Neste artigo, você encontrará perguntas frequentes sobre como usar o mecanismo SmartRisk™ e o recurso de nível de risco da KnowBe4. Caso tenha outras dúvidas que não estejam incluídas neste artigo, envie um tíquete para nossa equipe de suporte equipe de suporte (o link abre em uma nova janela).
Para saber mais sobre o nível de risco, consulte o Guia do mecanismo SmartRisk™ e de nível de risco.
Informações gerais
Para obter informações gerais sobre o mecanismo SmartRisk™ e o nível de risco, consulte as perguntas e respostas abaixo:
- O que é o mecanismo SmartRisk™ e como ele aprimora o gerenciamento de riscos gerados por falhas humanas?
- Como são definidos e calculados os sete tipos de segurança no nível de risco?
- Qual é o intervalo disponível para o nível de risco?
- Qual é a diferença entre fatores de risco ativos e inativos?
- Com que frequência o nível de risco é atualizado? A atualização é em tempo real?
- Quais são as diferenças entre o nível de risco novo e o antigo?
O que é o mecanismo SmartRisk™ e como ele aprimora o gerenciamento de riscos gerados por falhas humanas?
O mecanismo SmartRisk™ é o novo sistema de nível de risco da KnowBe4 que fornece dados dinâmicos e práticos sobre a postura de segurança da sua organização. Ao monitorar os comportamentos e as tendências de risco dos usuários ao longo do tempo, você pode adaptar de maneira eficaz seus treinamentos e suas políticas de segurança, direcionando o foco para as áreas mais arriscadas ou mais seguras.
O mecanismo SmartRisk™ calcula os níveis de risco de usuários individuais, de grupos e de sua organização como um todo. O cálculo é baseado em fatores de risco ou em eventos e comportamentos dos usuários. Entre os fatores de risco estão clicar em links de phishing, denunciar e-mails de phishing e seguir as políticas de segurança. Em seguida, os fatores de risco são categorizados em tipos de segurança. Os fatores de risco podem estar ativos ou inativos, mostrando quais comportamentos e eventos dos usuários estão contribuindo para níveis de risco mais altos e quais comportamentos podem indicar risco potencial. Com esses insights detalhados, é possível identificar áreas específicas de risco na sua organização e usuários específicos que precisam de suporte adicional ou treinamento de conscientização em segurança.
Como são definidos e calculados os sete tipos de segurança no nível de risco?
Existem sete tipos de segurança que representam diferentes áreas de comportamento dos usuários e risco potencial. Cada tipo de segurança contribui para o nível de risco geral de um usuário ou uma organização. Esses tipos de segurança agregam eventos e comportamentos dos usuários que são classificados como arriscados, seguros ou de mitigação. Veja um exemplo de cada tipo de segurança, acompanhado de seus métodos de cálculo e definição:
| Tipo de segurança | Definição | Exemplos |
|---|---|---|
| Segurança de e-mail | Avalia riscos com base nas ações de e-mail do usuário |
|
| Segurança de ponto de extremidade | Foca nos riscos decorrentes da interação do usuário com seus dispositivos |
|
| Segurança de dados | Avalia os riscos relacionados ao tratamento e compartilhamento de dados por parte do usuário |
|
| Segurança da web | Avalia os riscos associados à navegação online e às ações baseadas na web de um usuário |
|
| Higiene de contas | Avalia as práticas gerais de segurança relacionadas às contas de um usuário |
|
| Treinamento de conformidade | Reflete o engajamento de um usuário em treinamentos relacionados à conformidade |
|
| Segurança física | Mede o engajamento do usuário em práticas de segurança relacionadas ao acesso físico e à segurança |
Observação: atualmente, o único fator de risco que contribui para esse tipo de segurança são as tarefas de treinamento de conscientização em segurança física. |
Qual é o intervalo disponível para o nível de risco?
O intervalo disponível do nível de risco indica seu grau de risco, sendo zero o menos arriscado e 100 o mais arriscado. Embora o intervalo disponível varie de zero a 100, sua pontuação nunca ficará abaixo de 10 nem acima de 90.
Usamos uma escala de 10 a 90 para fornecer um panorama realista do nível da sua segurança e do que pode ser melhorado. Um nível de 0 a 10 implicaria em segurança quase perfeita, algo praticamente impossível devido às ameaças à segurança cibernética em constante evolução e aos riscos desconhecidos potenciais. Da mesma forma, um nível de 90 a 100 indicaria uma postura de segurança catastrófica, o que normalmente não é verídico, mesmo em organizações de alto risco. Ao focar no intervalo de 10 a 90, você obtém uma medida prática de risco que ajuda a priorizar melhorias capazes de fazer uma verdadeira diferença na sua postura de segurança.
Veja na tabela abaixo como as cores representam os níveis de risco do intervalo disponível.
| Cor | Nível de risco | Grau de risco |
|---|---|---|
| Verde | 10-40 | Baixo |
| Amarelo | 41-47 | Médio |
| Laranja | 48-53 | Alto |
| Vermelho | 54-90 | Crítico |
Qual é a diferença entre fatores de risco ativos e inativos?
Fatores ativos são eventos provenientes de produtos integrados da KnowBe4 que fornecem dados diretos para os cálculos do nível de risco. Ações classificadas como arriscadas aumentam os níveis de risco, enquanto ações seguras, diminuem.
Os fatores inativos são usados quando não há dados disponíveis para um tipo de segurança, e o mecanismo SmartRisk™ aplica um valor de risco padrão. O valor de risco padrão reflete um nível geral de risco para o tipo de segurança, com base em padrões do setor e em ameaças potenciais. A KnowBe4 considera que o comportamento do usuário nesses tipos é arriscado, podendo resultar em um nível de risco geral mais alto.
Com que frequência o nível de risco é atualizado? A atualização é em tempo real?
O nível de risco é atualizado dinamicamente conforme novos dados são disponibilizados, mas não em tempo real. O nível de risco é atualizado diariamente, e qualquer evento de risco, segurança ou mitigação será refletido no nível de risco em até 24 horas.
O mecanismo SmartRisk™ monitora e registra continuamente eventos de risco, segurança e mitigação em diferentes tipos de segurança. Os eventos de cada produto integrado são incorporados diariamente ao pipeline de dados do nível de risco e, quando novos dados são recebidos, um ajuste incremental é disparado no nível de risco. Por exemplo, se um usuário concluir um módulo de treinamento em segurança ou clicar em um link de phishing, essa ação afetará seu nível de risco em até 24 horas após o evento.
Quais são as diferenças entre o nível de risco novo e o antigo?
Veja no gráfico abaixo algumas diferenças importantes entre o mecanismo SmartRisk™ e nível de risco e o antigo Virtual Risk Officer (VRO) e nível de risco:
| Domínios de risco | Mecanismo SmartRisk™ e nível de risco | Virtual Risk Officer (VRO) e nível de risco |
|---|---|---|
| Integração de dados | Integra dados de todo o pacote de produtos da KnowBe4 | Usa principalmente dados de testes de phishing, atividades de treinamento, cargos e violação de dados |
| Nível de risco do gerente | Oferece uma visão hierárquica por meio do relatório de nível de risco do gerente, com um novo filtro de Organograma a ser lançado em breve | Disponível apenas na Learner Experience (LX), no Painel da equipe |
| Benchmark | O dimensionamento da organização e o benchmark por setor estão planejados para o final de 2025 ou início de 2026 | Não aplicável |
| Insights práticos | Fornece orientações específicas para planos de correção com base nos tipos de segurança e fatores de risco | Oferece recomendações mais gerais de redução de riscos |
| Funcionalidade de relatórios | Enfatiza relatórios flexíveis para melhorar a comunicação com os investidores | Indicador de painel e opções de relatórios padrão |
| Cargo | Já não é mais um fator no cálculo do nível de risco, porque é um atributo estático e não corrigível, e o mecanismo SmartRisk™ utiliza insights práticos. | Avalia o risco com base nos padrões de conexão organizacional |
| Intensificador de usuários e grupos | Já não é mais um fator no cálculo do nível de risco, porque os intensificadores de risco são ajustes manuais que comprometeriam os fatores de objetividade e universalidade do nível de risco. | Aumenta manualmente o nível de risco Pessoal ou de Grupo de um usuário |
| Phish-prone Percentage | Já não é mais um fator no cálculo do nível de risco, porque o mecanismo SmartRisk™ utiliza os eventos subjacentes do usuário que contribuem com a Phish-prone Percentage. | A porcentagem de usuários que clicaram em um link de phishing simulado ou abriram um anexo durante um teste de phishing |
Cálculo
Para obter mais informações sobre o cálculo do nível de risco, consulte as perguntas e respostas abaixo:
- Por que meu nível de risco aumenta ou diminui?
- O que são eventos de risco, segurança e mitigação?
- O que é o viés do novo usuário?
- Como os fatores inativos afetam meu nível de risco?
- Como os fatores inativos afetam meu intervalo disponível?
- Por quanto tempo eventos específicos impactam o nível de risco de um usuário?
- Os alunos estão incluídos no cálculo do meu nível de risco?
- Posso usar meu próprio LMS com o nível de risco?
Por que meu nível de risco aumenta ou diminui?
O nível de risco aumentará ou diminuirá com base em comportamentos específicos arriscados ou seguros, ou em eventos de mitigação que forem detectados e registrados no log pelos produtos da KnowBe4. Esses comportamentos são categorizados em sete tipos de segurança, cada um representando áreas distintas de risco.
O que são eventos de risco, segurança e mitigação?
Sempre que você ou seus usuários adotam comportamentos classificados como arriscados, o nível de risco aumenta. Comportamentos considerados arriscados indicam possíveis vulnerabilidades de segurança, elevando o nível para refletir maior grau de risco. Entre os comportamentos arriscados estão o clique em links de phishing, o uso de senhas fracas, o acesso a sites maliciosos e a detecção de malware em seu dispositivo.
Adotar comportamentos considerados seguros reduzirá seu nível de risco. A adoção de comportamentos seguros evidencia conscientização e conformidade proativas em relação à segurança, de modo que o nível de risco é ajustado para refletir a redução dos riscos. Entre os comportamentos seguros estão denunciar e-mails de phishing, concluir treinamentos de segurança, utilizar senhas fortes e autenticação multifator, bem como empregar tokens de segurança para proteção física.
Os eventos de mitigação atuam para reduzir o risco associado a eventos arriscados anteriormente registrados. Embora eventos arriscados elevem o nível de risco, um evento de mitigação subsequente diminui seu impacto, porém, não o neutraliza por completo. Os exemplos de eventos de mitigação incluem SecurityTips do SecurityCoach, conclusões do Treinamento preventivo do AIDA e eventos de resolução de vulnerabilidades do PasswordIQ.
O que é o viés do novo usuário?
Quando um novo usuário é adicionado ao seu console do KSAT, um viés de novo usuário é aplicado aos seus tipos de segurança ativos durante os primeiros 90 dias. Esse aumento temporário do nível de risco considera o maior risco associado a usuários que ainda não concluíram o treinamento de segurança ou não se familiarizaram com as políticas de segurança da organização.
Quando um novo usuário executa pelo menos uma ação segura em um tipo de segurança (como concluir um módulo de treinamento, passar em um quiz sobre políticas ou relatar um e-mail de phishing por meio do PAB), o viés para esse tipo específico de segurança é removido no próximo cálculo de nível de risco. Se nenhuma ação segura for executada, o viés para esse tipo de segurança será removido automaticamente após 90 dias.
Os usuários que concluírem treinamentos proativamente ou demonstrarem comportamentos seguros durante os primeiros 90 dias verão uma redução mais significativa e imediata de seu nível de risco do que aqueles que esperarem pelo término do prazo de 90 dias.
Como os fatores inativos afetam meu nível de risco?
No nível de risco, os fatores inativos ocorrem quando a organização não possui determinados produtos nem integrações da KnowBe4 implementados. Os fatores inativos são lacunas de dados nos tipos de segurança. O mecanismo SmartRisk™ não consegue rastrear o comportamento dos usuários porque não recebe dados dos produtos ou das ferramentas de segurança relevantes.
Quando há fatores inativos devido à ausência de integrações ou produtos, o mecanismo SmartRisk™ presume que essas áreas podem representar um risco à segurança. Consequentemente, o nível de risco trata fatores inativos como potencialmente arriscados, gerando um grau de risco ligeiramente mais alto para esses tipos de segurança.
Por exemplo, se você não tiver uma integração que monitore a segurança do ponto de extremidade, o mecanismo SmartRisk™ não conseguirá rastrear se o dispositivo de um usuário possui malware ou outros riscos relacionados ao ponto de extremidade. Essa área será considerada inativa, e um pequeno risco será incluído para levar em conta possíveis ameaças.
Como os fatores inativos afetam meu intervalo disponível?
Se a sua organização tiver poucos produtos e integrações da KnowBe4, o intervalo disponível tenderá a ser mais estreito e mais alto. Se a sua organização tiver mais produtos habilitados, como o PasswordIQ ou o SecurityCoach, você poderá contar com um intervalo de opções mais amplo, que reflete melhor o risco real com base nos dados de comportamento dos usuários.
Quanto mais integrações e fatores ativos houver, mais ampla será a compreensão do mecanismo SmartRisk™ sobre o comportamento dos usuários nos diferentes tipos de segurança, o que permite um cálculo de nível de risco mais preciso e potencialmente mais baixo.
Por quanto tempo eventos específicos impactam o nível de risco de um usuário?
O mecanismo SmartRisk™ tem limites máximos e mínimos de contagem de eventos que impactam cada área do seu nível de risco. Esses limites ajudam a padronizar a influência de eventos arriscados e seguros no nível de risco geral de um usuário ou uma organização. Além do limite específico definido pelo mecanismo SmartRisk™, nenhum outro evento afetará o nível de risco. Por exemplo, o limite máximo de contagem do Phish Alert Button (PAB) é três.
A duração do impacto, ou valor do tempo de vida (TTL), varia de acordo com o fator de risco específico. Por exemplo, as violações de credenciais relacionadas a Email Exposure Checks têm um valor de TTL de 90 dias, o que significa que a violação deixará de impactar o nível de risco após esse período. Da mesma forma, para violações de dados de Informações Pessoais Identificáveis (Personally Identifiable Information, PII), o valor do TTL é de 60 dias.
Esses limites são definidos para manter um nível equilibrado que reflita com precisão o risco, sem distorções excessivas causadas por ações repetitivas.
Os alunos estão incluídos no cálculo do meu nível de risco?
Se você estiver utilizando o recurso KnowBe4 Student Edition, os alunos serão incluídos no cálculo do nível de risco geral.
Posso usar meu próprio LMS com o nível de risco?
Sim, você pode usar seu próprio LMS com o nível de risco. Se a sua organização tiver recursos de LMS e recebermos dados de conclusão de treinamento, incluindo dados da KnowBe4, acompanharemos os dados de treinamento de todas as pessoas na sua organização. No entanto, se você usar seu próprio LMS, mas não nos enviar seus dados de treinamento por meio da nossa API de eventos do usuário, seus níveis de risco aumentarão. Sem os dados completos de treinamento, seus usuários parecerão ter treinamento incompleto ou inexistente, o que aumentará tanto os níveis de risco individuais quanto o nível de risco geral da organização.
Personalização e foco
Para obter mais informações sobre personalização e foco do nível de risco, consulte as perguntas e respostas abaixo:
- Posso personalizar o peso de diferentes tipos de segurança ou fatores de risco?
- Existe uma maneira de focar em áreas específicas de risco?
Posso personalizar o peso de diferentes tipos de segurança ou fatores de risco?
Não é possível personalizar o peso dos diferentes tipos de segurança ou fatores de risco no seu nível de risco. O cálculo do mecanismo SmartRisk™ tem como objetivo fornecer benchmarks consistentes e objetivos entre organizações, o que poderia ser comprometido pela atribuição de pesos personalizados. Essa abordagem garante que os benchmarks do nível de risco sejam universalmente comparáveis e evita o uso indevido de pesos alterados para reduzir artificialmente os níveis sem tratar das reais questões de segurança.
Existe uma maneira de focar em áreas específicas de risco?
Ao usar o relatório de nível de risco, sua organização pode focar em áreas específicas de risco ao exibir os tipos de segurança e os comportamentos dos usuários nas áreas críticas. Por exemplo, no relatório, é possível expandir tipos específicos de segurança e exibir fatores de risco relacionados ao comportamento dos usuários que podem indicar uma preocupação de segurança.
Aprimoramento e gerenciamento de níveis de risco
Para obter mais informações sobre como melhorar e gerenciar os níveis de risco, consulte as perguntas e respostas abaixo:
- Como os funcionários de risco alto podem reduzir o próprio nível de risco?
- O mecanismo SmartRisk™ fornece recomendações para melhorar os níveis de risco?
- Posso acessar dados brutos ou análises mais detalhadas por trás dos níveis de risco dos meus usuários ou da minha organização?
Como os funcionários de risco alto podem reduzir o próprio nível de risco?
Os funcionários de risco alto podem reduzir o próprio nível de risco ao adotar ações positivas de segurança. Concluir os treinamentos de segurança atribuídos, utilizar o Phish Alert Button (PAB) para denunciar e-mails de phishing e receber SecurityTips ajudam a reduzir o nível de risco. Essas ações ajudam a demonstrar um comportamento consciente em relação à segurança e reduzem o nível de risco geral associado a funcionários considerados de risco.
O mecanismo SmartRisk™ fornece recomendações para melhorar os níveis de risco?
O mecanismo SmartRisk™ incentiva comportamentos seguros com recomendações de treinamento priorizadas, mostrando quais ações terão o maior impacto na segurança. As recomendações gerais incluem denunciar tentativas de phishing, concluir de modo consistente os treinamentos de conscientização em segurança e engajar-se ativamente em atividades de conformidade. Os funcionários que adotam esses comportamentos seguros e mantêm boas práticas de segurança em relação a dados, pontos de extremidade e higiene de contas verão melhorias em seus níveis de risco individuais e organizacionais. Os insights específicos de segurança estão disponíveis em nossos relatórios de nível de risco e fornecem dados práticos em áreas que precisam de melhoria.
Posso acessar dados brutos ou análises mais detalhadas por trás dos níveis de risco dos meus usuários ou da minha organização?
Atualmente, não há acesso direto a dados brutos nos relatórios de nível de risco. No entanto, há planos para disponibilizar análises detalhadas e cálculos subjacentes em atualizações futuras. O mecanismo SmartRisk™ fornece relatórios abrangentes de nível de risco que detalham os níveis para diferentes tipos de segurança e fatores de risco associados. Você pode acessar esses relatórios no console do KSAT navegando até Relatórios > Relatórios de nível de risco.
Nível de risco e APIs da KnowBe4
- Como faço para recuperar o histórico de risco da minha conta?
- A API de eventos do usuário da KnowBe4 será atualizada para funcionar com o nível de risco?
Como faço para recuperar o histórico de risco da minha conta?
É possível utilizar a API de relatórios para acessar o histórico de risco da sua conta. Sua conta será automaticamente migrada para o nível de risco, e você continuará acessando seus dados de histórico de risco por meio da API.
A API de eventos do usuário será atualizada para funcionar com o nível de risco?
Sim, a API de eventos do usuário será compatível com o nível de risco, porém, com alterações significativas. Tanto para operações GET (recuperar eventos) quanto para operações POST (enviar eventos), os parâmetros risk_level, risk_decay_mode e risk_expire_date não serão mais aceitos. Esses parâmetros eram exclusivos da versão legada do nosso nível de risco.
Adicionamos um novo campo de fator na API de eventos do usuário, que pode ser usado para criar outros tipos de evento sob os quais registrar atividades de treinamento de usuários que impactarão positivamente os níveis de risco. Esses novos fatores são:
- training_completion_email_security
- training_completion_endpoint_security
- training_completion_data_security
- training_completion_web_security
- training_completion_account_security
- training_completion_compliance_electives
- training_completion_physical_security
Esses novos fatores permitem registrar a conclusão de treinamentos de segurança em diferentes domínios de risco, que serão considerados no cálculo do nível de risco.