Planlegging av Power BI-implementering: Informasjonsbeskyttelse på organisasjonsnivå

Merk

Denne artikkelen er en del av planleggingsserien for power BI-implementering av artikler. Denne serien fokuserer hovedsakelig på Power BI-opplevelsen i Microsoft Fabric. Hvis du vil ha en innføring i serien, kan du se Planlegging av Power BI-implementering.

Denne artikkelen beskriver de første vurderings- og forberedende aktivitetene for informasjonsbeskyttelse i Power BI. Det er rettet mot:

• Power BI-administratorer: Administratorene som er ansvarlige for å overvåke Power BI i organisasjonen. Power BI-administratorer må samarbeide med informasjonssikkerhet og andre relevante team.
• Center of Excellence-, IT- og BI-team: Teamene som er ansvarlige for å overvåke Power BI i organisasjonen. De må kanskje samarbeide med Power BI-administrator, informasjonssikkerhetsteam og andre relevante team.

Viktig

Hindring av informasjonsbeskyttelse og hindring av datatap (DLP) er et betydelig foretak for hele organisasjonen. Omfanget og virkningen er langt større enn Power BI alene. Denne typen initiativ krever finansiering, prioritering og planlegging. Forvent å involvere flere tverrfunksjonelle team i planleggings-, bruks- og tilsynsarbeidet.

Gjeldende tilstandsvurdering

Før du kommer i gang med konfigurasjonsaktiviteter, kan du vurdere hva som for øyeblikket skjer i organisasjonen. Det er viktig å forstå i hvilken grad informasjonsbeskyttelse for øyeblikket implementeres (eller planlegges).

Vanligvis er det to tilfeller av følsomhetsetikettbruk.

• Følsomhetsetiketter er i bruk: I dette tilfellet konfigureres følsomhetsetiketter og brukes til å klassifisere Microsoft Office-filer. I denne situasjonen vil mengden arbeid som kreves for å bruke følsomhetsetiketter for Power BI, være betydelig lavere. Tidslinjen blir kortere, og det blir enklere å konfigurere raskt.
• Følsomhetsetiketter som ennå ikke er i bruk: I dette tilfellet brukes ikke følsomhetsetiketter for Microsoft Office-filer. I denne situasjonen kreves et prosjekt for hele organisasjonen for å implementere følsomhetsetiketter. For enkelte organisasjoner kan dette prosjektet representere en betydelig mengde arbeid og en betydelig tidsinvestering. Det er fordi etiketter er ment å brukes på tvers av organisasjonen av ulike programmer (i stedet for ett program, for eksempel Power BI).

Diagrammet nedenfor viser hvordan følsomhetsetiketter brukes bredt på tvers av organisasjonen.

Diagrammet ovenfor viser følgende elementer:

Vare	Beskrivelse
	Følsomhetsetiketter er konfigurert i Microsoft Purview-samsvarsportal.
	Følsomhetsetiketter kan brukes på mange typer elementer og filer, for eksempel Microsoft Office-filer, elementer i Power Bi-tjeneste, Power BI Desktop-filer og e-postmeldinger.
	Følsomhetsetiketter kan brukes for Teams-områder, SharePoint-områder og Microsoft 365-grupper.
	Følsomhetsetiketter kan brukes på skjemaerte dataressurser som er registrert i Microsoft Purview-datatilordningen.

Legg merke til at elementer i Power Bi-tjeneste- og Power BI Desktop-filer i diagrammet bare er noen av mange ressurser som tillater tilordning av følsomhetsetiketter. Følsomhetsetiketter defineres sentralt i Microsoft Purview informasjonsbeskyttelse. Når de er definert, brukes de samme etikettene av alle støttede programmer i hele organisasjonen. Det er ikke mulig å definere etiketter for bruk i bare ett program, for eksempel Power BI. Derfor må planleggingsprosessen vurdere et bredere sett med bruksscenarioer for å definere etiketter som kan brukes i flere kontekster. Siden informasjonsbeskyttelse er ment å brukes konsekvent på tvers av programmer og tjenester, er det viktig å begynne med å vurdere hvilke følsomhetsetiketter som for øyeblikket er på plass.

Aktivitetene for implementering av følsomhetsetiketter er beskrevet i Informasjonsbeskyttelse for Power BI-artikkelen .

Merk

Følsomhetsetiketter er den første byggeblokken mot implementering av informasjonsbeskyttelse. DLP forekommer etter at informasjonsbeskyttelse er konfigurert.

Sjekkliste – Når du vurderer gjeldende tilstand for informasjonsbeskyttelse og DLP i organisasjonen, omfatter viktige beslutninger og handlinger:

• Bestem om informasjonsbeskyttelse er i bruk: Finn ut hvilke funksjoner som er aktivert for øyeblikket, hvordan de brukes, av hvilke programmer og av hvem.
• Identifiser hvem som for øyeblikket er ansvarlig for informasjonsbeskyttelse: Når du vurderer gjeldende funksjoner, må du avgjøre hvem som er ansvarlig for øyeblikket. Involver dette teamet i alle aktiviteter fremover.
• Konsolidere informasjonsbeskyttelsesprosjekter: Hvis aktuelt, kombinerer du metodene for informasjonsbeskyttelse som for øyeblikket er i bruk. Hvis det er mulig, konsoliderer du prosjekter og team for å oppnå effektivitet og konsekvens.

Teambemanning

Som tidligere nevnt vil mange av funksjonene for informasjonsbeskyttelse og DLP som skal konfigureres, ha innvirkning på hele organisasjonen (langt utover Power BI). Derfor er det viktig å sette sammen et team som inkluderer alle relevante personer. Teamet vil være avgjørende for å definere målene (beskrevet i neste del) og veilede den samlede innsatsen.

Når du definerer roller og ansvarsområder for teamet, anbefaler vi at du inkluderer personer som kan oversette krav og kommunisere godt med interessenter.

Teamet ditt bør inkludere relevante interessenter som involverer ulike enkeltpersoner og grupper i organisasjonen, inkludert:

• Sjef for informasjonssikkerhet / databeskyttelsesansvarlig
• Informasjonssikkerhet / cybersikkerhetsteam
• Juridisk
• Samsvar
• Risikostyring
• Organisasjonsdatastyringskomité
• Chief data officer / chief analytics officer
• Intern revisjonsteam
• Analysesenter for fremragende forskning (COE)
• Virksomhetsanalyse/forretningsanalyse (BI)-team
• Dataforvaltere og domenedataeiere fra viktige forretningsenheter

Teamet ditt bør også inkludere følgende systemadministratorer:

• Microsoft Purview-administrator
• Microsoft 365-administrator
• Microsoft Entra ID (tidligere kjent som Azure Active Directory)-administrator
• Defender for Cloud Apps-administrator
• Power BI-administrator

Tips

Forvent at planlegging og implementering av informasjonsbeskyttelse er et samarbeid som vil ta tid å få rett.

Oppgaven med å planlegge og implementere informasjonsbeskyttelse er vanligvis et deltidsansvar for de fleste. Det er vanligvis en av mange presserende prioriteringer. Derfor vil det å ha en ledersponsor bidra til å klargjøre prioriteringer, sette tidsfrister og gi strategisk veiledning.

Klarhet i roller og ansvar er nødvendig for å unngå misforståelser og forsinkelser når du arbeider med tverrfunksjonelle team på tvers av organisasjonsgrenser.

Sjekkliste – Når du setter sammen informasjonsbeskyttelsesteamet, omfatter viktige beslutninger og handlinger:

• Sett sammen teamet: Involver alle relevante tekniske og ikke-tekniske interessenter.
• Bestem hvem den overordnede sponsoren er: Sørg for at du er tydelig på hvem som er leder for planleggings- og implementeringsarbeidet. Involver denne personen (eller gruppen) for prioritering, finansiering, enighet og beslutningstaking.
• Klargjør roller og ansvarsområder: Sørg for at alle involverte er tydelige på sin rolle og sitt ansvar.
• Opprett en kommunikasjonsplan: Vurder hvordan og når du kommuniserer med brukere i hele organisasjonen.

Mål og krav

Det er viktig å vurdere hva målene dine er for å implementere informasjonsbeskyttelse og DLP. Ulike interessenter fra teamet du har satt sammen, har sannsynligvis forskjellige synspunkter og bekymringsområder.

På dette tidspunktet anbefaler vi at du fokuserer på de strategiske målene. Hvis teamet ditt har startet med å definere detaljer på implementeringsnivå, foreslår vi at du går tilbake og definerer de strategiske målene. Veldefinerte strategiske mål vil hjelpe deg med å levere en jevnere implementering.

Dine krav til informasjonsbeskyttelse og DLP kan inneholde følgende mål.

• Selvbetjent brukeraktivering: Tillat selvbetjente BI-innholdsopprettere og eiere å samarbeide, dele og være så produktive som mulig – alt i rekkverket som er etablert av styringsteamet. Målet er å balansere selvbetjent BI med sentralisert BI og gjøre det enkelt for selvbetjente brukere å gjøre det rette, uten å påvirke produktiviteten negativt.
• Datakultur som verdsetter beskyttelse av klarerte data: Implementere informasjonsbeskyttelse på en måte som er lav friksjon og ikke kommer i veien for brukerproduktivitet. Når de implementeres på en balansert måte, er det langt mer sannsynlig at brukerne arbeider i systemene dine enn rundt dem. Brukeropplæring og brukerstøtte er avgjørende.
• Risikoreduksjon: Beskytt organisasjonen ved å redusere risikoen. Risikoreduksjonsmål inkluderer ofte å minimere muligheten for datalekkasje utenfor organisasjonen og beskytte data mot uautorisert tilgang.
• Samsvar: Støtte samsvarsarbeid for bransje-, regionale og statlige forskrifter. I tillegg kan organisasjonen også ha interne styrings- og sikkerhetskrav som anses som kritiske.
• Revisjonsevne og bevissthet: Forstå hvor sensitive data befinner seg i hele organisasjonen og hvem som bruker dem.

Vær oppmerksom på at et initiativ for å innføre informasjonsbeskyttelse utfyller andre relaterte tilnærminger som involverer sikkerhet og personvern. Koordinere informasjonsbeskyttelsesinitiativer med andre tiltak, for eksempel:

• Tilgangsroller, tillatelser, deling og sikkerhet på radnivå (RLS) for Power BI-innhold
• Krav til datalagring
• Sikkerhetskrav for nettverk
• Krav til datakryptering
• Datakatalogeringsinitiativer

Hvis du vil ha mer informasjon om hvordan du sikrer innhold i Power BI, kan du se sikkerhetsplanleggingsartiklene .

Sjekkliste – Når du vurderer målene for informasjonsbeskyttelse, omfatter viktige beslutninger og handlinger:

• Identifiser gjeldende personvernregler og -risikoer: Sørg for at teamet ditt er klar over personvernforskriftene som organisasjonen er underlagt for din bransje eller geografiske område. Hvis det er nødvendig, må du foreta en risikovurdering for personvern.
• Diskuter og oppklar målene dine: Ha innledende diskusjoner med relevante interessenter og interesserte personer. Sørg for at du er klar over dine strategiske mål for informasjonsbeskyttelse. Sørg for at du kan oversette disse målene til forretningskrav.
• Godkjenn, dokumenter og prioriter målene dine: Sørg for at dine strategiske mål er dokumentert og prioritert. Når du trenger å ta komplekse beslutninger, prioritere eller foreta avveininger, kan du se disse målene.
• Bekreft og dokumenter forskriftsmessige og forretningsmessige krav: Sørg for at alle forskriftsmessige og forretningsmessige krav for personvern er dokumentert. Se dem for prioriterings- og samsvarsbehov.
• Begynn å opprette en plan: Begynn å bygge en prosjektplan ved hjelp av de prioriterte strategiske målene og dokumenterte krav.

Relatert innhold

I den neste artikkelen i denne serien kan du lære mer om merking og klassifisering av dataressurser for bruk med Power BI.