IG1 IG2 IG3

Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi

Kelompok Kontrol: 14. Pelatihan Kesadaran dan Keterampilan Keamanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Latih anggota tenaga kerja tentang praktik terbaik autentikasi. Contoh topik termasuk MFA, komposisi kata sandi, dan manajemen kredensial.

Daftar Periksa Implementasi

1

Identifikasi sistem yang memerlukan autentikasi multi-faktor

2

Pilih dan terapkan solusi MFA

3

Daftarkan pengguna dan distribusikan faktor autentikasi

4

Uji MFA di semua sistem yang teridentifikasi

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

Platform simulasi phishing dan kesadaran keamanan dengan intelijen ancaman real-time dan respons insiden

Cofense · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Serangan Credential Stuffing Menggunakan Password yang Digunakan Ulang

Confidentiality

Penyerang menggunakan kredensial yang bocor dari pelanggaran pihak ketiga untuk mengakses akun perusahaan karena karyawan tidak pernah dilatih tentang keunikan password dan bahaya penggunaan ulang kredensial di seluruh layanan.

Bypass MFA Melalui Rekayasa Sosial Pengguna yang Tidak Terlatih

Confidentiality

Penyerang menipu karyawan untuk menyetujui notifikasi push MFA yang palsu karena karyawan tidak pernah dilatih tentang cara kerja serangan kelelahan MFA atau cara mengenali permintaan autentikasi yang tidak sah.

Kompromi Password Lemah melalui Brute Force

Confidentiality

Penyerang berhasil melakukan brute-force pada akun karyawan menggunakan pola password umum karena tenaga kerja belum diedukasi tentang membuat passphrase yang kuat dan unik atau menggunakan pengelola kredensial.

Kerentanan (Saat Pengamanan Tidak Ada)

Higiene Password yang Buruk di Seluruh Tenaga Kerja

Tanpa pelatihan praktik terbaik autentikasi, karyawan umumnya menggunakan ulang password, memilih kredensial yang lemah, dan menyimpan password secara tidak aman, secara dramatis meningkatkan permukaan serangan untuk serangan berbasis kredensial.

Kesalahpahaman tentang Mekanisme MFA

Karyawan yang belum dilatih tentang praktik terbaik MFA mungkin berbagi kode sekali pakai, menyetujui notifikasi push yang tidak diminta, atau gagal melaporkan upaya autentikasi yang mencurigakan.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kesadaran dan Pelatihan Keamanan

Control 14

Pengamanan Terkait di Kontrol 14

14.1 Tetapkan dan Pelihara Program Kesadaran Keamanan

14.2 Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial

14.4 Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data

14.5 Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja

14.6 Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan

14.7 Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan

14.8 Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman

14.9 Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran