Bagikan melalui

Perencanaan implementasi Power BI: Perlindungan informasi tingkat organisasi

  • Artikel

Catatan

Artikel ini merupakan bagian dari rangkaian artikel Perencanaan implementasi Power BI. Seri ini berfokus terutama pada pengalaman Power BI dalam Microsoft Fabric. Untuk pengantar rangkaian ini, lihat Perencanaan implementasi Power BI.

Artikel ini menjelaskan penilaian awal dan aktivitas persiapan untuk perlindungan informasi di Power BI. Ini ditargetkan pada:

  • Administrator Power BI: Administrator yang bertanggung jawab untuk mengawasi Power BI di organisasi. Administrator Power BI perlu berkolaborasi dengan keamanan informasi dan tim terkait lainnya.
  • Tim Center of Excellence, IT, dan BI: Tim yang bertanggung jawab untuk mengawasi Power BI dalam organisasi. Mereka mungkin perlu berkolaborasi dengan administrator Power BI, tim keamanan informasi, dan tim terkait lainnya.

Penting

Perlindungan informasi dan pencegahan kehilangan data (DLP) adalah usaha di seluruh organisasi yang signifikan. Cakupan dan dampaknya jauh lebih besar daripada Power BI saja. Jenis inisiatif ini membutuhkan pendanaan, prioritas, dan perencanaan. Harap libatkan beberapa tim lintas fungsi dalam upaya perencanaan, penggunaan, dan pengawasan Anda.

Penilaian status saat ini

Sebelum Anda mulai dengan aktivitas penyiapan apa pun, nilai apa yang saat ini terjadi dalam organisasi Anda. Sangat penting untuk memahami sejauh mana perlindungan informasi saat ini diterapkan (atau sedang direncanakan).

Umumnya, ada dua kasus penggunaan label sensitivitas.

  • Label sensitivitas saat ini sedang digunakan: Dalam hal ini, label sensitivitas disiapkan dan digunakan untuk mengklasifikasikan file Microsoft Office. Dalam situasi ini, jumlah pekerjaan yang akan diperlukan untuk menggunakan label sensitivitas untuk Power BI akan jauh lebih rendah. Garis waktu akan lebih pendek, dan akan lebih mudah diatur dengan cepat.
  • Label sensitivitas belum digunakan: Dalam hal ini, label sensitivitas tidak digunakan untuk file Microsoft Office. Dalam situasi ini, proyek di seluruh organisasi untuk menerapkan label sensitivitas akan diperlukan. Untuk beberapa organisasi, proyek ini dapat mewakili sejumlah besar pekerjaan dan investasi waktu yang cukup besar. Itu karena label dimaksudkan untuk digunakan di seluruh organisasi oleh berbagai aplikasi (bukan satu aplikasi, seperti Power BI).

Diagram berikut menunjukkan bagaimana label sensitivitas digunakan secara luas di seluruh organisasi.

Diagram menunjukkan bagaimana label sensitivitas digunakan. Item dalam diagram dijelaskan dalam tabel di bawah ini.

Diagram di atas menggambarkan item berikut:

Benda Keterangan
Item 1. Label sensitivitas disiapkan di portal kepatuhan Microsoft Purview.
Item 2. Label sensitivitas dapat diterapkan ke banyak jenis item dan file, seperti file Microsoft Office, item di layanan Power BI, file Power BI Desktop, dan email.
Item 3. Label sensitivitas dapat diterapkan untuk situs Teams, situs SharePoint, dan grup Microsoft 365.
Item 4. Label sensitivitas dapat diterapkan ke aset data skema yang terdaftar di Peta Data Microsoft Purview.

Dalam diagram, perhatikan bahwa item dalam file layanan Power BI, dan Power BI Desktop, hanyalah beberapa sumber daya yang memungkinkan penetapan label sensitivitas. Label sensitivitas didefinisikan secara terpusat dalam Perlindungan Informasi Microsoft Purview. Setelah ditentukan, label yang sama digunakan oleh semua aplikasi yang didukung di seluruh organisasi. Tidak dimungkinkan untuk menentukan label untuk digunakan hanya dalam satu aplikasi, seperti Power BI. Oleh karena itu, proses perencanaan Anda perlu mempertimbangkan serangkaian skenario penggunaan yang lebih luas untuk menentukan label yang dapat digunakan dalam beberapa konteks. Karena perlindungan informasi dimaksudkan untuk digunakan secara konsisten di seluruh aplikasi dan layanan, sangat penting untuk memulai dengan menilai label sensitivitas apa yang saat ini diberlakukan.

Aktivitas untuk menerapkan label sensitivitas dijelaskan dalam artikel Perlindungan informasi untuk Power BI .

Catatan

Label sensitivitas adalah blok penyusun pertama menuju penerapan perlindungan informasi. DLP terjadi setelah perlindungan informasi disiapkan.

Daftar periksa - Saat menilai status perlindungan informasi dan DLP saat ini di organisasi Anda, keputusan dan tindakan utama meliputi:

  • Tentukan apakah perlindungan informasi saat ini sedang digunakan: Cari tahu kemampuan apa yang saat ini diaktifkan, bagaimana mereka digunakan, oleh aplikasi mana, dan oleh siapa.
  • Identifikasi siapa yang saat ini bertanggung jawab atas perlindungan informasi: Saat menilai kemampuan saat ini, tentukan siapa yang saat ini bertanggung jawab. Libatkan tim tersebut dalam semua aktivitas ke depannya.
  • Mengonsolidasikan proyek perlindungan informasi: Jika berlaku, gabungkan metode perlindungan informasi yang saat ini digunakan. Jika memungkinkan, konsolidasikan proyek dan tim untuk mendapatkan efisiensi dan konsistensi.

Staf tim

Seperti yang dinyatakan sebelumnya, banyak perlindungan informasi dan kemampuan DLP yang akan disiapkan akan berdampak di seluruh organisasi (jauh di luar Power BI). Itu sebabnya sangat penting untuk merakit tim yang mencakup semua orang yang relevan. Tim akan sangat penting dalam mendefinisikan tujuan (dijelaskan di bagian berikutnya) dan membimbing upaya keseluruhan.

Saat Anda menentukan peran dan tanggung jawab untuk tim Anda, kami sarankan Anda menyertakan orang-orang yang dapat menerjemahkan persyaratan dan berkomunikasi dengan baik dengan pemangku kepentingan.

Tim Anda harus menyertakan pemangku kepentingan terkait yang melibatkan individu dan grup yang berbeda dalam organisasi, termasuk:

  • Kepala petugas keamanan informasi / petugas perlindungan data
  • Tim keamanan informasi/keamanan cyber
  • Hukum
  • Kepatuhan
  • Manajemen risiko
  • Komite tata kelola data perusahaan
  • Chief data officer / chief analytics officer
  • Tim audit internal
  • Pusat Keunggulan Analitik (COE)
  • Tim analitik perusahaan / kecerdasan bisnis (BI)
  • Pengurus data dan pemilik data domain dari unit bisnis utama

Tim Anda juga harus menyertakan administrator sistem berikut:

  • Administrator Microsoft Purview
  • Administrator Microsoft 365
  • Administrator ID Microsoft Entra
  • Administrator aplikasi Defender untuk Cloud
  • Administrator Power BI

Tip

Harapkan perencanaan dan implementasi perlindungan informasi menjadi upaya kolaboratif yang akan membutuhkan waktu untuk mendapatkan hak.

Tugas merencanakan dan menerapkan perlindungan informasi biasanya merupakan tanggung jawab paruh waktu bagi sebagian besar orang. Ini biasanya salah satu dari banyak prioritas yang mendesak. Oleh karena itu, memiliki sponsor eksekutif akan membantu mengklarifikasi prioritas, menetapkan tenggat waktu, dan memberikan panduan strategis.

Kejelasan tentang peran dan tanggung jawab diperlukan untuk menghindari kesalahpahaman dan penundaan saat bekerja dengan tim lintas fungsi di seluruh batas organisasi.

Daftar periksa - Saat menyusun tim perlindungan informasi Anda, keputusan dan tindakan utama meliputi:

  • Kumpulkan tim: Libatkan semua pemangku kepentingan teknis dan non-teknis yang terkait.
  • Tentukan siapa sponsor eksekutif: Pastikan Anda jelas tentang siapa pemimpin upaya perencanaan dan implementasi. Libatkan orang ini (atau grup) untuk prioritas, pendanaan, mencapai konsensi, dan pengambilan keputusan.
  • Mengklarifikasi peran dan tanggung jawab: Pastikan semua orang yang terlibat jelas tentang peran dan tanggung jawab mereka.
  • Membuat rencana komunikasi: Pertimbangkan bagaimana dan kapan Anda akan berkomunikasi dengan pengguna di seluruh organisasi.

Tujuan dan persyaratan

Penting untuk mempertimbangkan tujuan Anda untuk menerapkan perlindungan informasi dan DLP. Pemangku kepentingan yang berbeda dari tim yang telah Anda bangun kemungkinan memiliki sudut pandang dan area yang berbeda yang menjadi perhatian.

Pada titik ini, kami sarankan Anda fokus pada tujuan strategis. Jika tim Anda telah mulai dengan mendefinisikan detail tingkat implementasi, kami sarankan Anda mundur dan menentukan tujuan strategis. Tujuan strategis yang terdefinisi dengan baik akan membantu Anda memberikan implementasi yang lebih lancar.

Perlindungan informasi dan persyaratan DLP Anda mungkin mencakup tujuan berikut.

  • Pengaktifan pengguna layanan mandiri: Izinkan pembuat dan pemilik konten BI mandiri untuk berkolaborasi, berbagi, dan se produktif mungkin– semua dalam pagar pembatas yang ditetapkan oleh tim tata kelola. Tujuannya adalah untuk menyeimbangkan BI layanan mandiri dengan BI terpusat dan memudahkan pengguna layanan mandiri untuk melakukan hal yang benar, tanpa berdampak negatif pada produktivitas mereka.
  • Budaya data yang nilainya melindungi data tepercaya: Terapkan perlindungan informasi dengan cara yang rendah gesekan dan tidak menghalangi produktivitas pengguna. Ketika diimplementasikan dengan cara yang seimbang, pengguna jauh lebih mungkin bekerja dalam sistem Anda daripada di sekitar mereka. Pendidikan pengguna dan dukungan pengguna sangat penting.
  • Pengurangan risiko: Lindungi organisasi dengan mengurangi risikonya. Tujuan pengurangan risiko sering kali mencakup meminimalkan kemungkinan kebocoran data di luar organisasi dan melindungi data dari akses yang tidak sah.
  • Kepatuhan: Mendukung upaya kepatuhan untuk peraturan industri, regional, dan pemerintah. Selain itu, organisasi Anda mungkin juga memiliki persyaratan tata kelola internal dan keamanan yang dianggap penting.
  • Auditabilitas dan kesadaran: Pahami di mana data sensitif berada di seluruh organisasi dan siapa yang menggunakannya.

Ketahuilah bahwa inisiatif untuk memperkenalkan perlindungan informasi melengkapi pendekatan terkait lainnya yang melibatkan keamanan dan privasi. Koordinasikan inisiatif perlindungan informasi dengan upaya lain, seperti:

  • Mengakses peran, izin, berbagi, dan keamanan tingkat baris (RLS) untuk konten Power BI
  • Persyaratan residensi data
  • Persyaratan keamanan jaringan
  • Persyaratan enkripsi data
  • Inisiatif katalog data

Untuk informasi selengkapnya tentang mengamankan konten di Power BI, lihat artikel perencanaan keamanan.

Daftar periksa - Saat mempertimbangkan tujuan perlindungan informasi Anda, keputusan dan tindakan utama meliputi:

  • Identifikasi peraturan dan risiko privasi data yang berlaku: Pastikan tim Anda mengetahui peraturan privasi data yang tunduk pada organisasi Anda untuk industri atau wilayah geografis Anda. Jika perlu, lakukan penilaian risiko privasi data.
  • Diskusikan dan klarifikasi tujuan Anda: Memiliki diskusi awal dengan pemangku kepentingan yang relevan dan orang-orang yang tertarik. Pastikan Anda jelas tentang tujuan strategis perlindungan informasi Anda. Pastikan Anda dapat menerjemahkan tujuan ini ke dalam persyaratan bisnis.
  • Setujui, dokumentasikan, dan prioritaskan tujuan Anda: Pastikan tujuan strategis Anda didokumenkan dan diprioritaskan. Ketika Anda perlu membuat keputusan yang kompleks, memprioritaskan, atau melakukan trade-off, lihat tujuan ini.
  • Verifikasi dan dokumentasikan persyaratan peraturan dan bisnis: Pastikan bahwa semua persyaratan peraturan dan bisnis untuk privasi data didokumenkan. Lihat untuk prioritas dan kebutuhan kepatuhan.
  • Mulai membuat rencana: Mulai bangun rencana proyek dengan menggunakan tujuan strategis yang diprioritaskan dan persyaratan yang didokumenkan.

Konten terkait

Di artikel berikutnya dalam seri ini, pelajari tentang pelabelan dan klasifikasi aset data untuk digunakan dengan Power BI.