En este artículo encontrará los pasos a seguir para implementar la formación sobre concienciación en materia de seguridad y las pruebas de phishing simulado en la consola KSAT. Lea las secciones a continuación para obtener más información.

Paso 1: añadir a los usuarios

Añada a sus usuarios a la consola KSAT para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de formación. Para añadirlos a la consola KSAT, puede hacerlo de varias formas. Consulte sus opciones y los artículos relacionados vinculados a continuación:

• Aprovisionamiento de usuarios: se trata del método preferido para sincronizar a los usuarios con la consola KSAT y mantener la lista de usuarios a lo largo del tiempo. Puede utilizar la integración con Active Directory (ADI), SCIM o el aprovisionamiento de usuarios de Google para aprovisionar usuarios automáticamente en su consola KSAT. Para obtener más información, consulte la Guía de configuración de la integración con Active Directory (ADI), la Guía de configuración de SCIM. o la Guía para el aprovisionamiento de usuarios de Google.
• Importación rápida: este método es útil para importar menos de 100 usuarios. Para obtener más información, consulte la sección Importación rápida del artículo Guía de gestión de usuarios y grupos.
• Importación de CSV: Este método es útil para importar un mayor número de usuarios e incluir otros datos de usuario como los nombres, los números de teléfono y la pertenencia a grupos, entre otros. Para obtener más información, consulte el artículo Importar usuarios con un archivo CSV.
• Otro: existen otras formas mediante las que puede importar usuarios a su organización específica. Si necesita asesoramiento concreto, póngase en contacto con nuestro equipo de asistencia técnica al cliente o consulte los siguientes artículos de nuestra base de conocimientos:
  • Importar usuarios desde Active Directory usando PowerShell
  • Múltiples dominios de correo electrónico

Paso 2: llevar a cabo una prueba de phishing de referencia

Antes de comenzar su programa de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que envíe una prueba de phishing de referencia a todos sus usuarios. Puede utilizar esta prueba como punto de partida para su programa de formación sobre concienciación en materia de seguridad.

Para obtener más información sobre nuestras recomendaciones para el proceso de phishing de referencia, consulte las siguientes subsecciones o el vídeo Campaña de phishing de referencia de un minuto para clics.

Campaña de prueba preliminar

Antes de crear una campaña de phishing de referencia para sus usuarios, recomendamos lanzar al menos una campaña de prueba limitada a un pequeño grupo de usuarios, como su equipo de TI.

El objetivo de esta campaña de prueba preliminar es comprobar que ha realizado la inclusión en la lista de permitidos correctamente y que los correos electrónicos pasan a través de sus filtros de spam y la protección de firewall.

Asimismo, servirá para comprobar que se mantiene un seguimiento de los clics y otros suspensos de las pruebas de phishing en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que se mantiene un seguimiento de los fallos en su cuenta. Para obtener más información, consulte los artículos Creación y gestión de campañas de phishing o Supervisión y revisión de campañas de phishing.

Establecimiento de una base de referencia

Una vez que haya confirmado que la campaña de prueba de phishing preliminar se ha llevado a cabo correctamente, deberá crear una campaña de prueba de phishing de referencia para todos sus usuarios. Esta prueba le permitirá determinar el porcentaje inicial de propensión al phishing de su organización. El porcentaje inicial de propensión al phishing será su punto de partida. Utilícelo para medir el éxito de su plan de formación sobre concienciación en materia de seguridad.

Si desea conocer nuestras recomendaciones para configurar su campaña de phishing inicial, consulte nuestros artículos Guía de prácticas recomendadas: configurar una prueba de referencia o Recomendaciones para las plantillas de pruebas de referencia.

Envío de una prueba de referencia al equipo de TI

Otra opción que podría considerar es enviar dos pruebas de referencia de phishing: una primero a su departamento de TI o al servicio de asistencia, y, luego, otra al resto de los empleados. De esta forma, cuando el resto de los empleados comiencen a denunciar el correo sospechoso, los empleados del servicio de asistencia o de TI estarán al corriente de la situación, pero también habrán tenido la oportunidad de participar en la evaluación de referencia. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servicios de correo en la lista de permitidos y de que su prueba de referencia llegará a las bandejas de entrada de todos los empleados.

Paso 3: formar a los usuarios

Para su campaña inicial de formación sobre concienciación en materia de seguridad, le recomendamos inscribir a todos sus usuarios en la formación de 45 minutos de concienciación en materia de seguridad de KnowBe4 u otro curso integral. Para obtener información acerca del contenido de formación disponible, consulte Guía de ModStore y Biblioteca.

Si desea conocer nuestras recomendaciones para configurar su primera campaña de formación, consulte nuestro artículo Guía de prácticas recomendadas: creación de su primera campaña de formación.

Haga clic en los siguientes enlaces para obtener más información sobre cómo organizar campañas de formación: 

• Guía sobre las campañas de formación
• Crear una campaña de formación correctiva
• Vídeo: Configuración de una campaña de formación
• Vídeo: Supervisión de campañas de formación
• Vídeo: Introducción a la formación sobre concienciación en materia de seguridad de KnowBe4

Paso 4: llevar a cabo campañas de phishing y formación continuas

Para ayudar a su organización a gestionar el problema del phishing y la ingeniería social, es fundamental llevar a cabo campañas de phishing y formación continuas.

Existen tres planes de muestra entre los que podrá escoger al integrar KnowBe4 en su organización: grado de concienciación alto, grado de concienciación medio y grado de concienciación bajo. Estos planes están categorizados por dichos grados de concienciación. El grado de concienciación de su organización dependerá del nivel de madurez que desee alcanzar con el programa de formación sobre concienciación en materia de seguridad. Para obtener más información sobre los distintos grados de concienciación, consulte nuestra Guía de prácticas recomendadas: integración de KnowBe4 en su organización.

Si no sabe cuál es el plan adecuado para usted, eche un vistazo a algunas de nuestras recomendaciones generales para la formación sobre concienciación en materia de seguridad que ofrecemos en los siguientes subapartados.

Recomendaciones para campañas de phishing continuas

Envíe como mínimo una prueba de phishing mensual a todos sus usuarios. Puede hacerlo creando una campaña de phishing mensual con las siguientes pautas:

• Incluya varias categorías de correos electrónicos y diferentes tipos de pruebas de phishing.
• Extienda el envío de los correos electrónicos a lo largo de un período más largo, como una semana. De esta manera, los usuarios no sabrán cuándo van a recibir una prueba de phishing.
• Añada a los usuarios que cometan fallos en las pruebas de phishing a un grupo de formación correctiva.

Además de las pruebas de phishing mensuales de todos los usuarios, le recomendamos configurar pruebas adicionales para los grupos de riesgo elevado o los usuarios más vulnerables a los ataques de phishing.

Para saber cómo determinar cuáles de sus grupos o usuarios suponen un mayor riesgo para su organización, consulte nuestra Guía sobre SmartRisk Agent™ y puntuación de riesgo V2.

Para obtener más información acerca de la creación y personalización de campañas de phishing, consulte los siguientes artículos:

• Creación y gestión de campañas de phishing
• Creación y edición de plantillas de correo electrónico y páginas de aterrizaje
• Guía sobre los marcadores de posición
• Casos de uso de los marcadores de posición

Recomendaciones para la formación continua

A continuación, encontrará nuestras recomendaciones mínimas para llevar a cabo una formación continua sobre concienciación en materia de seguridad en cualquier organización:

• Cree un grupo de formación correctiva y una campaña de formación correctiva. Para obtener más información sobre la formación correctiva, consulte el artículo Cómo crear una campaña de formación correctiva o el vídeo Campañas de formación correctiva.
• Forme a grupos o empleados específicos con formación basada en las funciones y otros cursos especializados. Recomendamos buscar los cursos necesarios en ModStore. Para obtener más información, consulte Guía de ModStore y Biblioteca.
• Configure un mensaje de Sugerencias y consejos de seguridad para enviarlo a la Experiencia de aprendizaje de los usuarios. Para obtener más información, consulte nuestro artículo Resumen del boletín de Sugerencias y consejos de seguridad.
• A fin de que sus usuarios estén informados y preparados para defenderse de las últimas estafas de phishing e ingeniería social, configure un mensaje de La estafa de la semana para enviarlo a la Experiencia de aprendizaje de los usuarios. Para obtener más información, consulte nuestro artículo Resumen del boletín de La estafa de la semana.