Este artigo explica as etapas a serem seguidas na implementação de treinamentos de conscientização em segurança e testes de phishing simulados no console do KSAT. Leia as seções abaixo para saber mais.

Etapa 1: Adicione seus usuários

Adicione seus usuários ao console do KSAT para enviar e-mails de phishing simulados e inscrevê-los em campanhas de treinamento. Existem várias formas de adicionar seus usuários ao console do KSAT. Revise suas opções e os artigos associados nos links abaixo:

• Provisionamento de usuários: este é o método preferido para sincronizar usuários ao console do KSAT e manter a lista de usuários ao longo do tempo. Você pode usar a Integração com o Active Directory (ADI), o SCIM ou o Provisionamento de usuários do Google (GUP) para provisionar automaticamente usuários no console do KSAT. Para saber mais, consulte o Guia de configuração da Integração com o Active Directory (ADI), o Guia de configuração do SCIM ou o Guia de provisionamento de usuários do Google (GUP).
• Importação rápida: este método é útil para importar até 100 usuários. Para saber mais, consulte a seção Importação rápida do artigo Guia de gerência de usuários e grupos.
• Importação de CSV: este método é útil para importar um número maior de usuários e incluir outros dados dos usuários, como nomes, números de telefone, associações em grupos e muito mais. Para saber mais, consulte o artigo Como importar usuários com um arquivo CSV.
• Outros: há outras formas de importar usuários para sua organização específica. Se precisar de orientação específica, entre em contato com nossa equipe de suporte ao cliente ou leia os artigos abaixo da nossa Base de conhecimento:
  • Como importar usuários do Active Directory utilizando o PowerShell
  • Vários domínios de e-mail

Etapa 2: Realize um teste de linha de base de phishing

Antes de iniciar o seu programa de treinamento de conscientização em segurança, é altamente recomendável que você envie um teste de linha de base de phishing a todos os seus usuários. Você poderá usar esse teste como ponto de partida do seu programa de treinamento de conscientização em segurança.

Para saber mais sobre nossas recomendações quanto ao processo básico de phishing, consulte as subseções abaixo ou o vídeo Campanha básica de phishing de um minuto (para cliques).

Campanha de teste preliminar

Antes de criar uma campanha básica de phishing para os usuários, recomendamos a execução de pelo menos uma campanha de teste limitada a um pequeno grupo de usuários, como sua equipe de TI.

O objetivo dessa campanha de teste preliminar é garantir que você tenha criado a lista branca corretamente e que os e-mails passem por seus filtros de spam e pela proteção do firewall.

Essa campanha preliminar também garante que cliques e outras falhas nos testes de phishing sejam acompanhados em sua conta. Clique no link de phishing simulado no e-mail de teste para ter certeza de que as falhas estejam sendo acompanhadas em sua conta. Para saber mais, consulte os artigos Como criar e gerenciar campanhas de phishing. ou Como monitorar e revisar campanhas de phishing.

Criação de uma linha de base

Após a confirmação de que seu teste de phishing preliminar foi bem-sucedido, você deverá criar uma campanha básica de teste de phishing para todos os usuários. Esse teste mostrará a porcentagem inicial de Phish-prone da sua organização. Considere a porcentagem inicial de Phish-prone como o seu ponto de partida. Use essa porcentagem inicial de Phish-prone para mensurar o sucesso do seu plano de treinamento de conscientização em segurança.

Para conhecer melhor nossas recomendações de como configurar sua campanha básica de phishing, consulte o Guia de melhores práticas: Configurar um teste de linha de base no artigo Recomendações de modelos para o teste de linha de base.

Envie um teste de linha de base para sua equipe de TI

Outra opção que você pode considerar é enviar dois testes de linha de base de phishing: um para o seu departamento de TI ou suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de TI ou de suporte técnico já estará ciente da situação por já ter tido a chance de participar da avaliação básica. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail, para que seu teste de linha de base chegue à caixa de entrada de todos.

Etapa 3: Treine seus usuários

Para a sua campanha inicial de treinamento de conscientização em segurança, recomendamos que você inscreva todos os usuários no curso de Treinamento de conscientização em segurança de KnowBe4, com duração de 45 minutos, ou em outro curso igualmente abrangente. Para saber mais sobre o conteúdo do treinamento à sua disposição, consulte o Guia da ModStore e da biblioteca.

Para conhecer melhor nossas recomendações de como criar sua primeira campanha de treinamento, consulte o artigo Guia de melhores práticas: Criar sua primeira campanha de treinamento.

Clique nos links abaixo para saber mais sobre como realizar campanhas de treinamento: 

• Guia de campanhas de treinamento
• Criar uma campanha de treinamento preventivo
• Vídeo: Configurando uma campanha de treinamento
• Vídeo: Monitorando as campanhas de treinamento
• Vídeo: Primeiros passos com o Treinamento de conscientização em segurança da KnowBe4

Etapa 4: Realize campanhas contínuas de phishing e treinamento

Realizar campanhas contínuas de phishing e treinamento é fundamental para ajudar sua organização a administrar problemas de phishing e de engenharia social.

Há três exemplos de planos à sua disposição que poderão ser usados na integração da KnowBe4 à sua organização: Conscientização alta, média e baixa. Esses planos estão divididos em categorias por nível de conscientização. O nível de conscientização da sua organização se baseia no nível de maturidade almejado em relação ao programa de treinamento de conscientização em segurança. Para saber mais sobre os diferentes níveis de conscientização, consulte o artigo Guia de melhores práticas: Como integrar a KnowBe4 à sua organização.

Se estiver em dúvida quanto ao plano ideal para você, confira nas subseções abaixo algumas das nossas recomendações gerais sobre o treinamento de conscientização em segurança.

Recomendações sobre campanhas contínuas de phishing

Envie um teste de phishing a todos os seus usuários pelo menos uma vez por mês. Para fazer isso, crie uma campanha de phishing mensal de acordo com estes critérios:

• Inclua várias categorias de e-mail e diferentes tipos de testes de phishing.
• Espalhe os e-mails por um bom tempo, por exemplo, uma semana. Dessa forma, os usuários não saberão quando receberão o teste de phishing.
• Adicione os usuários reprovados no teste de phishing a um grupo de treinamento preventivo.

Além dos testes de phishing mensais enviados a todos os usuários, recomendamos a criação de testes adicionais para grupos de alto risco ou usuários considerados mais vulneráveis aos ataques de phishing.

Para saber como determinar quais grupos ou usuários representam riscos muito altos para a sua organização, consulte o Guia do SmartRisk Agent™ e de Nível de risco V2.

Para obter mais informações sobre como criar e personalizar campanhas de phishing, consulte estes artigos:

• Como criar e gerenciar campanhas de phishing
• Como criar e editar modelos de e-mail e páginas de destino
• Guia de textos escolhidos
• Casos de uso de textos escolhidos

Recomendações de treinamento contínuo

Confira abaixo nossas recomendações mínimas sobre como realizar treinamentos contínuos de conscientização em segurança em qualquer organização:

• Crie um grupo de treinamento preventivo e uma campanha de treinamento preventivo. Para saber mais sobre o treinamento preventivo, consulte o artigo Criar uma campanha de treinamento preventivo ou o vídeo Campanhas de treinamento preventivo.
• Treine grupos ou funcionários específicos utilizando treinamentos práticos e outros cursos especializados. Como recomendação, use a ModStore para encontrar os cursos de que você precisa. Para saber mais, consulte o Guia da ModStore e da biblioteca.
• Configure uma mensagem com Dicas de segurança para enviar ao Learner Experience (LX) dos seus usuários. Para saber mais, consulte o artigo Visão geral de mensagens de dicas de segurança.
• Para manter os usuários informados e prontos para se defender dos golpes mais recentes de phishing e engenharia social, configure uma mensagem de “Golpe da semana” para enviar ao Learner Experience (LX) dos usuários. Para saber mais, consulte o artigo Visão geral do boletim informativo Golpe da semana.