Pelatihan Kesadaran dan Keterampilan Keamanan
Menetapkan dan memelihara program kesadaran keamanan untuk memengaruhi perilaku tenaga kerja agar sadar akan keamanan dan terampil dengan tepat untuk mengurangi risiko keamanan siber bagi perusahaan.
Mengapa Kontrol Ini Penting?
Tindakan manusia memainkan peran penting dalam keberhasilan atau kegagalan program keamanan perusahaan. Lebih mudah bagi penyerang untuk memikat pengguna mengklik tautan atau membuka lampiran email untuk memasang malware guna masuk ke perusahaan, daripada menemukan eksploitasi jaringan untuk melakukannya secara langsung. Pengguna sendiri, baik secara sengaja maupun tidak sengaja, dapat menyebabkan insiden akibat penanganan data sensitif yang tidak tepat, pengiriman email berisi data sensitif ke penerima yang salah, kehilangan perangkat pengguna akhir portabel, penggunaan kata sandi yang lemah, atau penggunaan kata sandi yang sama dengan yang digunakan di situs publik. Tidak ada program keamanan yang dapat secara efektif mengatasi risiko siber tanpa sarana untuk menangani kerentanan manusia yang mendasar ini.
Templat Kebijakan Terkait
Pengamanan (9)
| ID | Judul | Fungsi | IG | Item Daftar Periksa | Bukti |
|---|---|---|---|---|---|
| 14.1 | Tetapkan dan Pelihara Program Kesadaran Keamanan | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.2 | Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.3 | Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi | Lindungi |
IG1
IG2
IG3
|
4 | 2 |
| 14.4 | Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.5 | Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.6 | Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.7 | Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.8 | Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 14.9 | Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran | Lindungi |
IG2
IG3
|
2 | 1 |
Detail Verifikasi Audit
Tetapkan dan pelihara program kesadaran keamanan. Tujuan program kesadaran keamanan adalah untuk mendidik tenaga kerja perusahaan tentang cara berinteraksi dengan aset dan data perusahaan secara aman. Lakukan pelatihan saat penerimaan karyawan dan, minimal, setiap tahun. Tinjau dan perbarui konten setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih anggota tenaga kerja untuk mengenali serangan rekayasa sosial, seperti phishing, pretexting, dan tailgating.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih anggota tenaga kerja tentang praktik terbaik autentikasi. Contoh topik termasuk MFA, komposisi kata sandi, dan manajemen kredensial.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Teknis | Status pendaftaran MFA dan konfigurasi penegakan | Ditinjau setiap bulan |
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih anggota tenaga kerja tentang cara mengidentifikasi dan menyimpan, mentransfer, mengarsipkan, dan menghancurkan data sensitif dengan benar. Ini juga termasuk melatih anggota tenaga kerja tentang praktik terbaik layar bersih dan meja bersih, seperti mengunci layar mereka saat meninggalkan aset perusahaan, menghapus papan tulis fisik dan virtual di akhir rapat, dan menyimpan data dan aset secara aman.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih anggota tenaga kerja untuk menyadari penyebab paparan data yang tidak disengaja. Contoh topik termasuk salah kirim data sensitif, kehilangan perangkat portabel pengguna akhir, atau menerbitkan data ke audiens yang tidak dimaksudkan.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih anggota tenaga kerja untuk dapat mengenali insiden potensial dan mampu melaporkan insiden tersebut.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih tenaga kerja untuk memahami cara memverifikasi dan melaporkan patch perangkat lunak yang kedaluwarsa atau kegagalan dalam proses dan alat otomatis. Bagian dari pelatihan ini harus mencakup pemberitahuan kepada personel TI tentang kegagalan dalam proses dan alat otomatis.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Latih anggota tenaga kerja tentang bahaya terhubung ke, dan mengirimkan data melalui, jaringan yang tidak aman untuk aktivitas perusahaan. Jika perusahaan memiliki pekerja jarak jauh, pelatihan harus mencakup panduan untuk memastikan bahwa semua pengguna mengkonfigurasi infrastruktur jaringan rumah mereka secara aman.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Lakukan dan pelihara pelatihan kesadaran keamanan khusus peran. Contoh implementasi termasuk kursus administrasi sistem yang aman untuk profesional TI, pelatihan OWASP® Top 10 dan kesadaran pengembangan aplikasi yang aman untuk pengembang, dan pelatihan ancaman orang dalam tingkat lanjut untuk karyawan dengan tingkat akses tinggi.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |