Como começar

Compartilhar

Este artigo é útil?

Última atualização:

Guia de integração do SAT Advanced

Este guia descreve as etapas para implementar o Treinamento de conscientização em segurança (SAT) em sua organização, o que garante um treinamento de conscientização em segurança personalizado, relevante e adaptável para o gerenciamento de riscos gerados por falhas humanas. Com a integração de um treinamento completo de conscientização em segurança (a maior biblioteca de conteúdo global em mais de 35 idiomas), AI Defense Agents e coaching de segurança em tempo real, o SAT cria uma camada de defesa humana e capacita os usuários por meio da mudança de comportamento.

Observação: este guia de integração destina-se à assinatura do SAT Advanced. Se você tiver uma assinatura do SAT Foundation, consulte o Guia de integração do SAT Foundation.

Etapa 1: Adicione seus usuários

Para começar, adicione usuários ao console do KSAT a fim de enviar e-mails de phishing simulados a eles e inscrevê-los em campanhas de treinamento. Se a sua organização utiliza vários domínios de e-mail, primeiramente, será preciso adicionar esses domínios ao console do KSAT antes de adicionar os usuários. Para obter instruções detalhadas, consulte o artigo Como adicionar e verificar domínios.

Método de provisionamento de usuários

O método preferencial para sincronizar usuários com seu console do KSAT e manter sua lista de usuários ao longo do tempo é o provisionamento de usuários. É possível usar o Provisionamento de usuários do Google (GUP), a Integração com o Active Directory (ADI) ou o SCIM para provisionar usuários automaticamente. Para obter instruções detalhadas, consulte o Guia de provisionamento de usuários do Google (GUP), o Guia de configuração da Integração com o Active Directory (ADI) ou o Guia de configuração do SCIM.

Importação de CSV

Este método é útil para importar um número maior de usuários e incluir outros dados dos usuários, como nomes, números de telefone, associações em grupos e muito mais. Para saber mais, consulte o artigo Como importar usuários com um arquivo CSV.

Etapa 2: Autenticação por SSO

A KnowBe4 oferece suporte ao SAML 2.0, o que permite que os usuários façam login na KnowBe4 por meio do provedor de logon único (SSO) da sua organização. Com o SSO, os usuários não precisam configurar nem utilizar uma senha separada.
Para obter instruções detalhadas sobre como habilitar o SAML nas configurações da sua conta e concluir a configuração com seu provedor de SSO, consulte o artigo Como configurar o logon único (SSO) de SAML para o console de treinamento de conscientização em segurança.

Etapa 3: Phishing de linha de base

Antes de iniciar o seu programa de treinamento de conscientização em segurança, é altamente recomendável enviar um teste de phishing de linha de base a todos os usuários. Esse teste servirá como ponto de partida para estabelecer métricas iniciais.

Para saber mais sobre nossas recomendações quanto ao processo básico de phishing, consulte as subseções abaixo ou o nosso vídeo Campanha básica de phishing de um minuto para medir cliques.

Importante: antes de realizar o teste de linha de base, certifique-se de que os endereços IP ou domínios da KnowBe4 estejam na lista branca de seu ambiente de e-mail. Utilize nosso Assistente de lista branca ou leia nosso Guia de lista branca.

Campanha de teste preliminar

Antes de criar uma campanha básica de phishing para os usuários, recomendamos a execução de pelo menos uma campanha de teste limitada a um pequeno grupo de usuários, como sua equipe de TI. Para obter mais informações sobre como criar grupos, consulte o Guia de Gerência de usuários e grupos.

O objetivo dessa campanha de teste preliminar é garantir que você tenha criado a lista branca corretamente e que os e-mails passem por seus filtros de spam e pela proteção do firewall.

Essa campanha preliminar também garante que cliques e outras falhas nos testes de phishing sejam acompanhados em sua conta. Clique no link de phishing simulado no e-mail de teste para ter certeza de que as falhas estejam sendo acompanhadas em sua conta. Para saber mais, consulte os artigos Como criar e gerenciar campanhas de phishing. ou Como monitorar e revisar campanhas de phishing.

Dica: antes de iniciar o teste preliminar, você deve habilitar a configuração Ocultar dos relatórios para que isso não interfira em seus relatórios nem em seu Nível de risco.

Criação de uma linha de base

Após a confirmação de que seu teste de phishing preliminar foi bem-sucedido, você deverá criar uma campanha básica de teste de phishing para todos os usuários. Esse teste mostrará a Phish-prone Percentage inicial da sua organização. Considere a Phish-prone Percentage inicial como o seu ponto de partida. Use essa medida de Phish-prone Percentage para avaliar o sucesso do seu plano de treinamento de conscientização em segurança daqui em diante.

Para conhecer melhor nossas recomendações de como configurar sua campanha básica de phishing, consulte nosso Guia de melhores práticas: Configurar um teste de linha de base ou o artigo Recomendações de modelo de teste de linha de base.

Como enviar um teste de linha de base para sua equipe de TI

Outra opção que você pode considerar é enviar dois testes de linha de base de phishing: um para o seu departamento de TI ou suporte técnico e outro, mais tarde, para o restante dos funcionários. Dessa forma, quando o restante dos funcionários começar a denunciar os e-mails suspeitos, a equipe de TI ou de suporte técnico já estará ciente da situação por já ter tido a chance de participar da avaliação básica. Além disso, essa é uma ótima maneira de garantir a criação de uma lista branca efetiva dos nossos servidores de e-mail e de que seu teste de linha de base chegue à caixa de entrada de todos os usuários.

Etapa 4: Configure a Orquestração pelo AIDA

Habilite a Orquestração pelo AIDA no console do KSAT para automatizar simulações de phishing e campanhas de treinamento. A Orquestração pelo AIDA otimiza seu programa de conscientização em segurança ao gerenciar de forma inteligente o envio de phishing e o treinamento preventivo, sem a necessidade de configuração manual das campanhas. Para obter mais informações, consulte o Guia da Orquestração pelo AIDA e o artigo Visão geral técnica da Orquestração pelo AIDA.

Observação: se você não quiser começar com o treinamento e a simulação de phishing da Orquestração pelo AIDA, consulte as seções Treinamento de usuários e Campanhas contínuas de phishing, abaixo.

Etapa 5: Treinamento de usuários

Para a sua campanha inicial de treinamento de conscientização em segurança, é recomendável inscrever todos os usuários no Treinamento de conscientização em segurança da KnowBe4, com duração de 45 minutos, ou em outro curso igualmente abrangente. Para saber mais sobre o conteúdo do treinamento disponível, consulte o Guia da ModStore e da biblioteca.

Para conhecer melhor nossas recomendações de como criar sua primeira campanha de treinamento, consulte nosso Guia de melhores práticas: Como criar sua primeira campanha de treinamento.

ModStore - seleção de conteúdo para campanha de treinamento inicial

Navegue pelo Guia da ModStore e da biblioteca a fim de selecionar o conteúdo apropriado para sua campanha de treinamento inicial.

Como criar a campanha de treinamento

Para criar uma campanha de treinamento, acesse o console da KnowBe4 e selecione a guia Treinamento. Em seguida, selecione o botão + Criar campanha de treinamento, localizado na seção superior direita da página. Após a seleção desse botão, a página Criar nova campanha de treinamento será exibida.

Como habilitar a atualização de conhecimento gerada pelo AIDA

Ao criar sua campanha de treinamento, habilite as Atualizações de conhecimento geradas pelo AIDA para automatizar partes do seu treinamento de conscientização em segurança. As atualizações de conhecimento estão disponíveis para módulos de vídeo e oferecem quizzes rápidos que ajudam os usuários a revisar e reforçar os principais conceitos do treinamento recente. Para obter mais informações, consulte o artigo Como começar com o AIDA.

Etapa 6: Campanhas contínuas de phishing

Realizar campanhas contínuas de phishing é fundamental para ajudar sua organização a administrar problemas de phishing e de engenharia social.

Como automatizar campanhas de phishing com a Orquestração pelo AIDA

Habilite a Orquestração pelo AIDA no seu console do KSAT para otimizar o gerenciamento de phishing. Esse é o método recomendado para automatizar a criação e a distribuição das suas simulações contínuas de phishing. Para obter mais informações, consulte o Guia da Orquestração pelo AIDA e o artigo Visão geral técnica da Orquestração pelo AIDA.

Campanhas contínuas e manuais de phishing

Se você quiser criar e gerenciar suas campanhas de phishing manualmente, recomendamos enviar um teste de phishing a todos os seus usuários pelo menos uma vez por mês. Para fazer isso, crie uma campanha de phishing mensal de acordo com estes critérios:

  • Inclua várias categorias de e-mail e diferentes tipos de testes de phishing.
  • Espalhe os e-mails por um bom tempo, por exemplo, uma semana. Dessa forma, os usuários não saberão quando vão receber o teste de phishing.
  • Adicione os usuários reprovados no teste de phishing a um grupo de treinamento preventivo.

Além dos testes de phishing mensais enviados a todos os usuários, recomendamos a criação de testes adicionais para departamentos de alto risco ou funcionários considerados como mais vulneráveis aos ataques de phishing.
Para saber como determinar quais de seus departamentos ou funcionários são de risco muito alto para sua organização, consulte o Guia do mecanismo SmartRisk™ e de nível de risco.

Para obter mais informações sobre como criar e personalizar campanhas de phishing, consulte estes artigos:

  • Como criar e gerenciar campanhas de phishing
  • Como criar e editar modelos de e-mail e páginas de destino
  • Guia de textos escolhidos
  • Casos de uso de textos escolhidos
Dica: se você tiver adquirido o add-on SecurityCoach, é recomendável habilitar a opção de enviar e-mails de Indicadores de engenharia social (SEI) aos usuários quando eles forem reprovados no teste de phishing, mostrando-lhes o que observar da próxima vez. Se um Método de entrega for configurado no SecurityCoach, você poderá enviar os SEIs do modelo diretamente para os canais do Slack ou Microsoft Teams dos usuários em tempo real após uma falha no teste de phishing! Para saber mais, consulte nosso Guia de indicadores de engenharia social (SEI) e o artigo Coaching em tempo real com indicadores de engenharia social (SEI).

Etapa 7: Treinamento preventivo e contínuo

Como automatizar o treinamento preventivo e contínuo com a Orquestração pelo AIDA

Habilite a Orquestração pelo AIDA no console do KSAT para gerenciar suas campanhas com facilidade. Esse método é recomendado porque automatiza tanto as campanhas de treinamento preventivo quanto as de treinamento contínuo. Para obter mais informações, consulte o Guia da Orquestração pelo AIDA e o artigo Visão geral técnica da Orquestração pelo AIDA.

Observação: se você não quiser habilitar a Orquestração pelo AIDA, ainda assim poderá configurar manualmente nosso agente de treinamento preventivo do AIDA. Para ver as etapas detalhadas de configuração e as instruções de gerenciamento, consulte o Guia do treinamento automatizado pelo AIDA. Para obter uma explicação completa dos recursos do Treinamento preventivo automatizado pelo AIDA, consulte o vídeo Treinamento automatizado pelo AIDA.

Como configurar manualmente o treinamento preventivo e contínuo

Confira abaixo nossas recomendações mínimas para configurar manualmente os treinamentos de conscientização em segurança preventivos e contínuos em qualquer organização:

 

Este artigo foi útil?

Usuários que acharam isso útil: 2 de 3

Não encontrou o que estava procurando?

Fale com o suporte