إنشاء وصيانة برنامج التوعية الأمنية
الوصف
إنشاء وصيانة برنامج للتوعية الأمنية. يجب أن يتضمن البرنامج كحد أدنى التدريب على أساس متكرر لكل عضو في القوى العاملة في المؤسسة. مراجعة وتحديث المحتوى سنويًا أو عند حدوث تغييرات مؤسسية كبيرة قد تؤثر على هذا الضمان.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة تدريب التوعية الأمنية مع محاكاة التصيد الاحتيالي ووحدات تدريب تفاعلية وإعداد تقارير الامتثال
KnowBe4 · اشتراك لكل مستخدم
منصة توعية أمنية تكيفية وتغيير سلوكي مع تدريب موجه استناداً إلى بيانات التهديدات الفعلية
Proofpoint · اشتراك لكل مستخدم
منصة محاكاة التصيد الاحتيالي والتوعية الأمنية مع استخبارات التهديدات في الوقت الفعلي والاستجابة للحوادث
Cofense · اشتراك لكل مستخدم
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
حملة تصيد على مستوى المؤسسة تستهدف قوة عاملة غير مدربة
السريةتستهدف حملة تصيد متطورة موظفين لم يتلقوا أي تدريب توعية أمنية، مما يؤدي إلى اختراق بيانات اعتماد واسع لأن الموظفين لا يستطيعون التعرف على تكتيكات الهندسة الاجتماعية.
تهديد داخلي عرضي من موظف غير واعٍ أمنياً
السلامةيقوم موظف دون علمه بتثبيت برمجيات خبيثة بالنقر على رابط خبيث أو فتح مرفق مسلّح لأنه لم يتم تثقيفه أبداً حول ممارسات الحوسبة الآمنة عبر برنامج توعية رسمي.
هجوم هندسة اجتماعية يستغل عدم وجود ثقافة أمنية
السريةينتحل مهاجم صفة مورد عبر الهاتف ويقنع موظفاً بمشاركة بيانات اعتماد النظام، وينجح لأنه لا يوجد برنامج توعية أمنية أسس ثقافة التحقق والتشكيك.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود برنامج تدريب توعية أمنية رسمي
بدون برنامج توعية أمنية راسخ، لا يتلقى الموظفون تعليماً منظماً حول التهديدات الأمنية والممارسات الآمنة أو السياسات المؤسسية، تاركاً السلوك البشري كأضعف حلقة.
موظفون جدد غير مدربين معرضون فوراً للتهديدات
يعني غياب تدريب الأمان أثناء التأهيل أن الموظفين الجدد يبدأون في التعامل مع أصول وبيانات المؤسسة دون فهم مشهد التهديدات أو دورهم في الحفاظ على الأمان.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |