Los clientes nos preguntan con frecuencia sobre la mejor forma de integrar KnowBe4 en las prácticas de seguridad generales de su organización. Aunque no existe ningún plan de defensa de ciberseguridad exhaustivo que funcione para todas las organizaciones o sectores, los siguientes planes de muestra están diseñados para servir como punto de partida y ayudarle a gestionar el problema de la ingeniería social en su organización.

De forma alternativa o junto a esta guía, le recomendamos que use nuestro producto Automated Security Awareness Program (ASAP). Esta función viene integrada en su consola y le ofrece un plan de seguridad personalizado y detallado, que incluye instrucciones paso a paso para crear un sólido firewall humano.

Nuestro producto no tiene como finalidad sustituir a filtros de spam, firewalls o antivirus de calidad. Su objetivo es ser una herramienta adicional a otros productos, como parte de una estrategia de defensa detallada. Lo que le ofrecemos es una plataforma fácil de usar que le ayuda a gestionar los problemas que surgen cuando los ataques burlan el resto de los mecanismos de defensa. Los empleados son su última línea de defensa. Al usar los servicios de KnowBe4, preparará a los usuarios para proteger mejor a su organización contra los ciberataques.

Primer paso: lea este artículo y descubra los pasos que debe seguir antes de «abordar el phishing»

Comencemos con la Consola KnowBe4

En este artículo se describen los pasos para importar usuarios, incluir en la lista de permitidos nuestros servidores de correo, personalizar la consola y muchas más tareas.

Segundo paso: escoja un plan de muestra para integrar KnowBe4 (grado de concienciación alto, medio o bajo)

A continuación hemos incluido tres planes de muestra: grado de concienciación alto, medio o bajo. Estos planes se basan en el nivel de madurez que desea conseguir con su programa de concienciación en seguridad. Le recomendamos el plan Grado de concienciación alto para conseguir los mejores resultados. No obstante, usted es la persona más indicada para decidir con mayor precisión cómo debería su organización implementar nuestros servicios.

Escoja el plan que escoja, la base fundamental de todos ellos para una formación innovadora sobre concienciación en materia de seguridad consta de un proceso de tres pasos. Lo detallamos a continuación:

1. Realizar una prueba de phishing inicial para determinar el porcentaje de Phish-prone de la organización.
2. Evaluar los conocimientos actuales de sus usuarios sobre concienciación en materia de seguridad. Después, asignar una formación sobre concienciación en materia de seguridad a todos los usuarios para aumentar sus conocimientos.
3. Realizar campañas de phishing continuas. Estas campañas dan a los usuarios la oportunidad de poner a prueba las habilidades adquiridas en la formación sobre concienciación en materia de seguridad.

Haga clic en los siguientes enlaces para acceder a los distintos planes:

• Grado de concienciación alto
• Grado de concienciación medio
• Grado de concienciación bajo

 

Grado de concienciación alto

Este plan les recuerda constantemente a los usuarios que tengan en cuenta la seguridad. Recomendamos este plan para organizaciones con alto nivel de riesgo o para aquellas que gestionan información delicada.

Haga clic en cada paso para ver más detalles:

• Involucrar a las partes interesadas
• Completar una prueba de referencia ciega
• Para evitar la saturación del servicio de asistencia, trabajar antes el phishing con el equipo de TI
• Comunicarse con sus empleados
• Evaluar los conocimientos de sus usuarios sobre concienciación en materia de seguridad
• Inscribir a sus empleados en la formación sobre concienciación en materia de seguridad
• Instalar Phish Alert Button
• Determinar su cultura de seguridad
• Mejorar su plan de gestión de respuesta ante incidentes en correos electrónicos
• Crear el grupo de usuarios que han hecho clic
• Continuar trabajando el phishing con los usuarios
  • Prueba de phishing quincenal
  • Prueba puntual adicional mensual opcional
  • Prueba de phishing adicional mensual opcional para usuarios que han hecho clic
• Enviar Sugerencias y consejos de seguridad/La estafa de la semana
• Iniciar una campaña de formación correctiva para usuarios que han hecho clic
• Programar una formación sobre seguridad adicional trimestral
• Completar una prueba de vulnerabilidad adicional trimestral
  • Registrar los progresos

Involucrar a las partes interesadas

Para garantizar que su organización saque el mayor partido de cada programa, es crucial contar con la participación de las partes interesadas. Consulte el artículo que se indica a continuación para ver un correo electrónico de muestra que puede modificar y enviar a las partes interesadas a nivel interno de su organización.

¿Cómo puedo involucrar a las partes interesadas en mi plan de formación sobre concienciación en materia de seguridad?

Volver a los detalles del plan de grado de concienciación alto

Completar una prueba de referencia ciega

Antes de iniciar la formación de los usuarios con nuestros módulos de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que realice una prueba de phishing inicial sin previo aviso a todos sus usuarios.

Asegúrese de seguir las instrucciones del artículo que se indica a continuación para saber cómo configurar la prueba.

Involucrar a las partes interesadas en mi plan de formación sobre concienciación en materia de seguridad

Guía de prácticas recomendadas: Configurar una prueba de referencia

De igual forma, tendrá que pensar en qué tipo de página de aterrizaje va a usar en la prueba de referencia ciega. Utilizar páginas de aterrizaje le ofrece la capacidad de influir en la reacción de los usuarios ante una prueba de phishing. Consulte el enlace que se indica a continuación para conocer los distintos tipos de páginas de aterrizaje y cómo pueden reaccionar los usuarios a ellas.

Comunicar la prueba de referencia a su equipo de TI o servicio de asistencia

Volver a los detalles del plan de grado de concienciación alto

Para evitar la saturación del servicio de asistencia, trabajar antes el phishing con el equipo de TI

Otra opción que podría considerar es enviar dos pruebas iniciales de las pruebas de phishing, una primero a su Departamento de TI o al servicio de asistencia y luego otra al resto de los empleados. De esta forma, cuando el resto de los empleados comiencen a informar sobre el correo sospechoso, los empleados del servicio de asistencia estarán al corriente de la situación, pero también habrán tenido la oportunidad de participar en evaluación inicial. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servicios de correo en la lista de permitidos y de que su prueba inicial llegará a las bandejas de entrada de todos los empleados.

Volver a los detalles del plan de grado de concienciación alto

Comunicarse con sus empleados

Después de la prueba de referencia, los empleados que recibieron el correo electrónico de phishing simulado pueden estar confusos. Aquellos que hicieron clic en el enlace de phishing pueden estar preocupados por las consecuencias que deberán asumir. Le recomendamos que, una vez finalizada la duración de la campaña de phishing de la prueba de referencia, se ponga en contacto con ellos para contarles que se trataba de una prueba y explicarles por qué.

También puede aprovechar la ocasión para hacer hincapié en la importancia de que todo el mundo complete la formación sobre concienciación en materia de seguridad. Mostrar a los usuarios la amenaza potencial que podría suponer para la organización y para ellos mismos puede aumentar su nivel de participación una vez que los inscriba en la formación. En el siguiente enlace, hemos incluido una plantilla con este fin.

Plantilla para la prueba posterior a la prueba de phishing de referencia

Volver a los detalles del plan de grado de concienciación alto

Evaluar los conocimientos de sus usuarios sobre concienciación en materia de seguridad

Antes de inscribir a los usuarios en la formación sobre concienciación en materia de seguridad, es importante definir su grado de concienciación en materia de seguridad actual para analizar cómo mejora con el paso del tiempo. Asigne a los usuarios la Evaluación del nivel de concienciación en materia de seguridad (SAPA) para evaluar sus conocimientos en siete ámbitos de conocimiento diferentes. Le recomendamos asignar la evaluación SAPA después de su primera prueba de phishing, pero antes de su primera campaña de formación. Siga asignando esta evaluación SAPA a los usuarios cada año para ver cómo cambian los puntos fuertes y débiles.

Acceda a los siguientes enlaces para obtener más información sobre cómo añadir evaluaciones y sobre la Evaluación del nivel de concienciación en materia de seguridad (SAPA).

Guía sobre evaluaciones de la organización

Resumen de la Evaluación del nivel de concienciación en materia de seguridad (SAPA)

Volver a los detalles del plan de grado de concienciación alto

Inscribir a sus empleados en la formación sobre concienciación en materia de seguridad

Tras la prueba de referencia, debería configurar la formación sobre concienciación en materia de seguridad para todos los usuarios. Antes deberá configurar la experiencia de aprendizaje y decidir si quiere introducir elementos lúdicos como parte del programa de formación.

Le recomendamos que inscriba a todos los empleados en nuestra formación sobre concienciación en materia de seguridad de KnowBe4, de 45 minutos de duración, o en un curso exhaustivo similar en su primera campaña de formación. También puede añadir políticas para las campañas de formación y solicitar a los usuarios que aprueben o acepten dichas políticas. Consulte más información: Creación y gestión de políticas.

Para ayudar a los usuarios a comenzar la formación, le recomendamos que les envíe el enlace a uno de los vídeos de introducción. Cada vídeo cuenta con instrucciones únicas dependiendo de su configuración de inicio de sesión y explica cómo usar la experiencia de aprendizaje. Acceda a los siguientes enlaces para encontrar el vídeo que mejor se adapte a su organización:

• Guía para usuarios con configuraciones de inicio de sesión predeterminadas
  • Guía temática de Ciberhéroe para usuarios con configuraciones de inicio de sesión predeterminadas
• Guía para usuarios con inicio de sesión único habilitado
  • Guía temática de Ciberhéroe para usuarios con inicio de sesión único habilitado
• Guía para usuarios con inicio de sesión sin contraseña habilitado

Para obtener recomendaciones sobre cómo configurar su primera campaña de formación sobre concienciación en materia de seguridad, consulte el enlace que se indica a continuación.

Guía de prácticas recomendadas: Creación de su primera campaña de formación

Volver a los detalles del plan de grado de concienciación alto

Instalar Phish Alert Button

Phish Alert Button (PAB) es una herramienta gratuita que puede usar para animar a los usuarios a interactuar con la formación sobre seguridad. PAB es un complemento para su cliente de correo electrónico (consulte la matriz compatibilidad de PAB aquí) que permite a los usuarios informar de un correo electrónico sospechoso de phishing. El mensaje denunciado puede ser una prueba de phishing simulada de KnowBe4 o un posible ciberataque real.

Para obtener más información sobre PAB y cómo informar a los usuarios sobre él una vez instalado, consulte el siguiente enlace.

Prácticas recomendadas: implementación de Phish Alert Button (PAB)

Volver a los detalles del plan de grado de concienciación alto

Determinar su cultura de seguridad

Para asegurarse de que su formación sobre concienciación en materia de seguridad sea todo lo eficaz que tiene que ser, debería establecer una cultura de seguridad sólida. La cultura de seguridad la conforman las ideas, las costumbres y los comportamientos sociales que afectan a la seguridad de su organización. La encuesta de cultura de seguridad desglosa la cultura de seguridad de su organización en siete dimensiones diferentes. Utilícela para ver cuáles pueden reforzarse y cómo cambia la cultura de seguridad a lo largo del tiempo. Realice la encuesta a los usuarios una vez al año para ver cómo cambia la puntuación de su cultura de seguridad.

Acceda a los siguientes enlaces para obtener más información sobre cómo añadir evaluaciones y sobre la encuesta de cultura de seguridad (SCS).

Guía sobre evaluaciones de la organización

Resumen de la encuesta de cultura de seguridad (SCS)

Volver a los detalles del plan de grado de concienciación alto

Mejorar su plan de gestión de respuesta ante incidentes en correos electrónicos

Si decide usar PAB, o si prefiere pedirles a los usuarios que reenvíen los correos electrónicos sospechosos o potencialmente malintencionados a una dirección o un departamento específicos de su organización, necesitará un producto que le permita gestionar dichos mensajes reenviados, analizarlos de forma eficiente y responder a ellos. PhishER es la plataforma indicada para ello.

Al utilizar PhishER como control de detección de seguridad, su organización podrá identificar posibles amenazas por correo electrónico a fin de reforzar sus medidas de seguridad y su plan de defensa detallado. PhishER se puede usar de forma eficiente con PAB para gestionar los correos electrónicos de phishing denunciados, o puede optar por que se reenvíen dichos correos a la bandeja de entrada de PhishER. Para obtener más información sobre PhishER, consulte el Manual de producto de PhishER.

Volver a los detalles del plan de grado de concienciación alto

Crear el grupo de usuarios que han hecho clic

Haga clic en Usuarios y, después, en la pestaña Grupos para ver la opción de crear un nuevo grupo. Desde ahí puede crear un grupo para los usuarios Phish-prone, o usuarios que han hecho clic. Puede usar este grupo en próximas campañas de phishing, así como para configurar una formación correctiva automatizada para aquellas personas que sigan sin superar las pruebas de phishing. Los clientes Platino y Diamante también pueden crear un grupo inteligente que incluya automáticamente a los usuarios que no superen las pruebas de phishing.

Volver a los detalles del plan de grado de concienciación alto

Continuar trabajando el phishing con todos los usuarios 

Prueba de phishing quincenal

Para el plan Grado de concienciación alto, recomendamos al menos una prueba quincenal para todos los usuarios. Las pruebas frecuentes de phishing dan a los empleados la oportunidad de poner a prueba las habilidades adquiridas en la formación sobre concienciación en materia de seguridad.

A continuación se muestra la configuración recomendada, que le permitirá ampliar la variedad de correos electrónicos de phishing utilizados y extender el envío de los correos electrónicos a lo largo del tiempo. Mediante este método totalmente aleatorio, los empleados no podrán advertir a los demás de que se está realizando una prueba de phishing.

• Frecuencia: quincenal.
• Envío: envíe correos electrónicos durante al menos tres días laborables.
  • De esta forma, los usuarios no recibirán los correos electrónicos a la vez y no podrán advertir a los demás de que se está realizando una prueba de phishing.
• Realizar seguimiento de la actividad: realice un seguimiento de los fallos de las pruebas de phishing durante al menos tres días. 
• Realizar seguimiento de las respuestas: le recomendamos que habilite esta configuración. Para obtener más información sobre el phishing de respuesta, consulte la Guía del producto de respuesta.
• Categorías: seleccione distintas categorías de plantillas y escoja «Totalmente aleatorio» en el desplegable para seleccionar una plantilla aleatoria para cada usuario.
  • Excluya los idiomas que no se aplican en su caso y las categorías Sugerencias y consejos de seguridad y La estafa de la semana.
• Grado de dificultad: opcional.
  • Si lo desea, aquí puede limitar la dificultad de las plantillas que ha seleccionado a puntuaciones con estrellas específicas, de una a cinco.
• Dominio de enlace de phishing: déjelo como aleatorio.
• Página de aterrizaje: opcional.
  • Seleccione la página de aterrizaje concreta que quiera emplear para todas las plantillas de phishing o deje la página predeterminada.
• Añadir usuarios que han hecho clic: aquí puede seleccionar el grupo de usuarios que han hecho clic. Si está creando un grupo inteligente para una formación correctiva automatizada, puede dejar este campo en blanco.
  • Cada vez que alguien no supere la prueba de phishing, se le añadirá al grupo seleccionado.
• Marque «Enviar un informe de correo electrónico a los administradores de cuentas…» si quiere recibir una notificación cuando finalice la prueba de phishing quincenal.

Volver a los detalles del plan de grado de concienciación alto

Prueba puntual adicional mensual opcional con plantilla objetivo o de eventos actuales

En ocasiones, añadiremos una nueva plantilla que deberá usar directamente en todos sus usuarios, o puede que se le ocurra un novedoso concepto para una prueba de phishing que haga caer incluso a aquellas personas que nunca hacen clic. Puede configurar una prueba puntual adicional cada mes para que las pruebas de phishing sigan siendo únicas y pertinentes.

Para el plan Grado de concienciación alto, sin duda querrá dirigirse a los empleados con plantillas específicas de la organización o de su sector para la realización de estas pruebas, algo que supondrá todo un reto para los usuarios y que hará que se mantengan alerta.

Como práctica recomendada, siempre que use solo una plantilla, se recomienda que desmarque la casilla «Enviar correos electrónicos en el transcurso de la duración de la campaña» para que los usuarios reciban el correo electrónico de phishing simulado al mismo tiempo. De esta forma, se reducirá al mínimo el tiempo que tendrán para avisar a los demás de que se está realizando una prueba de phishing.

Volver a los detalles del plan de grado de concienciación alto

Prueba de phishing mensual opcional para usuarios que han hecho clic

Es posible que los usuarios Phish-prone necesiten aún más pruebas para adquirir las habilidades necesarias para defenderse ante los ataques de ingeniería social. Puede configurar una campaña de phishing continua que vaya dirigida únicamente al grupo de usuarios que han hecho clic. Le recomendamos que sea similar a su campaña de phishing quincenal «totalmente aleatoria», con varias categorías de plantillas seleccionadas y con envío de correos electrónicos en el transcurso de la duración de la campaña. También puede aprovechar esta oportunidad para utilizar nuestra categoría Ataques de phishing de la semana denunciados, si no lo ha hecho ya.

Volver a los detalles del plan de grado de concienciación alto

Enviar Sugerencias y consejos de seguridad/La estafa de la semana

Además de las plantillas de phishing, también contamos con la opción integrada de Sugerencias y consejos de seguridad y con la categoría La estafa de la semana. Las Sugerencias y consejos de seguridad recordarán a los usuarios los distintos métodos generales para protegerse tanto online como en el trabajo. La estafa de la semana preparará a los usuarios para defenderse ante las últimas estafas de ciberseguridad e ingeniería social. 

Resumen del boletín de Sugerencias y consejos de seguridad

Resumen del boletín de La estafa de la semana

Volver a los detalles del plan de grado de concienciación alto

Iniciar una campaña de formación correctiva para usuarios que han hecho clic

Para animar a los usuarios con mayor tendencia al Phish-prone a que analicen los correos electrónicos que reciben con mayor nivel de detalle, puede programar una campaña de formación correctiva para su grupo de usuarios que han hecho clic.

Para ello, asegúrese de seleccionar también la opción de «Añadir usuarios que han hecho clic» a su grupo de usuarios que han hecho clic al configurar la campaña periódica de phishing quincenal.

Tras configurar la campaña de phishing, configure la formación de seguridad correctiva para estos usuarios.

Si es cliente Platino o Diamante, también puede configurar la formación correctiva automatizada mediante los grupos inteligentes.

Crear una campaña de formación correctiva

Volver a los detalles del plan de grado de concienciación alto

Programar una formación sobre seguridad adicional trimestral

Además de nuestra formación sobre concienciación en materia de seguridad de KnowBe4, ofrecemos distintos módulos de formación para satisfacer las necesidades de formación sobre seguridad de su organización. Para consultar una lista, la descripción y la vista previa de todo nuestro contenido de formación, acceda a ModStore desde su cuenta de KnowBe4.

Le recomendamos que asigne una formación trimestral a los usuarios para que sigan centrados en la seguridad. Al hacerlo, los usuarios seguirán involucrándose en la formación sobre concienciación en materia de seguridad y refrescarán el contenido.

Si es posible en el caso de su organización, también debería dirigirse a los distintos departamentos con contenido específico más pertinente. Por ejemplo, podría inscribir a los empleados que traten datos confidenciales de tarjetas de crédito en nuestro curso sobre aspectos básicos de seguridad para tarjetas de crédito. Puede filtrar el contenido de ModStore para buscar temas específicos en los que quiera centrarse o usar nuestro filtro de formación dirigida. 

Recomendamos una suscripción Platino para disponer siempre del contenido más reciente y de mejor calidad. Si desea informarse sobre cómo actualizar su suscripción, póngase en contacto con el responsable de satisfacción del cliente o su administrador de cuentas. Podrán ayudarle con lo que necesite.

Volver a los detalles del plan de grado de concienciación alto

Completar una prueba de vulnerabilidad adicional trimestral (solo Platino/Diamante)

Además de comprobar la vulnerabilidad de los usuarios a la hora de hacer clic en los enlaces de phishing, le recomendamos que realice con ellos una prueba adicional de vulnerabilidad a lo largo del año. A continuación se detallan las funciones Platino que puede configurar fácilmente y gestionar desde nuestra consola.

• Pruebas de unidad USB: para comprobar si los usuarios muestran predisposición a coger unidades USB desconocidas y conectarlas a sus ordenadores, puede realizar una prueba de este tipo usando nuestra plataforma. Para ello, tendrá que cargar unos archivos especialmente diseñados que nosotros le proporcionaremos en unidades USB. Deberá dejar dichas unidades en distintas ubicaciones de la oficina que frecuenten los empleados. Podrá hacer un seguimiento de los datos sobre los usuarios que conecten las unidades USB e intenten abrir los archivos. Consulte el siguiente artículo: Resumen de la prueba de unidad USB.

Volver a los detalles del plan de grado de concienciación alto

Registrar los progresos

Podrá revisar las distintas opciones de informes en la consola para comprobar el progreso de la organización a lo largo del tiempo. Analizar los distintos informes disponibles le ayudará a darle forma a la planificación de próximas pruebas de phishing o campañas de formación sobre seguridad, ya que le mostrará cuáles han sido los «eslabones débiles» de la organización en los que será necesario reforzar la formación de seguridad.

El panel de control le ofrece una visión general de la puntuación de riesgo de la organización, el porcentaje de Phish-prone y otros datos que le permitirán comprobar de un vistazo cómo está funcionando el programa de concienciación en seguridad. No obstante, podrá seguir profundizando para identificar tendencias, conocer qué usuarios deben continuar realizando formaciones, analizar qué grupos, ubicaciones o departamentos son más vulnerables a la hora de hacer clic en enlaces de phishing o incluso ver en qué plantilla de correo electrónico han hecho clic más veces los usuarios.

Estos son los recursos relacionados con los informes que tiene a su disposición:

• Guía de informes (recomendado)
• Guía de Virtual Risk Officer y puntuación de riesgo (recomendado)
• Control y revisión de los informes generales de phishing
• Guía de informes de formación
• Resumen del panel de control

Volver a los detalles del plan de grado de concienciación alto

Grado de concienciación medio

Haga clic en cada paso para ver más detalles:

• Involucrar a las partes interesadas
• Completar una prueba de referencia ciega
• Para evitar la saturación del servicio de asistencia, trabajar antes el phishing con el equipo de TI
• Comunicarse con sus empleados
• Evaluar los conocimientos de sus usuarios sobre concienciación en materia de seguridad
• Inscribir a sus empleados en la formación sobre concienciación en materia de seguridad
• Instalar Phish Alert Button
• Mejorar su plan de gestión de respuesta ante incidentes en correos electrónicos
• Crear el grupo de usuarios que han hecho clic
• Continuar trabajando el phishing con los usuarios
  • Prueba de phishing mensual
  • Prueba puntual adicional mensual opcional
• Determinar su cultura de seguridad
• Enviar Sugerencias y consejos de seguridad/La estafa de la semana
• Iniciar una campaña de formación correctiva para usuarios que han hecho clic
• Programar una formación de seguridad adicional semestral
• Completar una prueba de vulnerabilidad adicional semestral
• Registrar los progresos

Involucrar a las partes interesadas

Para garantizar que su organización saque el mayor partido de cada programa, es crucial contar con la participación de las partes interesadas. Consulte el artículo que se indica a continuación para ver un correo electrónico de muestra que puede modificar y enviar a las partes interesadas a nivel interno de su organización.

Involucrar a las partes interesadas en mi plan de formación sobre concienciación en materia de seguridad

Volver a los detalles del plan de grado de concienciación medio

Completar una prueba de referencia ciega

Antes de iniciar la formación de los usuarios con nuestros módulos de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que realice una prueba de phishing inicial sin previo aviso a todos sus usuarios.

Asegúrese de seguir las instrucciones del artículo que se indica a continuación para saber cómo configurar la prueba.

Guía de prácticas recomendadas: Configurar una prueba de referencia

Comunicar la prueba de referencia a su equipo de TI o servicio de asistencia

De igual forma, tendrá que pensar en qué tipo de página de aterrizaje va a usar en la prueba de referencia ciega. Utilizar páginas de aterrizaje le ofrece la capacidad de influir en la reacción de los usuarios ante una prueba de phishing. Consulte el enlace que se indica a continuación para conocer los distintos tipos de páginas de aterrizaje y cómo pueden reaccionar los usuarios a ellas.

Prácticas recomendadas: Elección de una página de aterrizaje

Volver a los detalles del plan de grado de concienciación medio

Para evitar la saturación del servicio de asistencia, trabajar antes el phishing con el equipo de TI

Otra opción que podría considerar es enviar dos pruebas iniciales de las pruebas de phishing, una primero a su Departamento de TI o al servicio de asistencia y luego otra al resto de los empleados. De esta forma, cuando el resto de los empleados comiencen a informar sobre el correo sospechoso, los empleados del servicio de asistencia estarán al corriente de la situación, pero también habrán tenido la oportunidad de participar en evaluación inicial. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servicios de correo en la lista de permitidos y de que su prueba inicial llegará a las bandejas de entrada de todos los empleados.

Volver a los detalles del plan de grado de concienciación medio

Comunicarse con sus empleados

Después de la prueba de referencia, los empleados que recibieron el correo electrónico de phishing simulado pueden estar confusos. Aquellos que hicieron clic en el enlace de phishing pueden estar preocupados por las consecuencias que deberán asumir. Le recomendamos que, una vez finalizada la duración de la campaña de phishing de la prueba de referencia, se ponga en contacto con ellos para contarles que se trataba de una prueba y explicarles por qué.

También puede aprovechar la ocasión para hacer hincapié en la importancia de que todo el mundo complete la formación sobre concienciación en materia de seguridad. Mostrar a los usuarios la amenaza potencial que podría suponer para la organización y para ellos mismos puede aumentar su nivel de participación una vez que los inscriba en la formación. En el siguiente enlace, hemos incluido una plantilla con este fin.

Plantilla para la prueba posterior a la prueba de phishing de referencia

Volver a los detalles del plan de grado de concienciación medio

Evaluar los conocimientos de sus usuarios sobre concienciación en materia de seguridad

Antes de inscribir a los usuarios en la formación sobre concienciación en materia de seguridad, es importante definir su grado de concienciación en materia de seguridad actual para analizar cómo mejora con el paso del tiempo. Asigne a los usuarios la Evaluación del nivel de concienciación en materia de seguridad (SAPA) para evaluar sus conocimientos en siete ámbitos de conocimiento diferentes. Le recomendamos asignar la evaluación SAPA después de su primera prueba de phishing, pero antes de su primera campaña de formación. Siga asignando esta evaluación SAPA a los usuarios cada año para ver cómo cambian los puntos fuertes y débiles.

Acceda a los siguientes enlaces para obtener más información sobre cómo añadir evaluaciones y sobre la Evaluación del nivel de concienciación en materia de seguridad (SAPA).

Guía sobre evaluaciones de la organización

Resumen de la Evaluación del nivel de concienciación en materia de seguridad (SAPA)

Volver a los detalles del plan de grado de concienciación medio

Inscribir a sus empleados en la formación sobre concienciación en materia de seguridad

Tras la prueba de referencia, debería configurar la formación sobre concienciación en materia de seguridad para todos los usuarios. Antes deberá configurar la experiencia de aprendizaje y decidir si quiere introducir elementos lúdicos como parte del programa de formación.

Le recomendamos que inscriba a todos los empleados en nuestra formación sobre concienciación en materia de seguridad de KnowBe4, de 45 minutos de duración, o en un curso exhaustivo similar en su primera campaña de formación. También puede añadir políticas para las campañas de formación y solicitar a los usuarios que aprueben o acepten dichas políticas. Consulte más información: Creación y gestión de políticas.

Para ayudar a los usuarios a comenzar la formación, le recomendamos que les envíe el enlace a uno de los vídeos de introducción. Cada vídeo cuenta con instrucciones únicas dependiendo de su configuración de inicio de sesión y explica cómo usar la experiencia de aprendizaje. Acceda a los siguientes enlaces para encontrar el vídeo que mejor se adapte a su organización:

• Guía para usuarios con configuraciones de inicio de sesión predeterminadas
  • Guía temática de Ciberhéroe para usuarios con configuraciones de inicio de sesión predeterminadas
• Guía para usuarios con inicio de sesión único habilitado
  • Guía temática de Ciberhéroe para usuarios con inicio de sesión único habilitado
• Guía para usuarios con inicio de sesión sin contraseña habilitado

Para obtener recomendaciones sobre cómo configurar su primera campaña de formación sobre concienciación en materia de seguridad, consulte el enlace que se indica a continuación.

Guía de prácticas recomendadas: Creación de su primera campaña de formación

Volver a los detalles del plan de grado de concienciación medio

Instalar Phish Alert Button

Phish Alert Button (PAB) es una herramienta gratuita que puede usar para animar a los usuarios a interactuar con la formación sobre seguridad. PAB es un complemento para su cliente de correo electrónico (consulte la matriz compatibilidad de PAB aquí) que permite a los usuarios informar de un correo electrónico sospechoso de phishing. El mensaje denunciado puede ser una prueba de phishing simulada de KnowBe4 o un posible ciberataque real.

Para obtener más información sobre PAB y cómo informar a los usuarios sobre él una vez instalado, consulte el siguiente enlace.

Prácticas recomendadas: implementación de Phish Alert Button (PAB)

Volver a los detalles del plan de grado de concienciación medio

Mejorar su plan de gestión de respuesta ante incidentes en correos electrónicos

Si decide usar PAB, o si prefiere pedirles a los usuarios que reenvíen los correos electrónicos sospechosos o potencialmente malintencionados a una dirección o un departamento específicos de su organización, necesitará un producto que le permita gestionar dichos mensajes reenviados, analizarlos de forma eficiente y responder a ellos. PhishER es la plataforma indicada para ello.

Al utilizar PhishER como control de detección de seguridad, su organización podrá identificar posibles amenazas por correo electrónico a fin de reforzar sus medidas de seguridad y su plan de defensa detallado. PhishER se puede usar de forma eficiente con PAB para gestionar los correos electrónicos de phishing denunciados, o puede optar por que se reenvíen dichos correos a la bandeja de entrada de PhishER. Para obtener más información sobre PhishER, consulte el Manual de producto de PhishER.

Volver a los detalles del plan de grado de concienciación medio

Crear el grupo de usuarios que han hecho clic

Haga clic en Usuarios y, después, en la pestaña Grupos para ver la opción de crear un nuevo grupo. Desde ahí puede crear un grupo para los usuarios Phish-prone, o usuarios que han hecho clic. Puede usar este grupo en próximas campañas de phishing, así como para configurar una formación correctiva automatizada para aquellas personas que sigan sin superar las pruebas de phishing. Los clientes Platino y Diamante también pueden crear un grupo inteligente que incluya automáticamente a los usuarios que no superen las pruebas de phishing.

Volver a los detalles del plan de grado de concienciación medio

Continuar trabajando el phishing con todos los usuarios 

Prueba de phishing mensual

Para el plan Grado de concienciación medio, recomendamos al menos una prueba mensual para todos los usuarios. Las pruebas frecuentes de phishing dan a los empleados la oportunidad de poner a prueba las habilidades adquiridas en la formación sobre concienciación en materia de seguridad.

A continuación se muestra la configuración recomendada, que le permitirá ampliar la variedad de correos electrónicos de phishing utilizados y extender el envío de los correos electrónicos a lo largo del tiempo. Mediante este método totalmente aleatorio, los empleados no podrán advertir a los demás de que se está realizando una prueba de phishing.

• Frecuencia: mensual.
  • Envío: envíe correos electrónicos en 5-10 días laborables.
  • De esta forma, los usuarios no recibirán los correos electrónicos a la vez y no podrán advertir a los demás de que se está realizando una prueba de phishing.
• Realizar seguimiento de la actividad: realice un seguimiento de los fallos de las pruebas de phishing durante al menos tres días.
• Realizar seguimiento de las respuestas: le recomendamos que habilite esta configuración. Para obtener más información sobre el phishing de respuesta, consulte la Guía del producto de respuesta.
• Categorías: seleccione distintas categorías de plantillas y escoja «Totalmente aleatorio» en el desplegable para seleccionar una plantilla aleatoria para cada usuario.
  • Excluya los idiomas que no se aplican en su caso y las categorías Sugerencias y consejos de seguridad y La estafa de la semana.
• Grado de dificultad: opcional.
  • Si lo desea, aquí puede limitar la dificultad de las plantillas que ha seleccionado a puntuaciones con estrellas específicas, de una a cinco.
• Dominio de enlace de phishing: déjelo como aleatorio.
• Página de aterrizaje: opcional.
  • Seleccione la página de aterrizaje concreta que quiera emplear para todas las plantillas de phishing o deje la opción predeterminada.
• Añadir usuarios que han hecho clic: aquí puede seleccionar el grupo de usuarios que han hecho clic. Si está creando un grupo inteligente para una formación correctiva automatizada, puede dejar este campo en blanco.
  • Cada vez que alguien no supere la prueba de phishing, se le añadirá al grupo seleccionado.
• Marque «Enviar un informe de correo electrónico a los administradores de cuentas…» si quiere recibir una notificación cuando finalice la prueba de phishing quincenal.

Volver a los detalles del plan de grado de concienciación medio

Prueba puntual adicional mensual opcional con plantilla objetivo o de eventos actuales

En ocasiones, añadiremos una nueva plantilla que deberá usar directamente en todos sus usuarios, o puede que se le ocurra un novedoso concepto para una prueba de phishing que haga caer incluso a aquellas personas que nunca hacen clic. Puede configurar una prueba puntual adicional cada mes para que las pruebas de phishing sigan siendo únicas y pertinentes.

Para el plan Grado de concienciación medio, puede que quiera dirigirse a los empleados con plantillas específicas de la organización o de su sector para la realización de estas pruebas puntuales.

Como práctica recomendada, siempre que use solo una plantilla, le recomendamos que seleccione la opción Enviar todos los correos electrónicos al comienzo de la campaña para que los usuarios reciban el correo electrónico de phishing simulado al mismo tiempo. De esta forma, se reducirá al mínimo el tiempo que tendrán para avisar a los demás de que se está realizando una prueba de phishing.

Volver a los detalles del plan de grado de concienciación medio

Determinar su cultura de seguridad

Para asegurarse de que su formación sobre concienciación en materia de seguridad sea todo lo eficaz que tiene que ser, debería establecer una cultura de seguridad sólida. La cultura de seguridad la conforman las ideas, las costumbres y los comportamientos sociales que afectan a la seguridad de su organización. La encuesta de cultura de seguridad desglosa la cultura de seguridad de su organización en siete dimensiones diferentes. Utilícela para ver cuáles pueden reforzarse y cómo cambia la cultura de seguridad a lo largo del tiempo. Realice la encuesta a los usuarios una vez al año para ver cómo cambia la puntuación de su cultura de seguridad.

Acceda a los siguientes enlaces para obtener más información sobre cómo añadir evaluaciones y sobre la encuesta de cultura de seguridad (SCS).

Guía sobre evaluaciones de la organización

Resumen de la encuesta de cultura de seguridad (SCS)

Volver a los detalles del plan de grado de concienciación medio

Enviar Sugerencias y consejos de seguridad/La estafa de la semana

Además de las plantillas de phishing, también contamos con la opción integrada de Sugerencias y consejos de seguridad y con la categoría La estafa de la semana. Las Sugerencias y consejos de seguridad recordarán a los usuarios los distintos métodos generales para protegerse tanto online como en el trabajo. La estafa de la semana preparará a los usuarios para defenderse ante las últimas estafas de ciberseguridad e ingeniería social. 

Resumen del boletín de Sugerencias y consejos de seguridad

Resumen del boletín de La estafa de la semana

Volver a los detalles del plan de grado de concienciación medio

Iniciar una campaña de formación correctiva para usuarios que han hecho clic

Para animar a los usuarios con mayor tendencia al Phish-prone a que analicen los correos electrónicos que reciben con mayor nivel de detalle, puede programar una campaña de formación correctiva para su grupo de usuarios que han hecho clic.

Para ello, asegúrese de seleccionar también la opción de «Añadir usuarios que han hecho clic a» su grupo de usuarios que han hecho clic al configurar la campaña periódica de phishing mensual.

Tras configurar la campaña de phishing, configure la formación de seguridad correctiva para estos usuarios.

Si es cliente Platino o Diamante, también puede configurar la formación correctiva automatizada mediante los grupos inteligentes.

Uso de grupos para la formación correctiva

Volver a los detalles del plan de grado de concienciación medio

Programar una formación de seguridad adicional semestral

Además de nuestra formación sobre concienciación en materia de seguridad de KnowBe4, ofrecemos distintos módulos de formación para satisfacer las necesidades de formación sobre seguridad de su organización. Para consultar una lista, la descripción y la vista previa de todo nuestro contenido de formación, acceda a ModStore desde su cuenta de KnowBe4.

Para que los usuarios sigan centrados en la seguridad, le recomendamos que cree una nueva campaña de formación cada seis meses. Al hacerlo, los usuarios seguirán involucrándose en la formación sobre concienciación en materia de seguridad y refrescarán el contenido. 

Si es posible en el caso de su organización, también debería dirigirse a los distintos departamentos con contenido específico más pertinente. Por ejemplo, podría inscribir a los empleados que traten datos confidenciales de tarjetas de crédito en nuestro curso sobre aspectos básicos de seguridad para tarjetas de crédito. Puede filtrar el contenido de ModStore para buscar temas específicos en los que quiera centrarse o usar nuestro filtro de formación dirigida. 

Recomendamos una suscripción Platino para disponer siempre del contenido más reciente y de mejor calidad. Si desea informarse sobre cómo actualizar su suscripción, póngase en contacto con el responsable de satisfacción del cliente o su administrador de cuentas. Podrán ayudarle con lo que necesite.

Volver a los detalles del plan de grado de concienciación medio

Completar una prueba de vulnerabilidad adicional semestral (solo Platino/Diamante)

Además de comprobar la vulnerabilidad de los usuarios a la hora de hacer clic en los enlaces de phishing, le recomendamos que realice con ellos una prueba adicional de vulnerabilidad a lo largo del año. A continuación se detallan las funciones Platino que puede configurar fácilmente y gestionar desde nuestra consola.

• Pruebas de unidad USB: para comprobar si los usuarios muestran predisposición a coger unidades USB desconocidas y conectarlas a sus ordenadores, puede realizar una prueba de este tipo usando nuestra plataforma. Para ello, tendrá que cargar unos archivos especialmente diseñados que nosotros le proporcionaremos en unidades USB. Deberá dejar dichas unidades en distintas ubicaciones de la oficina que frecuenten los empleados. Podrá hacer un seguimiento de los datos sobre los usuarios que conecten las unidades USB e intenten abrir los archivos. Consulte el siguiente artículo: Resumen de la prueba de unidad USB.

Volver a los detalles del plan de grado de concienciación medio

Registrar los progresos

Podrá revisar las distintas opciones de informes en la consola para comprobar el progreso de la organización a lo largo del tiempo. Analizar los distintos informes disponibles le ayudará a darle forma a la planificación de próximas pruebas de phishing o campañas de formación sobre seguridad, ya que le mostrará cuáles han sido los «eslabones débiles» de la organización, en los que será necesario reforzar la formación de seguridad.

El panel de control le ofrece una visión general de la puntuación de riesgo de la organización, el porcentaje de Phish-prone y otros datos que le permitirán comprobar de un vistazo cómo está funcionando el programa de concienciación en seguridad. No obstante, podrá seguir profundizando para identificar tendencias, conocer qué usuarios deben continuar realizando formaciones, analizar qué grupos, ubicaciones o departamentos son más vulnerables a la hora de hacer clic en enlaces de phishing o incluso ver en qué plantilla de correo electrónico han hecho clic más veces los usuarios.

Estos son los recursos relacionados con los informes que tiene a su disposición:

• Guía de informes (recomendado)
• Guía de Virtual Risk Officer y puntuación de riesgo (recomendado)
• Control y revisión de los informes generales de phishing
• Guía de informes de formación
• Resumen del panel de control

Volver a los detalles del plan de grado de concienciación medio

Grado de concienciación bajo

Haga clic en cada paso para ver más detalles:

• Involucrar a las partes interesadas
• Completar una prueba de referencia ciega
• Para evitar la saturación del servicio de asistencia, trabajar antes el phishing con el equipo de TI
• Comunicarse con sus empleados
• Evaluar los conocimientos de sus usuarios sobre concienciación en materia de seguridad
• Inscribir a sus empleados en la formación sobre concienciación en materia de seguridad

Involucrar a las partes interesadas

Para garantizar que su organización saque el mayor partido de cada programa, es crucial contar con la participación de las partes interesadas. Consulte el artículo que se indica a continuación para ver un correo electrónico de muestra que puede modificar y enviar a las partes interesadas a nivel interno de su organización.

Involucrar a las partes interesadas en mi plan de formación sobre concienciación en materia de seguridad

Volver a los detalles del plan de grado de concienciación bajo

Completar una prueba de referencia ciega

Antes de iniciar la formación de los usuarios con nuestros módulos de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que realice una prueba de phishing inicial sin previo aviso a todos sus usuarios.

Asegúrese de seguir las instrucciones del artículo que se indica a continuación para saber cómo configurar la prueba.

Guía de prácticas recomendadas: Configurar una prueba de referencia

Comunicar la prueba de referencia a su equipo de TI o servicio de asistencia

De igual forma, tendrá que pensar en qué tipo de página de aterrizaje va a usar en la prueba de referencia ciega. Utilizar páginas de aterrizaje le ofrece la capacidad de influir en la reacción de los usuarios ante una prueba de phishing. Consulte el enlace que se indica a continuación para conocer los distintos tipos de páginas de aterrizaje y cómo pueden reaccionar los usuarios a ellas.

Prácticas recomendadas: Elección de una página de aterrizaje

Volver a los detalles del plan de grado de concienciación bajo

Para evitar la saturación del servicio de asistencia, trabajar antes el phishing con el equipo de TI

Otra opción que podría considerar es enviar dos pruebas iniciales de las pruebas de phishing, una primero a su Departamento de TI o al servicio de asistencia y luego otra al resto de los empleados. De esta forma, cuando el resto de los empleados comiencen a informar sobre el correo sospechoso, los empleados del servicio de asistencia estarán al corriente de la situación, pero también habrán tenido la oportunidad de participar en evaluación inicial. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servicios de correo en la lista de permitidos y de que su prueba inicial llegará a las bandejas de entrada de todos los empleados.

Volver a los detalles del plan de grado de concienciación bajo

Comunicarse con sus empleados

Después de la prueba de referencia, los empleados que recibieron el correo electrónico de phishing simulado pueden estar confusos. Aquellos que hicieron clic en el enlace de phishing pueden estar preocupados por las consecuencias que deberán asumir. Le recomendamos que, una vez finalizada la duración de la campaña de phishing de la prueba de referencia, se ponga en contacto con ellos para contarles que se trataba de una prueba y explicarles por qué.

También puede aprovechar la ocasión para hacer hincapié en la importancia de que todo el mundo complete la formación sobre concienciación en materia de seguridad. Mostrar a los usuarios la amenaza potencial que podría suponer para la organización y para ellos mismos puede aumentar su nivel de participación una vez que los inscriba en la formación. En el siguiente enlace, hemos incluido una plantilla con este fin.

Plantilla para la prueba posterior a la prueba de phishing de referencia

Volver a los detalles del plan de grado de concienciación bajo

Evaluar los conocimientos de sus usuarios sobre concienciación en materia de seguridad

Antes de inscribir a los usuarios en la formación sobre concienciación en materia de seguridad, es importante definir su grado de concienciación en materia de seguridad actual para analizar cómo mejora con el paso del tiempo. Asigne a los usuarios la Evaluación del nivel de concienciación en materia de seguridad (SAPA) para evaluar sus conocimientos en siete ámbitos de conocimiento diferentes. Le recomendamos asignar la evaluación SAPA después de su primera prueba de phishing, pero antes de su primera campaña de formación. Siga asignando esta evaluación SAPA a los usuarios cada año para ver cómo cambian los puntos fuertes y débiles.

Acceda a los siguientes enlaces para obtener más información sobre cómo añadir evaluaciones y sobre la Evaluación del nivel de concienciación en materia de seguridad (SAPA).

Guía sobre evaluaciones de la organización

Resumen de la Evaluación del nivel de concienciación en materia de seguridad (SAPA)

Volver a los detalles del plan de grado de concienciación bajo

Inscribir a sus empleados en la formación sobre concienciación en materia de seguridad

Tras la prueba de referencia, debería configurar la formación sobre concienciación en materia de seguridad para todos los usuarios. Antes deberá configurar la experiencia de aprendizaje y decidir si quiere introducir elementos lúdicos como parte del programa de formación.

Le recomendamos que inscriba a todos los empleados en nuestra formación sobre concienciación en materia de seguridad de KnowBe4, de 45 minutos de duración, o en un curso exhaustivo similar en su primera campaña de formación. También puede añadir políticas para las campañas de formación y solicitar a los usuarios que aprueben o acepten dichas políticas. Consulte más información: Creación y gestión de políticas.

Para ayudar a los usuarios a comenzar la formación, le recomendamos que les envíe el enlace a uno de los vídeos de introducción. Cada vídeo cuenta con instrucciones únicas dependiendo de su configuración de inicio de sesión y explica cómo usar la experiencia de aprendizaje. Acceda a los siguientes enlaces para encontrar el vídeo que mejor se adapte a su organización:

• Guía para usuarios con configuraciones de inicio de sesión predeterminadas
  • Guía temática de Ciberhéroe para usuarios con configuraciones de inicio de sesión predeterminadas
• Guía para usuarios con inicio de sesión único habilitado
  • Guía temática de Ciberhéroe para usuarios con inicio de sesión único habilitado
• Guía para usuarios con inicio de sesión sin contraseña habilitado