Puntuaciones de riesgo

Guía de Virtual Risk Officer (VRO) y puntuación de riesgo

Nuestra función Virtual Risk Officer (VRO) proporciona datos y métricas útiles para ayudarle a comprender mejor los puntos fuertes y débiles de su organización en cuanto a la seguridad. Puede utilizar VRO para saber qué usuarios pueden ser más vulnerables a los ataques de phishing y revisar la eficacia de su programa de formación sobre concienciación en materia de seguridad.

VRO asigna puntuaciones de riesgo dinámicas a sus usuarios, grupos y organización. Puede utilizar estas puntuaciones de riesgo para tomar decisiones basadas en datos en favor de la seguridad de su organización.

Para obtener más información sobre VRO, utilice los siguientes enlaces para dirigirse a apartados específicos de este artículo o vea nuestro vídeo Virtual Risk Officer (VRO).

Ir a:¿Qué es una puntuación de riesgo?¿Cómo se determina la puntuación de riesgo personal?

Puntuación de riesgo de los gruposPuntuación de riesgo de la organizaciónCómo disminuir las puntuaciones de riesgo

Preguntas frecuentes

 

¿Qué es una puntuación de riesgo? 

KnowBe4 registra una puntuación de riesgo única para cada uno de sus usuarios y grupos, y para su organización. La puntuación de riesgo de cada usuario se conoce como su puntuación de riesgo personal. Estas puntuaciones de riesgo personales se utilizan para calcular la puntuación de riesgo de los grupos y la organización.

Puede consultar estas puntuaciones en su consola en diferentes informes, listas de usuarios y listas de grupos.

¿Cómo se determina la puntuación de riesgo personal?

La puntuación de riesgo personal es la puntuación de riesgo de cada usuario. Las puntuaciones de riesgo personales se calculan mediante una red neuronal de aprendizaje profundo que combina diversos factores. Algunos de estos factores se muestran en la siguiente tabla:

Factores de riesgo

Descripción

Porcentaje de propensión al phishing

La probabilidad de que un usuario sea víctima de un ataque de phishing. Este porcentaje se basa en los resultados de una prueba de seguridad contra el phishing.

Estado de la formación sobre concienciación en materia de seguridad

El tipo de módulos de formación que ha completado el usuario y el tiempo que ha invertido en la formación.

Vulneración de datos

Si la información del usuario se ha encontrado o no en una o más vulneraciones de datos mediante nuestra herramienta Comprobación de exposición de correo electrónico (EEC Pro). La información vulnerada se incluirá en la cronología del usuario y en su Tarjeta de informe de usuario.

Cargo

El cargo del usuario puede influir en la puntuación de riesgo personal.

Cualquier usuario sin cargo tendrá un factor de riesgo medio de tu puesto de trabajo aplicado a su puntuación de riesgo.

Para obtener más información, consulte nuestro artículo ¿Cómo afecta el cargo a las puntuaciones de riesgo?

Ajuste de riesgo del usuario

Puede utilizar la herramienta de ajuste de riesgo para ajustar manualmente una puntuación de riesgo personal. Le recomendamos utilizar el ajuste de riesgo para los usuarios de alto riesgo. Para obtener más información, consulte nuestra Guía sobre ajustes de riesgo.

Ajuste de riesgo de los grupos

Si añade un usuario a un grupo, el ajuste de riesgo del grupo puede cambiar la puntuación de riesgo personal del usuario.

Si el ajuste de riesgo de un usuario es inferior al ajuste de riesgo del grupo, se aplicará el ajuste de riesgo del grupo. Al aplicar el ajuste de riesgo del grupo, cambiará la puntuación de riesgo personal del usuario.

Si ha añadido el usuario a varios grupos, se aplicará el ajuste de riesgo de grupo más alto.

Los usuarios con riesgo muy bajo no se verán afectados por el ajuste de riesgo del grupo.

Para obtener más información sobre los ajustes de riesgo, consulte nuestra Guía sobre ajustes de riesgo.

Las puntuaciones de riesgo personales de los usuarios pueden variar en función de estos factores. Por ejemplo, los usuarios del Departamento de Contabilidad pueden tener mayores puntuaciones de riesgo personales que los usuarios del Departamento de Diseño gráfico. Los usuarios del Departamento de Contabilidad tienen acceso a información financiera confidencial y tienen más probabilidades de recibir ataques de phishing o ingeniería social.

Del mismo modo, un CEO puede tener una puntuación de riesgo personal más alta que un director de marketing. Los ejecutivos pueden tener acceso a información clasificada sobre la organización y pueden correr un riesgo mayor de recibir ataques de ingeniería social.

Todas las puntuaciones de riesgo personales se actualizan una vez al día. Las puntuaciones registradas en días anteriores no se pueden modificar.

Puede consultar la puntuación de riesgo personal de un usuario en varias áreas de la consola, incluida la lista de usuarios en la pestaña Usuarios, los perfiles individuales de los usuarios y las tarjetas de informe de usuario disponibles en el Centro de informes.

Gráficas de puntuación de riesgo personal

En la pestaña Usuarios de la consola de KnowBe4 hay tres gráficas diferentes que muestran la puntuación de riesgo personal de un usuario. Para consultar estas gráficas para cada usuario, diríjase a la pestaña Usuarios y haga clic en el nombre del usuario.

Haga clic en las siguientes pestañas para obtener más información sobre cada gráfica:

La escala de puntuación de riesgo proporciona una representación visual de la puntuación de riesgo personal del usuario. Esta escala va de 0 a 100. Consulte la siguiente tabla para obtener información sobre los colores de la escala de puntuación de riesgo y las puntuaciones de riesgo correspondientes: 

Escala de puntuación de riesgo

Color

Puntuación de riesgo

Verde

De 0 a 20 

Amarillo

de 20,1 a 40

Naranja

De 40,1 a 60

Rojo

De 60,1 a 80

Rojo oscuro

De 80,1 a 100

Note: Los usuarios pueden tener una puntuación de riesgo personal de 0 si no han recibido ninguna prueba de phishing ni han realizado tareas de formación. Una puntuación de 0 no influirá en gran medida en las puntuaciones de riesgo de los grupos y la organización.

El gráfico radial de los factores de riesgo muestra los factores que afectan en mayor medida a la puntuación de riesgo personal de un usuario. 

Los datos de este gráfico solo son relativos a los demás factores de riesgo de este usuario. No son relativos a los factores de riesgo de todos los usuarios de la organización. Consulte la siguiente tabla para obtener más información sobre cada factor de riesgo:

Factor

Descripción

Acontecimientos personalizados

Se ha incluido al usuario en al menos un acontecimiento personalizado que se importó en la consola mediante API de acontecimientos de usuario. El impacto del factor de riesgo de los acontecimientos personalizados varía en función del nivel de riesgo asignado a cada acontecimiento personalizado.

Ajuste

Ha aplicado manualmente un ajuste de riesgo a este usuario. Este factor de riesgo incluye ajustes de riesgo individuales y grupales. Los administradores pueden editar el ajuste de riesgo de los usuarios y grupos.

La gráfica puede mostrar si se ha aplicado un ajuste de riesgo al usuario, incluido un ajuste de riesgo normal. Si desea cambiar esta configuración, puede aplicar un ajuste de riesgo muy bajo al usuario o grupo.

Exposición

La información del usuario se ha encontrado en una o más vulneraciones de datos. Si la información del usuario se ha encontrado en una vulneración de datos, es más probable que el usuario sufra ataques de phishing o ingeniería social. Esta puntuación disminuirá con el tiempo para las vulneraciones de datos más antiguas. Las vulneraciones de datos recientes influirán en mayor medida en el factor de riesgo de la exposición.

Para comprobar si la información de un usuario se ha encontrado en una vulneración de datos, diríjase a la cronología del usuario o a la tarjeta de informe de usuario.

Cargo

Los usuarios pueden tener una puntuación de riesgo mayor en función de su cargo. Para obtener más información, consulte nuestro artículo ¿Cómo afecta el cargo a las puntuaciones de riesgo?

Conducta

El usuario ha fallado las pruebas de phishing simulado. Si el usuario aprueba las siguientes pruebas de phishing, el valor del factor de riesgo de la conducta disminuirá.

Formación

El usuario no ha completado su formación o no ha invertido mucho tiempo en ella. Este factor de riesgo será alto si el usuario no ha completado su formación y viceversa.

La gráfica lineal del historial de riesgo representa las variaciones en la puntuación de riesgo personal del usuario en los últimos seis meses. Puede desplazar el cursor sobre cualquier punto en la gráfica para ver la puntuación de riesgo personal del usuario en esa fecha.

Puntuación de riesgo de los grupos

La puntuación de riesgo de un grupo se determina por las puntuaciones de riesgo personales de los usuarios del grupo y se calcula mediante la medición del error cuadrático medio o ECM. Esto significa que la puntuación de riesgo del grupo puede no ser la media exacta de las puntuaciones de riesgo de los usurios. Por ejemplo, si un usuario de un grupo tiene una puntuación de riesgo inusualmente alta comparada con las del resto del grupo, MSE previene que esta puntuación distorsione la puntuación de riesgo del grupo.

La puntuación de riesgo de un grupo cambiará si se añaden o eliminan usuarios del grupo y cuando las puntuaciones de riesgo personales cambien. Si se detectan cambios, la puntuación de riesgo del grupo se actualizará durante la noche. Las puntuaciones de riesgo registradas anteriormente no se pueden modificar.

Si lo desea, puede aplicar un ajuste de riesgo a un grupo. Para obtener más información sobre cómo aplicar un ajuste de riesgo a un grupo, consulte nuestra Guía sobre ajustes de riesgo.

La puntuación de riesgo de un grupo puede consultarse en varias áreas de la consola, incluida la página de resumen del grupo, el perfil individual del grupo y la tarjeta de informe de grupo.

Puntuación de riesgo de la organización

La puntuación de riesgo de la organización se determina combinando las puntuaciones de riesgo personales de todos los usuarios.

No obstante, KnowBe4 utiliza la medición del error cuadrático medio o ECM para calcular la puntuación de riesgo de su organización. Si un usuario tiene una puntuación de riesgo personal inusual, la ECM evitará que su puntuación distorsione la de la organización. Por ejemplo, un usuario con una puntuación de riesgo personal inusualmente alta afectará en menor medida a la puntuación de riesgo de la organización. Por consiguiente, la puntuación de riesgo de su organización no será una media exacta de las puntuaciones de riesgo personales de todos los usuarios.

Puede consultar la puntuación de riesgo de su organización en la pestaña Panel de control de su consola de KnowBe4. En la sección Puntuación de riesgo de la organización, puede consultar la gráfica del historial de puntuaciones de riesgo y la escala de puntuación de riesgo. La gráfica del historial de puntuaciones de riesgo muestra la puntuación de riesgo de su organización en los últimos seis meses. Cada punto de datos en la gráfica representa la puntuación de riesgo de su organización en ese momento concreto.

Panel de control: Riesgo de la organización

La puntuación de riesgo de su organización cambia cuando cambian las puntuaciones de riesgo personales de los usuarios. La puntuación de riesgo se actualizará durante la noche si se detectan cambios.

Si no se detectan cambios en la puntuación de riesgo, verá que se añaden al menos dos puntos de datos a la gráfica de puntuación de riesgo de su organización todos los meses. Estos dos puntos se añadirán aunque no se detecten cambios para mostrar que la puntuación de riesgo se ha mantenido igual durante todo el mes. Si la puntuación de riesgo de su organización cambia, se añadirá un punto de datos durante la noche. No es posible cambiar manualmente las puntuaciones de riesgo registradas en la gráfica.

No puede aplicar un ajuste de riesgo manual a la puntuación de riesgo de su organización.

Cómo disminuir las puntuaciones de riesgo

Puede disminuir las puntuaciones de riesgo personales, del grupo y de la organización. Para obtener más información sobre cómo disminuir estas puntuaciones, consulte los siguientes apartados.

Volver al principio

Cómo disminuir las puntuaciones de riesgo personales

Algunos usuarios siempre tendrán una puntuación de riesgo personal alta debido a su cargo u otros factores. No obstante, los usuarios pueden tomar medidas específicas para disminuir su puntuación de riesgo personal, como completar la formación sobre concienciación en materia de seguridad y no hacer clic en los enlaces de phishing de los correos electrónicos de phishing.

La puntuación de riesgo personal de un usuario disminuirá cuando realice las tareas de la formación sobre concienciación en materia de seguridad. Recomendamos asignar módulos de formación que cubran diversos temas en materia de seguridad, como el módulo de formación sobre concienciación en materia de seguridad de Kevin Mitnick. Para obtener más información sobre la creación de campañas de formación, consulte nuestro artículo Creación y gestión de campañas de formación.

La puntuación de riesgo personal de un usuario también disminuirá si no hace clic en enlaces de phishing ni abre archivos adjuntos en correos electrónicos de phishing. Cuando los usuarios dejen de hacer clic en los enlaces de phishing simulado, disminuirán su porcentaje de propensión al phishing. Al disminuir el porcentaje de propensión al phishing, también disminuirá la puntuación de riesgo personal.

Volver al principio

Cómo disminuir las puntuaciones de riesgo de los grupos y la organización

Las puntuaciones de riesgo de los grupos y la organización disminuirán a medida que disminuyan las puntuaciones de riesgo personales de los usuarios. Para consultar la disminución de la puntuación de riesgo de su organización con el tiempo, recomendamos que utilice un programa combinado de phishing simulado y formación sobre concienciación en materia de seguridad.

Para obtener mejores resultados, recomendamos seguir un programa automatizado sobre concienciación en materia de seguridad (ASAP). Este programa estará personalizado para satisfacer las necesidades de su organización y le ayudará a mantener el seguimiento de su plan de seguridad.

Para obtener más información, consulte nuestra Guía de prácticas recomendadas: ¿cómo integro KnowBe4 de forma eficaz en mi organización? Si necesita ayuda adicional, póngase en contacto con su administrador de cuentas o el responsable de satisfacción del cliente.

Preguntas frecuentes

P: Si elimino una campaña de formación o una campaña de phishing, ¿afectará a las puntuaciones de riesgo de mis usuarios?

  • R: La eliminación de una campaña no afecta a las puntuaciones de riesgo anteriores. Sin embargo, sí afecta a las puntuaciones de riesgo de los usuarios del día de la eliminación y los días posteriores.

P: ¿Están incluidas en las puntuaciones de riesgo personales de mis usuarios las campañas de consejos de seguridad y La estafa de la semana?

  • R: Sí, estas campañas están incluidas en las puntuaciones de riesgo personales de sus usuarios. Estas campañas disminuirán las puntuaciones de riesgo de sus usuarios porque no contienen enlaces de phishing para que hagan clic. Debe ocultar estas campañas de los informes. Para obtener más información, consulte nuestro artículo Cómo ocultar una campaña de phishing de los informes.

P: ¿Puedo modificar manualmente la puntuación de riesgo de un usuario o grupo?

  • R: Sí, puede modificar la puntuación de riesgo de un usuario o grupo. Para obtener más información, consulte nuestra Guía sobre ajustes de riesgo.

P: ¿A qué hora se actualizan las puntuaciones de riesgo?

  • R: Las puntuaciones de riesgo se actualizan sobre las 12:00 EST. Esta hora puede variar ligeramente.

P: ¿Con qué frecuencia se actualiza el modelo VRO?

  • R: El modelo VRO se actualiza semanalmente. También actualizamos esta función según sea necesario para ofrecerle información precisa.

P: ¿Por qué la puntuación de riesgo de mi organización muestra un valor de 0?

  • R: Puede que no se haya registrado aún la puntuación de riesgo de su organización. Los valores de puntuación de riesgo se registrarán a las 12:00 (EST) aproximadamente.

¿No encuentra lo que busca?

Hablar con asistencia técnica