Planeamiento de la implementación de Power BI: Protección de la información de nivel de organización
Nota
Este artículo forma parte de la serie de artículos sobre el planeamiento de la implementación de Power BI. Esta serie se centra principalmente en la experiencia de Power BI en Microsoft Fabric. Para acceder a una introducción a la serie, consulte el planeamiento de la implementación de Power BI.
En este artículo se describen las actividades iniciales de evaluación y preparación para la protección de la información en Power BI. Se dirige a:
- Administradores de Power BI: los administradores responsables de supervisar Power BI en la organización. Los administradores de Power BI necesitan colaborar con el equipo de seguridad de la información y otros equipos relevantes.
- Equipos del centro de excelencia, TI y BI: Los equipos que son responsables de supervisar Power BI en la organización. Es posible que deban colaborar con el administrador de Power BI, los equipos de seguridad de la información y otros equipos pertinentes.
Importante
La protección de la información y la prevención de pérdida de datos (DLP) es una tarea importante para toda la organización. Su ámbito e impacto son mucho mayores que Power BI por sí solo. Este tipo de iniciativa requiere financiación, priorización y planificación. Prevea la participación de varios equipos multifuncionales en sus esfuerzos de planificación, uso y supervisión.
Evaluación del estado actual
Antes de empezar a trabajar con las actividades de configuración, evalúe lo que está ocurriendo actualmente en su organización. Es fundamental comprender en qué medida se implementa actualmente la protección de la información (o está planeada).
Por lo general, hay dos casos de uso de etiquetas de confidencialidad.
- Las etiquetas de confidencialidad están actualmente en uso: En este caso, las etiquetas de confidencialidad se configuran y usan para clasificar los archivos de Microsoft Office. Bajo estas circunstancias, la cantidad de trabajo que se necesitará para usar etiquetas de confidencialidad para Power BI será considerablemente menor. La escala de tiempo será más corta y será más sencilla de configurar rápidamente.
- Las etiquetas de confidencialidad aún no están en uso: En este caso, las etiquetas de confidencialidad no se usan para los archivos de Microsoft Office. Bajo estas circunstancias, se necesitará un proyecto de toda la organización para implementar etiquetas de confidencialidad. Para algunas organizaciones, este proyecto puede representar una gran cantidad de trabajo y una inversión de tiempo considerable. Esto se debe a que las etiquetas están diseñadas para usarse en toda la organización mediante varias aplicaciones (en lugar de una aplicación, como Power BI).
En el diagrama siguiente se muestra cómo se usan ampliamente las etiquetas de confidencialidad en toda la organización.
El diagrama anterior muestra los siguientes elementos:
Elemento | Descripción |
---|---|
Las etiquetas de confidencialidad se configuran en el portal de cumplimiento de Microsoft Purview. | |
Las etiquetas de confidencialidad se pueden aplicar a muchos tipos de elementos y archivos, como archivos de Microsoft Office, elementos del servicio Power BI, archivos Power BI Desktop y correos electrónicos. | |
Las etiquetas de confidencialidad se pueden aplicar a sitios de Teams, sitios de SharePoint y grupos de Microsoft 365. | |
Las etiquetas de confidencialidad se pueden aplicar a los recursos de datos esquematizados registrados en el Mapa de datos de Microsoft Purview. |
En el diagrama, puede observar que los elementos de la servicio Power BI y los archivos de Power BI Desktop son solo algunos de los muchos recursos que permiten asignar etiquetas de confidencialidad. Las etiquetas de confidencialidad se definen de forma centralizada en Information Protection de Microsoft Purview. Una vez definida, todas las aplicaciones admitidas de toda la organización usan las mismas etiquetas. No es posible definir etiquetas para su uso en una sola aplicación, como Power BI. Por lo tanto, el proceso de planeamiento debe tener en cuenta un conjunto más amplio de escenarios de uso para definir etiquetas que se pueden usar en varios contextos. Dado que la protección de la información está pensada para usarse de forma coherente en aplicaciones y servicios, es fundamental empezar a evaluar qué etiquetas de confidencialidad están actualmente en vigor.
Las actividades para implementar etiquetas de confidencialidad se describen en el artículo Protección de la información para Power BI.
Nota
Las etiquetas de confidencialidad son el primer bloque de creación para implementar la protección de la información. DLP se produce después de configurar la protección de la información.
Lista de comprobación: Al evaluar el estado actual de la protección de la información y DLP en su organización, las decisiones y acciones clave incluyen:
- Determinar si la protección de la información está actualmente en uso: Descubra qué funcionalidades están habilitadas actualmente, cómo se usan, qué aplicaciones y por quién.
- Identificar quién es actualmente el responsable de la protección de la información: Al evaluar las funcionalidades actuales, determine quién es actualmente el responsable. Involucre a ese equipo en todas las actividades en el futuro.
- Unificar proyectos de protección de la información: Si procede, combine los métodos de protección de la información actualmente en uso. Si es posible, unifique proyectos y equipos para obtener eficiencia y coherencia.
Personal del equipo
Como se indicó anteriormente, muchas de las funcionalidades de protección de la información y DLP que se configurarán tendrán un impacto en toda la organización (más allá de Power BI). Por eso es fundamental ensamblar un equipo que incluya a todas las personas relevantes. El equipo será fundamental para definir los objetivos (descritos en la sección siguiente) y guiar el esfuerzo general.
A medida que defina los roles y las responsabilidades para el equipo, le recomendamos que incluya personas que puedan traducir los requisitos de manera competente y comunicarse bien con las partes interesadas.
El equipo debe incluir partes interesadas pertinentes que impliquen a diferentes individuos y grupos de la organización, entre los que se incluyen:
- Director de seguridad de la información o responsable de protección de datos
- Seguridad de la información o equipo de ciberseguridad
- Información legal
- Cumplimiento normativo
- Administración de riesgos
- Comité de gobernanza de datos de Enterprise
- Director de datos o director de análisis
- Equipo de auditoría interna
- Centro de excelencia de análisis (COE)
- Equipo de análisis de Enterprise o inteligencia empresarial (BI)
- Administradores de datos y propietarios de datos de dominio de las unidades empresariales clave
El equipo también debe incluir los siguientes administradores del sistema:
- Administrador de Microsoft Purview
- Administrador de Microsoft 365
- Administrador de id. de Microsoft Entra
- Administrador de aplicaciones de Defender for Cloud
- Administrador de Power BI
Sugerencia
Espere que la planificación y la implementación de la protección de la información sean un esfuerzo colaborativo que llevará tiempo hacerlo bien.
La tarea de planificar e implementar la protección de la información suele ser una responsabilidad a tiempo parcial para la mayoría de las personas. Normalmente es una de muchas prioridades urgentes. Por lo tanto, tener un patrocinador ejecutivo ayudará a aclarar las prioridades, establecer plazos y proporcionar orientación estratégica.
La claridad en los roles y responsabilidades es necesaria para evitar malentendidos y retrasos cuando se trabaja con equipos multifuncionales a través de los límites de la organización.
Lista de comprobación: Al armar su equipo de protección de la información, las decisiones y acciones clave incluyen:
- Armar el equipo: Involucre a todas las partes interesadas técnicas y no técnicas pertinentes.
- Determinar quién es el patrocinador ejecutivo: Asegúrese de tener claro quién es el líder de la acción de planificación e implementación. Involucre a esta persona (o grupo) para priorizar, financiar, llegar a un consenso y tomar decisiones.
- Aclarar los roles y las responsabilidades: Asegúrese de que todos los involucrados tengan claras sus funciones y responsabilidades.
- Crear el plan de comunicación: Considere cómo y cuándo se comunicará con los usuarios en toda la organización.
Objetivos y requisitos
Es importante tener en cuenta cuáles son los objetivos para implementar la protección de la información y DLP. Es probable que las diferentes partes interesadas del equipo que reunió tengan diferentes puntos de vista y áreas de interés.
En este punto, se recomienda centrarse en los objetivos estratégicos. Si el equipo empezó definiendo los detalles del nivel de implementación, le sugerimos que de marcha atrás y defina los objetivos estratégicos. Los objetivos estratégicos bien definidos le ayudarán a ofrecer una implementación más fluida.
Los requisitos de protección de la información y DLP podrían incluir los siguientes objetivos.
- Habilitación de usuarios de autoservicio: Permita que los creadores y propietarios de contenido de BI de autoservicio colaboren, compartan y sean lo más productivos posible, todo dentro de las medidas de seguridad establecidas por el equipo de gobernanza. El objetivo es equilibrar la BI de autoservicio con la BI centralizada y facilitar que los usuarios de autoservicio hagan lo correcto, sin afectar negativamente su productividad.
- Cultura de datos que valora la protección de datos confiables: Implemente la protección de la información de una manera que la fricción sea poca y no interfiera con la productividad del usuario. Cuando se implementa de manera equilibrada, es mucho más probable que los usuarios trabajen dentro de sus sistemas que alrededor de ellos. La educación del usuario y el servicio de asistencia al usuario son esenciales.
- Reducción de riesgos: Proteja a la organización reduciendo los riesgos. Los objetivos de reducción de riesgos a menudo incluyen minimizar la posibilidad de pérdida de datos fuera de la organización y proteger los datos contra el acceso no autorizado.
- Cumplimiento: Apoye los esfuerzos de cumplimiento de las reglamentaciones gubernamentales, regionales y del sector. Además, su organización también podría tener requisitos de seguridad y gobernanza internos que se consideren críticos.
- Auditabilidad y reconocimineto: Comprenda dónde se encuentran los datos confidenciales en toda la organización y quién los está usando.
Tenga en cuenta que una iniciativa para introducir la protección de la información es complementaria a otros enfoques relacionados que involucran seguridad y privacidad. Coordine las iniciativas de protección de la información con otros esfuerzos, tales como:
- Roles de acceso, permisos, uso compartido y seguridad de nivel de fila (RLS) para el contenido de Power BI
- Requisitos de residencia de datos
- Requisitos de seguridad de la red
- Requisitos de cifrado de datos
- Iniciativas de catalogación de datos
Para obtener más información sobre cómo proteger el contenido en Power BI, consulte los artículos sobre Plan de seguridad.
Lista de comprobación: Al considerar los objetivos de protección de la información, las decisiones y acciones clave incluyen:
- Identificar las regulaciones y los riesgos de privacidad de datos aplicables: Asegúrese de que el equipo conozca las regulaciones de privacidad de datos a las que está sujeta su organización para su sector o región geográfica. Si es necesario, realice una evaluación de riesgos de privacidad de datos.
- Conversar sobre los objetivos y aclararlos: Tenga conversaciones iniciales con las partes interesadas relevantes y las personas interesadas. Asegúrese de tener claros los objetivos estratégicos de protección de la información. Asegúrese de poder traducir estos objetivos en requisitos comerciales.
- Aprobar, documentar y priorizar los objetivos: Asegúrese de que los objetivos estratégicos estén documentados y priorizados. Cuando necesite tomar decisiones complejas, priorizar o hacer concesiones, consulte estos objetivos.
- Comprobar y documentar los requisitos empresariales y regulatorios: Asegúrese de que todos los requisitos empresariales y regulatorios para la privacidad de los datos estén documentados. Consúltelos para priorizar y conocer las necesidades de cumplimiento.
- Comenzar a crear un plan: Comience a crear el plan de proyecto usando los objetivos estratégicos priorizados y los requisitos documentados.
Contenido relacionado
En el siguiente artículo de esta serie, podrá obtener información sobre el etiquetado y la clasificación de recursos de datos para usarlos con Power BI.