IG2 IG3

إجراء تدريب توعية ومهارات أمنية خاص بالأدوار

مجموعة الضابط: 14. التدريب على الوعي والمهارات الأمنية

نوع الأصل: غير محدد

وظيفة الأمان: حماية

الوصف

إجراء تدريب توعية ومهارات أمنية خاص بالأدوار. تتضمن مواضيع المثال تدريب مسؤولي النظام على تقوية الأنظمة وتدريب مطوري التطبيقات على ممارسات البرمجة الآمنة وإدارة المشتريات والحسابات المالية على كشف عمليات اختراق البريد الإلكتروني التجاري.

قائمة التحقق من التطبيق

1

مراجعة متطلبات الضمانة مقارنة بالوضع الحالي

2

تطوير خطة تنفيذ بجدول زمني ومراحل رئيسية

3

تنفيذ الضوابط والإجراءات المطلوبة

4

التحقق من التنفيذ من خلال الاختبار والتدقيق

5

توثيق التنفيذ وتحديث الإجراءات التشغيلية

توصيات الأدوات

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

منصة تدريب التوعية الأمنية مع محاكاة التصيد الاحتيالي ووحدات تدريب تفاعلية وإعداد تقارير الامتثال

KnowBe4 · اشتراك لكل مستخدم

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

منصة توعية أمنية تكيفية وتغيير سلوكي مع تدريب موجه استناداً إلى بيانات التهديدات الفعلية

Proofpoint · اشتراك لكل مستخدم

Cofense PhishMe Gartner MQ Challenger, Security Awareness Training 2024

منصة محاكاة التصيد الاحتيالي والتوعية الأمنية مع استخبارات التهديدات في الوقت الفعلي والاستجابة للحوادث

Cofense · اشتراك لكل مستخدم

التهديدات والثغرات (CIS RAM)

سيناريوهات التهديد

مسؤول نظام يُكوّن ضابط أمان حرجاً بشكل خاطئ

السرية

يفتح مسؤول تقنية معلومات عن غير قصد قاعدة جدار حماية بشكل واسع جداً أو يكوّن مجموعة أمان بشكل خاطئ لأنه لم يتلق أبداً تدريباً خاصاً بالدور على ممارسات إدارة النظام الآمنة.

مطور يُدخل ثغرة OWASP Top 10 في الإنتاج

السلامة

ينشر مطور ويب كوداً يحتوي على ثغرة حقن لأنه لم يُقدم له أبداً تدريب خاص بالدور على ممارسات الترميز الآمن وعيوب تطبيقات الويب الشائعة.

مدير تنفيذي مستهدف بهجوم تصيد متقدم

السرية

يقع مدير تنفيذي على مستوى C ضحية لهجوم تصيد متقدم موجه بشكل كبير لأنه لم يتلق أبداً تدريب التوعية بالهندسة الاجتماعية المتقدمة المناسب لدوره البارز.

الثغرات (عند غياب الإجراء الوقائي)

عدم وجود تدريب مهارات أمنية خاصة بالدور

بدون تدريب خاص بالدور، يفتقر الموظفون في المناصب المتخصصة مثل المطورين ومسؤولي النظام والمديرين التنفيذيين إلى المعرفة الأمنية المستهدفة المطلوبة للحماية من التهديدات الخاصة بوظائفهم.

تدريب عام غير كافٍ للأدوار التقنية

لا يجهز تدريب التوعية العام وحده المطورين بمعرفة الترميز الآمن أو المسؤولين بخبرة التقوية، تاركاً فجوات أمنية تقنية حرجة في الأدوار ذات التأثير العالي.

متطلبات الأدلة

النوع	عنصر الدليل	تكرار الجمع
وثيقة	وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة)	يُراجع سنوياً

قوالب السياسات ذات الصلة

سياسة التوعية والتدريب الأمني

Control 14

الإجراءات الوقائية ذات الصلة في الضابط 14

14.1 إنشاء وصيانة برنامج التوعية الأمنية

14.2 تدريب أعضاء القوى العاملة على التعرف على هجمات الهندسة الاجتماعية

14.3 تدريب أعضاء القوى العاملة على أفضل ممارسات المصادقة

14.4 تدريب القوى العاملة على أفضل ممارسات التعامل مع البيانات

14.5 تدريب أعضاء القوى العاملة على أسباب التعرض غير المقصود للبيانات

14.6 تدريب أعضاء القوى العاملة على التعرف على الحوادث الأمنية والإبلاغ عنها

14.7 تدريب القوى العاملة على كيفية تحديد والإبلاغ عن تحديثات الأمان المفقودة على أصول المؤسسة

14.8 تدريب القوى العاملة على مخاطر الاتصال بالشبكات غير الآمنة ونقل بيانات المؤسسة عبرها