IG1 IG2 IG3

Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman

Kelompok Kontrol: 14. Pelatihan Kesadaran dan Keterampilan Keamanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Latih anggota tenaga kerja tentang bahaya terhubung ke, dan mengirimkan data melalui, jaringan yang tidak aman untuk aktivitas perusahaan. Jika perusahaan memiliki pekerja jarak jauh, pelatihan harus mencakup panduan untuk memastikan bahwa semua pengguna mengkonfigurasi infrastruktur jaringan rumah mereka secara aman.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

Platform simulasi phishing dan kesadaran keamanan dengan intelijen ancaman real-time dan respons insiden

Cofense · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Intersepsi Kredensial pada Wi-Fi Publik

Confidentiality

Karyawan jarak jauh terhubung ke jaringan Wi-Fi publik terbuka dan mengakses sumber daya perusahaan tanpa VPN karena mereka tidak pernah dilatih tentang risiko jaringan tidak aman, memungkinkan penyerang mencegat kredensial.

Serangan Man-in-the-Middle pada Jaringan Rumah yang Tidak Aman

Confidentiality

Penyerang mengkompromikan router rumah pekerja jarak jauh yang dikonfigurasi default dan melakukan serangan man-in-the-middle, mencegat data perusahaan karena karyawan tidak pernah dilatih untuk mengamankan jaringan rumah mereka.

Serangan Evil Twin Wi-Fi di Lokasi Perjalanan

Confidentiality

Penyerang membuat access point palsu yang meniru jaringan Wi-Fi hotel, dan karyawan yang bepergian terhubung dan mentransmisikan data perusahaan sensitif karena mereka tidak memiliki pelatihan tentang bahaya jaringan tidak aman.

Kerentanan (Saat Pengamanan Tidak Ada)

Pekerja Jarak Jauh Tidak Menyadari Risiko Keamanan Jaringan

Tanpa pelatihan tentang bahaya jaringan tidak aman, karyawan jarak jauh secara rutin terhubung ke jaringan Wi-Fi tidak tepercaya, menggunakan konfigurasi router rumah default, dan mentransmisikan data perusahaan melalui koneksi tidak terenkripsi.

Tidak Ada Panduan tentang Mengamankan Infrastruktur Jaringan Rumah

Pekerja jarak jauh yang belum menerima pelatihan keamanan jaringan beroperasi pada jaringan rumah dengan password default, firmware usang, dan tanpa segmentasi jaringan, menciptakan jalur bagi penyerang.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kesadaran dan Pelatihan Keamanan

Control 14

Pengamanan Terkait di Kontrol 14

14.1 Tetapkan dan Pelihara Program Kesadaran Keamanan

14.2 Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial

14.3 Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi

14.4 Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data

14.5 Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja

14.6 Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan

14.7 Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan

14.9 Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran