En este artículo, encontrará preguntas frecuentes sobre el uso de SmartRisk™ Engine y la función de puntuación de riesgo de KnowBe4. Si tiene alguna otra pregunta que no se incluya en este artículo, envíe una solicitud a nuestro equipo de asistencia técnica equipo de asistencia técnica (el enlace se abrirá en una nueva ventana).
Para obtener más información sobre la puntuación de riesgo, consulte nuestra Guía sobre SmartRisk™ Engine y puntuación de riesgo.
Información general
Para obtener información general sobre SmartRisk™ Engine y la puntuación de riesgo, consulte las siguientes preguntas y respuestas:
- ¿Qué es SmartRisk™ Engine y cómo refuerza la gestión de riesgos humanos?
- ¿Cómo se definen y calculan los siete tipos de seguridad de cara a la puntuación de riesgo?
- ¿Qué intervalo disponible existe para la puntuación de riesgo?
- ¿Qué diferencia hay entre los factores de riesgo activos y los inactivos?
- ¿Con qué frecuencia se actualiza la puntuación de riesgo? ¿Se da en tiempo real?
- ¿Qué diferencias hay entre la nueva puntuación de riesgo y su versión heredada?
¿Qué es SmartRisk™ Engine y cómo refuerza la gestión de riesgos humanos?
SmartRisk™ Engine es el nuevo sistema de puntuación de riesgo de KnowBe4 que ofrece datos dinámicos y útiles para mejorar la posición de su organización con respecto a la seguridad. Al hacer un seguimiento de las tendencias y las conductas de riesgo de las personas usuarias a lo largo del tiempo, podrá personalizar sus políticas y su formación en materia de seguridad de forma eficaz y centrarse en los ámbitos de seguridad que suponen más o menos riesgos.
SmartRisk™ Engine calcula las puntuaciones de riesgo de personas concretas y grupos, así como de su organización en su conjunto. El cálculo se basa en los factores de riesgo o en los eventos y las conductas de las personas usuarias. Entre los factores de riesgo se incluye hacer clic en enlaces de phishing, denunciar correos electrónicos de phishing o cumplir con las políticas en materia de seguridad. A continuación, los factores de riesgo se clasifican en distintos tipos de seguridad. Los factores de riesgo pueden estar activos o inactivos. Esto le permitirá ver qué conductas y eventos de las personas usuarias están contribuyendo a recibir unas puntuaciones de riesgo más elevadas y qué conductas podrían indicar un posible riesgo. Gracias a esta detallada información, podrá determinar qué áreas suponen un riesgo específico dentro de su organización, así como qué personas necesitan formación sobre concienciación en materia de seguridad o asistencia adicional.
¿Cómo se definen y calculan los siete tipos de seguridad de cara a la puntuación de riesgo?
Existen siete tipos de seguridad que representan los distintos ámbitos de las conductas de las personas usuarias y los posibles riesgos que entrañan. Cada tipo de seguridad contribuye a la puntuación de riesgo general de una persona u organización. Estos tipos de seguridad agrupan los eventos y conductas de las personas usuarias, y se clasifican como «de riesgo», «seguros» o «de mitigación». A continuación, encontrará un ejemplo de cada tipo de seguridad, así como su definición y cómo se calcula:
| Tipo de seguridad | Definición | Ejemplos |
|---|---|---|
| Seguridad de correo electrónico | Evalúa los riesgos en función de las acciones de una persona relacionadas con su correo electrónico. |
|
| Seguridad de puntos de conexión | Se centra en los riesgos que surgen de la interacción de una persona usuaria con sus dispositivos. |
|
| Seguridad de datos | Evalúa los riesgos asociados a las conductas de tratamiento de datos y uso compartido de datos de una persona. |
|
| Seguridad web | Mide los riesgos asociados a la navegación en línea de una persona y sus acciones en la web. |
|
| Higiene de cuentas | Evalúa las prácticas de seguridad en general dentro de las cuentas de una persona usuaria. |
|
| Cursos específicos de cumplimiento | Refleja la participación de una persona en formaciones relacionadas con el cumplimiento. |
|
| Seguridad física | Mide la participación de una persona en las prácticas de seguridad relacionadas con la seguridad y el acceso físicos. |
Nota: En estos momentos, el único factor de riesgo que contribuye a este tipo de seguridad son las tareas de las formaciones sobre concienciación en materia de seguridad relacionadas con la seguridad física. |
¿Qué intervalo disponible existe para la puntuación de riesgo?
El intervalo disponible de la puntuación de riesgo refleja su nivel de riesgo en una escala de 0 a 100, donde 0 hace referencia al menor riesgo y 100, al mayor. Aunque el intervalo disponible se sitúa entre 0 y 100, su nivel nunca será inferior a 10 ni superior a 90.
Usamos una escala del 10 al 90 para ofrecerle una imagen más realista sobre el estado de su seguridad y qué puede mejorar. Una puntuación de entre 0 y 10 implicaría una seguridad casi perfecta, algo prácticamente imposible de conseguir teniendo en cuenta la evolución de las amenazas de ciberseguridad y los posibles riesgos desconocidos. De igual forma, una puntuación de entre 90 y 100 sugeriría una situación de seguridad catastrófica, algo que no suele ser muy real, incluso en organizaciones donde el riesgo es elevado. Al centrarnos en el intervalo de 10 a 90, conseguimos un intervalo de riesgo práctico que ayuda a priorizar las mejoras que marcarán la diferencia en la posición de seguridad de su organización.
Consulte la siguiente tabla para conocer el desglose de colores y niveles de riesgo dentro del intervalo disponible.
| Color | Puntuación de riesgo | Nivel de riesgo |
|---|---|---|
| Verde | 10-40 | Bajo |
| Amarillo | 41-47 | Medio |
| Naranja | 48-53 | Alto |
| Rojo | 54-90 | Crítico |
¿Qué diferencia hay entre los factores de riesgo activos y los inactivos?
Los factores activos son eventos de productos de KnowBe4 integrados que facilitan datos directos para el cálculo de la puntuación de riesgo. Las acciones que se califican como «de riesgo» aumentan la puntuación de riesgo, mientras que las acciones seguras la reducen.
Los factores inactivos se usan cuando no hay datos disponibles para un tipo de seguridad y SmartRisk™ Engine aplica un valor de riesgo predeterminado. El valor de riesgo predeterminado refleja un nivel de riesgo general para el tipo de seguridad en función de los estándares del sector y las posibles amenazas. KnowBe4 asume que, en estos tipos, las conductas de las personas usuarias son arriesgadas, lo que puede hacer que la puntuación de riesgo general sea más elevada.
¿Con qué frecuencia se actualiza la puntuación de riesgo? ¿Se da en tiempo real?
La puntuación de riesgo se actualiza de forma dinámica conforme hay nuevos datos disponibles, pero no se actualiza estrictamente en tiempo real. La puntuación de riesgo se actualiza a diario; cualquier evento de riesgo, seguro o de mitigación se reflejará en la puntuación de riesgo en un máximo de 24 horas.
SmartRisk™ Engine controla y registra de forma continua los eventos de riesgo, seguros y de mitigación entre los diferentes tipos de seguridad. Los eventos de cada producto integrado se introducen en el conjunto de datos de la puntuación de riesgo a diario y, cuando se reciben datos nuevos, se desencadena un ajuste incremental en la puntuación de riesgo. Por ejemplo, si una persona completa un módulo de formación de seguridad o hace clic en un enlace de phishing, la acción afectará a su puntuación de riesgo en un plazo de 24 horas desde que se produzca el evento.
¿Qué diferencias hay entre la nueva puntuación de riesgo y su versión heredada?
Consulte la siguiente tabla para conocer algunas de las diferencias clave entre SmartRisk™ Engine y la puntuación de riesgo y la versión heredada de Virtual Risk Officer (VRO) y la puntuación de riesgo:
| Dominios de riesgo | SmartRisk™ Engine y puntuación de riesgo | Virtual Risk Officer (VRO) y puntuación de riesgo |
|---|---|---|
| Integración de datos | Integra los datos desde todo el conjunto de productos de KnowBe4. | Usa principalmente los datos de las pruebas de phishing, actividades de formación, cargos y violaciones de seguridad de datos. |
| Puntuación de riesgo de gerente | Ofrece una vista jerárquica con el informe Puntuación de riesgo de gerente y el nuevo filtro Organigrama que se incluirá próximamente. | Solo disponible en la experiencia de aprendizaje (LX) en el panel de control de equipo. |
| Comparación | La comparación por sector y tamaño de las organizaciones está prevista para finales de 2025 o principios de 2026. | No aplicable. |
| Información práctica | Facilita orientación específica con planes de medidas correctivas en función de los tipos de seguridad y los factores de riesgo. | Ofrece más recomendaciones de reducción de riesgos generales. |
| Capacidad de generación de informes | Hace hincapié en opciones de creación de informes flexibles para una mejor comunicación con las personas interesadas. | Opciones de generación de informes estándar y medidor de panel de control. |
| Puesto de trabajo | Ya no constituye un factor en el cálculo de la puntuación de riesgo porque se trata de un atributo estático y que no se puede corregir, y SmartRisk Engine™ utiliza información práctica. | Evalúa los riesgos en función de los patrones de conexión organizativos. |
| Ajuste de usuarios y grupos | Ya no constituye un factor en el cálculo de la puntuación de riesgo porque los ajustes de riesgo son ajustes manuales que comprometerían tanto la objetividad como los factores de universalidad de la puntuación de riesgo. | Ajusta manualmente la puntuación de riesgo personal de una persona usuaria o del grupo. |
| Porcentaje de Phish-prone | Ya no constituye un factor en el cálculo de la puntuación de riesgo porque SmartRisk™ Engine utiliza los eventos de usuario subyacentes que contribuyen al porcentaje de Phish-prone. | El porcentaje de personas que han hecho clic en un enlace de phishing simulado o han abierto un archivo adjunto durante una prueba de phishing. |
Cálculo
Para obtener más información sobre el cálculo de la puntuación de riesgo, consulte las siguientes preguntas y respuestas:
- ¿Por qué sube o baja mi puntuación de riesgo?
- ¿Qué son los eventos de riesgo, seguros y de mitigación?
- ¿Qué es el sesgo por usuario nuevo?
- ¿Cómo afectan los factores inactivos a mi puntuación de riesgo?
- ¿Cómo afectan los factores inactivos a mi intervalo disponible?
- ¿Durante cuánto tiempo afectan ciertos eventos a la puntuación de riesgo de una persona usuaria?
- ¿Se incluye al estudiantado en el cálculo de mi puntuación de riesgo?
- ¿Puedo usar mi propio sistema de administración de aprendizaje (LMS) con la puntuación de riesgo?
¿Por qué sube o baja mi puntuación de riesgo?
La puntuación de riesgo aumentará o se reducirá en función de las conductas de riesgo o seguras o de los eventos de mitigación específicos que los productos de KnowBe4 detectan y registran. Estas conductas se clasifican dentro de siete tipos de seguridad que representan diferentes ámbitos de los riesgos de seguridad.
¿Qué son los eventos de riesgo, seguros y de mitigación?
Cuando usted o las personas usuarias presentan conductas que se consideran arriesgadas, la puntuación de riesgo sube. Las conductas arriesgadas indican posibles vulnerabilidades de seguridad, por lo que la puntuación aumenta para reflejar un nivel de riesgo más elevado. Entre los ejemplos de conductas de riesgo se encuentra hacer clic en enlaces de phishing, usar contraseñas débiles, visitar sitios web maliciosos o detectar malware en su dispositivo.
Incurrir en conductas seguras reducirá su puntuación de riesgo. Las conductas seguras demuestran proactividad en lo que respecta al cumplimiento y a la concienciación en materia de seguridad, por lo que la puntuación de riesgo se ajusta para reflejar la reducción en el riesgo. Entre las conductas seguras se incluye denunciar correos electrónicos de phishing, completar formación en materia de seguridad, usar contraseñas seguras y autenticación multifactor y usar tokens de seguridad para la seguridad física.
Los eventos de mitigación reducen los riesgos de los eventos de riesgo registrados previamente. Mientras que los eventos de riesgo aumentan la puntuación de riesgo, un evento de mitigación posterior reducirá el impacto de dicho evento de riesgo, pero no lo contrarrestará por completo. Entre los eventos de mitigación se incluye seguir SecurityTips de SecurityCoach, finalizar las formaciones correctivas con AIDA y resolver eventos de vulnerabilidad con PasswordIQ.
¿Qué es el sesgo por usuario nuevo?
Cuando se añade un nuevo usuario a su consola KSAT, se aplica un sesgo por usuario nuevo a los tipos de seguridad activos durante los primeros 90 días. Este aumento temporal en la puntuación de riesgo tiene en cuenta el riesgo más elevado que se asocia a las personas que aún no han completado la formación en seguridad o que no están familiarizadas con las políticas de seguridad de su organización.
Si un usuario nuevo ha realizado al menos una acción segura en un tipo de seguridad (como completar un módulo de formación, aprobar un cuestionario de políticas o denunciar un correo electrónico de phishing a través del PAB), el sesgo para ese tipo de seguridad específico se eliminará en el próximo cálculo de la puntuación de riesgo. Si no se realiza ninguna acción segura, el sesgo para ese tipo de seguridad se eliminará automáticamente después de 90 días.
Los usuarios que completen la formación de manera proactiva o demuestren conductas seguras durante los primeros 90 días observarán una disminución más significativa e inmediata de su puntuación de riesgo, en comparación con aquellos que esperen el plazo de 90 días.
¿Cómo afectan los factores inactivos a mi puntuación de riesgo?
En la puntuación de riesgo, los factores inactivos tienen lugar cuando su organización no ha configurado ciertas integraciones o productos de KnowBe4. Los factores inactivos son lagunas de datos en los tipos de seguridad. SmartRisk™ Engine no puede rastrear las conductas de las personas usuarias porque no dispone de información de los productos o herramientas de seguridad pertinentes.
Cuando existen factores inactivos debido a que faltan productos o integraciones, SmartRisk™ Engine asume que estos ámbitos podrían suponer un riesgo de seguridad. Como resultado, la puntuación de riesgo considera que los factores inactivos suponen un riesgo potencial, lo que provoca una puntuación de riesgo ligeramente más elevada en dichos tipos de seguridad.
Por ejemplo, si no dispone de una integración que vigile la seguridad de puntos de conexión, SmartRisk™ Engine no podrá controlar si el dispositivo de una persona usuaria presenta malware u otros riesgos relacionados con puntos de conexión. Este ámbito se considerará inactivo, y se tendrá en cuenta un ligero riesgo en lo que respecta a posibles amenazas.
¿Cómo afectan los factores inactivos a mi intervalo disponible?
Si su organización cuenta con menos productos e integraciones de KnowBe4, el rango disponible será más elevado y limitado. Si su organización tiene habilitados más productos, como PasswordIQ o SecurityCoach, dispondrá de un intervalo más amplio que reflejará mejor el riesgo real a partir de datos auténticos sobre la conducta de las personas usuarias.
Cuantas más integraciones y factores activos tenga, mejor conocerá SmartRisk™ Engine las conductas de estas personas en los distintos tipos de seguridad, lo que permitirá contar con una puntuación de riesgo más precisa y posiblemente inferior.
¿Durante cuánto tiempo afectan ciertos eventos a la puntuación de riesgo de una persona usuaria?
En SmartRisk™ Engine, hay un número máximo y mínimo de eventos que afectan a cada ámbito de la puntuación de riesgo. Estos límites ayudan a homogeneizar en qué medida influyen los eventos de riesgo y seguros en la puntuación de riesgo general de una persona u organización. Una vez que se supere el límite concreto establecido por SmartRisk™ Engine, cualquier evento adicional ya no afectará a la puntuación de riesgo. Por ejemplo, el límite máximo de eventos para Phish Alert Button (PAB) es de tres.
El valor de duración del impacto, o tiempo de vida, varía en función del factor de riesgo específico. Por ejemplo, las filtraciones de credenciales relacionadas con comprobaciones de exposición de correo electrónico tienen un valor de tiempo de vida de 90 días, lo que significa que dicha filtración dejará de afectar a la puntuación de riesgo pasado este tiempo. De igual forma, para las violaciones de seguridad de datos que afectan a información de identificación personal, este tiempo es de 60 días.
Estos límites se establecen para mantener una puntuación equilibrada que refleje de forma precisa los riesgos sin que esta se distorsione en exceso por acciones reiteradas.
¿Se incluye al estudiantado en el cálculo de mi puntuación de riesgo?
Si está usando nuestra función KnowBe4 Student Edition, el estudiantado se incluirá en el cálculo de la puntuación de riesgo general.
¿Puedo usar mi propio sistema de administración de aprendizaje (LMS) con la puntuación de riesgo?
Sí, puede usar su propio LMS con la puntuación de riesgo. Si su organización posee un sistema de administración de aprendizaje y recibimos datos de finalización de formación, incluidos datos de KnowBe4, haremos un seguimiento de los datos de formación de todo el personal de su organización. Sin embargo, si usa su propio LMS, pero no nos envía sus datos de formación a través de nuestra API de acontecimientos de usuario, sus puntuaciones de riesgo aumentarán. Sin los datos completos de formación, aparecerá que su personal no tiene formación asignada o que tiene formación sin completar; en ambos casos, eso implica que la puntuación de riesgo individual y de su organización en general aumentarán.
Personalización y énfasis
Para obtener más información sobre cómo personalizar y hacer énfasis en ciertos aspectos de la puntuación de riesgo, consulte las siguientes preguntas y respuestas:
- ¿Puedo personalizar la importancia de los diferentes tipos de seguridad y factores de riesgo?
- ¿Existe alguna forma de hacer énfasis en ámbitos de riesgo concretos?
¿Puedo personalizar la importancia de los diferentes tipos de seguridad y factores de riesgo?
La importancia de los distintos tipos de seguridad o factores de riesgo en su puntuación de riesgo no se puede personalizar. El cálculo de SmartRisk™ Engine está pensado para ofrecer valores de referencia objetivos y uniformes entre las organizaciones, que podrían verse afectados por ponderaciones personalizadas. Este método garantiza que los valores de referencia que usa la puntuación de riesgo se puedan comparar universalmente y evita posibles usos indebidos para modificar la importancia de los factores con el objetivo de reducir de forma artificial las puntuaciones de riesgo sin abordar de verdad los problemas de seguridad.
¿Existe alguna forma de hacer énfasis en ámbitos de riesgo concretos?
Al usar el informe de puntuación de riesgo, su organización puede hacer hincapié en ámbitos de riesgo específicos consultando los tipos de seguridad y las conductas de las personas usuarias en los ámbitos que más le preocupan. Por ejemplo, en el informe, puede ampliar tipos de seguridad específicos y ver los factores de riesgo asociados a las conductas de las personas usuarias que podrían suponer un problema de seguridad.
Mejorar y gestionar las puntuaciones de riesgo
Para obtener más información sobre cómo mejorar y gestionar la puntuación de riesgo, consulte las siguientes preguntas y respuestas:
- ¿Cómo puede reducir su puntuación de riesgo el personal de alto riesgo?
- ¿Ofrece SmartRisk™ Engine recomendaciones para mejorar las puntuaciones de riesgo?
- ¿Puedo acceder a datos sin procesar o análisis más detallados sobre las puntuaciones de riesgo de mi organización o las personas usuarias?
¿Cómo puede reducir su puntuación de riesgo el personal de alto riesgo?
El personal de alto riesgo puede reducir su puntuación de riesgo al llevar a cabo acciones que incidan positivamente en la seguridad. Completar las formaciones de seguridad asignadas, usar Phish Alert Button (PAB) para denunciar correos electrónicos de phishing o recibir SecurityTips son acciones que ayudan a reducir la puntuación de riesgo. Estas demuestran conductas de concienciación en materia de seguridad y reducen la puntuación de riesgo general asociada al personal de riesgo.
¿Ofrece SmartRisk™ Engine recomendaciones para mejorar las puntuaciones de riesgo?
SmartRisk™ Engine promueve una conducta segura gracias a recomendaciones de formación prioritarias al mostrar qué acciones tendrán un mayor impacto en la seguridad. Entre las recomendaciones generales se incluye denunciar intentos de phishing, completar las formaciones sobre concienciación en materia de seguridad con regularidad y participar de forma activa en actividades de cumplimiento. El personal que participe en estas conductas seguras y mantenga prácticas de seguridad positivas en términos de datos, puntos de conexión e higiene de cuentas verá mejoras en las puntuaciones de riesgo de la organización y personal. Los informes de puntuación de riesgo incluirán información sobre seguridad específica con datos prácticos sobre los ámbitos que requieren mejoras.
¿Puedo acceder a datos sin procesar o análisis más detallados sobre las puntuaciones de riesgo de mi organización o las personas usuarias?
En estos momentos, no hay forma de acceder directamente a los datos sin procesar que figuran en los informes de puntuación de riesgo. Sin embargo, tenemos planeado ofrecer análisis más detallados y los cálculos subyacentes en futuras actualizaciones. SmartRisk™ Engine ofrece informes de puntuación de riesgo muy completos en los que se explican las puntuaciones de los distintos tipos de seguridad y factores de riesgo asociados. Diríjase a Informes > Informes de puntuación de riesgo en su consola KSAT para acceder a estos informes.
Puntuación de riesgo y API de KnowBe4
- ¿Cómo accedo al historial de riesgo de mi cuenta?
- ¿Se actualizará la API de acontecimientos de usuario de KnowBe4 para que funcione con la puntuación de riesgo?
¿Cómo accedo al historial de riesgo de mi cuenta?
Puede usar la API de informes para obtener el historial de riesgo de su cuenta. Su cuenta pasará de forma automática a la puntuación de riesgo, y los datos de su historial de riesgo seguirán estando disponibles a través de la API.
¿Se actualizará la API de acontecimientos de usuario para que funcione con la puntuación de riesgo?
Sí, la API de acontecimientos de usuario funcionará con la puntuación de riesgo, pero habrá cambios importantes. Tanto para las operaciones GET (obtención de eventos) como POST (envío de eventos), los parámetros risk_level, risk_decay_mode y risk_expire_date ya no se admitirán. Estos parámetros eran específicos de nuestra puntuación de riesgo heredada.
Hemos añadido un campo de factor nuevo en la API de acontecimientos de usuario que podrá usarse para crear nuevos tipos de eventos con el objetivo de registrar actividades de formación que tendrán un impacto positivo en las puntuaciones de riesgo. Estos nuevos factores son:
- training_completion_email_security
- training_completion_endpoint_security
- training_completion_data_security
- training_completion_web_security
- training_completion_account_security
- training_completion_compliance_electives
- training_completion_physical_security
Estos nuevos factores le permitirán registrar la finalización de las formaciones de seguridad entre los distintos dominios de riesgo, que se tendrán en cuenta para el cálculo de la puntuación de riesgo.