IG2 IG3

Lakukan dan Pelihara Pelatihan Kesadaran Keamanan Khusus Peran

Kelompok Kontrol: 14. Pelatihan Kesadaran dan Keterampilan Keamanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Lakukan dan pelihara pelatihan kesadaran keamanan khusus peran. Contoh implementasi termasuk kursus administrasi sistem yang aman untuk profesional TI, pelatihan OWASP® Top 10 dan kesadaran pengembangan aplikasi yang aman untuk pengembang, dan pelatihan ancaman orang dalam tingkat lanjut untuk karyawan dengan tingkat akses tinggi.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

Platform simulasi phishing dan kesadaran keamanan dengan intelijen ancaman real-time dan respons insiden

Cofense · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Administrator Sistem Salah Mengonfigurasi Kontrol Keamanan Kritis

Confidentiality

Administrator TI secara tidak sengaja membuka aturan firewall terlalu luas atau salah mengonfigurasi grup keamanan karena mereka tidak pernah menerima pelatihan khusus peran tentang praktik administrasi sistem yang aman.

Developer Memperkenalkan Kerentanan OWASP Top 10 ke Produksi

Integrity

Developer web men-deploy kode yang mengandung kerentanan injection karena mereka tidak pernah diberikan pelatihan khusus peran tentang praktik pengkodean aman dan kelemahan aplikasi web umum.

Eksekutif Ditargetkan oleh Serangan Whaling Tingkat Lanjut

Confidentiality

Eksekutif C-level menjadi korban serangan whaling yang sangat ditargetkan karena mereka tidak pernah menerima pelatihan kesadaran rekayasa sosial tingkat lanjut yang sesuai untuk peran profil tinggi mereka.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Pelatihan Keterampilan Keamanan Khusus Peran

Tanpa pelatihan khusus peran, personel di posisi khusus seperti developer, administrator sistem, dan eksekutif tidak memiliki pengetahuan keamanan yang ditargetkan yang diperlukan untuk melindungi terhadap ancaman yang spesifik untuk fungsi mereka.

Pelatihan Umum Tidak Memadai untuk Peran Teknis

Pelatihan kesadaran umum saja tidak membekali developer dengan pengetahuan pengkodean aman atau administrator dengan keahlian pengerasan, meninggalkan celah keamanan teknis kritis pada peran berdampak tinggi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Kesadaran dan Pelatihan Keamanan

Control 14

Pengamanan Terkait di Kontrol 14

14.1 Tetapkan dan Pelihara Program Kesadaran Keamanan

14.2 Latih Anggota Tenaga Kerja untuk Mengenali Serangan Rekayasa Sosial

14.3 Latih Anggota Tenaga Kerja tentang Praktik Terbaik Autentikasi

14.4 Latih Tenaga Kerja tentang Praktik Terbaik Penanganan Data

14.5 Latih Anggota Tenaga Kerja tentang Penyebab Paparan Data yang Tidak Disengaja

14.6 Latih Anggota Tenaga Kerja tentang Mengenali dan Melaporkan Insiden Keamanan

14.7 Latih Tenaga Kerja tentang Cara Mengidentifikasi dan Melaporkan Jika Aset Perusahaan Mereka Kehilangan Pembaruan Keamanan

14.8 Latih Tenaga Kerja tentang Bahaya Menghubungkan dan Mengirimkan Data Perusahaan melalui Jaringan yang Tidak Aman