Microsoft deelt 'best practices' voor BYOD

Volgens Arsenault moet invoering van Bring Your Own Device beginnen met het formuleren van een BYOD-strategie. Daarin moet vastgelegd worden:

• wat de organisatie wil bereiken met BYOD
• welke competenties nodig zijn om die doelstellingen te realiseren
• een plan voor het ondersteunen en beveiligen van toegang vanaf privé-apparaten
• een strategie voor controle en implementatie

Microsoft vraagt daarbij van zijn medewerkers die eigen apparatuur willen aansluiten op zijn netwerk dat ze:

• beveiligingsmaatregelen accepteren op privé-smartphones om e-mail te kunnen openen
• hun telefoon zo instellen dat deze zich afsluit na een periode van inactiviteit
• het mogelijk maken om op afstand organisatiegegevens te wissen van een apparaat dat zoek of gestolen is

Houd zakelijk en privé gescheiden

Daarbij moet men er volgens Arsenault voor zorgen dat organisatiegegevens gescheiden worden gehouden van de persoonlijke gegevens op een privé-apparaat, en dat de gegevens van de organisatie ook apart beheerd kunnen worden. Dat betekent ook dat er eisen worden gesteld aan de apparaten die op het netwerk aansluiten. Apparaten waarmee men toegang wil hebben tot de zakelijke e-mailsystemen van Microsoft, moeten gegevens op het apparaat versleutelen, verplicht gebruik maken van een PIN-code en beheren en updaten van op afstand mogelijk maken zodat de bedrijfsgegevens en -toepassingen optimaal beveiligd blijven.

Gelaagde toegang

Een derde maatregel die Arsenault adviseert is, vast te leggen onder welke voorwaarden men toegang krijgt tot welke gegevens. Bij Microsoft is dat bijvoorbeeld afhankelijk van de vraag

• of een medewerker een niet-zakelijke identiteit gebruikt, zoals een persoonlijk e-mailaccount, of een vertrouwde ID uit de directory van het bedrijf
• of het apparaat geauthenticeerd is en via een mobile device management-toepassing onder beheer van het bedrijf staat, of volledig onder controle van de eigenaar staat
• of het apparaat gebruikt wordt op een bekende locatie, of op een nieuwe, onbekende externe locatie.

Afhankelijk van het antwoord op deze vragen krijgt een apparaat volledige toegang tot netwerk en data, wel toegang tot het netwerk maar niet tot de data, alleen toegang tot webapplicaties dan wel alleen toegang tot het netwerk voor gasten.