Questo articolo descrive le fasi da seguire per implementare la formazione sulla consapevolezza della sicurezza e i test di phishing simulato nella console KSAT. Per saperne di più, leggi le sezioni qui di seguito.
Fase 1. Aggiungere gli utenti
L’aggiunta di utenti alla console KSAT ti permette di inviare loro e‑mail di phishing simulato e di iscriverli alle campagne di formazione. È possibile aggiungere utenti alla console KSAT in diversi modi. Rivedi le opzioni e gli articoli correlati indicati qui di seguito:
- Provisioning degli utenti. Questo è il metodo più indicato per sincronizzare gli utenti con la console KSAT e gestire l’elenco degli utenti nel tempo. Per effettuare il provisioning automatico degli utenti nella console KSAT, puoi utilizzare l’Integrazione Active Directory (ADI) oppure il sistema SCIM. Per ulteriori informazioni, consulta la Guida alla configurazione di Integrazione Active Directory (ADI) oppure la Guida alla configurazione SCIM.
- Importazione rapida. Questo metodo consente di importare un numero di utenti inferiore a 100. Per ulteriori informazioni, leggi la sezione Importazione rapida dell’articolo Utenti e gruppi.
- Importazione CSV. Questo metodo è utile per importare un numero più esteso di utenti e per includere altri loro dati quali nomi, numeri di telefono, iscrizione ai gruppi e altro. Per ulteriori informazioni, leggi l’articolo Come importare utenti con un file CSV.
- Altro. Esistono altri modi per importare gli utenti della tua organizzazione. Se desideri consigli specifici, contatta il nostro team di assistenza clienti o leggi i seguenti articoli della Knowledge base:
Fase 2. Condurre un test di phishing baseline
Prima di avviare un programma di formazione sulla consapevolezza della sicurezza, ti consigliamo vivamente di inviare un test di phishing baseline a tutti i tuoi utenti. Puoi utilizzare questo test come punto di partenza per il tuo programma di formazione sulla consapevolezza della sicurezza.
Per ulteriori informazioni sulla procedura per realizzare un test di phishing baseline, leggi le sezioni seguenti oppure guarda il video Campagna di phishing baseline in un minuto (clic).
Campagna di prova preliminare
Prima di creare una campagna di phishing baseline per i tuoi utenti, ti consigliamo di eseguire almeno una campagna di prova limitata a un piccolo gruppo di utenti, ad esempio il tuo team IT.
Questa campagna di prova preliminare serve per verificare che l’elenco elementi consentiti sia configurato correttamente e che le e‑mail superino i filtri antispam e i firewall.
Questa campagna preliminare ti permetterà inoltre di tenere traccia nel tuo account dei clic e delle altre infrazioni dei test di phishing. Fai clic sul link di phishing simulato nell’e‑mail di prova per assicurarti che le infrazioni siano tracciate nel tuo account. Per ulteriori informazioni, leggi l’articolo Creare e gestire le campagne di phishing o l’articolo Come monitorare e verificare le campagne di phishing.
Stabilire una baseline
Dopo aver verificato che la campagna per test di phishing preliminare ha funzionato a dovere, dovrai creare una campagna per test di phishing baseline per tutti i tuoi utenti. Questo test mostrerà la percentuale Phish-prone iniziale della tua organizzazione. Considera la percentuale Phish-prone iniziale come il tuo punto di partenza. Usa questa percentuale Phish-prone iniziale per misurare il successo del tuo piano di formazione sulla consapevolezza della sicurezza.
Per conoscere i nostri consigli per impostare la tua campagna di phishing baseline, leggi l’articolo Qual è il metodo migliore per impostare un test baseline oppure l’articolo Quale e‑mail usare per il test baseline iniziale.
Inviare un test baseline al proprio team IT
Un’altra opzione che potresti prendere in considerazione è quella di inviare due test di phishing baseline: uno al reparto IT o help desk e uno distinto al resto dei dipendenti. In questo modo, quando il resto dei dipendenti inizierà a segnalare le e‑mail sospette, i dipendenti del reparto IT o dell’help desk saranno al corrente della situazione e avranno anche avuto la possibilità di partecipare alla valutazione baseline. Inoltre, questo è un ottimo modo per verificare che i nostri server di posta siano stati inseriti nell’elenco elementi consentiti in modo efficace e che il test baseline raggiunga la posta in arrivo di tutti.
Passaggio 3. Formare gli utenti
Per la campagna di formazione sulla consapevolezza della sicurezza iniziale, ti consigliamo di iscrivere tutti i tuoi utenti alla formazione di 45 minuti sulla consapevolezza della sicurezza di KnowBe4 o a un altro corso completo. Per conoscere i contenuti formativi disponibili, consulta la nostra Guida a ModStore e alla Libreria.
Per conoscere i nostri consigli per impostare la tua prima campagna di formazione, leggi l’articolo Creare la prima campagna di formazione sulla consapevolezza della sicurezza.
Per ulteriori informazioni su come condurre le campagne di formazione, fai clic sui link in basso:
- Creare e gestire le campagne di formazione
- Come impostare una campagna di formazione correttiva
- Video: Impostare una campagna di formazione
- Video: Monitorare le campagne di formazione
- Video: Introduzione al corso sulla consapevolezza della sicurezza di KnowBe4
Fase 4. Condurre campagne di phishing e di formazione continue
Condurre campagne di phishing e di formazione continue è essenziale per permettere alla tua organizzazione di gestire il problema del phishing e dell’ingegneria sociale.
Per integrare KnowBe4 nella tua organizzazione puoi scegliere tra tre piani di riferimento: Alta consapevolezza, Media consapevolezza e Bassa consapevolezza. Questi piani sono classificati in base ai livelli di consapevolezza. Il livello di consapevolezza della tua organizzazione si basa sul livello di maturità che vuoi raggiungere con il tuo programma di formazione sulla consapevolezza della sicurezza. Per ulteriori informazioni sui diversi livelli di consapevolezza, leggi l’articolo Guida alle buone prassi: come integrare efficacemente KnowBe4 nell’organizzazione.
Se hai dubbi su quale sia il piano giusto per te, dai un’occhiata ad alcune delle nostre raccomandazioni generali sulla formazione sulla consapevolezza della sicurezza nelle seguenti sezioni secondarie.
Suggerimenti per le campagne di phishing continue
Come requisito minimo, ti consigliamo di inviare un test di phishing a tutti i tuoi utenti su base mensile. Puoi farlo creando una campagna di phishing mensile secondo i seguenti criteri:
- Includi più categorie di e‑mail e diversi tipi di test di phishing.
- Distribuisci le e‑mail su un periodo più lungo, ad esempio una settimana. In questo modo gli utenti non sapranno quando riceveranno un test di phishing.
- Aggiungi gli utenti che non superano il test di phishing a un gruppo di formazione correttiva.
Oltre ai test di phishing mensili per tutti gli utenti, ti consigliamo di impostare ulteriori test per i reparti ad alto rischio o per i dipendenti più vulnerabili agli attacchi di phishing.
Per sapere come determinare quali sono i reparti o i dipendenti che rappresentano il massimo rischio per l’organizzazione, consulta la nostra Guida al Virtual Risk Officer (VRO) e al punteggio di rischio.
Per saperne di più sulla creazione e la personalizzazione delle campagne di phishing, leggi i seguenti articoli:
- Creare e gestire le campagne di phishing
- Personalizzare e‑mail e pagine di destinazione
- Come utilizzare i segnaposto
- Come utilizzare i segnaposto: casi d’uso
Suggerimenti per la formazione continua
Di seguito troverai i nostri consigli sulle azioni minime da adottare per condurre la formazione continua sulla consapevolezza della sicurezza in qualsiasi organizzazione:
- Crea un gruppo di formazione correttiva e una campagna di formazione correttiva. Per saperne di più sulla formazione correttiva, leggi l’articolo Come impostare una campagna di formazione correttiva o guarda il video Campagne di formazione correttiva.
- Forma gruppi o dipendenti specifici con un percorso di formazione basata sui ruoli e altri corsi specialistici. Puoi trovare i corsi di cui hai bisogno sul ModStore. Per ulteriori informazioni, consulta la Guida a ModStore e alla Libreria.
- Imposta una campagna mensile per inviare e‑mail con consigli per la sicurezza ai tuoi utenti. Per ulteriori informazioni, leggi l’articolo Cos’è la newsletter “Consigli per la sicurezza”.
- Per mantenere gli utenti consapevoli e pronti a difendersi dalle più recenti truffe di phishing e ingegneria sociale, imposta una campagna per inviare ai tuoi utenti una newsletter sulla truffa della settimana. Per ulteriori informazioni, leggi l’articolo Cos’è la newsletter “Truffa della settimana”.