En esta guía se describen los pasos para implementar la formación sobre concienciación en materia de seguridad (SAT) en su organización, lo que ofrecerá una formación sobre concienciación en materia de seguridad personalizada, pertinente y adaptativa en el ámbito de la gestión de riesgos humanos. Al integrar una formación sobre concienciación en materia de seguridad completa (la mayor biblioteca de contenido del mundo, disponible en más de 35 idiomas), agentes de defensa con inteligencia artificial y ayuda de seguridad en tiempo real, SAT crea una capa de defensa humana y capacita a las personas usuarias a través del cambio conductual.

Paso 1: añadir a los usuarios

Primero, añada a sus usuarios a la consola KSAT para enviarles correos electrónicos de phishing simulado e inscribirlos en campañas de formación. Si su organización usa varios dominios de correo electrónico, el primer paso será agregar dichos dominios a su consola KSAT antes de añadir a los usuarios. Para obtener instrucciones detalladas, consulte el artículo Añadir y verificar dominios.

Método de aprovisionamiento de usuarios

El aprovisionamiento de usuarios es el método preferido para sincronizar a los usuarios con la consola KSAT y mantener la lista de usuarios a lo largo del tiempo. Puede usar el aprovisionamiento de usuarios de Google, la integración con Active Directory (ADI) o SCIM para aprovisionar usuarios de forma automática. Para obtener instrucciones detalladas, consulte la Guía de aprovisionamiento de usuarios de Google, la Guía de configuración de la integración con Active Directory (ADI)o la Guía de configuración de SCIM.

Importación de CSV

Este método es útil para importar un mayor número de usuarios e incluir otros datos de usuario como los nombres, los números de teléfono y la pertenencia a grupos, entre otros. Para obtener más información, consulte el artículo Importar usuarios con un archivo CSV.

Paso 2: autenticación de SSO

KnowBe4 es compatible con SAML 2.0, lo que permite que las personas usuarias puedan iniciar sesión en KnowBe4 a través del proveedor de inicio de sesión único (SSO) de su organización. Al usar el SSO, estas personas no tendrán que configurar ni usar una contraseña distinta.

Para obtener instrucciones detalladas sobre cómo activar SAML en la configuración de la cuenta y finalizar la configuración con su proveedor de SSO, consulte el artículo Configurar el inicio de sesión único (SSO) de SAML para la consola de formación sobre concienciación en materia de seguridad.

Paso 3: phishing de referencia

Antes de comenzar su programa de formación sobre concienciación en materia de seguridad, le recomendamos encarecidamente que envíe una prueba de phishing de referencia a todo el personal. Esta prueba servirá como punto de partida para establecer métricas iniciales.

Para obtener más información sobre nuestras recomendaciones para el proceso de phishing de referencia, consulte las siguientes subsecciones o el vídeo La campaña de phishing de referencia para clics en un minuto.

Campaña de prueba preliminar

Antes de crear una campaña de phishing de referencia para sus usuarios, recomendamos lanzar al menos una campaña de prueba limitada a un pequeño grupo de usuarios, como su equipo de TI. Para obtener más información sobre la creación de grupos, consulte la Guía de gestión de usuarios y grupos.

El objetivo de esta campaña de prueba preliminar es comprobar que ha realizado la inclusión en la lista de permitidos correctamente y que los correos electrónicos pasan a través de sus filtros de spam y la protección de firewall.

Asimismo, servirá para comprobar que se mantiene un seguimiento de los clics y otros suspensos de las pruebas de phishing en su cuenta. Haga clic en el enlace de phishing simulado de su correo electrónico de prueba para asegurarse de que se mantiene un seguimiento de los fallos en su cuenta. Para obtener más información, consulte los artículos Creación y gestión de campañas de phishing o Supervisión y revisión de campañas de phishing.

Establecimiento de una base de referencia

Una vez que haya confirmado que la campaña de prueba de phishing preliminar se ha llevado a cabo correctamente, deberá crear una campaña de prueba de phishing de referencia para todas las personas usuarias. Esta prueba le permitirá determinar el porcentaje inicial de Phish-prone de su organización, que será su punto de partida. En adelante, utilícelo para medir el éxito de su plan de formación sobre concienciación en materia de seguridad.

Si desea conocer nuestras recomendaciones para configurar su campaña de phishing inicial, consulte nuestra Guía de prácticas recomendadas: configurar una prueba de referencia o nuestro artículo Recomendaciones para las plantillas de pruebas de referencia.

Envío de una prueba de referencia al equipo de TI

Otra opción que podría considerar es enviar dos pruebas de referencia de phishing: una primero a su Departamento de TI o al servicio de asistencia y, después, otra al resto de la plantilla. De esta forma, cuando el resto de la plantilla comience a denunciar el correo sospechoso, el personal del servicio de asistencia o de TI estará al corriente de la situación, pero también habrá tenido la oportunidad de participar en la evaluación de referencia. Además, es una forma estupenda de asegurarse de que ha incluido de forma correcta nuestros servidores de correo en la lista de permitidos y de que su prueba de referencia llegará a las bandejas de entrada de todo el personal.

Paso 4: formar a las personas usuarias

Para su campaña inicial de formación sobre concienciación en materia de seguridad, le recomendamos inscribir a todas las personas usuarias en la formación de 45 minutos de concienciación en materia de seguridad de KnowBe4 u otro curso integral. Para obtener información acerca del contenido de formación disponible, consulte Guía de ModStore y Biblioteca.

Si desea conocer nuestras recomendaciones para configurar su primera campaña de formación, consulte Guía de prácticas recomendadas: creación de su primera campaña de formación.

ModStore: selección de contenido para la campaña de formación inicial

Consulte la Guía de ModStore y Biblioteca para seleccionar el contenido apropiado para su campaña de formación inicial.

Crear campaña de formación

Para crear una campaña de formación, acceda a su consola de KnowBe4 y seleccione la pestaña Formación. A continuación, seleccione el botón + Crear campaña de formación ubicado en la sección superior derecha de la página. Después de seleccionar este botón, aparecerá la página Crear nueva campaña de formación.

Habilitar los repasos de conocimientos con AIDA

Al crear su campaña de formación, habilite los repasos de conocimientos con AIDA para automatizar partes de su formación sobre concienciación en materia de seguridad. Los repasos de conocimientos están disponibles en los módulos de vídeos y ofrecen cuestionarios breves que ayudan a las personas usuarias a revisar y reforzar los conceptos clave de la formación que han recibido recientemente. Para obtener más información, consulte nuestro artículo Primeros pasos con AIDA.

Paso 5: campañas de phishing en curso

Para ayudar a su organización a gestionar el problema del phishing y la ingeniería social, es fundamental llevar a cabo campañas de phishing continuas.

Recomendamos enviar una prueba de phishing a todas las personas usuarias al menos una vez al mes. Puede hacerlo creando una campaña de phishing mensual con las siguientes pautas:

• Incluya varias categorías de correos electrónicos y diferentes tipos de pruebas de phishing.
• Extienda el envío de los correos electrónicos a lo largo de un período más largo, como una semana. De esta manera, las personas usuarias no sabrán cuándo recibirán una prueba de phishing.
• Añada a las personas usuarias que cometan fallos en las pruebas de phishing a un grupo de formación correctiva.

Además de las pruebas de phishing mensuales para todo el mundo, le recomendamos configurar pruebas adicionales para los departamentos de alto riesgo o el personal más vulnerable a un ataque de phishing.

Para aprender a determinar qué departamentos o miembros del personal plantean el mayor riesgo para su organización, consulte nuestra Guía de SmartRisk™ Engine y puntuación de riesgo.

Para obtener más información acerca de la creación y personalización de campañas de phishing, consulte los siguientes artículos:

• Creación y gestión de campañas de phishing
• Creación y edición de plantillas de correo electrónico y páginas de aterrizaje
• Guía sobre los marcadores de posición
• Casos de uso de los marcadores de posición

Paso 6: Formación correctiva y continua

A continuación, encontrará nuestras recomendaciones mínimas para configurar manualmente la formación correctiva y continua sobre concienciación en materia de seguridad para cualquier organización:

• Cree un grupo de formación correctiva y una campaña de formación correctiva. Para obtener más información sobre la formación correctiva, consulte el artículo Cómo crear una campaña de formación correctiva o el vídeo Campañas de formación correctiva.
• Forme a grupos o empleados específicos con formación basada en las funciones y otros cursos especializados. Recomendamos buscar los cursos necesarios en ModStore. Para obtener más información, consulte Guía de ModStore y Biblioteca.
• Configure un mensaje de Sugerencias y consejos de seguridad para enviarlo a la Experiencia de aprendizaje de los usuarios. Para obtener más información, consulte nuestro artículo Resumen del boletín de Sugerencias y consejos de seguridad.
• A fin de que sus usuarios estén informados y preparados para defenderse de las últimas estafas de phishing e ingeniería social, configure un mensaje de La estafa de la semana para enviarlo a la Experiencia de aprendizaje de los usuarios. Para obtener más información, consulte nuestro artículo Resumen del boletín de La estafa de la semana.