Исследование защищенности компьютерных устройств, использующих мобильную связь (iPhone-ов, iPad-ов и других популярных смартфонов, планшетных ПК и ноутбуков), проведенное ассоциацией ISACA (Information Systems Audit and Control Association — Ассоциация Аудита и Контроля Информационных Систем), показало: 58% из более 100 компаний-респондентов считают, что наибольшие риски для информационной безопасности предприятия представляют собой мобильные устройства, находящиеся в личном пользовании их служащих. При этом 44% организаций осознают, что данные, размещенные на таких персональных устройствах, абсолютно не защищены, а 27% хорошо представляют риски от потери такого личного устройства.

Но, несмотря на это, только 49% компаний сообщили, что у них существует и поддерживается политики безопасности для мобильных устройств, используемые служащими, а в 32% фирм существование таких политик номинальное: они есть, но не актуализируются, и пользователи о них зачастую даже не знают.

Респонденты ISACA неоднозначно определили соотношение риска и преимуществ от использования мобильных устройств: 37% опрошенных считает, что риск превосходит преимущества, сравнимыми оба показателя назвали 36% опрошенных, а 27% уверены, что пользы от мобильных устройств больше, чем возможные риски. Вместе с тем, практически все ИБ-специалисты полагают, что уровень риска определяется тем, как сконфигурированы функции защиты устройства и поведением самих пользователей.

Вывод аналитиков ISACA не очень утешительный: ИБ-специалисты организаций, к сожалению, не имеют четких правил контроля таких персональных устройств. Так, 13% респондентов считают, что если личное устройство подключается к сети предприятия, то надо контролировать все функции устройства, 10% — не видят необходимости контроля вообще, 15% ратуют за установку на устройстве криптографических средств, а 22% полагают, что контроль должен быть, но частичный. (А между тем, исследование выявило, что 42% респондентов разрешают загрузку практически любых предлагаемых в Сети приложений, а 46% отказывают в таких предложениях.) По мнению аналитиков ISACA, отсутствие распространенных и подтвержденных практикой методик обеспечения защищенности мобильных компьютерных устройств объясняется тем, что они «появились» в сетях предприятия совсем недавно.

Оценка респондентами суммарного уровня управления рисками в их компаниях показала, что только 23% считают управление рисками очень эффективным, 14% дали негативную оценку, а 58% оценили уровень как средний. При этом главной движущей силой для внедрения систем управления рисками 26% опрошенных считают регулирующие органы и требования по соответствию их нормам, а 22% объясняют реализацию этих методик желанием избежать инцидентов и предупредить появление брешей в защите. Главным же барьером (37%) для внедрения систем управления рисками ИБ-специалисты считают недостаточное финансирование.