre las respuestas a los ataques de phishing, consulte el artículo Respuestas al manual del producto.
• Categorías: Elija varias categorías de plantilla y seleccione la opción “Totalmente aleatoria” del menú desplegable de la plantilla para seleccionar una plantilla aleatoria para cada usuario.
  • Excluya los idiomas que no correspondan, así como las categorías Estafa de la semana y Sugerencias y consejos de seguridad.
• Grado de dificultad: Opcional
  • Si así lo desea, aquí puede optar por limitar la dificultad de las plantillas que seleccionó a una dificultad de estrellas específica, de una a cinco.
• Dominio del enlace de phishing: Deje esta opción en aleatorio.
• Página de destino: Opcional
  • Elija la página de destino particular que desee usar para todas las plantillas de phishing o deje la opción predeterminada.
• Agregar usuarios propensos a hacer clic: Aquí puede seleccionar su grupo de personas propensas a hacer clic. Si está creando un grupo inteligente para una capacitación sobre medidas correctivas automatizada, puede dejar esta opción en blanco.
  • Cada vez que alguien desapruebe su prueba de phishing, se agregará a esa persona al grupo seleccionado.
• Marque “Enviar un informe por correo electrónico a los administradores de la cuenta…” si desea recibir una notificación cuando se complete la prueba de phishing que se realiza quincenalmente.

Regresar a los detalles del plan de concientización intermedia

Prueba adicional opcional única mensual con una plantilla objetivo o de eventos actuales

A veces, agregamos una plantilla nueva que querrá usar de inmediato con todos los usuarios o quizás usted invente un concepto creativo para una prueba de phishing que atrapará incluso a quienes rara vez hacen clic. Puede configurar una prueba única adicional cada mes para que sus pruebas de phishing sean irrepetibles y pertinentes.

Para el plan de concientización intermedia, conviene que envíe al personal plantillas específicas para su organización o industria para estas pruebas únicas.

La práctica recomendada para cuando use una sola plantilla es que seleccione la opción Enviar todos los correos electrónicos cuando comience la campaña para que los usuarios reciban el correo electrónico de phishing simulado al mismo tiempo. Así podrá minimizar el tiempo que tienen los usuarios para advertirse entre sí cuando ocurra una prueba de phishing.

Regresar a los detalles del plan de concientización intermedia

Determine su cultura de la seguridad

Para garantizar que su capacitación en concientización sobre seguridad tenga la eficacia correcta, debe establecer una cultura de la seguridad sólida. La cultura de la seguridad se define como las ideas, las costumbres y los comportamientos sociales que afectan la seguridad de su organización. La encuesta de cultura de la seguridad (SCS) desglosa la cultura de la seguridad de su organización en siete dimensiones diferentes. Utilice esta encuesta para ver qué dimensiones se pueden reforzar y para ver si se producen cambios en su cultura de la seguridad a lo largo del tiempo. Envíe estas encuestas a sus usuarios una vez al año para ver si se producen cambios en su puntaje de cultura de la seguridad.

Utilice los siguientes enlaces para conocer más sobre la encuesta de cultura de la seguridad (SCS) y cómo agregar evaluaciones.

Guía de evaluaciones organizativas

Descripción general de la encuesta de cultura de la seguridad (SCS)

Regresar a los detalles del plan de concientización intermedia

Envíe sugerencias y consejos de seguridad o datos sobre la estafa de la semana

Además de las plantillas de phishing, contamos con Sugerencias y consejos de seguridad y una categoría llamada Estafa de la semana. La categoría Sugerencias y consejos de seguridad les recuerda a los usuarios sobre los diferentes métodos generales para mantenerse seguros en línea y en el trabajo. La categoría Estafa de la semana preparará a sus usuarios para que se defiendan contra las estafas de ingeniería social y ciberseguridad más recientes. 

Descripción general del boletín de sugerencias y consejos de seguridad

Descripción general del boletín de estafa de la semana

Regresar a los detalles del plan de concientización intermedia

Inicie una campaña de capacitación sobre medidas correctivas para las personas propensas a hacer clic

Con el objetivo de alentar a los usuarios propensos a hacer clic a que analicen los correos electrónicos que reciben con más detenimiento, puede programar una capacitación sobre medidas correctivas para el grupo de personas propensas a hacer clic.

Para eso, asegúrese de que, cuando configure la campaña de phishing recurrente mensual, también elija la opción “Agregar usuarios propensos a hacer clic a” a su grupo de personas propensas a hacer clic.

Después de configurar su campaña de phishing, configure la capacitación sobre medidas correctivas para las personas propensas a hacer clic.

Si es un cliente Platino o Diamante, también puede configurar una capacitación sobre medidas correctivas automatizada usando los grupos inteligentes.

Usar grupos para la capacitación sobre medidas correctivas

Regresar a los detalles del plan de concientización intermedia

Programe capacitaciones adicionales de seguridad semestrales

Además de nuestra capacitación en concientización sobre seguridad de KnowBe4, ofrecemos diversos módulos de capacitación que satisfacen las necesidades de capacitación de seguridad de su organización. Para ver una lista de nuestras capacitaciones, descripciones y vistas previas de su contenido, puede explorar ModStore desde su cuenta de KnowBe4.

Para mantener a los usuarios centrados en la seguridad, le recomendamos que cree una campaña de capacitación nueva cada seis meses. Asignar un curso nuevo mantendrá a los usuarios involucrados con la capacitación en concientización sobre seguridad y mantendrá el contenido actualizado. 

Si corresponde a su organización, también debe dirigirse a los departamentos con contenido específico relevante. Por ejemplo, al personal que encuentre datos delicados de tarjetas de crédito puede inscribirlo en nuestro curso sobre los aspectos básicos de seguridad de tarjetas de crédito. Puede filtrar nuestro contenido de ModStore para buscar temas específicos en los que desee enfocarse o usar nuestro filtro Capacitación dirigida. 

Le recomendamos que tenga una suscripción Platino para asegurarse de contar siempre con el mejor y más reciente contenido disponible. Si quiere analizar la posibilidad de actualizar su cuenta, comuníquese con su gerente de éxito del cliente o gerente de cuenta. Están disponibles para ayudar con lo que necesite.

Regresar a los detalles del plan de concientización intermedia

Complete pruebas adicionales de vulnerabilidad semestrales (exclusivo para Platino y Diamante)

Además de controlar la vulnerabilidad que tienen sus usuarios de hacer clic en enlaces de phishing, le recomendamos que realice en ellos pruebas adicionales de vulnerabilidad a lo largo del año. A continuación, se muestran funciones Platino que puede configurar y gestionar fácilmente en nuestra consola.

• Pruebas de memoria USB: Para descubrir si los usuarios son propensos a usar memorias USB desconocidas y conectarlas en sus equipos, puede realizar una prueba de memoria USB mediante nuestra plataforma. Para esta prueba, deberá cargar archivos específicos diseñados y provistos por nosotros en memorias USB y dejarlas en ubicaciones de su oficina que el personal frecuente. Nosotros podremos dar seguimiento a los datos sobre los usuarios que conecten las memorias USB e intenten abrir los archivos. Consulte: Descripción general de la prueba de memoria USB

Regresar a los detalles del plan de concientización intermedia

Verifique el progreso

Lo ideal es que revise las diferentes opciones de informe que tiene en su consola para ver el progreso de su organización con el tiempo. Analizar los diferentes informes disponibles para usted puede ayudarlo a dar forma a los planes futuros de las pruebas de phishing o campañas de capacitación sobre seguridad gracias a que se revelarán los “eslabones débiles” de la organización, donde se requiere un mayor enfoque en la capacitación sobre seguridad.

Su Tablero ofrece una descripción general del puntaje de riesgo de su organización, el porcentaje de Phish-prone y otros datos que ayudan a ver de un vistazo cómo viene avanzando su programa en concientización sobre seguridad, pero usted debe ahondar más para identificar tendencias; descubrir qué usuarios todavía deben realizar la capacitación; analizar qué grupos, ubicaciones o departamentos son más vulnerables a hacer clic en enlaces de phishing; o incluso ver en qué plantilla de correo electrónico hicieron clic más usuarios.

Estos son los recursos relacionados con los informes disponibles para usted:

• Guía de informes (recomendado)
• Guía del Virtual Risk Officer y de puntaje de riesgo (recomendado)
• Supervisar y revisar los informes generales de phishing
• Guía de informes de capacitación
• Descripción general del tablero

Regresar a los detalles del plan de concientización intermedia

Concientización baja

Haga clic en cada paso para ver más detalles:

• Implique a las partes interesadas
• Complete una prueba a ciegas de referencia
• Para evitar que el soporte técnico se sobrecargue, primero, haga una prueba de phishing para su equipo de TI
• Comuníquese con su personal
• Evalúe la concientización sobre seguridad de sus usuarios
• Inscriba a su personal en una capacitación en concientización sobre seguridad

Implique a las partes interesadas

Para garantizar que su organización reciba lo mejor de todos los programas, es crucial contar con la participación de las partes interesadas. Consulte el siguiente artículo para ver un correo electrónico de ejemplo que puede modificar y enviar a sus partes interesadas internas.

Involucrar a las partes interesadas para que participen en mi plan de capacitación en concientización sobre seguridad

Regresar a los detalles del plan de concientización baja

Complete una prueba a ciegas de referencia

Antes de comenzar a capacitar a sus usuarios con los módulos de nuestra capacitación en concientización sobre seguridad, le recomendamos encarecidamente que realice una prueba de phishing a ciegas de referencia para todos sus usuarios.

Asegúrese de seguir las instrucciones del siguiente artículo para comprender cómo configurar la prueba.

Guía de prácticas recomendadas: Cómo configurar una prueba de referencia

Prueba de referencia de comunicación para su equipo de TI o de soporte técnico

Además, deberá tener en cuenta qué tipo de página de destino usará en su prueba a ciegas de referencia. Con las páginas de destino, podrá influir en la reacción de sus usuarios ante una prueba de phishing. Consulte el siguiente enlace para aprender sobre los diferentes tipos de página de destino y cómo los usuarios pueden reaccionar ante ellos.

Prácticas recomendadas: Elija una página de destino

Regresar a los detalles del plan de concientización baja

Para evitar que el soporte técnico se sobrecargue, primero, haga una prueba de phishing para su equipo de TI

Otra opción es enviar dos pruebas de phishing de referencia: una para su departamento de TI o Soporte técnico y, luego, otra por separado para el resto de los empleados. De esta manera, cuando el resto de los empleados comiencen a reportar el correo electrónico sospechoso, los empleados del Soporte técnico conocerán la situación pero también habrán tenido la oportunidad de participar en la evaluación de referencia. Además, es una buena forma de garantizar que hayan creado listas seguras de nuestros servidores de correo electrónico de manera eficaz y que sus pruebas de referencia lleguen a todas las bandejas de entrada.

Regresar a los detalles del plan de concientización baja

Comuníquese con su personal

Después de la prueba de referencia, el personal que recibió el correo electrónico de phishing simulado puede estar confundido. A quienes hayan hecho clic en el enlace de phishing quizás les preocupe enfrentar repercusiones. Le recomendamos que, una vez que se complete la duración de la campaña de phishing de las pruebas de referencia, avise al personal que se ha llevado a cabo una prueba y explique por qué.

Puede aprovechar esta oportunidad para destacar la importancia de que todas las personas completen la capacitación en concientización sobre seguridad. Informar a los usuarios sobre la posible amenaza a la organización o a ellos mismos puede aumentar su participación una vez que los inscriba en la capacitación. Ofrecemos una plantilla para este fin en el siguiente enlace.

Plantilla para después de su prueba de phishing de referencia

Regresar a los detalles del plan de concientización baja

Evalúe la concientización sobre seguridad de sus usuarios

Antes de inscribir a los usuarios en una capacitación en concientización sobre seguridad, es importante establecer cuál es su concientización sobre seguridad actual para ver cómo mejora con el tiempo. Asigne a sus usuarios la evaluación de la competencia en concientización sobre seguridad (SAPA) para evaluarlos en siete áreas de conocimiento diferentes. Le recomendamos que asigne la SAPA después de la primera prueba de phishing, pero antes de la primera campaña de capacitación. Siga asignando la SAPA a los usuarios todos los años para ver si se producen cambios en sus fortalezas y debilidades.

Use los siguientes enlaces para aprender más sobre cómo agregar evaluaciones y sobre la evaluación de la competencia en concientización sobre seguridad (SAPA).

Guía de evaluaciones organizativas

Descripción general de la evaluación de la competencia en concientización sobre seguridad (SAPA)

Regresar a los detalles del plan de concientización baja

Inscriba a su personal en una capacitación en concientización sobre seguridad

Después de su prueba de referencia, debe configurar la capacitación en concientización sobre seguridad para todos los usuarios. Antes de hacerlo, debe configurar la experiencia de aprendizaje y decidir si quiere incluir la gamificación como parte de su programa de capacitación.

Le recomendamos enfáticamente que inscriba a todo su personal en nuestra capacitación en concientización sobre seguridad de KnowBe4 que dura 45 minutos o un curso similar completo en su primera campaña de capacitación. También puede agregar políticas a las campañas de capacitación y pedir a los usuarios que acepten o reconozcan estas políticas. ¿Desea ver más? Consulte: Cómo crear y administrar políticas

Para ayudar a los usuarios a comenzar la capacitación, le recomendamos que les envíe un enlace a uno de nuestros videos introductorios. Cada video cuenta con instrucciones únicas que se basan en su configuración de inicio de sesión y detalla cómo usar la Experiencia de aprendizaje Use estos enlaces para encontrar el video que mejor se adapte a su organización:

• Guía para usuarios con configuración predeterminada de inicio de sesión
  • Guía temática de héroe cibernético para usuarios con configuración predeterminada de inicio de sesión
• Guía para usuarios con inicio de sesión único habilitado
  • Guía temática de héroe cibernético para usuarios con inicio de sesión único habilitado
• Guía para usuarios con inicio de sesión sin contraseña habilitado