IG1 IG2 IG3

تدريب أعضاء القوى العاملة على أسباب التعرض غير المقصود للبيانات

مجموعة الضابط: 14. التدريب على الوعي والمهارات الأمنية

نوع الأصل: غير محدد

وظيفة الأمان: حماية

الوصف

تدريب أعضاء القوى العاملة على أسباب التعرض غير المقصود للبيانات. تتضمن مواضيع المثال التسليم الخاطئ للبيانات الحساسة وفقدان جهاز محمول ونشر البيانات للجمهور غير المقصود.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

منصة تدريب التوعية الأمنية مع محاكاة التصيد الاحتيالي ووحدات تدريب تفاعلية وإعداد تقارير الامتثال

KnowBe4 · اشتراك لكل مستخدم

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

منصة توعية أمنية تكيفية وتغيير سلوكي مع تدريب موجه استناداً إلى بيانات التهديدات الفعلية

Proofpoint · اشتراك لكل مستخدم

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

منصة محاكاة التصيد الاحتيالي والتوعية الأمنية مع استخبارات التهديدات في الوقت الفعلي والاستجابة للحوادث

Cofense · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

إرسال بريد إلكتروني عرضي لبيانات حساسة إلى المستلم الخطأ

السرية

يرسل موظف جدول بيانات يحتوي على سجلات مالية للعملاء إلى طرف خارجي بعنونة البريد الإلكتروني بشكل خاطئ لأنه لم يُدرّب أبداً على مخاطر ومنع التسليم الخاطئ.

نشر بيانات حساسة إلى نظام مواجه للجمهور

السرية

يحمّل موظف مستنداً داخلياً يحتوي على أسرار تجارية إلى منصة تعاون متاحة للعموم لأنه لم يُدرّب على التعرف على مخاطر نشر البيانات لجماهير غير مقصودة.

فقدان جهاز محمول غير مشفر يحتوي على بيانات حساسة

السرية

يفقد موظف محرك USB يحتوي على بيانات حساسة غير مشفرة في مطار لأنه لم يُثقف أبداً حول مخاطر تخزين البيانات الحساسة على وسائط محمولة بدون تشفير.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود تدريب على سيناريوهات تعرض البيانات غير المقصود

بدون الوعي بسيناريوهات التعرض العرضي الشائعة، يشارك الموظفون دون علم البيانات الحساسة عبر رسائل بريد إلكتروني موجهة بشكل خاطئ وصلاحيات مشاركة غير مناسبة وأجهزة محمولة غير مؤمنة.

عدم الوعي بمخاطر منصات مشاركة البيانات

قد يشارك الموظفون غير المدربين على مخاطر التعرض غير المقصود ملفات عبر روابط عامة أو ينشرون بيانات حساسة في قنوات خاطئة أو يكونون إعدادات المشاركة بشكل خاطئ على المنصات السحابية.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة التوعية والتدريب الأمني

Control 14

الإجراءات الوقائية ذات الصلة في الضابط 14

14.1 إنشاء وصيانة برنامج التوعية الأمنية

14.2 تدريب أعضاء القوى العاملة على التعرف على هجمات الهندسة الاجتماعية

14.3 تدريب أعضاء القوى العاملة على أفضل ممارسات المصادقة

14.4 تدريب القوى العاملة على أفضل ممارسات التعامل مع البيانات

14.6 تدريب أعضاء القوى العاملة على التعرف على الحوادث الأمنية والإبلاغ عنها

14.7 تدريب القوى العاملة على كيفية تحديد والإبلاغ عن تحديثات الأمان المفقودة على أصول المؤسسة

14.8 تدريب القوى العاملة على مخاطر الاتصال بالشبكات غير الآمنة ونقل بيانات المؤسسة عبرها

14.9 إجراء تدريب توعية ومهارات أمنية خاص بالأدوار