Implementación de la plataforma de formación sobre concienciación en materia de seguridad de KnowBe4 (KMSAT) en cuatro pasos
En este artículo se explican los pasos que deberá seguir para implementar la formación sobre concienciación en materia de seguridad y las pruebas de phishing simulado en su cuenta. Haga clic en cada paso a continuación para obtener más información.
Paso 1: añadir a los usuarios
Añada a sus usuarios a la consola de KnowBe4 para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de formación.
Paso 2: llevar a cabo una prueba de phishing inicial
Envíe una prueba de phishing inicial a todos sus usuarios para averiguar quiénes son más propensos al phishing, o vulnerables a los ataques de phishing.
Paso 3: formar a los usuarios
Inscriba a todos sus usuarios en el curso de 45 minutos de formación sobre concienciación en materia de seguridad de Kevin Mitnick, o en un módulo integral de formación sobre concienciación en materia de seguridad similar.
Paso 4: llevar a cabo campañas de phishing y formación continuas
Lleve a cabo pruebas de phishing aleatorias junto con campañas de formación correctiva para contribuir a reforzar su firewall humano.
Consejo:
Para obtener más información sobre la implementación de la plataforma de formación sobre concienciación en materia de seguridad de KnowBe4, recomendamos utilizar nuestro programa automatizado de concienciación en materia de seguridad (ASAP) o consultar nuestra Guía de prácticas recomendadas.Paso 1: añadir a los usuarios
Tiene múltiples opciones para añadir a sus usuarios a la plataforma de formación sobre concienciación en materia de seguridad de KnowBe4. Consulte sus opciones y los artículos relacionados vinculados a continuación:
-
Aprovisionamiento de usuarios: se trata del método preferido para sincronizar a los usuarios con la cuenta de KnowBe4 y mantener la lista de usuarios a lo largo del tiempo.
Puede utilizar la integración con Active Directory (ADI) para aprovisionar usuarios automáticamente en su consola de KnowBe4. Para obtener más información, consulte nuestro artículo sobre la integración con Active Directory (ADI). -
Importación rápida: este método es útil para importar menos de 100 usuarios.
- Para obtener más información, consulte el apartado titulado Importación rápida del artículo Usuarios y grupos.
-
Importación de CSV: este método es útil para importar una cantidad mayor de usuarios e incluir demás datos de usuario como el nombre, el número de teléfono y la pertenencia a grupos, entre otros.
- Para obtener más información, consulte ¿Cómo puedo importar usuarios con un archivo CSV?
Recursos de gestión de usuarios
Los artículos vinculados a continuación son recursos útiles que le ayudarán a añadir usuarios a su plataforma.
- Vídeo: Adición/importación de usuarios
- Manual de usuarios y grupos
- ¿Cómo puedo importar usuarios con un archivo CSV?
- Guía de configuración de la integración con Active Directory (ADI)
- Cómo recibir correos electrónicos de Active Directory usando PowerShell
- Gestión de múltiples dominios de correo electrónico
Paso 2: llevar a cabo una prueba de phishing inicial
Antes de comenzar su programa de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que envíe una prueba de phishing inicial sin previo aviso a todos sus usuarios. Puede utilizar esta prueba como punto de partida para su programa de formación sobre concienciación en materia de seguridad. Consulte los siguientes subapartados para obtener más información.
Importante:
Antes de dar comienzo a este paso, asegúrese de haber incluido las direcciones IP o los dominios de KnowBe4 en la lista de permitidos de su entorno de correo electrónico. Utilice nuestro asistente de inclusión en la lista de permitidos o consulte nuestra Guía de inclusión en la lista de permitidos para aprender a incluir en la lista de permitidos a su cliente de correo electrónico y los filtros de correo no deseado.
Campaña de prueba preliminar
Antes de crear una campaña de phishing inicial para sus usuarios, recomendamos lanzar al menos una campaña de prueba limitada a un pequeño grupo de usuarios, como su equipo de TI.
El objetivo de esta campaña de prueba preliminar es confirmar lo siguiente:
- Que ha realizado la inclusión en la lista de permitidos correctamente, y que los correos electrónicos pasan a través de sus filtros de correo no deseado y la protección de firewall.
- Que se mantiene un seguimiento de los clics y otros fallos de las pruebas de phishing en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que se mantiene un seguimiento de los fallos en su cuenta. Para obtener más información, consulte Supervisión y revisión de campañas de phishing individuales.
Consejo:
Una vez que haya concluido la prueba preliminar, deberá eliminar u ocultar la campaña para que no interfiera en sus informes ni en la puntuación de riesgo.Establecimiento de una base de referencia
Una vez que haya confirmado que la campaña de prueba de phishing preliminar se ha llevado a cabo correctamente, deberá crear una campaña de prueba de phishing inicial para todos sus usuarios. Esta le permitirá determinar el porcentaje inicial de propensión al phishing de su organización. El porcentaje inicial de propensión al phishing será su punto de partida. Utilícelo para medir el éxito de su plan de formación sobre concienciación en materia de seguridad.
Si desea conocer nuestras recomendaciones para configurar su campaña de phishing inicial, consulte ¿Cuál es el mejor método para configurar una prueba inicial?
Para evitar la saturación del servicio de asistencia, trabaje antes el phishing con el departamento de TI.
Otra opción que podría considerar es enviar dos pruebas iniciales de las pruebas de phishing, una primero a su departamento de TI o al servicio de asistencia y luego otra al resto de los empleados. De esta forma, cuando el resto de los empleados comiencen a informar sobre el correo sospechoso, los empleados del servicio de asistencia estarán al corriente de la situación, pero también habrán tenido la oportunidad de participar en evaluación inicial. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servicios de correo en la lista de permitidos y de que su prueba inicial llegará a las bandejas de entrada de todos los empleados.
Recursos de phishing
Los artículos vinculados a continuación son recursos útiles que le ayudarán a configurar su prueba de phishing inicial.
- ¿Cuál es el mejor método para configurar una prueba inicial?
- ¿Qué correo electrónico debo utilizar en la prueba inicial?
- Vídeo: La prueba inicial en un minuto: cambio de contraseña (clics)
- Creación de campañas de phishing
Paso 3: formar a los usuarios
Para su campaña inicial de formación sobre concienciación en materia de seguridad, le recomendamos inscribir a todos sus usuarios en la formación de 45 minutos de concienciación en materia de seguridad de Kevin Mitnick u otro curso integral. Para obtener información acerca del contenido de formación disponible, consulte ¿Qué tipo de contenido de ModStore puedo añadir a las campañas de formación?
Si desea conocer nuestras recomendaciones para configurar su primera campaña de formación, consulte Inscripción de empleados en la formación sobre concienciación en materia de seguridad.
Recursos de formación
Los artículos vinculados a continuación son recursos útiles que le ayudarán a llevar a cabo las campañas de formación.
- ModStore
- Inscripción de empleados en la formación sobre concienciación en materia de seguridad
- Creación y gestión de campañas de formación
- Configuración de campañas de formación correctiva
- Vídeo: Cómo configurar campañas de formación
- Vídeo: Cómo supervisar campañas de formación
- Vídeo: Introducción a la formación en materia de seguridad de KnowBe4
Paso 4: llevar a cabo campañas de phishing y formación continuas
Para gestionar el problema del phishing y la ingeniería social en una organización, es fundamental llevar a cabo campañas de phishing y formación continuas.
En nuestra Guía de prácticas recomendadas, encontrará tres planes de muestra entre los que podrá escoger al integrar KnowBe4 en su organización. Estos planes están categorizados por grado de concienciación. El grado de concienciación de su organización dependerá del nivel de madurez que desee alcanzar con el programa de formación sobre concienciación en materia de seguridad. Haga clic en los siguientes planes de concienciación para obtener más información:
Si no sabe cuál es el plan adecuado para usted, eche un vistazo a algunas de nuestras recomendaciones generales para la formación sobre concienciación en materia de seguridad que ofrecemos en los siguientes apartados.
Recomendaciones para campañas de phishing continuas
Envíe como mínimo una prueba de phishing mensual a todos sus usuarios. Puede hacerlo creando una campaña de phishing mensual con las siguientes pautas:
- Incluya varias categorías de correos electrónicos y diferentes tipos de pruebas de phishing.
- Extienda el envío de los correos electrónicos a lo largo de un periodo más largo, como una semana. De esta manera, los usuarios no sabrán cuándo van a recibir una prueba de phishing.
- Añada a los usuarios que cometan fallos en las pruebas de phishing a un grupo de formación correctiva.
Además de las pruebas de phishing mensuales para todos los usuarios, le recomendamos configurar pruebas adicionales para los departamentos de alto riesgo o los empleados más vulnerables a los ataques de phishing.
- Para aprender a determinar qué departamentos o empleados plantean un mayor riesgo para su organización, consulte nuestra Guía sobre Virtual Risk Officer (VRO) y la puntuación de riesgo.
Para obtener más información acerca de la creación y personalización de campañas de phishing, consulte los siguientes artículos:
- Creación y gestión de campañas de phishing
- Personalización de correos electrónicos y páginas de aterrizaje
- Cómo utilizar los marcadores de posición
- Cómo utilizar los marcadores de posición: casos de uso
Recomendaciones para la formación continua
A continuación encontrará nuestras recomendaciones mínimas para llevar a cabo una formación continua sobre concienciación en materia de seguridad en cualquier organización:
- Cree un grupo de formación correctiva y una campaña de formación correctiva.
- Para obtener más información sobre la formación correctiva, consulte el artículo Cómo configurar la formación correctiva o el vídeo Campañas de formación correctiva.
- Forme a grupos o empleados específicos con formación basada en las funciones y otros cursos especializados.
- Recomendamos buscar los cursos necesarios en ModStore. Para obtener más información, consulte ModStore.
- Configure una campaña mensual para enviar a sus usuarios correos electrónicos de Consejos de seguridad.
- Para obtener más información, consulte Cómo configurar un boletín de Consejos de seguridad.
- A fin de que sus usuarios estén informados y preparados para defenderse de las últimas estafas de phishing e ingeniería social, configure una campaña para enviarles correos electrónicos sobre La estafa de la semana.
- Para obtener más información, consulte Cómo configurar un boletín de La estafa de la semana.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.