Pianificazione dell'implementazione di Power BI: Protezione delle informazioni a livello di organizzazione
Nota
Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sul carico di lavoro di Power BI all'interno di Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.
Questo articolo descrive le attività iniziali di valutazione e preparazione per la protezione delle informazioni in Power BI. È destinato a:
- Amministratori di Power BI: amministratori responsabili della supervisione di Power BI nell'organizzazione. Gli amministratori di Power BI devono collaborare con la sicurezza delle informazioni e altri team pertinenti.
- Centro di eccellenza, TEAM IT e BI: i team responsabili della supervisione di Power BI nell'organizzazione. Potrebbe essere necessario collaborare con l'amministratore di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.
Importante
La protezione delle informazioni e la prevenzione della perdita dei dati (DLP) è un'impresa significativa a livello di organizzazione. L'ambito e l'impatto sono molto più grandi di Power BI. Questo tipo di iniziativa richiede finanziamenti, definizione delle priorità e pianificazione. Si prevede di coinvolgere diversi team interfunzionali nelle attività di pianificazione, utilizzo e supervisione.
Valutazione dello stato corrente
Prima di iniziare a usare le attività di configurazione, valutare le attività attualmente in corso all'interno dell'organizzazione. È fondamentale comprendere la misura in cui è attualmente implementata o pianificata la protezione delle informazioni.
In genere, esistono due casi di uso delle etichette di riservatezza.
- Le etichette di riservatezza sono attualmente in uso: in questo caso, le etichette di riservatezza vengono configurate e usate per classificare i file di Microsoft Office. In questa situazione, la quantità di lavoro necessaria per usare le etichette di riservatezza per Power BI sarà notevolmente inferiore. La sequenza temporale sarà più breve e sarà più semplice configurarla rapidamente.
- Etichette di riservatezza non ancora in uso: in questo caso, le etichette di riservatezza non vengono usate per i file di Microsoft Office. In questo caso, sarà necessario un progetto a livello di organizzazione per implementare le etichette di riservatezza. Per alcune organizzazioni, questo progetto può rappresentare una notevole quantità di lavoro e un notevole investimento in termini di tempo. Ciò è dovuto al fatto che le etichette devono essere usate in tutta l'organizzazione da varie applicazioni (anziché da un'applicazione, ad esempio Power BI).
Il diagramma seguente mostra come le etichette di riservatezza vengono usate su larga scala nell'organizzazione.
Il diagramma precedente illustra gli elementi seguenti:
| Articolo | Descrizione |
|---|---|
 |
Le etichette di riservatezza vengono configurate nel Portale di conformità di Microsoft Purview. |
 |
Le etichette di riservatezza possono essere applicate a molti tipi di elementi e file, ad esempio file di Microsoft Office, elementi nei servizio Power BI, nei file di Power BI Desktop e nei messaggi di posta elettronica. |
 |
Le etichette di riservatezza possono essere applicate per siti di Teams, siti di SharePoint e gruppi di Microsoft 365. |
 |
Le etichette di riservatezza possono essere applicate agli asset di dati schematizzati registrati nella mappa dei dati di Microsoft Purview. |
Nel diagramma si noti che gli elementi nel servizio Power BI e nei file di Power BI Desktop sono solo alcune di molte risorse che consentono di assegnare etichette di riservatezza. Le etichette di riservatezza vengono definite centralmente in Microsoft Purview Information Protection. Una volta definite, le stesse etichette vengono usate da tutte le applicazioni supportate in tutta l'organizzazione. Non è possibile definire etichette da usare in una sola applicazione, ad esempio Power BI. Di conseguenza, il processo di pianificazione deve considerare un set più ampio di scenari di utilizzo per definire le etichette che possono essere usate in più contesti. Poiché la protezione delle informazioni è progettata per essere usata in modo coerente tra applicazioni e servizi, è fondamentale iniziare con la valutazione delle etichette di riservatezza attualmente disponibili.
Le attività per l'implementazione delle etichette di riservatezza sono descritte nell'articolo Protezione delle informazioni per Power BI .
Nota
Le etichette di riservatezza sono il primo blocco predefinito verso l'implementazione della protezione delle informazioni. La prevenzione della perdita dei dati si verifica dopo la configurazione della protezione delle informazioni.
Elenco di controllo : quando si valuta lo stato corrente della protezione delle informazioni e della prevenzione della perdita dei dati nell'organizzazione, le decisioni e le azioni principali includono:
- Determinare se la protezione delle informazioni è attualmente in uso: scoprire quali funzionalità sono attualmente abilitate, come vengono usate, da quali applicazioni e da chi.
- Identificare chi è attualmente responsabile della protezione delle informazioni: durante la valutazione delle funzionalità correnti, determinare chi è attualmente responsabile. Coinvolgere il team in tutte le attività in futuro.
- Consolidare i progetti di protezione delle informazioni: se applicabile, combinare i metodi di protezione delle informazioni attualmente in uso. Se possibile, consolidare progetti e team per ottenere efficienza e coerenza.
Personale del team
Come indicato in precedenza, molte delle funzionalità di protezione delle informazioni e prevenzione della perdita dei dati che verranno configurate avranno un impatto sull'intera organizzazione (ben oltre Power BI). Ecco perché è fondamentale assemblare un team che includa tutte le persone pertinenti. Il team sarà fondamentale per definire gli obiettivi (descritti nella sezione successiva) e guidare il lavoro complessivo.
Quando definisci ruoli e responsabilità per il tuo team, ti consigliamo di includere persone che possono tradurre in modo capabilmente i requisiti e comunicare bene con gli stakeholder.
Il team deve includere stakeholder pertinenti che coinvolgono utenti e gruppi diversi nell'organizzazione, tra cui:
- Responsabile della sicurezza delle informazioni/responsabile della protezione dei dati
- Sicurezza delle informazioni/team di sicurezza informatica
- Note legali
- Conformità
- Gestione dei rischi
- Comitato di governance dei dati aziendali
- Chief data officer/chief analytics officer
- Team di controllo interno
- Centro analisi di eccellenza (COE)
- Team di Business Intelligence (BI) di Analisi aziendale/Business Intelligence
- Amministratori dei dati e proprietari di dati di dominio da business unit chiave
Il team deve includere anche gli amministratori di sistema seguenti:
- Amministratore di Microsoft Purview
- Amministratore di Microsoft 365
- MICROSOFT Entra ID (noto in precedenza come amministratore di Azure Active Directory)
- amministratore di app Defender per il cloud
- Amministratore di Power BI
Suggerimento
Aspettatevi che la pianificazione e l'implementazione della protezione delle informazioni siano uno sforzo collaborativo che richiederà tempo per ottenere il giusto diritto.
Il compito di pianificare e implementare la protezione delle informazioni è in genere una responsabilità part-time per la maggior parte delle persone. Si tratta in genere di una delle molte priorità pressanti. Pertanto, avere uno sponsor esecutivo contribuirà a chiarire le priorità, definire le scadenze e fornire indicazioni strategiche.
La chiarezza sui ruoli e sulle responsabilità è necessaria per evitare malintesi e ritardi quando si lavora con team interfunzionali attraverso i limiti dell'organizzazione.
Elenco di controllo : quando si riunisce il team di protezione delle informazioni, le decisioni chiave e le azioni includono:
- Assemblare il team: coinvolgere tutti gli stakeholder tecnici e non tecnici pertinenti.
- Determinare chi è lo sponsor esecutivo: assicurarsi di essere chiari su chi è il leader del lavoro di pianificazione e implementazione. Coinvolgere questa persona (o gruppo) per la definizione delle priorità, il finanziamento, il raggiungimento del consenso e il processo decisionale.
- Chiarire ruoli e responsabilità: assicurarsi che tutti gli utenti coinvolti siano chiari sul proprio ruolo e responsabilità.
- Creare un piano di comunicazione: valutare come e quando si comunicheranno con gli utenti in tutta l'organizzazione.
Obiettivi e requisiti
È importante considerare gli obiettivi per implementare la protezione delle informazioni e la prevenzione della perdita dei dati. È probabile che diversi stakeholder del team assemblato abbiano punti di vista e aree di interesse diversi.
A questo punto, è consigliabile concentrarsi sugli obiettivi strategici. Se il team ha iniziato definendo i dettagli del livello di implementazione, è consigliabile tornare indietro e definire gli obiettivi strategici. Obiettivi strategici ben definiti ti aiuteranno a realizzare un'implementazione più fluida.
I requisiti di protezione delle informazioni e prevenzione della perdita dei dati possono includere gli obiettivi seguenti.
- Abilitazione degli utenti self-service: consente ai creatori e ai proprietari di contenuti di BI self-service di collaborare, condividere ed essere il più produttivi possibile, tutti all'interno delle protezioni stabilite dal team di governance. L'obiettivo è bilanciare la BI self-service con bi centralizzata e semplificare l'esecuzione di operazioni self-service da parte degli utenti self-service, senza influire negativamente sulla produttività.
- Impostazioni cultura dei dati che proteggono i dati attendibili: implementare la protezione delle informazioni in modo da esaurire l'attrito e non comporta la produttività degli utenti. Se implementati in modo bilanciato, gli utenti sono molto più propensi a lavorare all'interno dei sistemi rispetto a quelli circostanti. L'istruzione degli utenti e il supporto degli utenti sono essenziali.
- Riduzione dei rischi: proteggere l'organizzazione riducendone i rischi. Gli obiettivi di riduzione dei rischi includono spesso la possibilità di perdita di dati all'esterno dell'organizzazione e la protezione dei dati da accessi non autorizzati.
- Conformità: supportare le attività di conformità per le normative di settore, regionali e governative. Inoltre, l'organizzazione potrebbe avere anche requisiti di governance e sicurezza interni ritenuti critici.
- Verificabilità e consapevolezza: comprendere dove si trovano i dati sensibili in tutta l'organizzazione e chi lo usa.
Tenere presente che un'iniziativa per introdurre la protezione delle informazioni è complementare ad altri approcci correlati che coinvolgono la sicurezza e la privacy. Coordinare le iniziative di protezione delle informazioni con altri sforzi, ad esempio:
- Accedere a ruoli, autorizzazioni, condivisione e sicurezza a livello di riga per il contenuto di Power BI
- Requisiti di residenza dei dati
- Requisiti di sicurezza di rete
- Requisiti di crittografia dei dati
- Iniziative di catalogo dati
Per altre informazioni sulla protezione del contenuto in Power BI, vedere gli articoli sulla pianificazione della sicurezza.
Elenco di controllo : quando si considerano gli obiettivi di protezione delle informazioni, le decisioni chiave e le azioni includono:
- Identificare i rischi e le normative sulla privacy dei dati applicabili: assicurarsi che il team sia a conoscenza delle normative sulla privacy dei dati a cui l'organizzazione è soggetta per il settore o l'area geografica. Se necessario, eseguire una valutazione dei rischi per la privacy dei dati.
- Discutere e chiarire gli obiettivi: avere discussioni iniziali con le parti interessate e le persone interessate. Assicurarsi di essere chiari sugli obiettivi strategici di protezione delle informazioni. Assicurarsi di poter tradurre questi obiettivi in requisiti aziendali.
- Approvare, documentare e classificare in ordine di priorità gli obiettivi: assicurarsi che gli obiettivi strategici siano documentati e classificati in ordine di priorità. Quando è necessario prendere decisioni complesse, definire le priorità o prendere compromessi, fare riferimento a questi obiettivi.
- Verificare e documentare i requisiti normativi e aziendali: assicurarsi che siano documentati tutti i requisiti normativi e aziendali per la privacy dei dati. Fare riferimento a essi per le esigenze di definizione delle priorità e conformità.
- Iniziare a creare un piano: iniziare a creare un piano di progetto usando gli obiettivi strategici classificati in ordine di priorità e i requisiti documentati.
Contenuto correlato
Nell'articolo successivo di questa serie vengono fornite informazioni sull'etichettatura e la classificazione degli asset di dati da usare con Power BI.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per