Organisaties en bedrijven met een SharePoint 2010 on premise omgeving staan voor de keuze: upgraden naar 2013 on premise, of naar de cloud met Office 365 en SharePoint Online. De portemonnee zegt ja, de onderbuik misschien voorlopig nog nee. Cloud = eng, er is nog veel onzekerheid over veiligheid van de data. Wel willen we onze waardevolle bedrijfsinformatie, waar dan ook opgeslagen, veiliger kunnen beheren. Dat is lastig, want tegelijkertijd wordt intern steeds grotere transparantie en openheid betracht.
We willen de toegankelijkheid van onze bedrijfsinformatie ‘open, tenzij…’, omdat medewerkers en managers sneller (en goedkoper) tot resultaten komen als ze zelfstandig, dus zonder vragen stellen aan – en tussenkomst van – informatiewerkers of secretariële medewerkers de correcte informatie kunnen vinden. En dus zullen we ruimhartiger moeten autoriseren en de informatie niet alleen vindbaar moeten maken, maar ook met zo min mogelijk inspanning van status- en procesinformatie voorzien.
‘Open, tenzij…’ is een mooi streven, maar vraagt ook om adequate maatregelen voor de beveiliging van informatie. Want vertrouwelijke informatie mag niet per ongeluk, expres of zonder waarborgen bij onbevoegden terecht komen. En dat is steeds lastiger te organiseren wanneer we weinig centrale grip (willen) hebben op autorisatiebeleid. Medewerkers vertrekken, externen hebben tijdelijk toegang nodig tot informatie…
Hoe regelen we dat zonder de informatie zelf uit te sluiten van toegankelijkheid met autorisaties? Office 365 heeft nu zijn functionaliteiten voor Data Loss Protection (DLP) doorgetrokken van Exchange naar SharePoint Online. DLP is de in Office 365 geïntegreerde tool om beveiligingsissues heel gericht aan te pakken. DLP is in staat om kenmerken uit documenten, bepaalde strings van gegevens of documentsjablonen of – formats te herkennen. Vervolgens kan een passende maatregel worden toegepast. Bijvoorbeeld: als deze informatie of dit document per mail wordt verzonden, geef dan vooraf een waarschuwing aan de gebruiker. De waarschuwing kan bijvoorbeeld verwijzen naar een URL met de betreffende compliance regel: ‘let op, je gaat nu privacy-gevoelige informatie verzenden’. De verzending kan naar wens ook worden verboden. De functionaliteit is in staat documenten met een vast formaat te herkennen. Check ook de uitleg en video met voorbeelden.
Zo kunnen we dus verfijnd inregelen dat informatie wel toegankelijk blijft, maar niet op de verkeerde plek terecht kan komen. En kunnen we bovendien bewerkstelligen dat een beperkende maatregel niet een geheel dossier, gehele bibliotheek of gehele site geldt, maar alleen dat ene type ‘rapportage’, die vertrouwelijke ‘brief’ of bijvoorbeeld alle documenten met personeelsgegevens of andere, in de DLP functie geregistreerde gegevens.
Wat ook mooi is, deze functionaliteit vertelt je ook in rapportages iets over het gebruik en de effectiviteit, omdat alle gevallen waarin medewerkers zijn geconfronteerd met de DLP maatregel worden gelogd.
In mijn verhaal op de Microsoft Vision Days is de kern van mijn betoog dat veiligheid van je SharePoint omgeving voor een deel van Microsoft komt, maar dat de organisatie of het bedrijf zelf zal moeten investeren in het regelen van veiligheid en compliance. Microsofts Office 365 biedt standaard al vergaande compliance, veiligheid en transparantie over behandeling van data (check o.a. het Office 365 Trust Center), maar waar de organisatie zelf aan zet is biedt SharePoint Online op dit moment meer dan SharePoint 2013 on premise voorlopig zal kunnen waarmaken. Dat is dus voor velen even schakelen: dat de cloudversie meer manipuleerbare compliance functionaliteiten kan bieden dan lokaal mogelijk is!
Voor de internationale markt heeft Microsoft al een hoop kant en klare maatregelen in de DLP functie van Office 365 gestopt. Zodat je, mocht je bijvoorbeeld verzending van creditcard gegevens willen uitsluiten of beperken, meteen aan de slag kunt. Ik denk zelf dat het toepassen van inhoudstypen met sjablonen in SharePoint hiermee een nieuwe meerwaarde kan krijgen, omdat we op microniveau gemakkelijk bepaalde documenten binnen een grotere, ruim toegankelijke collectie, specifiek van beveiliging kunnen voorzien, zonder naar vergaande autorisatie beperking te hoeven grijpen.
Compliance met SharePoint Online in Office 365 wordt begin 2015 nog aantrekkelijker als Microsoft het in maart op SPC14 reeds aangekondigde Compliance Center eindelijk uitrolt. Dat is een half jaar later dan verwacht, maar dan is er nog tijd om het mee te nemen in uw compliance overwegingen.
