Implementación de la plataforma de formación sobre concienciación en materia de seguridad de KnowBe4 (KMSAT) en cuatro pasos

En este artículo se explican los pasos que deberá seguir para implementar la formación sobre concienciación en materia de seguridad y las pruebas de phishing simulado en su cuenta. Haga clic en cada paso a continuación para obtener más información.

Paso 1: añadir a los usuarios

Añada a sus usuarios a la consola de KnowBe4 para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de formación. 

Paso 2: llevar a cabo una prueba de phishing inicial

Envíe una prueba de phishing inicial a todos sus usuarios para averiguar quiénes son más propensos al phishing, o vulnerables a los ataques de phishing.

Paso 3: formar a los usuarios

Inscriba a todos sus usuarios en el curso de 45 minutos de formación sobre concienciación en materia de seguridad de Kevin Mitnick, o en un módulo integral de formación sobre concienciación en materia de seguridad similar.

Paso 4: llevar a cabo campañas de phishing y formación continuas

Lleve a cabo pruebas de phishing aleatorias junto con campañas de formación correctiva para contribuir a reforzar su firewall humano.

Paso 1:  añadir a los usuarios

Tiene múltiples opciones para añadir a sus usuarios a la plataforma de formación sobre concienciación en materia de seguridad de KnowBe4. Consulte sus opciones y los artículos relacionados vinculados a continuación:

1. Aprovisionamiento de usuarios: se trata del método preferido para sincronizar a los usuarios con la cuenta de KnowBe4 y mantener la lista de usuarios a lo largo del tiempo.
   Puede utilizar la integración con Active Directory (ADI) para aprovisionar usuarios automáticamente en su consola de KnowBe4. Para obtener más información, consulte nuestro artículo sobre la integración con Active Directory (ADI).
2. Importación rápida: este método es útil para importar menos de 100 usuarios.
   • Para obtener más información, consulte el apartado titulado Importación rápida del artículo Usuarios y grupos.
3. Importación de CSV: este método es útil para importar una cantidad mayor de usuarios e incluir demás datos de usuario como el nombre, el número de teléfono y la pertenencia a grupos, entre otros.
   • Para obtener más información, consulte ¿Cómo puedo importar usuarios con un archivo CSV?

Recursos de gestión de usuarios

Los artículos vinculados a continuación son recursos útiles que le ayudarán a añadir usuarios a su plataforma.

• Vídeo: Adición/importación de usuarios
• Manual de usuarios y grupos
  • Importación rápida
• ¿Cómo puedo importar usuarios con un archivo CSV?
• Guía de configuración de la integración con Active Directory (ADI)
• Cómo recibir correos electrónicos de Active Directory usando PowerShell
• Gestión de múltiples dominios de correo electrónico

Volver al principio

Paso 2: llevar a cabo una prueba de phishing inicial

Antes de comenzar su programa de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que envíe una prueba de phishing inicial sin previo aviso a todos sus usuarios. Puede utilizar esta prueba como punto de partida para su programa de formación sobre concienciación en materia de seguridad. Consulte los siguientes subapartados para obtener más información. 

Campaña de prueba preliminar

Antes de crear una campaña de phishing inicial para sus usuarios, recomendamos lanzar al menos una campaña de prueba limitada a un pequeño grupo de usuarios, como su equipo de TI.

El objetivo de esta campaña de prueba preliminar es confirmar lo siguiente:

• Que ha realizado la inclusión en la lista de permitidos correctamente, y que los correos electrónicos pasan a través de sus filtros de correo no deseado y la protección de firewall.
• Que se mantiene un seguimiento de los clics y otros fallos de las pruebas de phishing en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que se mantiene un seguimiento de los fallos en su cuenta. Para obtener más información, consulte Supervisión y revisión de campañas de phishing individuales.

Establecimiento de una base de referencia

Una vez que haya confirmado que la campaña de prueba de phishing preliminar se ha llevado a cabo correctamente, deberá crear una campaña de prueba de phishing inicial para todos sus usuarios. Esta le permitirá determinar el porcentaje inicial de propensión al phishing de su organización. El porcentaje inicial de propensión al phishing será su punto de partida. Utilícelo para medir el éxito de su plan de formación sobre concienciación en materia de seguridad.

Si desea conocer nuestras recomendaciones para configurar su campaña de phishing inicial, consulte ¿Cuál es el mejor método para configurar una prueba inicial?

Recursos de phishing

Los artículos vinculados a continuación son recursos útiles que le ayudarán a configurar su prueba de phishing inicial. 

• ¿Cuál es el mejor método para configurar una prueba inicial?
• ¿Qué correo electrónico debo utilizar en la prueba inicial?
• Vídeo: La prueba inicial en un minuto: cambio de contraseña (clics)
• Creación de campañas de phishing

Volver al principio

Paso 3: formar a los usuarios

Para su campaña inicial de formación sobre concienciación en materia de seguridad, le recomendamos inscribir a todos sus usuarios en la formación de 45 minutos de concienciación en materia de seguridad de Kevin Mitnick u otro curso integral. Para obtener información acerca del contenido de formación disponible, consulte ¿Qué tipo de contenido de ModStore puedo añadir a las campañas de formación? 

Si desea conocer nuestras recomendaciones para configurar su primera campaña de formación, consulte Inscripción de empleados en la formación sobre concienciación en materia de seguridad. 

Recursos de formación

Los artículos vinculados a continuación son recursos útiles que le ayudarán a llevar a cabo las campañas de formación. 

• ModStore
  • ¿Qué tipo de contenido de ModStore puedo añadir a las campañas de formación?
• Inscripción de empleados en la formación sobre concienciación en materia de seguridad
• Creación y gestión de campañas de formación
• Configuración de campañas de formación correctiva
• Vídeo: Cómo configurar campañas de formación
• Vídeo: Cómo supervisar campañas de formación
• Vídeo: Introducción a la formación en materia de seguridad de KnowBe4

Volver al principio

Paso 4: llevar a cabo campañas de phishing y formación continuas

Para gestionar el problema del phishing y la ingeniería social en una organización, es fundamental llevar a cabo campañas de phishing y formación continuas.

En nuestra Guía de prácticas recomendadas, encontrará tres planes de muestra entre los que podrá escoger al integrar KnowBe4 en su organización. Estos planes están categorizados por grado de concienciación. El grado de concienciación de su organización dependerá del nivel de madurez que desee alcanzar con el programa de formación sobre concienciación en materia de seguridad. Haga clic en los siguientes planes de concienciación para obtener más información: 

• Grado de concienciación alto
• Grado de concienciación medio
• Grado de concienciación bajo

Si no sabe cuál es el plan adecuado para usted, eche un vistazo a algunas de nuestras recomendaciones generales para la formación sobre concienciación en materia de seguridad que ofrecemos en los siguientes apartados. 

Recomendaciones para campañas de phishing continuas

Envíe como mínimo una prueba de phishing mensual a todos sus usuarios. Puede hacerlo creando una campaña de phishing mensual con las siguientes pautas:

• Incluya varias categorías de correos electrónicos y diferentes tipos de pruebas de phishing.
• Extienda el envío de los correos electrónicos a lo largo de un periodo más largo, como una semana. De esta manera, los usuarios no sabrán cuándo van a recibir una prueba de phishing.
• Añada a los usuarios que cometan fallos en las pruebas de phishing a un grupo de formación correctiva. 

Además de las pruebas de phishing mensuales para todos los usuarios, le recomendamos configurar pruebas adicionales para los departamentos de alto riesgo o los empleados más vulnerables a los ataques de phishing.

• Para aprender a determinar qué departamentos o empleados plantean un mayor riesgo para su organización, consulte nuestra Guía sobre Virtual Risk Officer (VRO) y la puntuación de riesgo.

Para obtener más información acerca de la creación y personalización de campañas de phishing, consulte los siguientes artículos:

• Creación y gestión de campañas de phishing
• Personalización de correos electrónicos y páginas de aterrizaje
• Cómo utilizar los marcadores de posición
• Cómo utilizar los marcadores de posición: casos de uso

Recomendaciones para la formación continua

A continuación encontrará nuestras recomendaciones mínimas para llevar a cabo una formación continua sobre concienciación en materia de seguridad en cualquier organización:

• Cree un grupo de formación correctiva y una campaña de formación correctiva.
  • Para obtener más información sobre la formación correctiva, consulte el artículo Cómo configurar la formación correctiva o el vídeo Campañas de formación correctiva.
• Forme a grupos o empleados específicos con formación basada en las funciones y otros cursos especializados.
  • Recomendamos buscar los cursos necesarios en ModStore. Para obtener más información, consulte ModStore.
• Configure una campaña mensual para enviar a sus usuarios correos electrónicos de Consejos de seguridad.
  • Para obtener más información, consulte Cómo configurar un boletín de Consejos de seguridad.
• A fin de que sus usuarios estén informados y preparados para defenderse de las últimas estafas de phishing e ingeniería social, configure una campaña para enviarles correos electrónicos sobre La estafa de la semana.
  • Para obtener más información, consulte Cómo configurar un boletín de La estafa de la semana.

 Volver al principio