Antes de iniciar seu programa de treinamento de conscientização em segurança, é altamente recomendável que você envie um teste de phishing simulado sem aviso prévio a todos os usuários. Esse teste ajudará a estabelecer a linha de base para sua organização.

Os resultados desse teste de base de phishing mostrarão a Porcentagem de Phish-prone inicial de sua organização. A porcentagem de Phish-prone é a porcentagem de usuários que provavelmente clicarão em um e-mail de phishing. Considere essa porcentagem de Phish-prone inicial como a linha de base, ou o ponto de partida, para sua organização. A porcentagem geral de Phish-prone da sua organização, ou a porcentagem média de Phish-prone da conta, baseia-se na porcentagem de Phish-prone dos usuários ativos que receberam pelo menos um teste de phishing. Ao realizar testes de phishing contínuos, compare a porcentagem de Phish-prone da sua organização com a porcentagem de Phish-prone inicial para avaliar o êxito do plano de treinamento de conscientização em segurança.

Por que não avisar sobre o teste?

Recomendamos a realização de um teste de base de phishing sem aviso prévio para obter resultados mais precisos. Ao não avisar sobre o teste, você conseguirá ver o quão vulnerável sua organização estaria se um ataque de phishing real ocorresse por meio de seus filtros de e-mail. Esse insight pode ajudar você a obter a adesão das partes interessadas. Para saber mais, consulte: Como envolver as partes interessadas no meu plano de treinamento de conscientização em segurança?

Configurações recomendadas para a campanha de teste de base

Dica: depois de criar a lista branca e antes de criar uma campanha básica de phishing, recomendamos a execução de, pelo menos, uma campanha de teste limitada a um pequeno grupo de usuários. Para saber mais, consulte a seção Campanha de teste preliminar do Guia de implementação de início rápido.

Para criar uma campanha de base, acesse Phishing > + Criar campanha de phishing. Recomendamos o uso das seguintes configurações para sua campanha de teste de base:

Observação: todas as campanhas de phishing são localizadas por padrão.

1. Nome da campanha: para o nome de sua campanha, use algo descritivo, como “Teste de base”.
2. Enviar para: selecione Todos os usuários.
3. Frequência: selecione Uma vez.
4. Hora de início: nos menus suspensos, selecione a data e a hora desejadas para o teste de base. A hora selecionada deve estar dentro do período do horário comercial da organização, pois é quando os usuários verificam ativamente seus e-mails.
5. Período de envio: selecione Enviar todos os e-mails quando a campanha começar. Quando essa configuração estiver selecionada, os e-mails serão enviados assim que a campanha começar. O prazo de envio e entrega varia de acordo com o número de usuários na campanha. Na maior parte dos casos, todos os e-mails serão enviados dentro de uma hora após o início da campanha.
6. Acompanhar atividade: recomendamos que você acompanhe as falhas de teste de phishing por, pelo menos, três dias. Para obter mais informações sobre períodos de envio e acompanhamento, consulte o artigo Como monitorar e revisar campanhas de phishing.
7. Acompanhar respostas a e-mails de phishing: você pode ativar essa configuração se desejar acompanhar as respostas dos usuários aos e-mails de teste de phishing. Para obter mais informações sobre o recurso de resposta a phishing, consulte o artigo Resposta a phishing.
8. Tópicos do modelo: selecione a categoria Phishing de informações sigilosas no menu suspenso.
9. Definir idioma do modelo: se habilitada, essa configuração substituirá o idioma de phishing definido nos perfis dos usuários. Para obter mais informações sobre suas configurações de idioma, visite o Guia de localização.
10. Nível de complexidade: essa configuração estima o quão sofisticado é um modelo e quais são as chances de ele induzir os usuários ao erro. Para os fins desta campanha, mantenha o Nível de complexidade definido como Todas as classificações.
11. Seleção de modelo: no menu suspenso, selecione Modelo específico (escolha um).
12. Modelo específico: selecione o modelo de phishing TI: É necessário verificar a senha imediatamente. 
    1. Prévia: ao clicar em Prévia, será revelado o modelo de phishing que você está enviando aos seus usuários.
13. Domínio do link de phishing: escolha um domínio para usar o link de phishing. Esse será o domínio que os usuários verão quando passarem o mouse sobre o link de phishing. Então, escolha um que pareça ser “seguro” para o clique.
14. Página de destino: mantenha a opção Páginas de destino padrão selecionada.
15. Adicionar clicadores a: para os fins desta campanha, você não precisa fazer uma seleção.
16. Enviar um relatório por e-mail para os administradores da conta após cada teste de phishing: marque essa opção para enviar um e-mail a todos os administradores da conta depois da conclusão do teste. Esse relatório por e-mail será enviado a todos os administradores após o período especificado em Acompanhar atividade.

Depois do teste de base

Depois do teste de base de phishing, talvez os usuários fiquem confusos ou preocupados com o e-mail que receberam. Para esclarecer essa confusão, recomendamos enviar um e-mail explicando qual foi o teste de phishing. Além disso, você poderá compartilhar a porcentagem de Phish-prone da sua organização para destacar a importância do treinamento de conscientização em segurança. Fornecemos um modelo que poderá ser usado nesse e-mail. Consulte: Modelo para uso após o teste de base de phishing.

Recomendamos inscrever seus usuários no treinamento de conscientização em segurança logo depois de realizar o teste de base de phishing. Para saber mais, consulte o Guia de melhores práticas: Como criar sua primeira campanha de treinamento.

Depois que os usuários concluírem a atribuição do treinamento de conscientização em segurança inicial, recomendamos a realização de testes de phishing contínuos para que os usuários possam praticar as habilidades que aprenderam no treinamento. Para saber mais sobre testes de phishing contínuos, consulte nosso Guia de melhores práticas.