IG1 IG2 IG3

Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan

Kelompok Kontrol: 14. Pelatihan Kesadaran dan Keterampilan Keamanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Latih tenaga kerja untuk memahami cara memverifikasi dan melaporkan patch perangkat lunak yang kedaluwarsa atau kegagalan dalam proses dan alat otomatis. Bagian dari pelatihan ini harus mencakup pemberitahuan kepada personel TI tentang kegagalan dalam proses dan alat otomatis.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

Platform simulasi phishing dan kesadaran keamanan dengan intelijen ancaman real-time dan respons insiden

Cofense · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Kerentanan yang Diketahui pada Sistem yang Tidak Ditambal

Integrity

Penyerang mengeksploitasi kerentanan yang diungkapkan secara publik pada sistem di mana patching otomatis gagal, dan kegagalan tidak dilaporkan karena pengguna tidak dilatih untuk mengenali atau melaporkan pembaruan keamanan yang hilang.

Jendela Paparan yang Diperpanjang dari Kegagalan Patch yang Tidak Dilaporkan

Availability

Mekanisme pembaruan otomatis endpoint rusak secara diam-diam, meninggalkan sistem tidak ditambal selama berbulan-bulan karena karyawan yang menggunakan perangkat tidak pernah dilatih untuk memverifikasi status patch atau melaporkan anomali.

Kerentanan (Saat Pengamanan Tidak Ada)

Pengguna Tidak Mampu Mengidentifikasi Pembaruan Keamanan yang Hilang

Tanpa pelatihan tentang cara memverifikasi status patch perangkat lunak, karyawan tidak dapat mengenali kapan sistem mereka sudah usang atau kapan alat patching otomatis telah gagal.

Tidak Ada Proses bagi Pengguna untuk Melaporkan Kegagalan Alat Otomatis

Karyawan yang tidak dilatih tentang pelaporan kegagalan pembaruan tidak mengeskalasi masalah ketika mereka melihat perangkat lunak sudah usang, meninggalkan TI tidak menyadari celah patching di seluruh armada.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kesadaran dan Pelatihan Keamanan

Control 14

Pengamanan Terkait di Kontrol 14

14.1 Tetapkan dan Pelihara Program Kesadaran Keamanan

14.2 Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial

14.3 Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi

14.4 Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data

14.5 Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja

14.6 Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan

14.8 Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman

14.9 Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran