Implementação da plataforma de treinamento para conscientização em segurança da KnowBe4 (KMSAT) em quatro etapas

Este artigo explica as etapas a serem seguidas na implementação de treinamentos de conscientização em segurança e testes de phishing simulado em sua conta. Clique no nome de cada etapa abaixo para saber mais.

Etapa 1: Adicione seus usuários

Adicione seus usuários ao console da KnowBe4 para enviar e-mails de phishing simulado e inscrevê-los em campanhas de treinamento. 

Etapa 2: Realize um teste de base de phishing

Envie um teste de base de phishing a todos os seus usuários para descobrir qual deles é mais propenso ou vulnerável a ataques de phishing.

Etapa 3: Treine seus usuários

Inscreva todos os usuários no curso de Treinamento de conscientização em segurança de Kevin Mitnick, com duração de 45 minutos, ou em um módulo abrangente de conscientização em segurança que seja semelhante.

Etapa 4: Realize ações de phishing e treinamento contínuos

Realize testes de phishing aleatórios mesclados com campanhas de treinamento preventivo para ajudar a fortalecer o seu firewall humano.

Etapa 1:  Adicione seus usuários

Você tem inúmeras opções para adicionar os usuários à plataforma de treinamento de conscientização em segurança da KnowBe4. Revise suas opções e os artigos associados nos links abaixo:

1. Provisionamento de usuários: este é o método preferencial para sincronizar usuários à sua conta da KnowBe4 e manter a lista de usuários ao longo do tempo.
   Você pode usar a Integração com o Active Directory (ADI) ou o SCIM para provisionar usuários automaticamente no console da KnowBe4. Para saber mais, consulte os artigos Guia de configuração da Integração com o Active Directory (ADI) ou Guia de configuração do SCIM.
2. Importação rápida: esse método é útil para importar até 100 usuários.
   • Para saber mais, consulte a seção Importação rápida do nosso artigo Usuários e grupos.
3. Importação de CSV: esse método é útil para importar uma quantidade maior de usuários e incluir outros dados dos usuários, como nome, número de telefone, associações em grupos e muito mais.
   • Para saber mais, consulte: Como faço para importar usuários com um arquivo CSV?.

Recursos do gerenciamento de usuários

Os artigos nos links abaixo são recursos úteis para ajudar você a adicionar usuários à sua plataforma.

• Vídeo: Adição/importação de usuários
• Manual de usuários e grupos
  • Importação rápida
• Como faço para importar usuários com um arquivo CSV?
• Guia de configuração da Integração com o Active Directory (ADI)
• Guia de configuração do SCIM
• Como receber e-mails do Active Directory utilizando o PowerShell
• Gerenciamento de vários domínios de e-mail

Voltar ao início

Etapa 2: Realize um teste de base de phishing

Antes de iniciar o seu programa de treinamento de conscientização em segurança, é altamente recomendável que você envie um teste cego de base de phishing a todos os usuários. Você poderá usar esse teste como ponto de partida do seu programa de treinamento de conscientização em segurança. Consulte as subseções abaixo para saber mais. 

Campanha de teste preliminar

Antes de criar uma campanha básica de phishing para os usuários, recomendamos a execução de pelo menos uma campanha de teste limitada a um pequeno grupo de usuários, como sua equipe de TI.

A finalidade da campanha de teste preliminar é confirmar o seguinte:

• Certificar-se de que você tenha criado a lista branca corretamente e que os e-mails passem por seus filtros de spam e pela proteção de firewall.
• Garantir que cliques e outras falhas nos testes de phishing sejam rastreados em sua conta. Clique no link de phishing simulado no e-mail de teste para ter certeza de que as falhas estejam sendo rastreadas em sua conta. Para saber mais, consulte: Monitoramento e revisão de campanhas de phishing individuais.

Criação de uma linha de base

Após a confirmação de que seu teste de phishing preliminar foi bem-sucedido, você deverá criar uma campanha básica de teste de phishing para todos os usuários. Isso mostrará a porcentagem inicial de Phish-prone da sua organização. Considere a porcentagem inicial de Phish-prone como seu ponto de partida. Use essa porcentagem inicial de Phish-prone para mensurar o sucesso do seu plano de treinamento de conscientização em segurança.

Para conhecer melhor nossas recomendações de como criar sua campanha básica de phishing, consulte: Qual é o melhor método para criar um teste de base?.

Para evitar a sobrecarga do suporte técnico, faça o teste de phishing com sua equipe de TI antes!

Outra opção que você pode considerar é enviar dois testes básicos de phishing: um para o seu departamento de TI/suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de suporte técnico já estará ciente da situação por já ter tido a chance de participar da avaliação de base. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail, para que seu teste de base chegue à caixa de entrada de todos.

Recursos de phishing

Os artigos nos links abaixo são recursos úteis que ajudarão você a criar seu teste de base de phishing. 

• Qual é o melhor método para criar um teste de base?
• Que e-mail devo usar no meu teste de base inicial?
• Vídeo: Linha de base em um minuto: altere sua senha (cliques)
• Criação de campanhas de phishing

Voltar ao início

Etapa 3: Treine seus usuários

Para a sua campanha inicial de conscientização em segurança, recomendamos que inscreva todos os usuários no curso de Treinamento de conscientização em segurança de Kevin Mitnick, com duração de 45 minutos, ou em outro curso igualmente abrangente. Para saber mais sobre o conteúdo de treinamento à sua disposição, consulte: Que tipo de conteúdo da ModStore posso adicionar às campanhas de treinamento? 

Para conhecer melhor nossas recomendações de como criar sua primeira campanha de treinamento, consulte: Inscrevendo seus funcionários em um treinamento de conscientização em segurança. 

Recursos de treinamento

Os artigos nos links a seguir são recursos úteis para a realização de campanhas de treinamento. 

• ModStore
  • Que tipo de conteúdo da ModStore posso adicionar às campanhas de treinamento?
• Inscrevendo seus funcionários no treinamento de conscientização em segurança
• Criação e gerenciamento de campanhas de treinamento
• Criação de campanhas de treinamento preventivo
• Vídeo: Como criar campanhas de treinamento
• Vídeo: Como monitorar campanhas de treinamento
• Vídeo: Familiarizando-se com o seu treinamento em segurança da KnowBe4

Voltar ao início

Etapa 4: Realize ações de phishing e treinamento contínuos

Realizar campanhas de phishing e treinamento contínuos é um componente fundamental para a sua organização administrar o problema do phishing e da engenharia social.

Em nosso Guia de melhores práticas, há três exemplos de planos à sua disposição que poderão ser usados na integração da KnowBe4 à sua organização. Os planos estão divididos em categorias por nível de conscientização. O nível de conscientização da sua organização se baseia no nível de maturidade almejado em relação ao programa de treinamento para conscientização em segurança. Clique em um destes planos de conscientização para saber mais: 

• Conscientização alta
• Conscientização média
• Conscientização baixa

Se estiver em dúvida quanto ao plano ideal para a sua organização, confira nas seções abaixo algumas das nossas recomendações gerais sobre treinamento de conscientização em segurança. 

Recomendações sobre campanhas de phishing contínuas 

Envie um teste de phishing a todos os seus usuários pelo menos uma vez por mês. Para fazer isso, crie uma campanha de phishing mensal de acordo com estes critérios:

• Inclua várias categorias de e-mail e diferentes tipos de testes de phishing.
• Espalhe os e-mails por um bom tempo, por exemplo, uma semana. Dessa forma, os usuários não saberão quando receberão o teste de phishing.
• Adicione os usuários reprovados no teste de phishing a um grupo de treinamento preventivo. 

Além dos testes de phishing mensais enviados a todos os usuários, recomendamos que crie testes adicionais para departamentos de alto risco ou funcionários considerados como mais vulneráveis aos ataques de phishing.

• Para saber como determinar quais departamentos ou funcionários representam riscos muito altos para a sua organização, consulte nosso Guia de análise de riscos virtuais (VRO) e de nível de risco.

Para obter mais informações sobre como criar e personalizar campanhas de phishing, consulte estes artigos:

• Criação e gerenciamento de campanhas de phishing.
• Personalização de e-mails e de páginas de destino
• Como usar textos escolhidos
• Como usar textos escolhidos: casos de uso

Recomendações de treinamento contínuo

Confira abaixo nossas recomendações mínimas sobre como realizar treinamentos contínuos de conscientização em segurança em qualquer organização:

• Crie um grupo de treinamento preventivo e uma campanha de treinamento preventivo.
  • Para obter mais informações sobre treinamento preventivo, consulte este artigo: Como criar treinamentos preventivos ou assista a este vídeo: Campanhas de treinamento preventivo.
• Treine grupos ou funcionários específicos utilizando treinamentos práticos e outros cursos especializados.
  • Como recomendação, use a ModStore para encontrar os cursos de que você precisa. Para saber mais, consulte: ModStore.
• Crie uma campanha mensal para enviar e-mails com dicas de segurança aos seus usuários.
  • Para saber mais, consulte: Como criar um boletim informativo sobre dicas de segurança.
• Para manter os usuários conscientes e prontos para se defenderem contra os últimos golpes de phishing e engenharia social, crie uma campanha destinada a enviar e-mails com o Golpe da semana aos seus usuários.
  • Para saber mais, consulte: Como criar um boletim informativo sobre o Golpe da semana.

 Voltar ao início