En esta guía, se detallan los pasos para implementar la capacitación en concientización sobre seguridad (SAT, por sus siglas en inglés) en su organización, lo que incluye capacitación personalizada, relevante y adaptable en concientización sobre seguridad para la gestión de riesgos relacionados con el factor humano. Al integrar la capacitación integral en concientización sobre seguridad (la biblioteca de contenido en más de 35 idiomas más grande del mundo), los agentes de defensa nativos de IA y el asesoramiento sobre seguridad en tiempo real, SAT crea una capa de defensa humana y faculta a los usuarios a través del cambio del comportamiento.

Paso 1: Agregue sus usuarios

Para comenzar, agregue a sus usuarios a la consola de KSAT para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de capacitación. Si su organización usa múltiples dominios de correo electrónico, primero debe agregarlos a la consola de KSAT para luego poder agregar usuarios. Para obtener instrucciones detalladas, consulte nuestro artículo Agregar y verificar dominios.

Método de aprovisionamiento de usuarios

El método preferido para sincronizar usuarios con su consola de KSAT y mantener su lista de usuarios en el transcurso del tiempo es el aprovisionamiento de usuarios. Puede utilizar el aprovisionamiento de usuarios de Google (GUP, por sus siglas en inglés), la Integración de Active Directory (ADI, por sus siglas en inglés) o SCIM para aprovisionar usuarios automáticamente. Para obtener instrucciones detalladas, consulte la Guía de aprovisionamiento de usuarios de Google (GUP), la Guía de configuración de Integración de Active Directory (ADI) o la Guía de configuración de SCIM.

Importar CSV

Este método es útil para importar una mayor cantidad de usuarios e incluir otros datos del usuario, como nombres, números de teléfono, membresías de grupos y más. Para obtener más información, consulte nuestro artículo Importar usuarios con un archivo CSV.

Paso 2: Autenticación de SSO

KnowBe4 es compatible con SAML 2.0, lo que permite que los usuarios inicien sesión en KnowBe4 a través del proveedor de inicio de sesión único (SSO) de su organización. El uso del SSO elimina la necesidad de que los usuarios creen o usen una contraseña diferente.

Para obtener instrucciones detalladas sobre cómo habilitar SAML en la configuración de la cuenta y completar la configuración con su proveedor de SSO, consulte nuestro artículo Cómo configurar el inicio de sesión único (SSO) de SAML para la consola de capacitación en concientización sobre seguridad.

Paso 3: Phishing de referencia

Antes de comenzar su programa de capacitación en concientización sobre seguridad, le recomendamos encarecidamente que envíe una prueba de phishing de referencia a todos los usuarios. Esta prueba servirá de punto de partida para establecer métricas iniciales.

Para obtener más información sobre nuestras recomendaciones para el proceso de phishing de referencia, consulte las subsecciones siguientes o nuestro video Campaña de phishing inicial de un minuto para medir los clics.

Campaña de prueba preliminar

Antes de crear una campaña de phishing inicial para sus usuarios, le recomendamos que ejecute al menos una campaña de prueba que se limite a un grupo pequeño de usuarios, como su equipo de TI. Para obtener más información sobre cómo crear grupos, consulte nuestra Guía de gestión de grupos y usuarios.

El objetivo de esta campaña de prueba preliminar es garantizar que haya implementado las listas seguras de manera correcta y que los correos electrónicos pasen por sus filtros de correo no deseado (spam) y protección del firewall.

Esta campaña preliminar también garantizará que los clics y otros errores en las pruebas de phishing se registren en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que los errores se estén registrando en su cuenta. Para obtener más información, consulte nuestros artículos Crear y gestionar campañas de phishing o Supervisar y revisar campañas de phishing.

Cómo establecer una prueba de referencia

Después de que haya confirmado que su campaña de prueba de phishing preliminar se realizó con éxito, deberá crear una campaña de prueba de phishing de referencia para todos sus usuarios. Esta prueba mostrará el porcentaje de Phish-prone (predisposición para ser víctima de phishing) inicial de su organización. Considere el porcentaje de Phish-prone (predisposición para ser víctima de phishing) inicial como punto de partida. A partir de ahora, use este Porcentaje de Phish-prone inicial para evaluar el éxito de su plan de capacitación en concientización sobre seguridad.

Para conocer nuestras recomendaciones para configurar su campaña de phishing inicial, consulte nuestra Guía de prácticas recomendadas: Cómo configurar una prueba de referencia o nuestro artículo Recomendaciones de plantilla de prueba de referencia.

Envíe una prueba inicial a su equipo de TI

Otra opción es enviar dos pruebas de phishing iniciales: una para su departamento de TI o soporte técnico y luego otra por separado para el resto del personal. De esta manera, cuando el resto de los empleados comiencen a informar el correo electrónico sospechoso, los empleados de TI o del soporte técnico conocerán la situación y también habrán tenido la oportunidad de participar en la evaluación inicial. Además, es una buena forma de garantizar que se hayan creado listas seguras de nuestros servidores de correo electrónico de manera eficaz y que sus pruebas de referencia lleguen a todas las bandejas de entrada.

Paso 4: Capacite a los usuarios

Para su campaña de capacitación inicial en concientización sobre seguridad, le recomendamos que inscriba a todos sus usuarios en la Capacitación en concientización sobre seguridad de KnowBe4 de 45 minutos o en otro curso integral. Para obtener información sobre el contenido de capacitación disponible para usted, consulte nuestra Guía de la biblioteca y ModStore.

Para conocer nuestras recomendaciones para configurar su primera campaña de capacitación, consulte nuestra Guía de prácticas recomendadas: Cómo crear su primera campaña de capacitación.

ModStore: Selección de contenido para la campaña de capacitación inicial

Explore la Guía de la biblioteca y ModStore para seleccionar el contenido apropiado para su campaña de capacitación inicial.

Crear campaña de capacitación

Para crear una campaña de capacitación, acceda a su consola de KnowBe4 y seleccione la pestaña Capacitación. Luego, seleccione el botón + Crear campaña de capacitación ubicado en la parte superior derecha de la página. Cuando haya seleccionado este botón, se abrirá la página Crear nueva campaña de capacitación.

Habilitar las actualizaciones de conocimientos con AIDA

Cuando cree una campaña de capacitación, habilite las actualizaciones de conocimientos con AIDA para automatizar partes de su capacitación en concientización sobre seguridad. Las actualizaciones de conocimientos están disponibles para los módulos de video y ofrecen cuestionarios breves que ayudan a los usuarios a repasar y reforzar los conceptos clave de la capacitación reciente. Para obtener más información, consulte nuestro artículo Comenzar a utilizar AIDA.

Paso 5: Campañas de phishing continuas

Realizar campañas de phishing continuas es fundamental para ayudar a su organización a afrontar el problema de phishing y la ingeniería social.

Recomendamos enviar una prueba de phishing a todos sus usuarios al menos una vez al mes. Para hacer esto, puede crear una campaña de phishing mensual con los siguientes criterios:

• Incluya varias categorías de correo electrónico y diferentes tipos de pruebas de phishing.
• Distribuya los correos electrónicos a lo largo de más tiempo, como una semana. De esa forma, los usuarios no sabrán cuándo recibirán una prueba de phishing.
• Agregue los usuarios que no pasen la prueba de phishing a un grupo de capacitación sobre medidas correctivas.

Además de las pruebas de phishing mensuales para todos los usuarios, le recomendamos que configure pruebas adicionales para sus departamentos o miembros del personal de riesgo alto que sean más vulnerables a ataques de phishing.

Para obtener información sobre cómo determinar qué departamentos o miembros del personal de su organización tienen el riesgo máximo, consulte nuestra Guía del motor SmartRisk™ y el puntaje de riesgo.

Para obtener más información sobre cómo crear y personalizar campañas de phishing, consulte los siguientes artículos:

• Crear y gestionar campañas de phishing
• Crear y editar plantillas de correo electrónico y páginas de inicio
• Guía de marcadores de posición
• Casos de uso de marcadores de posición

Paso 6: Capacitación continua y sobre medidas correctivas

A continuación, encontrará nuestras recomendaciones mínimas para configurar manualmente, en cualquier organización, la capacitación sobre medidas correctivas y la capacitación continua en concientización sobre seguridad:

• Cree un grupo de capacitación sobre medidas correctivas y una campaña de capacitación sobre medidas correctivas. Para obtener más información acerca de la capacitación sobre medidas correctivas, consulte nuestro artículo Cree una campaña de capacitación sobre medidas correctivas o nuestro video Campañas de capacitación sobre medidas correctivas.
• Dicte capacitaciones basadas en roles y otros cursos de especialización para grupos o empleados específicos. Le recomendamos que explore ModStore para encontrar los cursos que necesita. Para obtener más información, vea nuestra Guía de la biblioteca y ModStore.
• Configure un mensaje de Sugerencias y consejos de seguridad para enviar a la Experiencia de aprendizaje (LX) de sus usuarios. Para obtener más información, consulte nuestro artículo Sugerencias y consejos de seguridad.
• Para mantener a sus usuarios informados y preparados para protegerse de las estafas de phishing e ingeniería social más recientes, prepare un mensaje de Estafa de la semana para enviar a la Experiencia de aprendizaje (LX) de sus usuarios. Para obtener más información, consulte nuestro artículo Descripción general del mensaje Estafa de la semana.