Os clientes frequentemente nos perguntam qual a melhor maneira de integrar a KnowBe4 às práticas gerais de segurança da organização. Embora não exista um plano de defesa de segurança cibernética abrangente que funcione para todos os setores ou organizações, as amostras de plano abaixo servem como um ponto de partida para ajudar você a gerenciar o problema de engenharia social na sua organização.

Como alternativa, ou em conjunto com este guia, aconselhamos a utilização do nosso produto Automated Security Awareness Program (ASAP). Esse recurso está integrado ao seu console e fornecerá um plano de segurança personalizado e detalhado, incluindo instruções passo a passo para a criação de um firewall humano forte.

Nosso produto não pretende substituir filtros de spam, firewalls ou antivírus de qualidade. Ele foi criado para ser uma ferramenta a ser usada com outros produtos como parte de uma estratégia de defesa em profundidade. O que oferecemos é uma plataforma fácil de usar que pode ajudar você a gerenciar os problemas que surgem quando os ataques conseguem passar por outros mecanismos de defesa. Os funcionários são sua última linha de defesa. Ao usar os serviços da KnowBe4, você prepara os usuários para defender melhor a organização contra ataques cibernéticos.

Primeira etapa: ler o artigo abaixo para saber os passos que devem ser seguidos antes de fazer os testes de phishing!

Como começar a usar o console da KnowBe4

Este artigo descreverá as etapas para importar usuários, colocar nossos servidores de e-mail na lista branca, personalizar o console e muito mais.

Segunda etapa: escolher uma amostra de plano para integração com a KnowBe4: conscientização alta, média e baixa

Listamos três amostras de plano abaixo: conscientização alta, média e baixa. Esses planos são baseados no nível de maturidade que você deseja atingir com seu programa de conscientização em segurança. Para atingir os melhores resultados, recomendamos o plano Conscientização alta. No entanto, você é a pessoa mais indicada para decidir exatamente como a sua organização deverá implementar nossos serviços.

Independentemente do plano escolhido, a base de todos os nossos planos para treinamento de conscientização em segurança consiste em um processo de três etapas. Esse processo é listado abaixo:

1. Realizar um teste de phishing de base para determinar a Phish-prone Percentage da sua organização.
2. Avaliar o conhecimento atual dos usuários sobre conscientização em segurança. Em seguida, atribuir o treinamento de conscientização em segurança a todos os usuários a fim de aumentar o conhecimento deles.
3. Realizar campanhas contínuas de phishing. Essas campanhas permitirão que os usuários coloquem em prática as habilidades que adquiriram no treinamento de conscientização em segurança.

Clique nos links abaixo para saber mais sobre cada plano:

• Conscientização alta
• Conscientização média
• Conscientização baixa

 

Conscientização alta

Nesse plano, os usuários serão lembrados constantemente sobre a segurança. Recomendamos esse plano enfaticamente para organizações de alto risco ou qualquer organização que lide com informações sigilosas.

Clique em cada etapa para ver mais detalhes:

• Envolva as partes interessadas
• Conclua um teste cego de base
• Para evitar a sobrecarga do suporte técnico, faça o teste de phishing primeiro com sua equipe de TI
• Comunique-se com os funcionários
• Avalie a conscientização em segurança dos usuários
• Inscreva os funcionários no treinamento de conscientização em segurança
• Instale o Phish Alert Button
• Defina sua cultura de segurança
• Aprimore seu plano de gerenciamento de resposta a incidentes por e-mail
• Crie seu grupo de clicadores
• Continue fazendo testes de phishing com seus usuários
  • Teste de phishing quinzenal
  • Teste único adicional e opcional todos os meses
  • Teste de phishing adicional e opcional todos os meses para clicadores
• Envie Dicas de segurança/Golpe da semana
• Inicie uma campanha de treinamento preventivo para clicadores
• Agende treinamento adicional de segurança a cada trimestre
• Conclua testes adicionais de vulnerabilidade a cada trimestre
  • Verificação do progresso

Envolva as partes interessadas

Para garantir que a sua organização obtenha o máximo valor de qualquer programa, é fundamental ter a aprovação das partes interessadas. Veja o artigo abaixo contendo um exemplo de e-mail que você pode modificar e enviar às partes interessadas internas.

Como envolver as partes interessadas no meu plano de treinamento de conscientização em segurança?

Voltar aos detalhes do plano de conscientização alta

Conclua um teste cego de base

Antes de começar a treinar os usuários com nossos módulos de treinamento de conscientização em segurança, é altamente recomendável conduzir um teste cego de base de phishing com todos os seus usuários.

Siga as instruções no artigo abaixo para entender como o teste deve ser configurado.

Envolver as partes interessadas no meu plano de treinamento de conscientização em segurança

Guia de melhores práticas: Como configurar um teste de base

Além disso, você precisa considerar o tipo de página de destino que usará no seu teste cego de base. Usando páginas de destino, é possível influenciar a reação dos usuários em um teste de phishing. Clique no link abaixo para saber mais sobre os diferentes tipos de página de destino e como os usuários podem reagir a elas.

Comunicação do teste de base para sua equipe de TI ou suporte técnico

Voltar aos detalhes do plano de conscientização alta

Para evitar a sobrecarga do suporte técnico, faça o teste de phishing primeiro com sua equipe de TI

Outra opção que você pode considerar é enviar dois testes básicos de phishing: um para o seu departamento de TI/suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de suporte técnico já estará ciente da situação porque já teve a chance de participar da avaliação de base. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail, para que seu teste de base chegue à caixa de entrada de todos.

Voltar aos detalhes do plano de conscientização alta

Comunique-se com os funcionários

Depois do teste de base, os funcionários que receberam o e-mail simulado de phishing poderão ficar confusos. Aqueles que clicarem no link de phishing poderão temer as repercussões. Asim que a campanha de phishing do teste de base for encerrada, é recomendável comunicar os funcionários que um teste foi realizado e explicar o motivo.

Aproveite a oportunidade para ressaltar a importância de que todos façam o treinamento de conscientização em segurança. Fazer com que seus usuários se inteirem das ameaças potenciais para a organização ou para si mesmos poderá aumentar o nível de participação quando eles forem inscritos no treinamento. Fornecemos um modelo para essa finalidade no link abaixo.

Modelo para uso após o teste de base de phishing

Voltar aos detalhes do plano de conscientização alta

Avalie a conscientização em segurança dos usuários

Antes de inscrever os usuários no treinamento de conscientização em segurança, é importante entender o nível de conscientização em segurança que eles têm atualmente para verificar sua melhora ao longo do tempo. Atribua aos usuários a Avaliação de conhecimento sobre conscientização em segurança (SAPA) para testar o conhecimento deles em sete áreas diferentes. É recomendável atribuir o SAPA após o primeiro teste de phishing, mas antes da sua primeira campanha de treinamento. Continue atribuindo o SAPA aos usuários anualmente a fim de verificar a mudança dos pontos fortes e fracos.

Use os links abaixo para saber mais sobre como adicionar avaliações e sobre a Avaliação de conhecimento sobre conscientização em segurança (SAPA).

Guia de avaliações organizacionais

Visão geral da Avaliação de conhecimento sobre conscientização em segurança (SAPA)

Voltar aos detalhes do plano de conscientização alta

Inscreva os funcionários no treinamento de conscientização em segurança

Após o teste de base, você deve configurar um treinamento de conscientização em segurança para todos os usuários. Antes de fazer isso, pode ser conveniente configurar o Learner Experience e decidir se deseja incluir a gamificação como parte do seu programa de treinamento.

É altamente recomendável inscrever todos os funcionários no Treinamento de conscientização em segurança da KnowBe4 de 45 minutos ou em um curso abrangente semelhante em sua primeira campanha de treinamento. Você também pode adicionar políticas às campanhas de treinamento e exigir que os usuários aceitem ou confirmem essas políticas. Veja mais: Como criar e gerenciar políticas

Para ajudar os usuários a iniciar o treinamento, aconselhamos enviar a eles um link para um dos nossos vídeos de como começar. Cada vídeo tem instruções exclusivas que se baseiam nas suas configurações de logon e explica como usar o Learner Experience. Use os links abaixo para encontrar um vídeo mais adequado à sua organização:

• Guia para usuários com configurações de logon padrão
  • Guia temático de herói virtual para usuários com configurações de logon padrão
• Guia para usuários com logon único habilitado
  • Guia temático de herói virtual para usuários com logon único habilitado
• Guia para usuários com a funcionalidade Usar login sem senha habilitada

Para obter recomendações sobre como configurar sua primeira campanha de treinamento de conscientização em segurança, consulte o link abaixo.

Guia de melhores práticas: Como criar sua primeira campanha de treinamento

Voltar aos detalhes do plano de conscientização alta

Instale o Phish Alert Button

O Phish Alert Button (PAB) é uma ferramenta gratuita que pode ser usada para incentivar os usuários a interagir com o treinamento de segurança. O PAB é um suplemento para o seu cliente de e-mail (veja nossa matriz de compatibilidade do PAB aqui) que permite que os usuários denunciem um e-mail suspeito de phishing. A mensagem denunciada pode ser um teste simulado de phishing da KnowBe4 ou um possível ataque cibernético real.

Para saber mais sobre o PAB e como informar os usuários sobre ele após a instalação, confira o link abaixo.

Melhores práticas: implementação do Phish Alert Button (PAB)

Voltar aos detalhes do plano de conscientização alta

Defina sua cultura de segurança

Para garantir que seu treinamento de conscientização em segurança seja o mais eficaz possível, é preciso estabelecer uma sólida cultura de segurança. A cultura de segurança é definida como as ideias, os costumes e os comportamentos sociais que afetam a segurança da sua organização. A Pesquisa sobre cultura de segurança divide a cultura de segurança da sua organização em sete dimensões diferentes. Use essa pesquisa para ver quais dimensões podem ser fortalecidas e como sua cultura de segurança muda ao longo do tempo. Continue pesquisando os usuários uma vez por ano para ver a mudança da pontuação de cultura de segurança.

Use os links abaixo para obter mais informações de como adicionar avaliações e da Pesquisa sobre cultura de segurança (SCS).

Guia de avaliações organizacionais

Visão geral da Pesquisa sobre cultura de segurança (SCS)

Voltar aos detalhes do plano de conscientização alta

Aprimore seu plano de gerenciamento de resposta a incidentes por e-mail

Se optar por usar o PAB, ou se pedir aos usuários que encaminhem e-mails suspeitos ou potencialmente maliciosos para um e-mail ou departamento designado em sua organização, você precisará de um produto que permita gerenciar esses e-mails encaminhados, além de analisá-los e respondê-los de maneira eficiente. O PhishER é uma plataforma que pode ser usada para isso.

Usando o PhishER como um controle de segurança investigativo, sua organização pode identificar possíveis ameaças e fortalecer as medidas de segurança e o plano de defesa em profundidade. O PhishER pode ser usado perfeitamente com o PAB no gerenciamento de e-mails de phishing denunciados, ou você pode encaminhar os e-mails denunciados para sua caixa de entrada do PhishER. Para obter mais informações sobre o PhishER, não deixe de conferir o Manual do produto PhishER.

Voltar aos detalhes do plano de conscientização alta

Crie seu grupo de clicadores

Clique em Usuários e, em seguida, na guia Grupos. Você verá uma opção para criar um grupo. Aqui, você pode criar um grupo para seus usuários Phish-prone ou clicadores. Esse grupo pode ser usado em futuras campanhas de phishing e para configurar treinamento preventivo automatizado para as pessoas que continuam sendo reprovadas nos testes de phishing. Os clientes dos níveis Platina e Diamante também podem criar um Grupo inteligente, que agrupará automaticamente os usuários reprovados nos testes de phishing.

Voltar aos detalhes do plano de conscientização alta

Continue fazendo testes de phishing com todos os seus usuários 

Teste de phishing quinzenal

Para o plano Conscientização alta, recomendamos pelo menos um teste quinzenal para todos os usuários. Testes de phishing regulares permitem que os funcionários pratiquem as habilidades adquiridas no treinamento de conscientização em segurança.

As configurações recomendadas são mostradas abaixo e ajudarão a maximizar a variedade de e-mails de phishing usados ​​e a distribuí-los ao longo do tempo. Com esse método totalmente aleatório, os funcionários não poderão avisar uns aos outros sobre o teste de phishing que está sendo feito.

• Frequência: quinzenal.
• Envio: envie e-mails por, pelo menos, três dias úteis.
  • Dessa forma, os usuários não receberão os e-mails todos de uma vez e não poderão avisar uns aos outros sobre um teste de phishing em andamento.
• Acompanhar atividade: acompanhe as falhas de teste de phishing por, pelo menos, três dias. 
• Acompanhar respostas: recomendamos habilitar essa configuração. Para obter mais informações sobre resposta a phishing, consulte o artigo Guia de resposta a phishing.
• Categorias: escolha várias categorias de modelo e “Totalmente aleatório”, no menu suspenso de modelos, para escolher um modelo aleatório para cada usuário.
  • Exclua idiomas não aplicáveis, Dicas de segurança e categorias de Golpe da semana.
• Nível de complexidade: opcional
  • Se desejar, você pode limitar a dificuldade dos modelos selecionados a classificações específicas com estrelas, de uma a cinco.
• Domínio do link de phishing: deixe como aleatório
• Página de destino: opcional
  • Escolha uma página de destino específica que queira usar para todos os modelos de phishing ou deixe a padrão.
• Adicionar clicadores: aqui, é possível selecionar seu grupo de clicadores. Se estiver criando um Grupo inteligente para treinamento preventivo automatizado, você poderá deixar em branco.
  • Toda vez que alguém não passar no teste de phishing, ele será adicionado ao grupo selecionado.
• Marque “Enviar um relatório por e-mail para administradores de contas...” se desejar ser notificado quando o teste de phishing quinzenal for concluído.

Voltar aos detalhes do plano de conscientização alta

Teste único adicional e opcional mensal usando um modelo de eventos direcionado ou atual

Às vezes, adicionaremos um novo modelo que você desejará usar imediatamente com todos os seus usuários, ou você poderá criar um conceito criativo para um teste de phishing que surpreenderá até mesmo as pessoas que raramente clicam. Você pode configurar um teste único adicional todo mês para manter os testes de phishing exclusivos e relevantes.

Para o plano Conscientização alta, você certamente desejará direcionar os funcionários com modelos específicos da organização ou do setor para esses testes — algo que realmente desafiará os usuários e os manterá alertas.

Como melhor prática, sempre que você estiver usando apenas um modelo, é recomendável desmarcar a caixa “Distribuir e-mails durante a campanha” para que os usuários recebam o e-mail simulado de phishing ao mesmo tempo. Isso minimizará o tempo que os usuários terão para avisar uns aos outros sobre o teste de phishing que está sendo feito.

Voltar aos detalhes do plano de conscientização alta

Teste de phishing opcional todos os meses para clicadores

Os usuários Phish-prone podem precisar de ainda mais testes para aprender as habilidades necessárias para se defender contra ataques de engenharia social. Você pode configurar uma campanha de phishing contínua que seja direcionada apenas ao seu grupo de clicadores. O recomendável é configurá-la de modo semelhante à sua campanha de phishing “totalmente aleatória” quinzenal, com muitas categorias de modelo selecionadas e com os e-mails distribuídos durante a campanha. Você pode também aproveitar essa oportunidade para utilizar nossa categoria Phishings relatados da semana, caso ainda não tenha feito isso.

Voltar aos detalhes do plano de conscientização alta

Envie Dicas de segurança/Golpe da semana

Além dos modelos de phishing, também temos Dicas de segurança integradas e a categoria Golpe da semana. As Dicas de segurança lembrarão os usuários sobre vários métodos gerais de como manter a segurança online e no trabalho. O Golpe da semana preparará os usuários para se defenderem dos mais recentes golpes de segurança cibernética e engenharia social. 

Visão geral do boletim informativo de Dicas de segurança

Visão geral do boletim informativo Golpe da semana

Voltar aos detalhes do plano de conscientização alta

Inicie uma campanha de treinamento preventivo para clicadores

Para incentivar os usuários que são mais Phish-prone a analisar os e-mails que recebem em mais detalhes, agende uma campanha de treinamento preventivo para seu grupo de clicadores.

Para isso, certifique-se de que, ao configurar sua campanha recorrente de phishing quinzenal, você também escolha “Adicionar clicadores a” seu grupo de clicadores.

Depois de configurar a campanha de phishing, configure o treinamento de segurança preventivo para clicadores.

Como um cliente de nível Platina ou Diamante, também é possível configurar o treinamento preventivo automatizado usando Grupos inteligentes.

Como criar uma campanha de treinamento preventivo

Voltar aos detalhes do plano de conscientização alta

Agende treinamento adicional de segurança a cada trimestre

Além do Treinamento de conscientização em segurança da KnowBe4, a KnowBe4 oferece uma ampla variedade de módulos de treinamento para atender às necessidades de treinamento de segurança da sua organização. Para obter uma lista, descrições e prévias de todo o nosso conteúdo de treinamento, navegue pela ModStore em sua conta da KnowBe4.

Para manter os usuários focados na segurança, é recomendável atribuir treinamento trimestral. A atribuição de um novo curso trimestralmente, além de manter os usuários envolvidos no treinamento de conscientização em segurança, também manterá o conteúdo atualizado.

Se aplicável à sua organização, você também deve destinar aos departamentos o conteúdo específico mais relevante para eles. Por exemplo, para os funcionários que lidam com dados confidenciais de cartão de crédito, você pode inscrevê-los no nosso curso sobre noções básicas de segurança de cartão de crédito. É possível filtrar o conteúdo da ModStore para encontrar tópicos específicos nos quais gostaria de se concentrar ou usar nosso filtro de treinamento direcionado. 

Recomendamos uma assinatura de nível Platina para garantir que você sempre tenha o melhor e mais recente conteúdo disponível. Se desejar falar sobre a atualização da sua conta, contate o Gerente de contas ou o Gerente de sucesso do cliente. Eles estão aqui para ajudar com o que for preciso.

Voltar aos detalhes do plano de conscientização alta

Conclua testes adicionais de vulnerabilidade a cada trimestre (somente Platina/Diamante)

Além de verificar a vulnerabilidade dos usuários a cliques em links de phishing, aconselhamos a realização de testes de vulnerabilidade adicionais ao longo do ano. Veja a seguir os recursos do nível Platina que podem ser facilmente configurados e gerenciados pelo nosso console.

• Testes de unidade USB: para verificar se os usuários tendem a usar unidades USB desconhecidas, conectando-as aos respectivos computadores, você pode realizar um teste de unidade USB usando nossa plataforma. Para esse teste, você carregará arquivos especialmente projetados por nós em unidades USB e os deixará em locais do seu escritório frequentados por seus funcionários. Estamos aptos a rastrear os dados sobre os usuários que conectarem as unidades USB e tentarem abrir os arquivos. Consulte: Visão geral do teste de unidade USB

Voltar aos detalhes do plano de conscientização alta

Verificação do progresso

É conveniente revisar as várias opções de relatórios em todo o seu console para ver o progresso da organização ao longo do tempo. A análise dos vários relatórios disponíveis pode ajudar a definir planos futuros para testes de phishing ou campanhas de treinamento em segurança ao revelar os “elos fracos” na organização, que podem exigir um foco maior no treinamento em segurança.

Seu painel fornece uma visão geral do nível de risco da organização, da Phish-prone Percentage e de outros dados que ajudam você a ver instantaneamente como está o andamento do seu programa de conscientização em segurança. No entanto, talvez você queira se aprofundar ainda mais para poder identificar tendências, descobrir quais usuários ainda precisam fazer o treinamento, analisar quais grupos, locais ou departamentos são mais propensos ​​a clicar em links de phishing ou, até mesmo, ver qual modelo de e-mail foi mais clicado pelos usuários.

Estes são os recursos relacionados a relatórios que estão disponíveis para você:

• Guia de relatórios — recomendado
• Guia do Virtual Risk Officer e de nível de risco — recomendado
• Como monitorar e revisar relatórios gerais de phishing
• Guia de relatórios de treinamento
• Visão geral do painel

Voltar aos detalhes do plano de conscientização alta

Conscientização média

Clique em cada etapa para ver mais detalhes:

• Envolva as partes interessadas
• Conclua um teste cego de base
• Para evitar a sobrecarga do suporte técnico, faça o teste de phishing primeiro com sua equipe de TI
• Comunique-se com os funcionários
• Avalie a conscientização em segurança dos usuários
• Inscreva os funcionários no treinamento de conscientização em segurança
• Instale o Phish Alert Button
• Aprimore seu plano de gerenciamento de resposta a incidentes por e-mail
• Crie seu grupo de clicadores
• Continue fazendo testes de phishing com seus usuários
  • Teste de phishing mensal
  • Teste único adicional e opcional todos os meses
• Defina sua cultura de segurança
• Envie Dicas de segurança/Golpe da semana
• Inicie uma campanha de treinamento preventivo para clicadores
• Agende treinamento adicional de segurança a cada seis meses
• Conclua testes adicionais de vulnerabilidade a cada seis meses
• Verificação do progresso

Envolva as partes interessadas

Para garantir que a sua organização obtenha o máximo valor de qualquer programa, é fundamental ter a aprovação das partes interessadas. Veja o artigo abaixo contendo um exemplo de e-mail que você pode modificar e enviar às partes interessadas internas.

Envolver as partes interessadas no meu plano de treinamento de conscientização em segurança

Voltar aos detalhes do plano de conscientização média

Conclua um teste cego de base

Antes de começar a treinar os usuários com os módulos de treinamento de conscientização em segurança, é altamente recomendável realizar um teste cego de base de phishing com todos os usuários.

Siga as instruções no artigo abaixo para entender como o teste deve ser configurado.

Guia de melhores práticas: Como configurar um teste de base

Comunicação do teste de base para sua equipe de TI ou suporte técnico

Além disso, você precisa considerar o tipo de página de destino que usará no seu teste cego de base. Usando páginas de destino, é possível influenciar a reação dos usuários em um teste de phishing. Clique no link abaixo para saber mais sobre os diferentes tipos de página de destino e como os usuários podem reagir a elas.

Melhores práticas: Como selecionar uma página de destino

Voltar aos detalhes do plano de conscientização média

Para evitar a sobrecarga do suporte técnico, faça o teste de phishing primeiro com sua equipe de TI

Outra opção que você pode considerar é enviar dois testes básicos de phishing: um para o seu departamento de TI/suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de suporte técnico já estará ciente da situação porque já teve a chance de participar da avaliação de base. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail, para que seu teste de base chegue à caixa de entrada de todos.

Voltar aos detalhes do plano de conscientização média

Comunique-se com os funcionários

Depois do teste de base, os funcionários que receberam o e-mail simulado de phishing poderão ficar confusos. Aqueles que clicarem no link de phishing poderão temer as repercussões. Asim que a campanha de phishing do teste de base for encerrada, é recomendável comunicar os funcionários que um teste foi realizado e explicar o motivo.

Aproveite a oportunidade para ressaltar a importância de que todos façam o treinamento de conscientização em segurança. Fazer com que seus usuários se inteirem das ameaças potenciais para a organização ou para si mesmos poderá aumentar o nível de participação quando eles forem inscritos no treinamento. Fornecemos um modelo para essa finalidade no link abaixo.

Modelo para uso após o teste de base de phishing

Voltar aos detalhes do plano de conscientização média

Avalie a conscientização em segurança dos usuários

Antes de inscrever os usuários no treinamento de conscientização em segurança, é importante entender o nível de conscientização em segurança que eles têm atualmente para verificar sua melhora ao longo do tempo. Atribua aos usuários a Avaliação de conhecimento sobre conscientização em segurança (SAPA) para testar o conhecimento deles em sete áreas diferentes. É recomendável atribuir o SAPA após o primeiro teste de phishing, mas antes da sua primeira campanha de treinamento. Continue atribuindo o SAPA aos usuários anualmente a fim de verificar a mudança dos pontos fortes e fracos.

Use os links abaixo para saber mais sobre como adicionar avaliações e sobre a Avaliação de conhecimento sobre conscientização em segurança (SAPA).

Guia de avaliações organizacionais

Visão geral da Avaliação de conhecimento sobre conscientização em segurança (SAPA)

Voltar aos detalhes do plano de conscientização média

Inscreva os funcionários no treinamento de conscientização em segurança

Após o teste de base, você deve configurar um treinamento de conscientização em segurança para todos os usuários. Antes de fazer isso, pode ser conveniente configurar o Learner Experience e decidir se deseja incluir a gamificação como parte do seu programa de treinamento.

É altamente recomendável inscrever todos os funcionários no Treinamento de conscientização em segurança da KnowBe4 de 45 minutos ou em um curso abrangente semelhante em sua primeira campanha de treinamento. Você também pode adicionar políticas às campanhas de treinamento e exigir que os usuários aceitem ou confirmem essas políticas. Veja mais: Como criar e gerenciar políticas

Para ajudar os usuários a iniciar o treinamento, aconselhamos enviar a eles um link para um dos nossos vídeos de como começar. Cada vídeo tem instruções exclusivas que se baseiam nas suas configurações de logon e explica como usar o Learner Experience. Use os links abaixo para encontrar um vídeo mais adequado à sua organização:

• Guia para usuários com configurações de logon padrão
  • Guia temático de herói virtual para usuários com configurações de logon padrão
• Guia para usuários com logon único habilitado
  • Guia temático de herói virtual para usuários com logon único habilitado
• Guia para usuários com a funcionalidade Usar login sem senha habilitada

Para obter recomendações sobre como configurar sua primeira campanha de treinamento de conscientização em segurança, consulte o link abaixo.

Guia de melhores práticas: Como criar sua primeira campanha de treinamento

Voltar aos detalhes do plano de conscientização média

Instale o Phish Alert Button

O Phish Alert Button (PAB) é uma ferramenta gratuita que pode ser usada para incentivar os usuários a interagir com o treinamento de segurança. O PAB é um suplemento para o seu cliente de e-mail (veja nossa matriz de compatibilidade do PAB aqui) que permite que os usuários denunciem um e-mail suspeito de phishing. A mensagem denunciada pode ser um teste simulado de phishing da KnowBe4 ou um possível ataque cibernético real.

Para saber mais sobre o PAB e como informar os usuários sobre ele após a instalação, confira o link abaixo.

Melhores práticas: implementação do Phish Alert Button (PAB)

Voltar aos detalhes do plano de conscientização média

Aprimore seu plano de gerenciamento de resposta a incidentes por e-mail

Se optar por usar o PAB, ou se pedir aos usuários que encaminhem e-mails suspeitos ou potencialmente maliciosos para um e-mail ou departamento designado em sua organização, você precisará de um produto que permita gerenciar esses e-mails encaminhados, além de analisá-los e respondê-los de maneira eficiente. O PhishER é uma plataforma que pode ser usada para isso.

Usando o PhishER como um controle de segurança investigativo, sua organização pode identificar possíveis ameaças e fortalecer as medidas de segurança e o plano de defesa em profundidade. O PhishER pode ser usado perfeitamente com o PAB no gerenciamento de e-mails de phishing denunciados, ou você pode encaminhar os e-mails denunciados para sua caixa de entrada do PhishER. Para obter mais informações sobre o PhishER, não deixe de conferir o Manual do produto PhishER.

Voltar aos detalhes do plano de conscientização média

Crie seu grupo de clicadores

Clique em Usuários e, em seguida, na guia Grupos e você verá uma opção para criar um grupo. Aqui, você pode criar um grupo para seus usuários Phish-prone ou clicadores. Esse grupo pode ser usado em futuras campanhas de phishing e para configurar treinamento preventivo automatizado para as pessoas que continuam sendo reprovadas nos testes de phishing. Os clientes dos níveis Platina e Diamante também podem criar um Grupo inteligente, que agrupará automaticamente os usuários reprovados nos testes de phishing.

Voltar aos detalhes do plano de conscientização média

Continue fazendo testes de phishing com todos os seus usuários 

Teste de phishing mensal

Para o plano Conscientização média, recomendamos um teste mensal com todos os usuários. Testes de phishing regulares permitirão que os funcionários pratiquem as habilidades adquiridas no treinamento de conscientização em segurança.

As configurações recomendadas são mostradas abaixo e ajudarão a maximizar a variedade de e-mails de phishing usados ​​e a distribuí-los ao longo do tempo. Com esse método totalmente aleatório, os funcionários não poderão avisar uns aos outros sobre o teste de phishing que está sendo feito.

• Frequência: mensal.
  • Envio: enviar e-mails por 5 a 10 dias úteis.
  • Dessa forma, os usuários não receberão os e-mails todos de uma vez e não poderão avisar uns aos outros sobre um teste de phishing em andamento.
• Acompanhar atividade: acompanhe as falhas de teste de phishing por, pelo menos, três dias.
• Acompanhar respostas: recomendamos habilitar essa configuração. Para obter mais informações sobre resposta a phishing, consulte o artigo Guia de resposta a phishing.
• Categorias: escolha várias categorias de modelo e “Totalmente aleatório”, no menu suspenso de modelos, para escolher um modelo aleatório para cada usuário.
  • Exclua idiomas não aplicáveis, Dicas de segurança e categorias de Golpe da semana.
• Nível de complexidade: opcional
  • Se desejar, você pode limitar a dificuldade dos modelos selecionados a classificações específicas com estrelas, de uma a cinco.
• Domínio do link de phishing: deixe como aleatório
• Página de destino: opcional
  • Escolha uma página de destino específica que queira usar para todos os modelos de phishing, ou mantenha a padrão.
• Adicionar clicadores: aqui, é possível selecionar seu grupo de clicadores. Se estiver criando um Grupo inteligente para treinamento preventivo automatizado, você poderá deixar em branco.
  • Toda vez que alguém não passar no teste de phishing, ele será adicionado ao grupo selecionado.
• Marque “Enviar um relatório por e-mail para administradores de contas...” se desejar ser notificado quando o teste de phishing quinzenal for concluído.

Voltar aos detalhes do plano de conscientização média

Teste único adicional e opcional mensal usando um modelo de eventos direcionado ou atual

Às vezes, adicionaremos um novo modelo que você desejará usar imediatamente com todos os seus usuários, ou você poderá criar um conceito criativo para um teste de phishing que surpreenderá até mesmo as pessoas que raramente clicam. Você pode configurar um teste único adicional todo mês para manter os testes de phishing exclusivos e relevantes.

No plano Conscientização média, talvez você queira enviar aos seus funcionários modelos específicos da organização ou do setor para esses testes únicos.

Como melhor prática, sempre que você for usar apenas um modelo, é recomendável selecionar a opção Enviar todos os e-mails quando a campanha começar para que os usuários recebam o e-mail simulado de phishing ao mesmo tempo. Isso minimizará o tempo que os usuários terão para avisar uns aos outros sobre o teste de phishing que está sendo feito.

Voltar aos detalhes do plano de conscientização média

Defina sua cultura de segurança

Para garantir que seu treinamento de conscientização em segurança seja o mais eficaz possível, é preciso estabelecer uma sólida cultura de segurança. A cultura de segurança é definida como as ideias, os costumes e os comportamentos sociais que afetam a segurança da sua organização. A Pesquisa sobre cultura de segurança divide a cultura de segurança da sua organização em sete dimensões diferentes. Use essa pesquisa para ver quais dimensões podem ser fortalecidas e como sua cultura de segurança muda ao longo do tempo. Continue pesquisando os usuários uma vez por ano para ver a mudança da pontuação de cultura de segurança.

Use os links abaixo para obter mais informações de como adicionar avaliações e da Pesquisa sobre cultura de segurança (SCS).

Guia de avaliações organizacionais

Visão geral da Pesquisa sobre cultura de segurança (SCS)

Voltar aos detalhes do plano de conscientização média

Envie Dicas de segurança/Golpe da semana

Além dos modelos de phishing, também temos Dicas de segurança integradas e a categoria Golpe da semana. As Dicas de segurança lembrarão os usuários sobre vários métodos gerais de como manter a segurança online e no trabalho. O Golpe da semana preparará os usuários para se defenderem dos mais recentes golpes de segurança cibernética e engenharia social. 

Visão geral do boletim informativo de Dicas de segurança

Visão geral do boletim informativo Golpe da semana

Voltar aos detalhes do plano de conscientização média

Inicie uma campanha de treinamento preventivo para clicadores

Para incentivar os usuários que são mais Phish-prone a analisar os e-mails que recebem em mais detalhes, agende uma campanha de treinamento preventivo para seu grupo de clicadores.

Para fazer isso, certifique-se de que, ao configurar sua campanha recorrente de phishing mensal, você também escolha “Adicionar clicadores a” seu grupo de clicadores.

Depois de configurar a campanha de phishing, configure o treinamento de segurança preventivo para clicadores.

Como um cliente de nível Platina ou Diamante, também é possível configurar o treinamento preventivo automatizado usando Grupos inteligentes.

Como usar grupos para treinamento preventivo

Voltar aos detalhes do plano de conscientização média

Agende treinamento adicional de segurança a cada seis meses

Além do Treinamento de conscientização em segurança da KnowBe4, a KnowBe4 oferece uma ampla variedade de módulos de treinamento para atender às necessidades de treinamento de segurança da sua organização. Para obter uma lista, descrições e prévias de todo o nosso conteúdo de treinamento, navegue pela ModStore em sua conta da KnowBe4.

Para manter os usuários focados na segurança, é recomendável criar uma campanha de treinamento a cada seis meses. A atribuição de um novo curso, além de manter os usuários envolvidos no treinamento de conscientização em segurança, também manterá o conteúdo atualizado. 

Se aplicável à sua organização, você também deve destinar aos departamentos o conteúdo específico mais relevante para eles. Por exemplo, para os funcionários que lidam com dados confidenciais de cartão de crédito, você pode inscrevê-los no nosso curso sobre noções básicas de segurança de cartão de crédito. É possível filtrar o conteúdo da ModStore para encontrar tópicos específicos nos quais gostaria de se concentrar ou usar nosso filtro de Treinamento direcionado. 

Recomendamos uma assinatura de nível Platina para garantir que você sempre tenha o melhor e mais recente conteúdo disponível. Se desejar falar sobre a atualização da sua conta, contate o Gerente de contas ou o Gerente de sucesso do cliente. Eles estão aqui para ajudar com o que for preciso.

Voltar aos detalhes do plano de conscientização média

Conclua testes adicionais de vulnerabilidade a cada seis meses (somente Platina/Diamante)

Além de verificar a vulnerabilidade dos usuários a cliques em links de phishing, aconselhamos a realização de testes de vulnerabilidade adicionais ao longo do ano. Veja a seguir os recursos do nível Platina que podem ser facilmente configurados e gerenciados pelo nosso console.

• Testes de unidade USB: para verificar se os usuários tendem a usar unidades USB desconhecidas, conectando-as aos respectivos computadores, você pode realizar um teste de unidade USB usando nossa plataforma. Para esse teste, você carregará arquivos especialmente projetados por nós em unidades USB e os deixará em locais do seu escritório frequentados por seus funcionários. Estamos aptos a rastrear os dados sobre os usuários que conectarem as unidades USB e tentarem abrir os arquivos. Consulte: Visão geral do teste de unidade USB

Voltar aos detalhes do plano de conscientização média

Verificação do progresso

É conveniente revisar as várias opções de relatórios em todo o seu console para ver o progresso da organização ao longo do tempo. A análise dos vários relatórios disponíveis pode ajudar a definir planos futuros para testes de phishing ou campanhas de treinamento em segurança ao revelar os “elos fracos” na organização, que podem exigir um foco maior no treinamento em segurança.

Seu painel fornece uma visão geral do nível de risco da organização, da Phish-prone Percentage e de outros dados que ajudam você a ver instantaneamente como está o andamento do seu programa de conscientização em segurança. No entanto, talvez você queira se aprofundar ainda mais para poder identificar tendências, descobrir quais usuários ainda precisam fazer o treinamento, analisar quais grupos, locais ou departamentos são mais propensos ​​a clicar em links de phishing ou, até mesmo, ver qual modelo de e-mail foi mais clicado pelos usuários.

Estes são os recursos relacionados a relatórios que estão disponíveis para você:

• Guia de relatórios — recomendado
• Guia do Virtual Risk Officer e de nível de risco — recomendado
• Como monitorar e revisar relatórios gerais de phishing
• Guia de relatórios de treinamento
• Visão geral do painel

Voltar aos detalhes do plano de conscientização média

Conscientização baixa

Clique em cada etapa para ver mais detalhes:

• Envolva as partes interessadas
• Conclua um teste cego de base
• Para evitar a sobrecarga do suporte técnico, faça o teste de phishing primeiro com sua equipe de TI
• Comunique-se com os funcionários
• Avalie a conscientização em segurança dos usuários
• Inscreva os funcionários no treinamento de conscientização em segurança

Envolva as partes interessadas

Para garantir que a sua organização obtenha o máximo valor de qualquer programa, é fundamental ter a aprovação das partes interessadas. Veja o artigo abaixo contendo um exemplo de e-mail que você pode modificar e enviar às partes interessadas internas.

Envolver as partes interessadas no meu plano de treinamento de conscientização em segurança

Voltar aos detalhes do plano de conscientização baixa

Conclua um teste cego de base

Antes de começar a treinar os usuários com os módulos de treinamento de conscientização em segurança, é altamente recomendável realizar um teste cego de base de phishing com todos os usuários.

Siga as instruções no artigo abaixo para entender como o teste deve ser configurado.

Guia de melhores práticas: Como configurar um teste de base

Comunicação do teste de base para sua equipe de TI ou suporte técnico

Além disso, você precisa considerar o tipo de página de destino que usará no seu teste cego de base. Usando páginas de destino, é possível influenciar a reação dos usuários em um teste de phishing. Clique no link abaixo para saber mais sobre os diferentes tipos de página de destino e como os usuários podem reagir a elas.

Melhores práticas: Como selecionar uma página de destino

Voltar aos detalhes do plano de conscientização baixa

Para evitar a sobrecarga do suporte técnico, faça o teste de phishing primeiro com sua equipe de TI

Outra opção que você pode considerar é enviar dois testes básicos de phishing: um para o seu departamento de TI/suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de suporte técnico já estará ciente da situação porque já teve a chance de participar da avaliação de base. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail, para que seu teste de base chegue à caixa de entrada de todos.

Voltar aos detalhes do plano de conscientização baixa

Comunique-se com os funcionários

Depois do teste de base, os funcionários que receberam o e-mail simulado de phishing poderão ficar confusos. Aqueles que clicarem no link de phishing poderão temer as repercussões. Asim que a campanha de phishing do teste de base for encerrada, é recomendável comunicar os funcionários que um teste foi realizado e explicar o motivo.

Aproveite a oportunidade para ressaltar a importância de que todos façam o treinamento de conscientização em segurança. Fazer com que seus usuários se inteirem das ameaças potenciais para a organização ou para si mesmos poderá aumentar o nível de participação quando eles forem inscritos no treinamento. Fornecemos um modelo para essa finalidade no link abaixo.

Modelo para uso após o teste de base de phishing

Voltar aos detalhes do plano de conscientização baixa

Avalie a conscientização em segurança dos usuários

Antes de inscrever os usuários no treinamento de conscientização em segurança, é importante entender o nível de conscientização em segurança que eles têm atualmente para verificar sua melhora ao longo do tempo. Atribua aos usuários a Avaliação de conhecimento sobre conscientização em segurança (SAPA) para testar o conhecimento deles em sete áreas diferentes. É recomendável atribuir o SAPA após o primeiro teste de phishing, mas antes da sua primeira campanha de treinamento. Continue atribuindo o SAPA aos usuários anualmente a fim de verificar a mudança dos pontos fortes e fracos.

Use os links abaixo para saber mais sobre como adicionar avaliações e sobre a Avaliação de conhecimento sobre conscientização em segurança (SAPA).

Guia de avaliações organizacionais

Visão geral da Avaliação de conhecimento sobre conscientização em segurança (SAPA)

Voltar aos detalhes do plano de conscientização baixa

Inscreva os funcionários no treinamento de conscientização em segurança

Após o teste de base, você deve configurar um treinamento de conscientização em segurança para todos os usuários. Antes de fazer isso, pode ser conveniente configurar o Learner Experience e decidir se deseja incluir a gamificação como parte do seu programa de treinamento.

É altamente recomendável inscrever todos os funcionários no Treinamento de conscientização em segurança da KnowBe4 de 45 minutos ou em um curso abrangente semelhante em sua primeira campanha de treinamento. Você também pode adicionar políticas às campanhas de treinamento e exigir que os usuários aceitem ou confirmem essas políticas. Veja mais: Como criar e gerenciar políticas

Para ajudar os usuários a iniciar o treinamento, aconselhamos enviar a eles um link para um dos nossos vídeos de como começar. Cada vídeo tem instruções exclusivas que se baseiam nas suas configurações de logon e explica como usar o Learner Experience. Use os links abaixo para encontrar um vídeo mais adequado à sua organização:

• Guia para usuários com configurações de logon padrão
  • Guia temático de herói virtual para usuários com configurações de logon padrão
• Guia para usuários com logon único habilitado
  • Guia temático de herói virtual para usuários com logon único habilitado
• Guia para usuários com a funcionalidade Usar login sem senha habilitada