En este artículo encontrará los pasos a seguir para implementar la formación sobre concienciación en materia de seguridad y las pruebas de phishing simulado en la consola KSAT. Lea las secciones a continuación para obtener más información.

Paso 1: añadir a los usuarios

Añada a sus usuarios a la consola KSAT para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de formación. Para añadirlos a la consola KSAT, puede hacerlo de varias formas. Consulte sus opciones y los artículos relacionados vinculados a continuación:

• Aprovisionamiento de usuarios: se trata del método preferido para sincronizar a los usuarios con la consola KSAT y mantener la lista de usuarios a lo largo del tiempo. Puede utilizar la integración con Active Directory (ADI) o SCIM para aprovisionar usuarios automáticamente en su consola KSAT. Para obtener más información, consulte nuestra Guía de configuración de la integración con Active Directory (ADI) o la Guía de configuración de SCIM.
• Importación rápida: este método es útil para importar menos de 100 usuarios. Para obtener más información, consulte el apartado titulado Importación rápida del artículo Usuarios y grupos.
• Importación de CSV: este método es útil para importar un mayor número de usuarios e incluir otros datos de usuario como los nombres, los números de teléfono y la pertenencia a grupos, entre otros. Para obtener más información, consulte el artículo Cómo importar usuarios con un archivo CSV.
• Otro: existen otras formas mediante las que puede importar usuarios a su organización específica. Si necesita asesoramiento concreto, póngase en contacto con nuestro equipo de asistencia técnica al cliente o consulte los siguientes artículos de nuestra base de conocimientos:
  • ¿Cómo puedo importar usuarios desde Active Directory usando PowerShell?
  • ¿Qué ocurre si tengo varios dominios de correo electrónico para mi organización?

Paso 2: llevar a cabo una prueba de phishing de referencia

Antes de comenzar su programa de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que envíe una prueba de phishing de referencia a todos sus usuarios. Puede utilizar esta prueba como punto de partida para su programa de formación sobre concienciación en materia de seguridad.

Para obtener más información sobre nuestras recomendaciones para el proceso de phishing de referencia, consulte las siguientes subsecciones o el vídeo La campaña de phishing de referencia en un minuto (clics).

Campaña de prueba preliminar

Antes de crear una campaña de phishing de referencia para sus usuarios, recomendamos lanzar al menos una campaña de prueba limitada a un pequeño grupo de usuarios, como su equipo de TI.

El objetivo de esta campaña de prueba preliminar es comprobar que ha realizado la inclusión en la lista de permitidos correctamente y que los correos electrónicos pasan a través de sus filtros de correo no deseado y la protección de firewall.

Asimismo, servirá para comprobar que se mantiene un seguimiento de los clics y otros suspensos de las pruebas de phishing en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que se mantiene un seguimiento de los fallos en su cuenta. Para obtener más información, consulte los artículos Creación y gestión de campañas de phishing o Cómo supervisar y revisar las campañas de phishing.

Establecimiento de una base de referencia

Una vez que haya confirmado que la campaña de prueba de phishing preliminar se ha llevado a cabo correctamente, deberá crear una campaña de prueba de phishing de referencia para todos sus usuarios. Esta prueba le permitirá determinar el porcentaje inicial de propensión al phishing de su organización. El porcentaje inicial de propensión al phishing será su punto de partida. Utilícelo para medir el éxito de su plan de formación sobre concienciación en materia de seguridad.

Para obtener más información sobre nuestras recomendaciones para configurar su campaña de phishing de referencia, consulte los artículos ¿Cuál es el mejor método para configurar una prueba de referencia? o ¿Qué correo electrónico debo utilizar en la prueba de referencia?.

Envío de una prueba de referencia al equipo de TI

Otra opción que podría considerar es enviar dos pruebas de referencia de phishing: una primero a su departamento de TI o al servicio de asistencia, y, luego, otra al resto de los empleados. De esta forma, cuando el resto de los empleados comiencen a denunciar el correo sospechoso, los empleados del servicio de asistencia o de TI estarán al corriente de la situación, pero también habrán tenido la oportunidad de participar en la evaluación de referencia. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servicios de correo en la lista de permitidos y de que su prueba de referencia llegará a las bandejas de entrada de todos los empleados.

Paso 3: formar a los usuarios

Para su campaña inicial de formación sobre concienciación en materia de seguridad, le recomendamos inscribir a todos sus usuarios en la formación de 45 minutos de concienciación en materia de seguridad de KnowBe4 u otro curso integral. Para obtener información acerca del contenido de formación disponible, consulte Guía de ModStore y Biblioteca. 

Para obtener información sobre nuestras recomendaciones para configurar su primera campaña de formación, consulte el artículo Cree su primera campaña de formación sobre concienciación en materia de seguridad. 

Haga clic en los siguientes enlaces para obtener más información sobre cómo organizar campañas de formación: 

• Creación y gestión de campañas de formación
• Cómo configurar una campaña de formación correctiva
• Vídeo: Configuración de una campaña de formación
• Vídeo: Supervisión de campañas de formación
• Vídeo: Introducción a la formación sobre concienciación en materia de seguridad de KnowBe4

Paso 4: llevar a cabo campañas de phishing y formación continuas

Para ayudar a su organización a gestionar el problema del phishing y la ingeniería social, es fundamental llevar a cabo campañas de phishing y formación continuas.

Existen tres planes de muestra entre los que podrá escoger al integrar KnowBe4 en su organización: grado de concienciación alto, grado de concienciación medio y grado de concienciación bajo. Estos planes están categorizados por dichos grados de concienciación. El grado de concienciación de su organización dependerá del nivel de madurez que desee alcanzar con el programa de formación sobre concienciación en materia de seguridad.  Para obtener más información sobre los distintos grados de concienciación, consulte nuestra Guía de prácticas recomendadas: ¿cómo integro KnowBe4 de forma eficaz en mi organización?

Si no sabe cuál es el plan adecuado para usted, eche un vistazo a algunas de nuestras recomendaciones generales para la formación sobre concienciación en materia de seguridad que ofrecemos en los siguientes subapartados. 

Recomendaciones para campañas de phishing continuas 

Envíe como mínimo una prueba de phishing mensual a todos sus usuarios. Puede hacerlo creando una campaña de phishing mensual con las siguientes pautas:

• Incluya varias categorías de correos electrónicos y diferentes tipos de pruebas de phishing.
• Extienda el envío de los correos electrónicos a lo largo de un período más largo, como una semana. De esta manera, los usuarios no sabrán cuándo van a recibir una prueba de phishing.
• Añada a los usuarios que cometan fallos en las pruebas de phishing a un grupo de formación correctiva. 

Además de las pruebas de phishing mensuales para todos los usuarios, le recomendamos configurar pruebas adicionales para los departamentos de alto riesgo o los empleados más vulnerables a los ataques de phishing.

Para aprender a determinar qué departamentos o empleados plantean el mayor riesgo para su organización, consulte nuestra Guía de Virtual Risk Officer (VRO) y puntuación de riesgo.

Para obtener más información acerca de la creación y personalización de campañas de phishing, consulte los siguientes artículos:

• Creación y gestión de campañas de phishing
• Personalización de correos electrónicos y páginas de aterrizaje
• Cómo utilizar los marcadores de posición
• Cómo utilizar los marcadores de posición: casos de uso

Recomendaciones para la formación continua

A continuación, encontrará nuestras recomendaciones mínimas para llevar a cabo una formación continua sobre concienciación en materia de seguridad en cualquier organización:

• Cree un grupo de formación correctiva y una campaña de formación correctiva. Para obtener más información sobre la formación correctiva, consulte el artículo Cómo configurar una campaña de formación correctiva o el vídeo Campañas de formación correctiva.
• Forme a grupos o empleados específicos con formación basada en las funciones y otros cursos especializados. Recomendamos buscar los cursos necesarios en ModStore. Para obtener más información, consulte Guía de ModStore y Biblioteca.
• Configure una campaña mensual para enviar a sus usuarios correos electrónicos de Consejos de seguridad. Para obtener más información, consulte el artículo ¿Qué es el boletín de Sugerencias y consejos de seguridad?.
• A fin de que sus usuarios estén informados y preparados para defenderse de las últimas estafas de phishing e ingeniería social, configure una campaña para enviarles correos electrónicos sobre La estafa de la semana. Para obtener más información, consulte el artículo ¿Qué es el boletín de La estafa de la semana?