All posts tagged audittrail

Audit, audit trail of audit Zand vangen - foto: Eric Burgerlogboek is een functionaliteit waarmee gebruikers- en systeemhandelingen kunnen worden vastgelegd voor latere referentie of verantwoording. Het was en is een eis in de normen voor voor compliant recordsmanagement. In server gebaseerde document management systemen was een audit functionaliteit al standaard aanwezig. Vaak werd de functie uitgeschakeld door beheerders, omdat het een te grote impact had op de performance: het is allemaal mooi, die compliance, maar het moet de werkzaamheden niet teveel gaan verstoren. Ook in SharePoint on premise bestond de functie al sinds 2007, in de Nederlandse versie onder de onmogelijke naam Controle instellingen voor de siteverzameling. Deze moest bewust aangeschakeld worden voor een sitecollectie en geconfigureerd met keuze uit te bewaren handelingen plus de periodieke opslag van het logboek (in Excel formaat). Ook in SharePoint Online is deze functionaliteit aanwezig. Een discussie over het al dan niet vastleggen van zoekgedrag van medewerkers kon het gevolg zijn.

Office 365 gaat met auditing heel anders om. Inmiddels is het default ingeschakeld, logt het meer dan honderd specifieke gebruikers-en systeemhandelingen, bestrijkt het de gehele tenant – niet alleen SharePoint – en wordt de log afhankelijk van abonnement en export korter of langer bewaard. Dat roept nieuwe vragen op. Lees verder

Microsoft mochtVeiligheidsmaatregel - foto: Eric Burger recentelijk nog significante stijgingen van de verkoop van Office 365 abonnementen noteren. Waar SharePoint in Office 365  – sinds 2011 op de markt – aanvankelijk in functionaliteiten achterliep op  SharePoint on premise, biedt de cloudversie van SharePoint sneller en frequenter nieuwe functionaliteiten dan de on premise variant. En lijkt de business nu steeds zelfverzekerder de keuze voor de cloud te maken. Check ook vooral deze boeiende presentatie van Dan Holme op SPC14 over de veranderende kijk op de relatie business/ICT door de cloud. Mooi allemaal, die voortvarendheid, maar hoe zat het ook weer met compliance, het werken volgens externe regelgeving en normen en zelf opgelegde regels en afspraken? Zijn we anders gaan denken over bezwaren tegen de cloud? Lees verder

Ik heb geen statistieken bij de hand, maar het lijkt er op dat 2012-2013 voor veel Nederlandse bedrijven en instellingen de migratie van SharePoint 2007 naar 2010 markeert. En dat SharePoint 2013 ‘eerst zien dan geloven’ is voor de ICT-manager. Terecht schrijft Michal Pisarek in zijn blog ‘The Myth of the SharePoint Upgrade’ dat upgraden naar 2013 niet alle problemen vanzelf oplost en dat organisaties zichzelf te graag voor de gek houden (‘deze 2013 versie zal pas echt tot gebruikersacceptatie leiden’ of ‘upgraden is gewoon even een technische aangelegenheid’).

Pisarek stelt dat we eigenlijk eerst even moeten stilstaan bij SharePoint successen en uitdagingen in onze huidige versie. Welke issues zijn het waard om op te pakken en kan je die oplossen met de nieuwe versie? Verder zal je moeten bedenken welke eisen de business stelt, want anders blijven die nieuwe features in SharePoint gewoon ‘features’, in plaats van ‘oplossingen’. En stel de meest dringende eisen met elkaar vast, om vervolgens te bepalen of ze met een upgrade zijn op te lossen, of wellicht met slimmer inrichten van de huidige omgeving. Natuurlijk doen deze nuanceringen niets af aan de aantrekkelijke verbeteringen in SharePoint 2013: drag-and-drop, geïntegreerde FASTsearch, verbeterde email-management integratie, synchronisatiemogelijkheden, meer social functionaliteit, uitbreiding legal hold functies. Om maar wat te noemen. Goed stuk van Pisarek, aanbevolen.

Als je in je bedrijf of organisatie streeft naar consolidatie van je contentmanagement-, documentmanagement- en recordsmanagement applicaties, dan is SharePoint wellicht je platform. Maar de uitdagingen voor recordsmanagement en zaakgericht werken blijven in 2010 en 2013 vrijwel even groot. Iemand vroeg me pas welke verbeteringen ik dan graag aan SharePoint zou willen aanbrengen om die uitdagingen mee te lijf te gaan. Ik denk dat ik zo ’n beetje tot het zelfde lijstje zou komen als Bruce Miller’s RIMtech in september 2011, in Managing Records in SharePoint 2010 Version 2.0. Het rapport, door ARMA ook als boek uitgebracht, gaat uit van een toetsing van out-of-the-box SharePoint 2010 aan de US DoD 5015.2-STD eisen voor recordkeeping systemen. Een beperktere sub-set daarvan noemt Miller de F1000 (Fortune 1000 bedrijven) eisen, voor bedrijven die wel aan geformaliseerd recordsmanagement willen doen, maar niet onderworpen hoeven te zijn aan de zeer strenge Department of Defense normen. Vanuit deze twee normen sets komt Miller tot een waardering van SharePoint 2010, waarbij hij – samengevat – tien tekortkomingen vindt ten opzichte van de informele F1000-norm en elf daar op aanvullende eisen ten opzichte van de DoD-norm. Dus in totaal 21 uitdagingen om SharePoint compliant te krijgen aan de DoD-norm.

Uit deze 21 eisen zouden mijn acht toppers voor gewenste recordsmanagement aanvullingen op out-of-the-box sharePoint 2010 als volgt luiden:

Case file handling – inderdaad vraagt zaakgericht werken en zaakgericht archiveren om extra inrichting. De 2010 versie heeft de documentset als  ‘dossier’ gekregen, maar een zaak vraagt om meer dan dat.

Formal disposition – Miller beschrijft een drietraps model voor verwijdering, bestaande uit kwalificeren, review, verwijdering. De 2010 versie biedt wel out-of-the-box meer bouwstenen voor retentie dan de voorgaande versies, maar een en ander zal nog wel in een workflow dienen te worden vastgelegd. Overigens biedt het rapport prachige functionele beschrijvingen van verschillende oplossingen voor al deze issues.

Basic cutoff – SharePoint 2010 maakt het mogelijk om een bewaartermijn te laten triggeren door een ‘gebeurtenis’, in zaakgericht werken ook wel ‘resultaattype’ genoemd. Het is in het systeem de datum die gevuld wordt door de statusverandering die de gebeurtenis markeert. En vervolgens als startdatum voor de bewaartermijn geldt. De opeenvolgende stappen (statusverandering, trigger, archivering dossier, start bewaartermijn) moet nog wel in een custom workflow worden gevat.

File plan structure – hoewel 2010 wel beschikt over file plan functionaliteit, staat het los van de bewaartermijnen en is het centraal managen van een koppeling tussen file plan en bijbehorende bewaartermijnen niet out-of-the-box mogelijk.

Email integration – er zijn inmiddels voldoende third party add ons op de markt die de integratie tussen Microsoft SharePoint 2010 en Microsoft Outlook bewerkstelligen, zodat ook e-mail berichten een kans maken om zorgvuldig digitaal gearchiveerd te worden door de eindgebruiker zelf, door middel van drag-and-drop.

Multi-Record linking – het aanbrengen van koppelingen op document- en dossierniveau is niet out-of-the-box mogelijk.

Import/Export – in Miller’s conform DoD vereiste aanvullingen wordt ook NARA transfer, dat wil zeggen overdracht naar het Nationaal Archief (of ander ‘e-depot’) apart genoemd. Maar een voorziening voor export in een neutraal formaat inclusief metadata is niet standaard aanwezig, Verschillende soorten tooling op de markt kunnen in deze taken voorzien, specifiek voor overdracht beschikt Gimmalsoft’s Compliance Suite over functionaliteit. Check ook de review daarvan door wederom Bruce Miller.

Audit analysis – er zijn fraaie mogelijkheden voor het inrichten audit trails aanwezig in SharePoint 2010, maar de weergave van de resultaten in de out-of-the-box rapportages laat zoveel te wensen over dat ook daarvoor aanvullende producten op de markt zijn verschenen.

De meeste van deze issues, uitgezonderd email integratie, zijn ook niet in de 2013 versie afdoende geadresseerd. Daarvoor hoef je dus niet te upgraden. Maar bijvoorbeeld misschien weer wel als je HNW wilt aanpakken met meer offline synchronisatie voor BYOD en met meer social voor online communicatie.

Eigenlijk is het wat Pisarek zegt: als de medewerkers met SharePoint 2010 in huis nog steeds attachments rond mailen in plaats van hyperlinks, kan je die upgrade budgetten misschien beter in een voorlichtingscampagne stoppen om de collega’s eigentijdse samenwerkingsvormen bij te brengen.