Este artigo explica as etapas a serem seguidas na implementação de treinamentos de conscientização em segurança e testes de phishing simulados no console do KSAT. Leia as seções abaixo para saber mais.
Etapa 1: Adicione seus usuários
Adicione seus usuários ao console do KSAT para enviar e-mails de phishing simulados e inscrevê-los em campanhas de treinamento. Existem várias formas de adicionar seus usuários ao console do KSAT. Revise suas opções e os artigos associados nos links abaixo:
- Provisionamento de usuários: este é o método preferido para sincronizar usuários ao console do KSAT e manter a lista de usuários ao longo do tempo. Você pode usar a Integração com o Active Directory (ADI) ou o SCIM para provisionar usuários automaticamente no console do KSAT. Para saber mais, consulte os artigos Guia de configuração da Integração com o Active Directory (ADI) ou Guia de configuração do SCIM.
- Importação rápida: este método é útil para importar até 100 usuários. Para saber mais, consulte a seção Importação rápida do nosso artigo Usuários e grupos.
- Importação de CSV: este método é útil para importar um número maior de usuários e incluir outros dados dos usuários, como nomes, números de telefone, associações em grupos e muito mais. Para saber mais, consulte o artigo Como importar usuários com um arquivo CSV.
- Outros: há outras formas de importar usuários para sua organização específica. Se precisar de orientação específica, entre em contato com nossa equipe de suporte ao cliente ou leia os artigos abaixo da nossa Base de conhecimento:
Etapa 2: Realize um teste de linha de base de phishing
Antes de iniciar o seu programa de treinamento de conscientização em segurança, é altamente recomendável que você envie um teste de linha de base de phishing a todos os seus usuários. Você poderá usar esse teste como ponto de partida do seu programa de treinamento de conscientização em segurança.
Para saber mais sobre nossas recomendações quanto ao processo básico de phishing, consulte as subseções abaixo ou o nosso vídeo Campanha básica de phishing de um minuto (cliques).
Campanha de teste preliminar
Antes de criar uma campanha básica de phishing para os usuários, recomendamos a execução de pelo menos uma campanha de teste limitada a um pequeno grupo de usuários, como sua equipe de TI.
O objetivo dessa campanha de teste preliminar é garantir que você tenha criado a lista branca corretamente e que os e-mails passem por seus filtros de spam e pela proteção do firewall.
Essa campanha preliminar também garante que cliques e outras falhas nos testes de phishing sejam acompanhados em sua conta. Clique no link de phishing simulado no e-mail de teste para ter certeza de que as falhas estejam sendo acompanhadas em sua conta. Para saber mais, consulte os artigos Criação e gerenciamento de campanhas de phishing ou Como monitorar e revisar campanhas de phishing.
Criação de uma linha de base
Após a confirmação de que seu teste de phishing preliminar foi bem-sucedido, você deverá criar uma campanha básica de teste de phishing para todos os usuários. Esse teste mostrará a porcentagem inicial de Phish-prone da sua organização. Considere a porcentagem inicial de Phish-prone como o seu ponto de partida. Use essa porcentagem inicial de Phish-prone para mensurar o sucesso do seu plano de treinamento de conscientização em segurança.
Para obter informações sobre nossas recomendações para configurar sua campanha básica de phishing, consulte nossos artigos Qual é o melhor método para criar um teste de linha de base? ou Qual e-mail devo usar no meu teste de linha de base inicial?.
Envie um teste de linha de base para sua equipe de TI
Outra opção que você pode considerar é enviar dois testes de linha de base de phishing: um para o seu departamento de TI ou suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de TI ou de suporte técnico já estará ciente da situação por já ter tido a chance de participar da avaliação básica. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail, para que seu teste de linha de base chegue à caixa de entrada de todos.
Etapa 3: Treine seus usuários
Para a sua campanha inicial de treinamento de conscientização em segurança, recomendamos que você inscreva todos os usuários no curso de Treinamento de conscientização em segurança de KnowBe4, com duração de 45 minutos, ou em outro curso igualmente abrangente. Para saber mais sobre o conteúdo do treinamento à sua disposição, consulte o Guia da ModStore e da biblioteca.
Para saber mais sobre nossas recomendações para criar sua primeira campanha de treinamento, consulte o artigo Como criar sua primeira campanha de treinamento de conscientização em segurança.
Clique nos links abaixo para saber mais sobre como realizar campanhas de treinamento:
- Criação e gerenciamento de campanhas de treinamento
- Como configurar uma campanha de treinamento preventivo
- Vídeo: Configurando uma campanha de treinamento
- Vídeo: Monitorando as campanhas de treinamento
- Vídeo: Primeiros passos com o Treinamento de conscientização em segurança da KnowBe4
Etapa 4: Realize campanhas contínuas de phishing e treinamento
Realizar campanhas contínuas de phishing e treinamento é fundamental para ajudar sua organização a administrar problemas de phishing e de engenharia social.
Há três exemplos de planos à sua disposição que poderão ser usados na integração da KnowBe4 à sua organização: Conscientização alta, média e baixa. Esses planos estão divididos em categorias por nível de conscientização. O nível de conscientização da sua organização se baseia no nível de maturidade almejado em relação ao programa de treinamento para conscientização em segurança. Para saber mais sobre os diferentes níveis de conscientização, consulte o artigo Guia de melhores práticas: como faço para integrar a KnowBe4 com eficácia em minha organização?.
Se estiver em dúvida quanto ao plano ideal para você, confira nas subseções abaixo algumas das nossas recomendações gerais sobre o treinamento de conscientização em segurança.
Recomendações sobre campanhas contínuas de phishing
Envie um teste de phishing a todos os seus usuários pelo menos uma vez por mês. Para fazer isso, crie uma campanha de phishing mensal de acordo com estes critérios:
- Inclua várias categorias de e-mail e diferentes tipos de testes de phishing.
- Espalhe os e-mails por um bom tempo, por exemplo, uma semana. Dessa forma, os usuários não saberão quando receberão o teste de phishing.
- Adicione os usuários reprovados no teste de phishing a um grupo de treinamento preventivo.
Além dos testes de phishing mensais enviados a todos os usuários, recomendamos que crie testes adicionais para departamentos de alto risco ou funcionários considerados como mais vulneráveis aos ataques de phishing.
Para saber como determinar quais departamentos ou funcionários representam riscos muito altos para a sua organização, consulte nosso Guia de nível de risco e do Virtual Risk Officer (VRO).
Para obter mais informações sobre como criar e personalizar campanhas de phishing, consulte estes artigos:
- Criação e gerenciamento de campanhas de phishing
- Personalização de e-mails e de páginas de destino
- Como usar textos escolhidos
- Como usar textos escolhidos: casos de uso
Recomendações de treinamento contínuo
Confira abaixo nossas recomendações mínimas sobre como realizar treinamentos contínuos de conscientização em segurança em qualquer organização:
- Crie um grupo de treinamento preventivo e uma campanha de treinamento preventivo. Para saber mais sobre o treinamento preventivo, consulte o artigo Como configurar uma campanha de treinamento preventivo ou assista ao vídeo Campanhas de treinamento preventivo.
- Treine grupos ou funcionários específicos utilizando treinamentos práticos e outros cursos especializados. Como recomendação, use a ModStore para encontrar os cursos de que você precisa. Para saber mais, consulte o Guia da ModStore e da biblioteca.
- Crie uma campanha mensal para enviar e-mails com dicas de segurança aos seus usuários. Para saber mais, consulte o artigo O que é o boletim informativo de dicas de segurança?
- Para manter os usuários conscientes e prontos para se defenderem contra os últimos golpes de phishing e engenharia social, crie uma campanha destinada a enviar e-mails com o Golpe da semana aos seus usuários. Para saber mais, consulte o artigo O que é o boletim informativo de golpe da semana?