BYOS – Bring your own security?

Jag har kikat lite i rapporten från den intervjubaserade undersökningen framtagen av företaget Coalfire ”Employees Speak Up About Their Mobile Devices in the Office, And what it means for BYOD security”.

Undersökningen omfattar 400 medarbetare i olika amerikanska organisationer, dock inga IT- eller IT-säkerhetsmedarbetare.

I undersökningen tillfrågades deltagarna om tre olika mobila enheter: Bärbara datorer, smartphones  och ”plattor”. 68 procent uppgav att de använder en bärbar dator och 31 procent av dessa bärbara datorer var inköpta av arbetsgivaren. I rapporten framkommer att säkerheten för de bärbara datorerna var avsevärt mycket bättre än för övriga enheter. Smartphones är förstås populära och används av 47 procent av de tillfrågade. Här var dock ägandeskapet helt annorlunda: färre än 10 procent av smartphones ägs av arbetsgivaren. Vad gäller plattor så var de inte alls lika vanligt förekommande. Endast 20 procent använde en platta av något slag och den ägs så gott som alltid av medarbetaren.

Coalfire, vars huvudfokus är IT-revisioner, tycker jag kommer fram till en hel del intressanta, men kanske inte helt förvånande, iakttagelser. Jag summerar några av dem nedan:

• 84 procent av de tillfrågade uppgav att de använder sina smartphones för både arbetet och privat. Oftast inget större problem, MEN
• 47 procent av de tillfrågade anger att de inte har lösenord på sina smartphones (42 procent för plattor), vilket omedelbart blir ett problem om telefonen skulle hamna i fel händer.
• 51 procent av de tillfrågade uppgav att deras arbetsgivare saknade möjlighet att på distans radera data på smartphones. Inte bara medarbetarna som behöver höja sitt säkerhetsmedvetande – även IT-avdelningarna verkar ha en del att ta tag i här?
• 30 procent av smartphone-användarna säger att de har tillgång till känslig information 16 procent var osäkra på om de har tillgång till känslig information. Svaren som avsåg användande av plattor var ungefär desamma (34 procent respektive 13 procent).
• 75 procent av medarbetarna som deltog i undersökningen menade att de aldrig fått någon information eller utbildning kring mobil säkerhet. Majoriteten av de intervjuade kände inte heller till några regelverk på arbetsplatsen kring mobilt användande eller sociala medier. Detta kanske i alla fall delvis förklarar utfallet av intervjusvaren?

Ytterligare något för oss som jobbar in säkerhetsområdet att kontemplera över när det gäller smartphones:

• 32 procent ansluter till publika trådlösa nätverk
• 37 procent säger att de har klickat på länkar från banker (en vanlig ”phishing-taktik”)
• 36 procent återanvänder sina lösenord
• 60 procent skriver ned sina lösenord på papper

Rapporten i sin helhet finns här (OBS! Registrering krävs). Coalfire har avslutat rapporten med några enkla, men väl genomtänkta råd. Det mystiska är väl kanske att vi alla (säkerhetsansvariga och konsulter) vet vad som borde göras, men att verkligheten ändå ser ut som den gör?

// Annika Biberg
Informationssäkerhetskonsult SAFESIDE SOULTIONS AB