IG1 IG2 IG3

Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja

Kelompok Kontrol: 14. Pelatihan Kesadaran dan Keterampilan Keamanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Latih anggota tenaga kerja untuk menyadari penyebab paparan data yang tidak disengaja. Contoh topik termasuk salah kirim data sensitif, kehilangan perangkat portabel pengguna akhir, atau menerbitkan data ke audiens yang tidak dimaksudkan.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

Platform simulasi phishing dan kesadaran keamanan dengan intelijen ancaman real-time dan respons insiden

Cofense · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Email Tidak Sengaja Berisi Data Sensitif ke Penerima yang Salah

Confidentiality

Karyawan mengirim spreadsheet yang berisi catatan keuangan pelanggan ke pihak eksternal karena salah alamat email karena mereka tidak pernah dilatih tentang risiko dan pencegahan pengiriman yang salah.

Data Sensitif Dipublikasikan ke Sistem yang Menghadap Publik

Confidentiality

Karyawan mengunggah dokumen internal yang berisi rahasia dagang ke platform kolaborasi yang dapat diakses publik karena mereka tidak dilatih untuk mengenali risiko mempublikasikan data ke audiens yang tidak dimaksudkan.

Kehilangan Perangkat Portabel Tidak Terenkripsi yang Berisi Data Sensitif

Confidentiality

Karyawan kehilangan USB drive yang berisi data sensitif tidak terenkripsi di bandara karena mereka tidak pernah diedukasi tentang risiko menyimpan data sensitif pada media portabel tanpa enkripsi.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Pelatihan tentang Skenario Paparan Data yang Tidak Disengaja

Tanpa kesadaran tentang skenario paparan tidak sengaja yang umum, karyawan tanpa sadar berbagi data sensitif melalui email yang salah alamat, izin berbagi yang tidak tepat, dan perangkat portabel yang tidak aman.

Kurangnya Kesadaran tentang Risiko Platform Berbagi Data

Karyawan yang tidak dilatih tentang risiko paparan tidak disengaja mungkin berbagi file melalui tautan publik, mengirim data sensitif di saluran yang salah, atau salah mengonfigurasi pengaturan berbagi pada platform cloud.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kesadaran dan Pelatihan Keamanan

Control 14

Pengamanan Terkait di Kontrol 14

14.1 Tetapkan dan Pelihara Program Kesadaran Keamanan

14.2 Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial

14.3 Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi

14.4 Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data

14.6 Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan

14.7 Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan

14.8 Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman

14.9 Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran