Planeamiento de la implementación de Power BI: protección de la información para Power BI
Nota
Este artículo forma parte de la serie de artículos sobre el planeamiento de la implementación de Power BI. Esta serie se centra principalmente en la experiencia de Power BI en Microsoft Fabric. Para obtener una introducción a la serie, consulte el planeamiento de la implementación de Power BI.
En este artículo se describen las actividades de planeación relacionadas con la implementación de la protección de información en Power BI. Está dirigido a:
- Administradores de Power BI: los administradores responsables de supervisar Power BI en la organización. Los administradores de Power BI necesitan colaborar con el equipo de seguridad de la información y otros equipos relevantes.
- Centro de excelencia, equipos de TI y BI: otros equipos que son responsables de supervisar Power BI en la organización. Es posible que necesiten colaborar con administradores de Power BI, equipos de seguridad de la información y otros equipos pertinentes.
Importante
La protección de la información y la prevención de pérdida de datos (DLP) es una tarea importante para toda la organización. Su ámbito e impacto son mucho mayores que Power BI por sí solo. Este tipo de iniciativa requiere financiación, priorización y planificación. Prevea la participación de varios equipos interfuncionales en sus esfuerzos de planificación, uso y supervisión.
Las actividades de etiquetado y clasificación se extienden más allá de Power BI e incluso de los recursos de datos. Las decisiones que se describen en este artículo se aplican a los recursos de toda la organización, incluidos archivos y correos electrónicos, y no solo a Power BI. En este artículo se presentan temas que se aplican al etiquetado y la clasificación en general, ya que tomar las decisiones organizativas adecuadas es fundamental para el éxito de la prevención de pérdida de datos en Power BI.
En este artículo también se incluyen instrucciones introductorias sobre cómo definir una estructura de etiquetas de confidencialidad. Técnicamente, la estructura de las etiquetas de confidencialidad es un requisito previo para la implementación de etiquetas de confidencialidad en Power BI. El propósito de incluir información básica en este artículo es ayudarle a comprender lo que implica. Es fundamental que colabore con TI para planificar e implementar la protección de la información en la organización.
Propósito de las etiquetas de confidencialidad
El uso de las etiquetas de confidencialidad de Microsoft Purview Information Protection consiste en clasificar el contenido. Piense en las etiquetas de confidencialidad como en una etiqueta que se aplica a un elemento, archivo, sitio o recurso de datos.
Son muchas las ventajas de usar la protección de información. Clasificar y etiquetar contenido ayuda a las organizaciones a:
- Comprender dónde residen los datos confidenciales.
- Supervisar un seguimiento de los requisitos de cumplimiento externos e internos.
- Proteger el contenido de usuarios no autorizados.
- Enseñar a los usuarios a manejar los datos de forma responsable.
- Implementar controles en tiempo real para reducir el riesgo de pérdida de datos.
Para obtener más casos de uso para la protección de la información, consulte Protección de la información y DLP (casos de uso comunes).
Sugerencia
Es útil recordar que Microsoft Purview Information Protection es el producto. Las etiquetas de confidencialidad son una característica específica de ese producto.
Una etiqueta de confidencialidad es una breve descripción en texto no cifrado. Conceptualmente, puede pensar en la etiqueta de confidencialidad como en una etiqueta. Solo se puede asignar una etiqueta a cada elemento (como un modelo semántico de Power BI en el servicio Power BI) o cada archivo (como un archivo de Power BI Desktop).
Una etiqueta tiene los siguientes propósitos.
- Clasificación: Proporciona una clasificación para describir el nivel de confidencialidad.
- Educación y reconocimiento del usuario: Ayuda a los usuarios a comprender cómo trabajar correctamente con el contenido.
- Directivas: Constituye la base para aplicar y exigir directivas y DLP.
Requisitos previos para la protección de la información de Power BI
En este punto, ya debería haber completado los pasos de planificación a nivel de la organización que se describen en el artículo Planificación de la protección de información a nivel de la organización. Antes de continuar, debe tener claro lo siguiente:
- Estado actual: El estado actual de la protección de la información en su organización. Debe comprender si las etiquetas de confidencialidad ya están en uso para los archivos de Microsoft Office. En este caso, el ámbito de trabajo para agregar Power BI es mucho más pequeño que si lleva la protección de la información a la organización por primera vez.
- Objetivos y requisitos: Los objetivos estratégicos para implementar la protección de información en su organización. Comprender los objetivos y los requisitos servirá como guía para los esfuerzos de implementación.
Si la organización no usa la protección de la información, el resto de esta sección proporciona información que le ayudará a colaborar con otros usuarios para introducirla en su organización.
Si la protección de la información está en uso activamente en su organización, se recomienda usar este artículo para comprobar que se cumplan los requisitos previos. Si las etiquetas de confidencialidad se usan activamente, la mayoría de las actividades (o todas) en las fases de lanzamiento 1-4 (en la sección siguiente) ya estarán completas.
Fases de lanzamiento
Se recomienda que planee aplicar un plan de lanzamiento gradual para implementar y probar la protección de la información. El objetivo del plan de lanzamiento gradual es encaminarse a aprender, ajustar e iterar a medida que avanza. La ventaja es que menos usuarios se verán afectados durante las primeras fases (cuando los cambios son más probables), hasta que la protección de la información pueda implementarse finalmente en todos los usuarios de la organización.
La introducción de la protección de la información es una tarea importante. Como se describe en el artículo Planificación de la protección de la información a nivel de la organización, si su organización ya ha implementado la protección de la información para documentos de Microsoft Office, muchas de estas tareas ya están completas.
En esta sección se proporciona información general sobre las fases que se recomienda incluir en el plan de lanzamiento gradual. Debería darle una idea de qué es lo que puede esperar. En el resto de este artículo se describen otros criterios de toma de decisiones para los aspectos clave que afectan a Power BI más directamente.
Fase 1: Planificar, decidir, preparar
En la primera fase, céntrese en la planificación, la toma de decisiones y las actividades preparatorias. Casi todo el resto de este artículo se centra en esta primera fase.
Tan pronto como sea posible, aclare dónde se producirán las pruebas iniciales. Esa opción afectará a dónde configurará, publicará y probará inicialmente. Para las pruebas iniciales, puede usar un inquilino que no sea de producción (si tiene acceso a uno).
Sugerencia
Como la mayoría de las organizaciones solo tiene acceso a un inquilino, puede resultar difícil explorar nuevas características de forma aislada. En el caso de las organizaciones que tienen un inquilino de desarrollo o prueba independiente, se recomienda usarlo para la fase de prueba inicial. Para obtener más información sobre cómo administrar inquilinos y cómo crear un inquilino de prueba para probar nuevas características, consulte Configuración de inquilinos.
Fase 2: Configuración de los recursos de usuario auxiliares
La segunda fase incluye los pasos para configurar los recursos para los usuarios auxiliares. Los recursos incluyen la directiva de protección y clasificación de datos y la página de ayuda personalizada.
Es importante publicar antes algo de la documentación del usuario. También es importante que el equipo de soporte técnico del usuario esté previamente preparado.
Fase 3: Configuración de etiquetas y publicación
La tercera fase se centra en definir las etiquetas de confidencialidad. Una vez tomadas todas las decisiones, la configuración no es difícil ni requiere mucho tiempo. Las etiquetas de confidencialidad se configuran en el Portal de cumplimiento de Microsoft Purview en el Centro de administración de Microsoft 365.
Fase 4: Publicación de la directiva de etiquetas
Para poder usar una etiqueta, debe publicarla como parte de una directiva de etiquetas. Las directivas de etiquetas permiten a determinados usuarios usar una etiqueta. Las directivas de etiquetas se publican en el Portal de cumplimiento de Microsoft Purview en el Centro de administración de Microsoft 365.
Nota
Todo hasta este punto es un requisito previo para implementar la protección de la información para Power BI.
Fase 5: Habilitar la configuración de inquilinos de Power BI
Hay varias opciones de configuración del inquilino de protección de la información en el portal de administrador de Power BI. Se necesitan para habilitar la protección de la información en el servicio Power BI.
Importante
Debe establecer la configuración del inquilino después de configurar y publicar las etiquetas en el Portal de cumplimiento de Microsoft Purview.
Fase 6: Pruebas iniciales
En la sexta fase, se realizan pruebas iniciales para comprobar que todo se comporte según lo previsto. Con fines de pruebas iniciales, debe publicar la directiva de la etiqueta solo para el equipo de implementación.
Durante esta fase, asegúrese de probar:
- Archivos de Microsoft Office
- Elementos de Power BI en el servicio Power BI
- Archivos de Power BI Desktop
- Exportar archivos desde el servicio Power BI
- Otros ámbitos incluidos en la configuración, como sitios de Teams o SharePoint
Asegúrese de comprobar la funcionalidad y la experiencia del usuario mediante un explorador web y también a través de los dispositivos móviles que se usan habitualmente. Actualice la documentación del usuario según corresponda.
Importante
Incluso si solo algunos miembros del equipo están autorizados para fijar una etiqueta de confidencialidad, todos los usuarios podrán ver las etiquetas asignadas al contenido. Si usa el inquilino de producción, es posible que los usuarios se pregunten por qué ven etiquetas asignadas a elementos de un área de trabajo en el servicio Power BI. Prepárese para suministrar soporte técnico y responder a las preguntas del usuario.
Fase 7: Recopilar comentarios de los usuarios
El objetivo de esta fase es obtener comentarios de un pequeño grupo de usuarios clave. Los comentarios deben identificar las áreas de confusión, lagunas en la estructura de las etiquetas o problemas técnicos. También podría encontrar razones para mejorar la documentación del usuario.
Para ello, debe publicar (o volver a publicar) la directiva de etiquetas en un pequeño subconjunto de usuarios que estén dispuestos a proporcionar comentarios.
Sugerencia
Asegúrese de factorizar el tiempo suficiente en el plan del proyecto. En el caso de las etiquetas y la configuración de las directivas de etiquetas, la documentación del producto recomienda permitir 24 horas para que los cambios surtan efecto. Este tiempo es necesario para asegurarse de que todos los cambios se propaguen a través de los servicios relacionados.
Fase 8: Liberar iterativamente
La fase de implementación suele ser un proceso iterativo.
A menudo, el objetivo inicial es llegar a un estado en el que todo el contenido de Power BI tenga asignada una etiqueta de confidencialidad. Para lograr este objetivo, puede introducir una directiva de etiqueta obligatoria o una directiva de etiqueta predeterminada. También puede usar las API de administración de protección de la información para establecer o quitar etiquetas de confidencialidad mediante programación.
Puede incluir cada vez más grupos de usuarios gradualmente hasta que se incluya a toda la organización. Este proceso implica volver a publicar cada directiva de etiqueta en grupos de usuarios cada vez más grandes.
A lo largo de este proceso, asegúrese de dar prioridad a proporcionar instrucciones, comunicaciones y entrenamiento a los usuarios para que comprendan el proceso y lo que se espera de ellos.
Fase 9: Supervisión, auditoría, ajuste, integración
Hay otros pasos que se deben realizar después del lanzamiento inicial. Debe tener un equipo principal para que supervise las actividades de protección de la información y las ajuste con el tiempo. A medida que se aplican las etiquetas, podrá evaluar su utilidad e identificar las áreas de ajustes.
Hay muchos aspectos por auditar para la protección de la información. Para más información, consulte Auditoría de protección de la información y prevención de pérdida de datos para Power BI.
Las inversiones que realice en la configuración de la protección de la información se pueden usar en las directivas de DLP para Power BI, que se configuran en el Portal de cumplimiento de Microsoft Purview. Para más información, incluida una descripción de las funcionalidades de DLP, consulte Prevención de pérdida de datos para Power BI.
La protección de la información también se puede usar para crear directivas en Microsoft Defender for Cloud Apps. Para obtener más información, incluida una descripción de las funcionalidades que puede resultar útil, consulte Defender for Cloud Apps for Power BI.
Lista de comprobación: Al preparar las fases de lanzamiento de la protección de la información, las decisiones y acciones clave incluyen:
- Crear un plan de lanzamiento gradual: Defina las fases del plan de lanzamiento. Aclare cuáles son los objetivos específicos para cada fase.
- Identificar dónde realizar las pruebas: Determine dónde se pueden realizar las pruebas iniciales. Para minimizar el impacto en los usuarios, use un inquilino que no sea de producción, si es posible.
- Cree un plan de proyecto: Cree un plan de proyecto que incluya todas las actividades clave, la escala de tiempo estimada y quién será responsable.
Estructura de las etiquetas de confidencialidad
La estructura de las etiquetas de confidencialidad es un requisito previo para implementar etiquetas de confidencialidad en Power BI. En esta sección se incluye información básica que le ayudará a comprender lo que implica la creación de la estructura de etiquetas.
Esta sección no representa una lista exhaustiva de todas las posibles consideraciones sobre etiquetas de confidencialidad para todas las aplicaciones posibles. En su lugar, su enfoque se centra en las consideraciones y actividades que afectan directamente a la clasificación del contenido de Power BI. Asegúrese de trabajar con otras partes interesadas y administradores del sistema para tomar decisiones que funcionen bien para todas las aplicaciones y los casos de uso.
La base para implementar la protección de la información comienza con un conjunto de etiquetas de confidencialidad. El objetivo final es crear un conjunto de etiquetas de confidencialidad que sean claras y sencillas con las que los usuarios trabajen.
La estructura de las etiquetas de confidencialidad que se usa en una organización representa una taxonomía de etiquetas. También se conoce normalmente como taxonomía de clasificación de datos porque el objetivo es clasificar los datos. A veces se conoce como una definición de esquema.
No hay un conjunto estándar o integrado de etiquetas. Cada organización debe definir y personalizar un conjunto de etiquetas para satisfacer sus necesidades. El proceso de llegar al conjunto adecuado de etiquetas implica una amplia colaboración. Requiere una planeación cuidadosa para asegurarse de que las etiquetas cumplirán los objetivos y los requisitos. Recuerde que las etiquetas se aplicarán más que solo al contenido de Power BI.
Sugerencia
La mayoría de las organizaciones comienzan asignando etiquetas a los archivos de Microsoft Office. Y luego, evolucionan para clasificar otro contenido, como elementos y archivos de Power BI.
La estructura de etiquetas incluye:
- Etiquetas: Las etiquetas forman una jerarquía. Cada etiqueta indica el nivel de confidencialidad de un elemento, un archivo o un recurso de datos. Se recomienda crear entre tres y siete etiquetas. Las etiquetas rara vez deben cambiar.
- Subetiquetas: Las subetiquetas indican variaciones en la protección o el ámbito dentro de una etiqueta específica. Al incluirlas en diferentes directivas de etiqueta, puede definir el ámbito de las subetiquetas a un determinado conjunto de usuarios o a los usuarios implicados en un proyecto específico.
Sugerencia
Aunque las subetiquetas ofrecen flexibilidad, solo se deben usar con moderación para satisfacer los requisitos críticos. Crear demasiadas subetiquetas da como resultado una mayor administración. Aunque también pueden sobrecargar a los usuarios con demasiadas opciones.
Las etiquetas forman una jerarquía, que empieza por la clasificación menos confidencial y va hasta la clasificación más confidencial.
A veces, el contenido de Power BI contiene datos que abarcan varias etiquetas. Por ejemplo, un modelo semántico podría contener información de inventario de productos (Uso interno general) y las cifras de ventas del trimestre actual (restringido). Al elegir qué etiqueta asignar al modelo semántico de Power BI, se debe enseñar a los usuarios a aplicar la etiqueta más restrictiva.
Sugerencia
En la sección siguiente se describe la directiva de clasificación y protección de datos que puede proporcionar a los usuarios instrucciones sobre cuándo usar cada etiqueta.
Importante
La asignación de una etiqueta o subetiqueta no afecta directamente el acceso al contenido de Power BI en el servicio Power BI. En su lugar, la etiqueta proporciona una categoría útil que puede guiar el comportamiento del usuario. Las directivas de prevención de pérdida de datos también se pueden basar en la etiqueta asignada. Sin embargo, no cambia nada para la forma en que se administra el acceso al contenido de Power BI, excepto cuando se cifra un archivo. Para obtener más información, consulte Uso de la protección de cifrado.
Tenga en cuenta las etiquetas que cree porque es difícil quitar o eliminar una etiqueta una vez que haya progresado más allá de la fase de prueba inicial. Dado que las subetiquetas se pueden usar (opcionalmente) para un conjunto determinado de usuarios, pueden cambiar con más frecuencia que las etiquetas.
Estos son algunos procedimientos recomendados para definir una estructura de etiqueta.
- Use términos intuitivos e inequívocos: Es importante ser claro para asegurarse de que los usuarios sepan qué elegir al clasificar sus datos. Por ejemplo, tener una etiqueta Ultra secreto y una etiqueta Extremadamente confidencial es ambiguo.
- Cree un orden jerárquico lógico: El orden de las etiquetas es fundamental para hacer que todo funcione bien. Recuerde que la última etiqueta de la lista es la más confidencial. El orden jerárquico, en combinación con términos bien seleccionados, debe ser lógico e intuitivo para que los usuarios trabajen con ellos. Una jerarquía clara también hará que las directivas sean más fáciles de crear y mantener.
- Cree solo algunas etiquetas que se apliquen en toda la organización: Ofrecer a los usuarios demasiadas etiquetas para elegir puede resultar confuso. También dará lugar a una selección de etiquetas menos precisa. Se recomienda crear solo algunas etiquetas para el conjunto inicial.
- Use nombres genéricos significativos: Evite usar jerga o acrónimos del sector en los nombres de las etiquetas. Por ejemplo, en lugar de crear una etiqueta denominada Información de identificación personal, use nombres como Altamente restringido o Extremadamente confidencial en su lugar.
- Use términos que se localicen fácilmente en otros idiomas: En el caso de las organizaciones globales con operaciones en varios países o regiones, es importante elegir términos de etiqueta que no sean confusos o ambiguos cuando se traduzcan a otros idiomas.
Sugerencia
Si se da cuenta de que está planeando demasiadas etiquetas que son muy específicas, retroceda y reconsidere su enfoque. La complejidad puede provocar confusión en el usuario, una adopción reducida y una protección de la información menos eficaz. Se recomienda comenzar con un conjunto inicial de etiquetas (o usar el que ya tiene). Después de obtener más experiencia, expanda cuidadosamente el conjunto de etiquetas agregando etiquetas más específicas cuando sea necesario.
Lista de comprobación: Al planificar la estructura de las etiquetas de confidencialidad, las decisiones y acciones clave incluyen:
- Definir un conjunto inicial de etiquetas de confidencialidad: Cree un conjunto inicial de entre tres y siete etiquetas de confidencialidad. Asegúrese de que tengan un uso amplio para una amplia gama de contenido. Planee iterar en la lista inicial a medida que finalice la directiva de protección y clasificación de datos.
- Determinar si necesita subetiquetas: Decida si es necesario usar subetiquetas para alguna de las etiquetas.
- Comprobar la localización de los términos de la etiqueta: Si las etiquetas se traducirán a otros idiomas, confirme con los hablantes nativos que las etiquetas localizadas transmitan el significado previsto.
Ámbito de la etiqueta de confidencialidad
El ámbito de la etiqueta de confidencialidad limita el uso de la etiqueta. Aunque no se puede especificar Power BI directamente, puede aplicar etiquetas a varios ámbitos. Entre los posibles ámbitos se incluyen:
- Elementos (como los elementos publicados en el servicio Power BI y los archivos y correos electrónicos)
- Grupos y sitios (como un canal de Teams o un sitio de SharePoint)
- Recursos de datos esquematizados (orígenes admitidos registrados en el mapa de datos de Purview)
Importante
No es posible definir una etiqueta de confidencialidad solo con un ámbito de Power BI. Aunque hay algunas opciones de configuración que se aplican específicamente a Power BI, el ámbito no es una de ellas. El ámbito de elementos se usa para el servicio Power BI. Las etiquetas de confidencialidad se controlan de forma diferente a las directivas DLP que se describen en el artículo Prevención de pérdida de datos para la planeación de Power BI en que algunos tipos de directivas DLP se pueden definir específicamente para Power BI. Si tiene previsto usar la herencia de etiquetas de confidencialidad de los orígenes de datos en Power BI, hay requisitos específicos para el ámbito de la etiqueta.
Los eventos relacionados con las etiquetas de confidencialidad se registran en el explorador de actividades. Los detalles registrados de estos eventos serán significativamente más completos cuando el ámbito sea más amplio. También estará mejor preparado para proteger los datos en un espectro más amplio de aplicaciones y servicios.
Al definir el conjunto inicial de etiquetas de confidencialidad, considere la posibilidad de que el conjunto inicial de etiquetas esté disponible para todos los ámbitos. Esto se debe a que puede resultar confuso para los usuarios cuando ven diferentes etiquetas en diferentes aplicaciones y servicios. Aunque, con el tiempo, puede detectar casos de uso para subetiquetas más específicas. Sin embargo, es más seguro empezar con un conjunto coherente y sencillo de etiquetas iniciales.
El ámbito de la etiqueta se establece en el Portal de cumplimiento de Microsoft Purview cuando se configura la etiqueta.
Lista de comprobación: Al planificar el ámbito de las etiquetas, las decisiones y acciones clave incluyen:
- Decidir el ámbito de la etiqueta: Analice y decida si cada una de las etiquetas iniciales se aplicará a todos los ámbitos.
- Revise todos los requisitos previos: Investigue los requisitos previos y los pasos de configuración necesarios que serán necesarios para cada ámbito que quiera usar.
Uso de la protección de cifrado
Hay varias opciones de protección con una etiqueta de confidencialidad.
- Cifrado: La configuración de cifrado pertenece a archivos o correos electrónicos. Por ejemplo, se puede cifrar un archivo de Power BI Desktop.
- Marcas: Hace referencia a encabezados, pies de página y marcas de agua. Las marcas son útiles para los archivos de Microsoft Office, aunque no se muestran en el contenido de Power BI.
Sugerencia
Normalmente, cuando alguien se refiere a una etiqueta como protegida, está haciendo referencia al cifrado. Puede ser suficiente que solo se cifren las etiquetas de nivel superior, como Restringido y Altamente restringido.
El cifrado es una manera de codificar la información criptográficamente. El cifrado tiene varias ventajas clave.
- Solo los usuarios autorizados (por ejemplo, los usuarios internos de su organización) pueden abrir, descifrar y leer un archivo protegido.
- El cifrado permanece con el archivo protegido, incluso si este se envía fuera de la organización o se le cambia el nombre.
- La configuración de cifrado se obtiene del contenido etiquetado original. Considere la posibilidad de que un informe del servicio Power BI tenga una etiqueta de confidencialidad de Altamente restringido. Si se exporta a una ruta de acceso de exportación compatible, la etiqueta permanece intacta y el cifrado se aplica al archivo exportado.
El servicio Azure Rights Management (Azure RMS) se usa para la protección de archivos con cifrado. Hay algunos requisitos previos importantes que deben cumplirse para usar el cifrado de Azure RMS.
Importante
Hay una limitación que se debe tener en cuenta: un usuario sin conexión a Internet no puede abrir ningún archivo de Power BI Desktop cifrado (ni ningún otro tipo de archivo protegido por Azure RMS). Esto se debe a que Azure RMS debe comprobar de forma sincrónica que un usuario está autorizado para abrir, descifrar y ver el contenido del archivo.
Las etiquetas cifradas se controlan de forma diferente en función de dónde trabaja el usuario.
- En el servicio Power BI: La configuración de cifrado no tiene ningún efecto directo en el acceso de usuario en el servicio Power BI. Los permisos estándar de Power BI (como los roles del área de trabajo, los permisos de aplicación o los permisos de uso compartido) controlan el acceso de los usuarios en el servicio Power BI. Las etiquetas de confidencialidad no afectan el acceso al contenido dentro del servicio Power BI.
- Archivos de Power BI Desktop: Se puede asignar una etiqueta cifrada a un archivo de Power BI Desktop. La etiqueta también se conserva cuando se exporta desde el servicio Power BI. Solo los usuarios autorizados podrán abrir, descifrar y ver el archivo.
- Archivos exportados: Los archivos Microsoft Excel, Microsoft PowerPoint y PDF exportados desde el servicio Power BI conservan su etiqueta de confidencialidad, incluida la protección de cifrado. En el caso de los formatos de archivo admitidos, solo los usuarios autorizados podrán abrir, descifrar y ver el archivo.
Importante
Es fundamental que los usuarios comprendan las diferencias entre el servicio Power BI y los archivos, los cuales se confunden fácilmente. Se recomienda proporcionar un documento de preguntas más frecuentes, junto con ejemplos, para ayudar a los usuarios a comprender las diferencias.
Para abrir un archivo Power BI Desktop protegido o un archivo exportado, el usuario debe cumplir los siguientes criterios.
- Conectividad a Internet: El usuario debe estar conectado a Internet. Se requiere una conexión a Internet activa para comunicarse con Azure RMS.
- Permisos de RMS: El usuario debe tener permisos de RMS, que se definen dentro de la etiqueta (en lugar de en la directiva de etiquetas). Los permisos de RMS permiten a los usuarios autorizados descifrar, abrir y ver los formatos de archivo admitidos.
- Usuario permitido: Los usuarios o grupos deben especificarse en la directiva de etiquetas. Normalmente, la asignación de usuarios autorizados solo es necesaria para los creadores y propietarios de contenido para que puedan aplicar etiquetas. Sin embargo, cuando se usa la protección de cifrado, hay otro requisito. Debe especificarse a cada usuario que necesite abrir el archivo protegido en la directiva de etiquetas. Este requisito significa que es posible que se necesiten licencias de protección de la información para más usuarios.
Sugerencia
La opción Permitir a los administradores del área de trabajo invalidar automáticamente las etiquetas de confidencialidad aplicadas del inquilino permite a los administradores del área de trabajo cambiar una etiqueta aplicada automáticamente, incluso si la protección (cifrado) está habilitada para la etiqueta. Esta funcionalidad es especialmente útil cuando una etiqueta se asigna o hereda automáticamente, pero el administrador del área de trabajo no es un usuario autorizado.
La protección de etiquetas se establece en el Portal de cumplimiento de Microsoft Purview al configurar la etiqueta.
Lista de comprobación: Al planificar el uso del cifrado de etiquetas, las decisiones y acciones clave incluyen:
- Decidir qué etiquetas se deben cifrar: Para cada etiqueta de confidencialidad, decida si se debe cifrar (proteger). Considere detenidamente las limitaciones implicadas.
- Identificar los permisos de RMS para cada etiqueta: Determine cuáles serán los permisos de usuario para acceder a los archivos cifrados e interactuar con ellos. Cree una asignación de usuarios y grupos para cada etiqueta de confidencialidad para ayudar con el proceso de planificación.
- Revisar y solucionar los requisitos previos de cifrado de RMS: Asegúrese de que se cumplan los requisitos previos técnicos para usar el cifrado de Azure RMS.
- Planear la realización de pruebas exhaustivas del cifrado: Debido a las diferencias entre los archivos de Office y los archivos de Power BI, asegúrese de que se confirme en una fase de prueba exhaustiva.
- Incluir en la documentación del usuario y en el entrenamiento: Asegúrese de incluir instrucciones en la documentación y el entrenamiento sobre lo que los usuarios deben esperar para los archivos a los que se les asigna una etiqueta de confidencialidad cifrada.
- Realizar la transferencia de conocimientos con soporte técnico: Realice planes específicos para llevar a cabo sesiones de transferencia de conocimiento con el equipo de soporte técnico. Debido a la complejidad del cifrado, es probable que reciban preguntas de los usuarios.
Herencia de etiquetas desde orígenes de datos
Al importar datos desde orígenes de datos admitidos (como Azure Synapse Analytics, Azure SQL Database o un archivo de Excel), el modelo semántico de Power BI puede, opcionalmente, heredar la etiqueta de confidencialidad aplicada a los datos de origen. La herencia ayuda a:
- Promover la coherencia del etiquetado.
- Reducir el esfuerzo del usuario al asignar etiquetas.
- Reducir el riesgo de que los usuarios accedan y compartan datos confidenciales con usuarios no autorizados porque no estaban etiquetados.
Sugerencia
Hay dos tipos de herencia para las etiquetas de confidencialidad. La herencia de bajada hace referencia a los elementos de nivel inferior (como los informes) que heredan automáticamente una etiqueta de su modelo semántico de Power BI. Sin embargo, el foco de esta sección se centra en la _herencia ascendente. La herencia ascendente hace referencia a un modelo semántico de Power BI que hereda una etiqueta de un origen de datos que es ascendente del modelo semántico.
Considere un ejemplo en el que la definición de trabajo de la organización para la etiqueta de confidencialidad Altamente restringido incluya los números de cuentas financieras. Dado que los números de las cuentas financieras se almacenan en Azure SQL Database, la etiqueta de confidencialidad Altamente restringido está asignada a ese origen. Cuando los datos de la base de datos de Azure SQL se importan a Power BI, la intención es que el modelo semántico herede la etiqueta.
Puede asignar etiquetas de confidencialidad a un origen de datos compatible de diferentes maneras.
- Clasificación y detección de datos: Puede examinar una base de datos compatible para identificar las columnas que pudieran contener datos confidenciales. En función de los resultados del examen, puede aplicar algunas o todas las recomendaciones de etiquetas. La Clasificación y detección de datos es compatible con bases de datos como Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics. La Clasificación y detección de datos SQL es compatible con las bases de datos de SQL Server locales.
- Asignaciones manuales: Puede asignar una etiqueta de confidencialidad a un archivo de Excel. También puede asignar manualmente etiquetas a columnas de bases de datos en Azure SQL Database o SQL Server.
- Etiquetado automático en Microsoft Purview: Las etiquetas de confidencialidad se pueden aplicar a los orígenes de datos admitidos que se registran como recursos en el Mapa de datos de Microsoft Purview.
Advertencia
Los detalles sobre cómo asignar etiquetas de confidencialidad a un origen de datos están fuera del ámbito de este artículo. Las funcionalidades técnicas evolucionan con respecto a lo que se admite para la herencia en Power BI. Se recomienda llevar a cabo una prueba de concepto técnica para comprobar sus objetivos, facilidad de uso y si las funcionalidades cubren sus necesidades.
La herencia solo se producirá cuando habilite las etiquetas de confidencialidad de los orígenes de datos a sus datos en la configuración del inquilino de Power BI. Para obtener información sobre la configuración del inquilino, consulte la Configuración del inquilino de Power BI más adelante en este artículo.
Sugerencia
Deberá familiarizarse con el comportamiento de herencia. Asegúrese de incluir varias circunstancias en el plan de pruebas.
Lista de comprobación: Al planificar la herencia de etiquetas desde los orígenes de datos, las decisiones y acciones clave incluyen:
- Decidir si Power BI debe heredar las etiquetas de los orígenes de datos: Decida si Power BI debe heredar estas etiquetas. Planee habilitar la configuración del inquilino para permitir esta funcionalidad.
- Revisar los requisitos técnicos previos: Determine si necesita realizar pasos adicionales para asignar etiquetas de confidencialidad a los orígenes de datos.
- Probar la funcionalidad de la herencia de etiquetas: Complete una prueba técnica de concepto para probar cómo funciona la herencia. Compruebe que la característica funcione según lo previsto en circunstancias diversas.
- Incluir en la documentación del usuario: Asegúrese de agregar información sobre la herencia de etiquetas a las instrucciones proporcionadas a los usuarios. Incluya ejemplos realistas en la documentación del usuario.
Directivas de las etiquetas publicadas
Después de definir una etiqueta de confidencialidad, la etiqueta se puede agregar a una o varias directivas de etiquetas. Una directiva de etiqueta es cómo se publica la etiqueta para que se pueda usar. Define qué etiquetas se pueden usar en qué conjunto de usuarios autorizados. También hay otras opciones de configuración, como la etiqueta predeterminada y la etiqueta obligatoria.
El uso de varias directivas de etiquetas puede resultar útil cuando necesite dirigirse a diferentes conjuntos de usuarios. Puede definir una etiqueta de confidencialidad una vez y luego incluirla en una o varias directivas de etiquetas.
Sugerencia
La etiqueta de confidencialidad no está disponible para su uso hasta que se publique la directiva de etiqueta que la contenga en el Portal de cumplimiento de Microsoft Purview.
Usuarios y grupos autorizados
Al crear una directiva de etiqueta, se deben seleccionar uno o varios usuarios o grupos. La directiva de etiquetas determina qué usuarios pueden usar la etiqueta. Permite a los usuarios asignar esa etiqueta a contenido específico, como un archivo de Power BI Desktop, un archivo de Excel o un elemento publicado en el servicio Power BI.
Se recomienda mantener a los grupos y a los usuarios lo más sencillos posible. Una buena regla general es que las etiquetas principales se publiquen para todos los usuarios. A veces, es adecuado asignar una subetiqueta o ámbito a un subconjunto de usuarios.
Se recomienda asignar grupos en lugar de individuos siempre que sea posible. El uso de grupos simplifica la administración de la directiva y reduce la frecuencia con la que se debe volver a publicar.
Advertencia
Los usuarios y grupos autorizados de una etiqueta son diferentes de los usuarios asignados a Azure RMS para una etiqueta protegida (cifrada). Si un usuario tiene problemas para abrir un archivo cifrado, investigue los permisos de cifrado para usuarios y grupos específicos (que están configurados dentro de la configuración de la etiqueta, en lugar de dentro de la directiva de etiquetas). En la mayoría de los casos, se recomienda asignar los mismos usuarios a ambos. Esta coherencia evitará confusiones y reducirá las incidencias de soporte técnico.
Los usuarios y grupos autorizados se establecen en el Portal de cumplimiento de Microsoft Purview cuando se publica la directiva de etiqueta.
Lista de comprobación: Al planificar los usuarios y grupos autorizados en la directiva de etiquetas, las decisiones y acciones clave incluyen:
- Determinar qué etiquetas se aplican a todos los usuarios: Analice y decida qué etiquetas de confidencialidad deben estar disponibles para su uso por parte de todos los usuarios.
- Determinar qué subetiquetas se aplican a un subconjunto de usuarios: Analice y decida si hay subetiquetas que estarán disponibles para su uso solo por un conjunto específico de usuarios o grupos.
- Identificar si se necesitan grupos nuevos: determine si es necesario crear nuevos grupos de identificadores de Microsoft Entra para admitir los usuarios y grupos autorizados.
- Crear un documento de planificación: Si la asignación de usuarios autorizados a etiquetas de confidencialidad es complicada, cree una asignación de usuarios y grupos para cada directiva de etiqueta.
Etiquetas predeterminadas para contenido de Power BI
Al crear una directiva de etiqueta, puede elegir una etiqueta predeterminada. Por ejemplo, la etiqueta Uso interno general podría establecerse como etiqueta predeterminada. Esta configuración afectará a los nuevos elementos de Power BI creados en Power BI Desktop o en el servicio Power BI.
Puede configurar la etiqueta predeterminada en la directiva de etiquetas específicamente para el contenido de Power BI, que es independiente de otros elementos. La mayoría de las decisiones y configuraciones de protección de la información se aplican de forma más amplia. Sin embargo, la configuración de la etiqueta predeterminada (y la configuración de etiqueta obligatoria que se describe a continuación) solo se aplica a Power BI.
Sugerencia
Aunque puede establecer etiquetas predeterminadas diferentes (para contenido de Power BI y que no es de Power BI), considere si es la mejor opción para los usuarios.
Es importante comprender que la nueva directiva de etiqueta predeterminada se aplicará al contenido creado o editado después de que se publique la directiva de etiquetas. No se asignará retroactivamente la etiqueta predeterminada al contenido existente. El administrador de Power BI puede usar las API de protección de la información para establecer etiquetas de confidencialidad de forma masiva y asegurarse de que el contenido existente esté asignado a una etiqueta de confidencialidad predeterminada.
Las opciones de etiqueta predeterminada se establecen en el Portal de cumplimiento de Microsoft Purview cuando se publica la directiva de etiquetas.
Lista de comprobación: Al planificar si se aplicará una etiqueta predeterminada para el contenido de Power BI, las decisiones y acciones clave incluyen:
- Decidir si se especificará una etiqueta predeterminada: Analice y decida si una etiqueta predeterminada es adecuada. Si es así, determine qué etiqueta es la que mejor se adapta como valor predeterminado.
- Incluir en la documentación del usuario: Si es necesario, asegúrese de que la información sobre la etiqueta predeterminada se mencione en las instrucciones proporcionadas para los usuarios. El objetivo es que los usuarios comprendan cómo determinar si la etiqueta predeterminada es adecuada o si se debe cambiar.
Etiquetado obligatorio de contenido de Power BI
La clasificación de datos es un requisito normativo común. Para cumplir este requisito, puede optar por exigir a los usuarios que etiqueten todo el contenido de Power BI. Este requisito de etiquetado obligatorio surte efecto cuando los usuarios crean o editan contenido de Power BI.
Puede optar por implementar etiquetas obligatorias, etiquetas predeterminadas (descritas en la sección anterior) o ambas. Debe tener en cuenta los siguientes puntos.
- Una directiva de etiquetas obligatorias garantiza que la etiqueta no esté vacía
- Una directiva de etiquetas obligatorias requiere que los usuarios elijan cuál debe ser la etiqueta
- Una directiva de etiquetas obligatorias impide que los usuarios quiten completamente una etiqueta
- Una directiva de etiqueta predeterminadas es menos intrusiva para los usuarios porque no requiere que realicen acciones
- Una directiva de etiquetas predeterminadas puede dar lugar a contenido con etiquetas incorrectas, ya que el usuario no puede elegir expresamente
- Habilitar una directiva de etiquetas predeterminadas y una directiva de etiquetas obligatorias puede proporcionar ventajas complementarias
Sugerencia
Si decide implementar etiquetas obligatorias, le recomendamos que también implemente etiquetas predeterminadas.
Puede configurar la directiva de etiquetas obligatorias específicamente para el contenido de Power BI. La mayoría de los ajustes de configuración de protección de la información se aplica de forma más amplia. Sin embargo, la configuración de etiquetas obligatorias (y la configuración de etiquetas predeterminadas) se aplica específicamente a Power BI.
Sugerencia
Una directiva de etiquetas obligatorias no es aplicable a las entidades de servicio ni a las API.
Las opciones de etiquetado obligatorias se establecen en el Portal de cumplimiento de Microsoft Purview cuando se publica la directiva de etiquetas.
Lista de comprobación: Al planificar si se requerirá el etiquetado obligatorio del contenido de Power BI, las decisiones y acciones clave incluyen:
- Decidir si las etiquetas serán obligatorias: Analice y decida si las etiquetas obligatorias son necesarias por motivos de cumplimiento.
- Incluir en la documentación del usuario: Si es necesario, asegúrese de que se agregue información sobre las etiquetas obligatorias a las instrucciones proporcionadas para los usuarios. El objetivo es que los usuarios comprendan qué esperar.
Requisitos de concesión de licencia
Las licencias específicas deben estar en vigor para trabajar con las etiquetas de confidencialidad.
Se requiere una licencia de Microsoft Purview Information Protection para:
- Administradores: Los administradores que configurarán, administrarán y supervisarán las etiquetas.
- Usuarios: Los creadores y propietarios de contenido que serán responsables de aplicar las etiquetas al contenido. Los usuarios también incluyen aquellos que necesitan descifrar, abrir y ver archivos protegidos (cifrados).
Es posible que ya disponga de estas licencias porque están incluidas en algunos paquetes de licencias, como Microsoft 365 E5. Como alternativa, las funciones de cumplimiento de Microsoft 365 E5 pueden adquirirse como licencia independiente.
También se requiere una licencia de Power BI Pro o Premium por usuario (PPU) para los usuarios que aplicarán y administrarán etiquetas de confidencialidad en el servicio Power BI o en Power BI Desktop.
Sugerencia
Si necesita aclaraciones sobre los requisitos de licencia, hable con su equipo de cuentas de Microsoft. Tenga en cuenta que la licencia de cumplimiento de Microsoft 365 E5 incluye funcionalidades adicionales que están fuera del ámbito de este artículo.
Lista de comprobación: Al evaluar los requisitos de licencia para las etiquetas de confidencialidad, las decisiones y acciones clave incluyen:
- Revisar los requisitos de licencia del producto: Asegúrese de haber revisado todos los requisitos de licencia.
- Revisar los requisitos de licencia del usuario: Compruebe que todos los usuarios a los que espera asignar etiquetas tengan licencias Power BI Pro o PPU.
- Adquirir licencias adicionales: Si procede, adquiera más licencias para desbloquear la funcionalidad que desea utilizar.
- Asignar licencias: Asigne una licencia a cada usuario que asignará, actualizará o administrará las etiquetas de confidencialidad. Asigne una licencia a cada uno de los usuarios que interactuará con archivos cifrados.
Configuración de un inquilino de Power BI
Hay varias configuraciones de inquilino de Power BI relacionadas con la protección de la información.
Importante
La configuración del inquilino de Power BI para la protección de información no debe establecerse hasta que se cumplan todos los requisitos previos. Las etiquetas y las directivas de etiquetas deben configurarse y publicarse en el Portal de cumplimiento de Microsoft Purview. Hasta este momento, todavía sigue en el proceso de toma de decisiones. Antes de establecer la configuración del inquilino, primero debe determinar un proceso para probar la funcionalidad con un subconjunto de usuarios. Después puede decidir cómo realizar una implementación gradual.
Usuarios que pueden aplicar etiquetas
Debe decidir quién podrá aplicar etiquetas de confidencialidad al contenido de Power BI. Esta decisión determinará cómo se establece la opción Permitir a los usuarios aplicar etiquetas de confidencialidad para la configuración del inquilino de contenido.
Normalmente, es el creador o propietario del contenido quien asigna la etiqueta durante su flujo de trabajo normal. El enfoque más sencillo es habilitar esta configuración de inquilino, lo que permite a todos los usuarios de Power BI aplicar etiquetas. En este caso, los roles del área de trabajo estándar determinarán quién puede editar elementos en el servicio Power BI (incluida la aplicación de una etiqueta). Puede usar el registro de actividad para supervisar cuando un usuario asigne o cambie una etiqueta.
Etiquetas de orígenes de datos
Debe decidir si desea que las etiquetas de confidencialidad se hereden de los orígenes de datos ascendentes admitidos de Power BI . Por ejemplo, si las columnas de una base de datos de Azure SQL se han definido con la etiqueta de confidencialidad Altamente restringido, el modelo semántico de Power BI que importe datos de ese origen heredará esa etiqueta.
Si decide habilitar la herencia de orígenes de datos ascendentes, establezca la opción Aplicar etiquetas de confidencialidad de orígenes de datos a sus datos en el inquilino de Power BI. Se recomienda que planifique habilitar la herencia de etiquetas del origen de datos para promover la coherencia y reducir el esfuerzo.
Etiquetas para el contenido de nivel inferior
Debe decidir si el contenido descendente heredará las etiquetas de confidencialidad. Por ejemplo, si un modelo semántico de Power BI tiene una etiqueta de confidencialidad de Altamente restringido, todos los informes descendentes heredarán esta etiqueta del modelo semántico.
Si decide habilitar la herencia por contenido de nivel inferior, establezca la opción Aplicar etiquetas de confidencialidad automáticamente al inquilino de contenido de nivel inferior. Se recomienda que planifique la habilitación de la herencia al contenido descendente para promover la coherencia y reducir el esfuerzo.
Invalidaciones del administrador del área de trabajo
Esta configuración se aplica a las etiquetas aplicadas automáticamente (por ejemplo, cuando se aplican etiquetas predeterminadas o cuando se heredan automáticamente). Cuando una etiqueta tiene la configuración de protección, Power BI solo permite a los usuarios autorizados cambiarla. Esta configuración permite a los administradores del área de trabajo cambiar una etiqueta que se aplicó automáticamente, incluso si hay una configuración de protección en la etiqueta.
Si decide permitir actualizaciones de etiquetas, establezca la opción Permitir que los administradores del área de trabajo invaliden la configuración de inquilino de etiquetas de confidencialidad aplicadas automáticamente. Esta configuración se aplica a toda la organización (no a grupos individuales). Permite a los administradores del área de trabajo cambiar las etiquetas que se aplicaron automáticamente.
Se recomienda que considere la posibilidad de permitir que los administradores del área de trabajo de Power BI puedan actualizar las etiquetas. Puede usar el registro de actividad para hacer seguimiento de cuándo se asigna o se cambia una etiqueta.
No permitir el uso compartido de contenido protegido
Debe decidir si el contenido protegido (cifrado) se puede compartir con todos los usuarios de su organización.
Si decide no permitir el uso compartido de contenido protegido, establezca la opción Restringir contenido con etiquetas protegidas para que se compartan a través de un vínculo con todos los usuarios de la configuración del inquilino de la organización. Esta configuración se aplica a toda la organización (no a grupos individuales).
Se recomienda encarecidamente que planee habilitar esta configuración de inquilino para no permitir el uso compartido de contenido protegido. Cuando está habilitada, no permite compartir operaciones con toda la organización para obtener contenido más confidencial (definido por las etiquetas que tienen definido el cifrado). Al habilitar esta configuración, reducirá la posibilidad de pérdida de datos.
Importante
Hay una configuración de inquilino similar llamada Permitir vínculos compartibles para conceder acceso a todos los usuarios de la organización. Aunque tiene un nombre similar, su propósito es diferente. Define qué grupos pueden crear un vínculo de uso compartido para toda la organización, independientemente de la etiqueta de confidencialidad. En la mayoría de los casos, se recomienda que esta funcionalidad esté limitada en su organización. Para obtener más información, consulte el artículo Planeamiento de la seguridad del consumidor de informes.
Tipos de archivo de exportación admitidos
En el portal de administración de Power BI, hay muchas configuraciones de exportación y uso compartido del inquilino. En la mayoría de las circunstancias, se recomienda que la capacidad de exportar datos esté disponible para todos los usuarios (o la mayoría) para no limitar la productividad del usuario.
Sin embargo, los sectores altamente regulados podrían tener un requisito para restringir las exportaciones cuando no se puede aplicar la protección de información al formato de salida. Una etiqueta de confidencialidad que se aplica en el servicio Power BI sigue el contenido cuando se exporta a una ruta de acceso de un archivo compatible. Incluye archivos de Excel, PowerPoint, PDF y Power BI Desktop. Puesto que la etiqueta de confidencialidad permanece con el archivo exportado, se conservan las ventajas de protección (cifrado que impide que los usuarios no autorizados abran el archivo) para estos formatos de archivo admitidos.
Advertencia
Al exportar desde Power BI Desktop a un archivo PDF, la protección no se conserva para el archivo exportado. Se recomienda educar a los creadores de contenido para que exporten desde el servicio Power BI y así lograr la máxima protección de la información.
No todos los formatos de exportación admiten la protección de la información. Los formatos no admitidos, como .csv, .xml, .mhtml o archivos .png (disponibles cuando se usa la API ExportToFile) se pueden deshabilitar en la configuración del inquilino de Power BI.
Sugerencia
En la mayoría de los casos, se recomienda restringir las funcionalidades de exportación solo cuando deba cumplir requisitos normativos específicos. En escenarios típicos, se recomienda usar el registro de actividad de Power BI para identificar qué usuarios realizan exportaciones. Después, puede enseñar a estos usuarios sobre alternativas más eficaces y seguras.
Lista de comprobación: Al planificar cómo ajustar la configuración del inquilino en el portal de administración de Power BI, las decisiones y acciones clave incluyen:
- Decidir qué usuarios pueden aplicar etiquetas de confidencialidad: Analice y decida si todos los usuarios pueden asignar etiquetas de confidencialidad al contenido de Power BI (en función de la seguridad estándar de Power BI) o solo determinados grupos de usuarios.
- Determinar si las etiquetas se deben heredar de orígenes de datos ascendentes: Analice y decida si las etiquetas de los orígenes de datos se deben aplicar automáticamente al contenido de Power BI que usa el origen de datos.
- Determinar si los elementos de nivel inferior deben heredar las etiquetas: Analice y decida si las etiquetas asignadas a los modelos semánticos de Power BI existentes deben aplicarse automáticamente al contenido relacionado.
- Decidir si los administradores del área de trabajo de Power BI pueden invalidar las etiquetas: Analice y decida si es adecuado que los administradores del área de trabajo puedan cambiar las etiquetas protegidas asignadas automáticamente.
- Determinar si el contenido protegido se puede compartir con toda la organización: Analice y decida si se pueden crear vínculos para compartir para las "personas de su organización" cuando se haya asignado una etiqueta protegida (cifrada) a un elemento del servicio Power BI.
- Decidir qué formatos de exportación están habilitados: Identifique los requisitos normativos que afectarán a los formatos de exportación disponibles. Analice y decida si los usuarios podrán usar todos los formatos de exportación en el servicio Power BI. Determine si determinados formatos deben deshabilitarse en la configuración del inquilino cuando el formato de exportación no admita la protección de la información.
Directiva de clasificación y protección de datos
La configuración de la estructura de etiquetas y la publicación de las directivas de etiquetas son los primeros pasos necesarios. Sin embargo, hay más que hacer para ayudar a su organización a tener éxito al clasificar y proteger los datos. Es fundamental proporcionar instrucciones a los usuarios sobre lo que se puede y no se puede hacer con el contenido que se ha asignado a una etiqueta determinada. Aquí es donde le resulta útil una directiva de clasificación y protección de datos. Puede considerarla como las directrices de las etiquetas.
Nota
Una directiva de protección y clasificación de datos es una directiva de gobernanza interna. Puede optar por llamarla con un nombre diferente. Lo importante es que sea una documentación creada por usted que proporciona a los usuarios para que sepan cómo usar las etiquetas de forma eficaz. Puesto que la directiva de etiquetas es una página específica del Portal de cumplimiento de Microsoft Purview, intente evitar llamar a la directiva de gobernanza interna por el mismo nombre.
Se recomienda crear iterativamente la directiva de protección y clasificación de datos mientras se encuentra en el proceso de toma de decisiones. Significará que todo está claramente definido cuando es el momento de configurar las etiquetas de confidencialidad.
Estos son algunos de los elementos clave de información que puede incluir en la directiva de clasificación y protección de datos.
- Descripción de la etiqueta: Más allá del nombre de la etiqueta, proporcione una descripción completa de la etiqueta. La descripción debe ser clara, pero breve. A continuación, se incluyen algunas descripciones de ejemplo:
- Uso interno general: para datos privados, internos y empresariales
- Restringido: para datos empresariales confidenciales que causarían daños si están en peligro o están sujetos a requisitos normativos o de cumplimiento.
- Ejemplos: proporciona ejemplos que le ayudan a explicar cuándo usar la etiqueta. Estos son algunos ejemplos:
- Uso interno general: para la mayoría de las comunicaciones internas, datos de soporte técnico no confidenciales, respuestas de encuestas, revisiones, clasificaciones y datos de ubicación imprecisos
- Restringido: para datos de información de identificación personal (DCP), como el nombre, la dirección, el teléfono, el correo electrónico, el número de identificación gubernamental, la raza o la etnia. Incluye contratos de proveedores y asociados, datos financieros no públicos, datos de empleados y de recursos humanos (HR). También incluye información privilegiada, propiedad intelectual y datos de ubicación precisos.
- Etiqueta necesaria: Describe si la asignación de una etiqueta es obligatoria para todo el contenido nuevo y cambiado.
- Etiqueta predeterminada: Describe si esta etiqueta es una etiqueta predeterminada que se aplica automáticamente al nuevo contenido.
- Restricciones de acceso: Información adicional que aclara si se permite a los usuarios internos o externos ver el contenido asignado a esta etiqueta. Estos son algunos ejemplos:
- Todos los usuarios, incluidos usuarios internos, usuarios externos y terceros con acuerdos de confidencialidad (NDA) activos pueden acceder a esta información.
- Solo los usuarios internos pueden acceder a esta información. No están autorizados los socios, proveedores, contratistas ni terceros, independientemente de su estado de acuerdo de confidencialidad o NDA.
- El acceso interno a la información se basa en la autorización del rol de trabajo.
- Requisitos de cifrado: Describe si es necesario cifrar los datos en reposo y en tránsito. Esta información se correlacionará con la configuración de la etiqueta de confidencialidad y afectará a las directivas de protección que se pueden implementar para el cifrado de archivos (RMS).
- Permitir descargas o acceso sin conexión: Describe si se permite el acceso sin conexión. También puede definir si se permiten descargas a dispositivos personales o de la empresa.
- Cómo solicitar una excepción: Describe si un usuario puede solicitar una excepción a la directiva estándar y cómo se puede hacer.
- Frecuencia de auditoría: Especifica la frecuencia de las revisiones de cumplimiento. Las etiquetas confidenciales más altas deben implicar procesos de auditoría más frecuentes y exhaustivos.
- Otros metadatos: Una directiva de datos requiere más metadatos, como el propietario de la directiva, el aprobador y la fecha efectiva.
Sugerencia
Al crear la directiva de protección y clasificación de datos, céntrese en convertirla en una referencia sencilla para los usuarios. Debe ser lo más claro y conciso posible. Si es demasiado complejo, los usuarios no siempre se tomarán el tiempo para entenderlo.
Una manera de automatizar la implementación de una directiva, como la directiva de protección y clasificación de datos, es con las condiciones de uso de Microsoft Entra. Cuando se configura una directiva de términos de uso, los usuarios deben confirmar la directiva antes de que se les permita visitar el servicio Power BI por primera vez. También es posible pedirles que vuelvan a aceptarla de forma periódica, por ejemplo cada 12 meses.
Lista de comprobación: Al planificar la directiva interna para controlar las expectativas de uso de las etiquetas de confidencialidad, las decisiones y acciones clave incluyen:
- Crear una directiva de protección y clasificación de datos: Para cada etiqueta de confidencialidad de la estructura, cree un documento de directiva centralizado. Este documento debe definir lo que se puede hacer o no con el contenido al que se le ha asignado cada etiqueta.
- Obtener consenso sobre la clasificación de datos y la directiva de protección: Asegúrese de que todas las personas necesarias del equipo que ha reunido hayan aceptado las disposiciones.
- Considere cómo controlar las excepciones a la directiva: las organizaciones altamente descentralizadas deben tener en cuenta si pueden surgir excepciones. Aunque es preferible tener una directiva estandarizada de clasificación y protección de datos, decida cómo abordará las excepciones cuando se realicen nuevas solicitudes.
- Considerar dónde ubicar la directiva interna: Tenga en cuenta dónde se debe publicar la directiva de protección y clasificación de datos. Asegúrese de que todos los usuarios puedan acceder fácilmente a ella. Planee incluirla en la página de ayuda personalizada al publicar la directiva de la etiqueta.
Documentación y entrenamiento de los usuarios
Antes de implementar la funcionalidad de protección de la información, se recomienda crear y publicar la documentación con las instrucciones para los usuarios. El objetivo de la documentación es lograr una experiencia de usuario fluida. Preparar las instrucciones para los usuarios también le ayudará a asegurarse de que ha tomado en cuenta todos los factores.
Puede publicar las instrucciones como parte de la página de ayuda personalizada de la etiqueta de confidencialidad. Una página de SharePoint o una página wiki en su portal centralizado puede funcionar bien porque será fácil de mantener. Un documento cargado en una biblioteca compartida o un sitio de Teams también es un buen enfoque. La dirección URL de la página de ayuda personalizada se especifica en el Portal de cumplimiento de Microsoft Purview al publicar la directiva de etiquetas.
Sugerencia
La página de ayuda personalizada es un recurso importante. Los vínculos a ella están disponibles en diversas aplicaciones y servicios.
La documentación del usuario debe incluir la directiva de protección y clasificación de datos descrita anteriormente. Esa directiva interna está dirigida a todos los usuarios. Los usuarios interesados incluyen creadores de contenido y consumidores que necesitan comprender las implicaciones de las etiquetas asignadas por otros usuarios.
Además de la directiva de clasificación y protección de datos, se recomienda preparar instrucciones para los creadores y propietarios de contenido sobre cómo:
- Visualizar las etiquetas: Información sobre lo que significa cada etiqueta. Correlacione cada etiqueta con la directiva de protección y clasificación de datos.
- Asignación de etiquetas: Instrucciones sobre cómo asignar y administrar etiquetas. Incluya la información que necesitarán saber los usuarios, como etiquetas obligatorias, etiquetas predeterminadas y cómo funciona la herencia de etiquetas.
- Flujo de trabajo: Sugerencias para asignar y revisar etiquetas como parte de su flujo de trabajo normal. Las etiquetas se pueden asignar en Power BI Desktop tan pronto como comience el desarrollo, que protege el archivo Power BI Desktop original durante el proceso de desarrollo.
- Notificaciones situacionales: Conocimiento de las notificaciones generadas por el sistema que pueden recibir los usuarios. Por ejemplo, un sitio de SharePoint está asignado a una etiqueta de confidencialidad determinada, pero se ha asignado un archivo individual a una etiqueta más confidencial (superior). El usuario que asignó la etiqueta superior recibirá una notificación por correo electrónico de que la etiqueta asignada al archivo no es compatible con el sitio donde se almacena.
Incluya información sobre con quiénes deben ponerse en contacto los usuarios si tienen preguntas o problemas técnicos. Dado que la protección de la información es un proyecto de toda la organización, el equipo de TI suele proporcionar soporte técnico.
Las preguntas frecuentes y los ejemplos son especialmente útiles para la documentación del usuario.
Sugerencia
Algunos requisitos normativos incluyen un componente de entrenamiento específico.
Lista de comprobación: Al preparar la documentación y el entrenamiento de los usuarios, las decisiones y acciones clave incluyen:
- Identificar qué información se debe incluir: Determine qué información debe incluirse para que todas las audiencias pertinentes comprendan lo que se espera de ellos cuando se trata de proteger los datos en nombre de la organización.
- Publicar la página de ayuda personalizada: Cree y publique una página de ayuda personalizada. Incluya instrucciones sobre el etiquetado en forma de preguntas más frecuentes y ejemplos. Incluya un vínculo para acceder a la directiva de protección y clasificación de datos.
- Publicar la directiva de protección y clasificación de datos: Publique el documento de directiva que define exactamente lo que se puede o no se puede hacer con el contenido asignado a cada etiqueta.
- Determinar si se necesita entrenamiento específico: cree o actualice un entrenamiento para los usuarios que incluya información útil, especialmente si existe el requisito normativo de hacerlo.
Asistencia técnica de usuario
Es importante verificar quién será el responsable de la asistencia al usuario. Es habitual que las etiquetas de confidencialidad cuenten con ayuda del departamento de soporte técnico de TI centralizado.
Es posible que tenga que crear una guía para el servicio de asistencia (a veces conocida como runbook). Es posible que también tenga que realizar sesiones de transferencia de conocimiento para asegurarse de que el servicio de asistencia esté listo para responder a las solicitudes de soporte técnico.
Lista de comprobación: Al preparar la función de soporte al usuario, las decisiones y acciones clave incluyen:
- Identificar quién prestará asistencia al usuario: Cuando defina los roles y las responsabilidades, asegúrese de tener en cuenta cómo obtendrán ayuda los usuarios con los problemas relacionados con la protección de la información.
- Asegurarse de que el equipo de asistencia al usuario esté preparado: Cree documentación y lleve a cabo sesiones de transferencia de conocimientos para asegurarse de que el departamento de soporte técnico esté preparado para ayudar con estos procesos. Resalte los aspectos complejos que puedan confundir a los usuarios, como la protección con cifrado.
- Comunicación entre equipos: Analice el proceso y las expectativas con el equipo de soporte técnico, así como los administradores de Power BI y el Centro de excelencia. Asegúrese de que todos los implicados estén preparados para las posibles preguntas por parte de los usuarios de Power BI.
Resumen de la implementación
Una vez que se han tomado las decisiones y se han cumplido los requisitos previos, es el momento de empezar a implementar la protección de la información según el plan de implementación gradual.
La siguiente lista de comprobación incluye una lista resumida de los pasos de implantación de un extremo a otro. Muchos de los pasos tienen otros detalles tratados en las secciones anteriores de este artículo.
Lista de comprobación: Al implementar la protección de la información, las decisiones y las acciones clave incluyen:
- Comprobar el estado y los objetivos actuales: Asegúrese de entender claramente el estado actual de protección de la información en la organización. Todos los objetivos y requisitos para implementar la protección de la información deben ser claros y usarse activamente para impulsar el proceso de toma de decisiones.
- Tomar decisiones: Revise y discuta todas las decisiones necesarias. Esta tarea debe realizarse antes de configurar nada en producción.
- Revisar los requisitos de licencia: Asegúrese de comprender los requisitos de licencia del producto y del usuario. Adquiera y asigne más licencias, si es necesario.
- Publicar la documentación del usuario: Publique la directiva de protección y clasificación de datos. Cree una página de ayuda personalizada que contenga la información pertinente que necesitarán los usuarios.
- Preparar al equipo de soporte técnico: Realice sesiones de transferencia de conocimiento para asegurarse de que el equipo de soporte técnico esté listo para responder a las preguntas de los usuarios.
- Crear las etiquetas de confidencialidad: Configure cada una de las etiquetas de confidencialidad en el Portal de cumplimiento de Microsoft Purview.
- Publicar una directiva de etiqueta de confidencialidad: Cree y publique una directiva de etiquetas en el Portal de cumplimiento de Microsoft Purview. Empiece por probar con un pequeño grupo de usuarios.
- Establecer la configuración del inquilino de Power BI: En el portal de administrador de Power BI, establezca la configuración del inquilino de protección de la información.
- Realizar pruebas iniciales: Realice un conjunto inicial de pruebas para verificar que todo funcione correctamente. Use un inquilino que no sea de producción para las pruebas iniciales, si está disponible.
- Recopilar comentarios de los usuarios: Publique la directiva de etiquetas en un pequeño subconjunto de usuarios que estén dispuestos a probar la funcionalidad. Obtenga comentarios sobre el proceso y la experiencia del usuario.
- Continuar las versiones iterativas: Publique la directiva de etiquetas en otros grupos de usuarios. Incorpore más grupos de usuarios hasta que se incluya toda la organización.
Sugerencia
Estos elementos de la lista de comprobación se resumen a efectos de planificación. Para obtener más información sobre estos elementos de la lista de comprobación, consulte las secciones anteriores de este artículo.
Supervisión continua
Una vez completada la implementación, debe dirigir su atención a la supervisión y optimización de las etiquetas de confidencialidad.
Los administradores de Power BI y de seguridad y cumplimiento tendrán que colaborar de vez en cuando. En el caso del contenido de Power BI, hay dos audiencias relacionadas con la supervisión.
- Administradores de Power BI: Cada vez que se asigna o cambia una etiqueta de confidencialidad, se registra una entrada en el registro de actividad de Power BI. La entrada del registro de actividad registra los detalles del evento, incluidos el usuario, la fecha y la hora, el nombre del elemento, el área de trabajo y la capacidad. Otros eventos del registro de actividad (como cuándo se visualiza un informe) incluirán el id. de etiqueta de confidencialidad asignado al elemento.
- Administradores de seguridad y cumplimiento: Los administradores de seguridad y cumplimiento normativo de la organización suelen utilizar los informes, las alertas y los registros de auditoría de Microsoft Purview.
Lista de comprobación: Al supervisar la protección de la información, las decisiones y acciones clave incluyen:
- Verificar roles y responsabilidades: Asegúrese de tener claro quién es responsable de cada acción. Instruya a los administradores de Power BI o de seguridad y comunique si serán directamente responsables de algunos aspectos.
- Crear o validar el proceso de revisión de la actividad: Asegúrese de que los administradores de seguridad y cumplimiento tengan claras las expectativas de revisión periódica del explorador de la actividad.
Sugerencia
Para más información sobre auditoría, consulte Auditoría de protección de la información y prevención de pérdida de datos para Power BI.
Contenido relacionado
En el siguiente artículo de esta serie, obtendrá información sobre la prevención de pérdida de datos para Power BI.