Laut Forrester Research sollte eine Mobile Policy aus vier Teilen bestehen:
einem Mobility-Framework, das zunächst einmal die Richtlinien für die unterstützten Geräte und Anwendungen schafft;
einer Security-Policy, die danach festlegt, durch welche Techniken und Prozesse die Daten auf den mobilen Geräten und den Übertragungswegen geschützt sind;
einem IT-getriebenen Geräte- und Support-Management, das die mobilen Geräte und Anwender über Remote-Helpdesks, Anwendungsinstallationen und regelmäßige Pflege dauerhaft unterstützt;
einer dezidierten Rollout- und Schulungsplanung, um den mobilen Anwendern die Einführung und Wartung neuer und bestehender Regeln so angenehm wie möglich zu gestalten.
Zu den einzelnen Punkten halten die Analysten weiterführende Vorschläge parat:
Mobility Framework: Forrester empfiehlt, dass nur registrierte Geräte Zugriff auf das Unternehmensnetz bekommen. Ebenso sollten die Richtlinien dazu verpflichten, dass nur zwei Betriebssysteme eingesetzt werden dürfen. Dies vermindert die Abhängigkeit von einem Hersteller sowie einer beschränkten Modellauswahl und hält gleichzeitig den Verwaltungsaufwand in Grenzen. In den USA haben sich in vielen Unternehmen bereits Windows Mobile und Blackberry-OS durchgesetzt, während in Europa Symbian eine Alternative ist. Zu guter Letzt muss das Framework Angaben zu den erlaubten Applikationen auf den Endgeräten und den hierarchischen Positionen der Mitarbeiter, die ein mobiles Gerät einsetzen dürfen, enthalten.
Security-Policy: Als grundlegende Maßnahme bei der Einrichtung neuer Geräte ist eine Mobile-Security-Software-Suite zu installieren. Zur Authentifizierung des Benutzers ist ein Passwort Pflicht. Als Best Practice hat sich eine automatische Neuabfrage der Anmeldedaten in Zeitintervallen von 30 Minuten bis vier Stunden erwiesen, je nach Nutzerverhalten. Nach dreimaliger Falscheingabe sollte das Gerät gesperrt und erst nach telefonischer Rücksprache wieder freigeschaltet werden. Für den Fall, dass ein mobiles Gerät verloren geht, sollten Unternehmen eine sofortige Bekanntgabe des Verlustes vorschreiben - ohne Wenn und Aber. Nur dann kann die IT das Gerät sperren, auch während der Anwender vielleicht weiterhin danach sucht. Kann er es innerhalb von 24 Stunden nicht wiederfinden, sollte das Gerät dauerhaft aus dem Unternehmensnetz ausgesperrt bleiben. Im günstigsten Fall ist sogar eine Fernlöschung aller Daten möglich und unbedingt vorzunehmen ("Remote Wipe"-Funktion).
Geräte- und Support-Management: Die technische Infrastruktur richtet sich an den Geschäftsprozessen aus. IT- und Business-Verantwortliche müssen gemeinsame Richtlinien erarbeiten und deren regelmäßige Umsetzung genau terminieren. Um der rapiden technischen Entwicklung Sorge zu tragen, sollten Notebooks alle 26 bis 32 Monate, Smartphones sogar alle 18 Monate rundum ausgetauscht werden. Die Verwaltung aller unternehmenseigenen Geräte erfolgt zentralisiert. Vierteljährliche Treffen der IT-Abteilung mit den Carriern bieten sich an, um technische Änderungen zu besprechen. Im Idealfall baut die IT ein unternehmensübergreifendes Team auf, das Geräte und Applikationen auf ihre Nutzerfreundlichkeit hin testet.
Rollout- und Schulungsplanung: Jede IT-Abteilung sollte speziell für mobile Endgeräte geschultes Personal beschäftigen, das den Anwendern im Helpdesk zur Verfügung steht. Im Notfall können auch externe Dienstleister diese Aufgabe übernehmen, solange es nicht um spezifische Anliegen geht. Damit alle Mitarbeiter über die geltenden Sicherheitsrichtlinien Bescheid wissen, sollten diese explizit veröffentlicht werden und auch später immer schnell auffindbar sein. Web-basierende Trainingsseminare, im Intranet publizierte Handbücher und Flash-Demonstrationen helfen darüber hinaus, das Wissen der Mitarbeiter zu erweitern und zu erhalten. Langfristig sollte jede Abteilung selbst das für sie notwendige Know-how besitzen, um den unternehmensweit tätigen Helpdesk zu entlasten. (sh)
