Nuestra función Virtual Risk Officer (VRO) ofrece información y parámetros procesables para ayudarlo a comprender las fortalezas y debilidades de la seguridad de su organización. Puede usar el VRO para aprender qué usuarios pueden ser más vulnerables a ataques de phishing y revisar la efectividad de su programa de capacitación en concientización sobre seguridad.
VRO asigna puntajes de riesgo dinámicos a sus usuarios, grupos y organización. Puede usarlos para tomar decisiones basadas en datos para la seguridad de su organización.
Para obtener más información sobre VRO, haga clic en los enlaces que aparecen a continuación o mire nuestro video Virtual Risk Officer (VRO).
¿Qué es el puntaje de riesgo?
KnowBe4 registra un puntaje de riesgo único de cada uno de sus usuarios, grupos y de su organización. El puntaje de riesgo de sus usuarios individuales se denomina Puntaje de riesgo personal. Estos puntajes de riesgo personales se usan para calcular el puntaje de riesgo de los grupos y de su organización.
Puede ver estos puntajes en su consola, como, por ejemplo, en varios informes, listas de usuarios y de grupos.
¿Cómo se determina el puntaje de riesgo personal?
El puntaje de riesgo personal es el puntaje de riesgo de un usuario individual. Los puntajes de riesgo personales se calculan mediante una red neuronal de deep learning (aprendizaje profundo) que combina varios factores distintos. Algunos de estos factores se enumeran en la siguiente tabla:
| Factores de riesgo | Descripción |
|---|---|
| Porcentaje de Phish-prone | La posibilidad de que un usuario sea víctima de un ataque de phishing. El porcentaje se basa en los resultados de una prueba de seguridad contra el phishing. |
| Estado de la capacitación en concientización sobre seguridad | El tipo de módulo de capacitación que completó el usuario y el tiempo que le dedicó a la capacitación. |
| Violación de datos | Indica si la información del usuario se encontró o no en una o más violaciones de seguridad de datos a través de nuestra herramienta Email Exposure Check (EEC Pro). La información que haya sufrido una violación aparecerá listada en la línea temporal del usuario. |
| Función laboral |
El puesto laboral de un usuario puede afectar su puntaje de riesgo personal. Se aplicará un factor de riesgo promedio de la función laboral al puntaje de riesgo de cualquier usuario que no tenga un puesto laboral. Para obtener más información, consulte el artículo ¿Cómo afectan los puestos laborales a los puntajes de riesgo? |
| Modificador del riesgo del usuario | Puede usar esta herramienta para modificar manualmente el puntaje de riesgo personal de un usuario. Le recomendamos que use el modificador del riesgo en los usuarios de alto riesgo. Para obtener más información, consulte nuestra Guía sobre los modificadores del riesgo. |
| Modificador del riesgo del grupo |
Si agrega un usuario a un grupo, el modificador del riesgo del grupo puede modificar el puntaje de riesgo personal del usuario. Si el modificador del riesgo del usuario es menor que el del grupo, se aplicará el modificador del riesgo del grupo. Cuando se aplique el modificador del riesgo del grupo, el modificador del riesgo personal del usuario cambiará. Si agregó al usuario a varios grupos, se aplicará el modificador del riesgo del grupo más alto. Los usuarios con un riesgo muy bajo no se verán afectados por el modificador del riesgo del grupo. Para más información sobre Modificadores del riesgo, consulte nuestra Guía de modificadores del riesgo. |
Los puntajes de riesgo personales de sus usuarios pueden variar según estos factores. Por ejemplo, los usuarios del departamento de Contabilidad pueden tener puntajes de riesgo personales más altos que los usuarios del departamento de Diseño Gráfico. Los usuarios del departamento de Contabilidad pueden tener acceso a la información financiera confidencial y es más probable que sean objetivos de ataques de phishing o de ingeniería social.
De forma similar, un CEO (Chief executive officer) puede tener un puntaje de riesgo personal más alto que un director de Marketing. Los ejecutivos tienen acceso a información confidencial sobre la organización y pueden estar ante un riesgo mayor de sufrir ataques de ingeniería social.
Todos los puntajes de riesgo personales se actualizan una vez al día. Los puntajes registrados en días anteriores no se pueden modificar.
Puede ver el puntaje de riesgo personal de un usuario en varias áreas de su consola, incluso en la lista de usuarios en la pestaña Usuarios, en los perfiles de usuario individuales y en las fichas de informes del usuario disponibles en el Centro de informes de KSAT.
Tablas y gráficos de puntaje de riesgo personal
Desde la pestaña Usuarios de su consola KSAT, hay tres gráficos distintos que muestran el puntaje de riesgo personal de un usuario. Para ver los gráficos de cada usuario, vaya a la pestaña Usuarios y luego haga clic en el nombre del usuario.
Haga clic en una de las siguientes pestañas para aprender más sobre cada gráfico:
La escala de puntaje de riesgo ofrece una representación visual del puntaje de riesgo personal del usuario calculado. El rango de esta escala es de entre 0 y 100. Consulte la siguiente tabla para obtener información sobre los colores de la escala de puntaje de riesgo y sus correspondientes puntajes de riesgos:
| Escala de puntaje de riesgo | Color | Puntaje de riesgo |
|---|---|---|
 |
Verde | 0 a 20 |
| Amarillo | 20,1 a 40 | |
| Amarillo oscuro | 40,1 a 60 | |
| Naranja | 60,1 a 80 | |
| Rojo | 80,1 a 100 |
La tabla de radar de los factores de riesgo muestran qué factores tienen mayor impacto en el puntaje de riesgo personal de un usuario.
Los datos de esta tabla solo son relativos a los otros factores de riesgo de este usuario. Estos datos no son relativos a los factores de riesgo de todos los usuarios de su organización. Consulte la siguiente tabla para obtener más información sobre cada factor de riesgo incluido en la tabla:
Descripción| Factor | |
|---|---|
|
Eventos personalizados |
El usuario participó en, al menos, un evento personalizado importado a la consola a través de la API de eventos de usuario. El impacto de los factores de riesgo de los eventos personalizados varía según el nivel de riesgo que le haya asignado a cada evento personalizado. |
| Modificador |
Aplicó manualmente un modificador del riesgo a este usuario. Este factor de riesgo incluye modificadores del riesgo individuales y grupales. Los administradores pueden editar el modificador del riesgo de los usuarios y grupos. El gráfico puede mostrar si aplicó un modificador del riesgo al usuario, incluso un modificador del riesgo normal. Si quiere cambiar esta configuración, puede aplicar un modificador del riesgo muy bajo al usuario o al grupo. |
| Exposición |
Se encontró la información del usuario en una o más violaciones de seguridad de datos. Si se encontró la información del usuario en una violación de seguridad de datos, es más probable que el usuario sufra ataques de phishing o de ingeniería social. El puntaje disminuirá con el tiempo en el caso de las violaciones de seguridad de datos más antiguas. Las violaciones de seguridad de datos tendrán un impacto más fuerte en el factor de riesgo de exposición. Para ver si se encontró la información en una violación de seguridad de datos, vaya a la línea de tiempo o a la ficha de informes del usuario. |
| Función laboral | Los usuarios pueden tener un puntaje de riesgo más alto según su función laboral. Para obtener más información, consulte el artículo ¿Cómo afectan los puestos laborales a los puntajes de riesgo? |
| Comportamiento | El usuario desaprobó las pruebas de phishing simulado. Si el usuario aprueba nuevas pruebas de phishing, el factor de riesgo de comportamiento disminuirá. |
| Capacitación | El usuario no completó su capacitación ni pasó mucho tiempo en ella. Este factor será alto si el usuario no completa su capacitación, pero será más bajo si el usuario la realiza. |
La línea del gráfico Historial de riesgo representa el cambio en el puntaje de riesgo personal del usuario en los últimos seis meses. Puede pasar el cursor sobre cualquier punto del gráfico para visualizar el puntaje de riesgo personal del usuario de esa fecha.
Puntajes de riesgo del grupo
El puntaje de riesgo del grupo se determina según los puntajes de riesgo personales de los usuarios que conforman el grupo, y se calcula midiendo el error cuadrático medio, o ECM. Esto significa que el puntaje de riesgo del grupo puede no ser un promedio exacto de los puntajes de riesgo personales de sus usuarios. Por ejemplo, si hay un usuario en su grupo que tiene un puntaje de riesgo personal inusualmente alto en comparación con el resto del grupo, MSE evita que ese puntaje sesgue el puntaje de riesgo del grupo.
El puntaje de riesgo del grupo cambiará si se agregan usuarios al grupo o se eliminan de este, y cuando los puntajes de riesgo personales de los usuarios cambien. Si se detectan cambios, el puntaje de riesgo del grupo se actualizará al otro día. Los puntajes de riesgo registrados en el pasado no pueden modificarse.
Si así lo desea, puede aplicar un modificador del riesgo a un grupo. Para obtener más información sobre cómo aplicar un modificador del riesgo a un grupo, consulte nuestra Guía de modificadores del riesgo.
Puede encontrar el puntaje de riesgo del grupo en distintas áreas de la consola, incluso en la página de descripción general del grupo, en los perfiles individuales del grupo y en las ficha de informes de grupo.
Puntaje de riesgo de la organización
El puntaje de riesgo de la organización se calcula combinando todos los puntajes de riesgos personales de sus usuarios.
Sin embargo, KnowBe4 usa una medición de error cuadrático medio, o ECM, para calcular el puntaje de riesgo de la organización. Si un usuario tiene un puntaje de riesgo personal inusual, el ECM evitará que esto afecte el puntaje de riesgo de toda su organización. Por ejemplo, un usuario con un puntaje de riesgo personal inusualmente alto afectará en menor medida el puntaje de riesgo de la organización. Como resultado, los puntajes de riesgo de la organización variarán y no serán un promedio exacto de los puntajes de riesgo personales de todos los usuarios.
Puede ver el puntaje de riesgo de la organización en la pestaña Tablero de su consola de KnowBe4. En la sección Puntaje de riesgo de la organización, puede ver el gráfico Historial del puntaje de riesgo y la escala de puntaje de riesgo de su organización. El gráfico Historial del puntaje riesgo muestra el puntaje de riesgo de la organización durante los últimos seis meses. Cada punto de datos del gráfico representa el puntaje de riesgo de la organización en ese punto específico en el tiempo.
Tablero: Riesgo de la organización
El puntaje de riesgo de la organización cambia cuando lo hacen los puntajes de riesgo personales de sus usuarios. Si se detectan cambios, el puntaje de riesgo se actualizará al otro día.
Si no se detectan cambios en el puntaje de riesgo, igualmente verá dos puntos de datos que se agregarán todos los meses al gráfico de puntaje de riesgo de la organización. Si no se detectan cambios, estos dos puntos se agregarán para mostrar que el puntaje de riesgo se mantuvo igual durante el mes. Si el puntaje de riesgo de la organización cambia, se agregará un punto de dato al otro día. No puede cambiar manualmente los puntajes de riesgos que se registran en el gráfico.
No puede aplicar un modificador del riesgo al puntaje de riesgo de la organización.
Cómo reducir los puntajes de riesgo
Puede reducir los puntajes de riesgo personales, del grupo y de la organización. Para obtener información sobre cómo reducir estos puntajes, consulte las siguientes secciones.
Cómo reducir los puntajes de riesgo personales
Algunos usuarios siempre tendrán puntajes de riesgo personales altos según sus puestos laborales y otros factores. Sin embargo, los usuarios pueden realizar acciones específicas para reducir sus puntajes de riesgo personales, como completar capacitaciones en concientización sobre seguridad y no hacer clic en enlaces de phishing ni correos electrónicos de phishing.
El puntaje de riesgo personal de un usuario disminuirá cuando complete las tareas de capacitación en concientización sobre seguridad. Le recomendamos que asigne módulos de capacitación que abarquen una variedad de temas de concientización sobre seguridad, como nuestro módulo de capacitación sobre seguridad de KnowBe4. Para obtener más información sobre cómo crear una campaña de capacitación, consulte nuestro artículo Cómo crear y administrar campañas de capacitación.
El puntaje de riesgo personal de un usuario también disminuirá si no hace clic en enlaces de phishing ni abre archivos adjuntos de correos electrónicos de phishing. Cuando los usuarios dejan de hacer clic en los enlaces de phishing simulados, reducen su Phish-prone percentage. Esto también disminuirá sus puntajes de riesgo personales.
Cómo reducir los puntajes de riesgo del grupo y de la organización
Los puntajes de riesgo de sus grupos y su organización disminuirán a medida que lo hacen los puntajes de riesgo personales de sus usuarios. Para ver cómo disminuye el puntaje de riesgo de la organización a lo largo del tiempo, le recomendamos que use un programa combinado de phishing simulado y de capacitación en concientización sobre seguridad.
Para obtener mejores resultados, le recomendamos que siga un Automated Security Awareness Program (ASAP). Este programa estará adaptado para cumplir con las necesidades de su organización y lo ayudará a hacer un seguimiento de su plan de seguridad.
Para obtener más información, consulte nuestra Guía de prácticas recomendadas: ¿Cómo puedo integrar eficazmente KnowBe4 en mi organización? Si desea obtener ayuda adicional, comuníquese con su administrador de la cuenta o gerente de éxito del cliente.
Preguntas frecuentes
Si elimino una campaña de capacitación o de phishing, ¿se verá afectado el puntaje de riesgo de mis usuarios?
Los puntajes de riesgos personales no se verán afectados. Sin embargo, si elimina una campaña hoy, se verán afectados los puntajes de riesgos de sus usuarios desde hoy en adelante.
¿Las campañas Sugerencias y consejos de seguridad y Estafa de la semana están incluidas en los puntajes de riesgo personales de mis usuarios?
Sí, estas campañas están incluidas en los puntajes de riesgo personales de sus usuarios. Estas campañas reducen los puntajes de riesgo personales de sus usuarios porque no tienen enlaces de phishing en los que los usuarios puedan hacer clic. Siempre debe esconder estas campañas de los informes. Para obtener más información, consulte nuestro artículo Cómo esconder una campaña de phishing de los informes.
¿Puedo cambiar manualmente el puntaje de riesgo personal de un usuario o el puntaje de riesgo del grupo?
Sí, puede hacerlo. Para obtener más información, consulte nuestra Guía sobre los modificadores del riesgo.
¿A qué hora se actualizan los puntajes de riesgo?
Los puntajes de riesgo se actualizan aproximadamente a las 12:00 a. m., Hora Estándar del Este (EST). Esto puede variar levemente.
¿Con qué frecuencia se actualiza el VRO?
El modelo VRO se actualiza semanalmente. Además, actualizamos esta función según sea necesario para poder ofrecerle información precisa.
¿Por qué el puntaje de riesgo de la organización muestra el valor “0”?
Es probable que el puntaje de riesgo de la organización todavía no se haya registrado. Los valores de puntaje de riesgo se registran aproximadamente a las 12:00 a. m., Hora Estándar del Este (EST).