Etiquetado de confidencialidad para Power BI y recursos de datos para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre la extensión de las funcionalidades de etiquetado de confidencialidad de Microsoft Purview en orígenes de datos. Su propósito es demostrar cómo estas funcionalidades pueden fortalecer un enfoque de la seguridad de datos de las organizaciones mediante el etiquetado de información en sistemas de origen. Los consejos de este artículo están pensados para proteger los enfoques de clasificación y protección de la información descritos en el Marco de directivas de seguridad de protección (PSPF).
Hay dos funcionalidades de Microsoft Purview que amplían el etiquetado de confidencialidad en y las protecciones asociadas en el espacio de datos y análisis:
Las funcionalidades de asignación de datos o recursos de datos esquematizados nos permiten identificar información confidencial mientras reside en los sistemas de base de datos y aplicar etiquetas a los datos en su lugar.
La integración de Power BI permite el etiquetado de recursos de Power BI, incluidos paneles, informes, conjuntos de datos, flujos de datos, informes paginados y archivos de Power BI (.pbix). Las etiquetas se pueden mantener en todos los archivos Excel o PDF exportados y el cifrado de Azure Rights Management basado en etiquetas se puede aplicar a los elementos exportados.
La intención de estas funcionalidades es apoyar mejor la protección de la información a lo largo de su ciclo de vida. Por ejemplo:
Nota:
Estas características están actualmente en versión preliminar y deben habilitarse si optan por la versión preliminar a través del símbolo del sistema disponible en el menú Etiquetas de Information Protection>.
Activos de datos esquematizados
El etiquetado de recursos de datos esquematizados permite que las etiquetas se apliquen automáticamente a los datos, como las que residen en columnas de base de datos. La intención de este servicio es permitir la identificación de información confidencial en los sistemas de origen y usar esta identificación para ayudar a proteger la información a lo largo de su ciclo de vida y su uso dentro de cualquier sistema conectado. El etiquetado de información en su origen también puede ayudar a simplificar la administración de la información en los sistemas de bajada al mitigar la necesidad de usar herramientas como Coincidencia exacta de datos para identificar el contenido después de la exportación.
Las opciones de recursos de datos esquematizados se pueden habilitar para una etiqueta mediante opciones de ámbito dentro de la configuración de una etiqueta.
Después de habilitar la opción de ámbito de recursos de datos esquematizados, se seleccionan los tipos de información confidencial (como se describe en la identificación de información confidencial) que se alinean con la etiqueta que se está configurando. Este proceso es similar a recomendar etiquetas basadas en la detección de contenido confidencial.
Después de la configuración de la etiqueta, los recursos de datos deben registrarse. Las etiquetas de confidencialidad son compatibles con los siguientes orígenes de datos:
- SQL Server
- Base de datos SQL Azure
- Azure SQL Managed Instance
- Áreas de trabajo de Azure Synapse Analytics
- Azure Cosmos DB para NoSQL
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure Data Explorer
El servicio requiere tiempo para examinar el origen de datos en busca de información confidencial definida. El catálogo de Microsoft Purview, que está disponible desde dentro de la Azure Portal se puede usar para ver información confidencial etiquetada.
Para obtener más información sobre los recursos de datos esquematizados y el etiquetado a través de Mapa de datos de Microsoft Purview, consulte etiquetado en el Mapa de datos de Microsoft Purview.
Integración de Power BI
La capacidad de que una etiqueta de confidencialidad esté disponible para el contenido de la aplicación en Power BI está asociada al ámbito de la etiqueta "archivo".
Para hacer uso de la integración de etiquetas de Power BI, primero es necesario habilitar las opciones de Information Protection desde con el portal de administración de Power BI en la configuración de la organización.
Las siguientes opciones están disponibles en la configuración de administrador de Power BI Information Protection:
| Configuración | Objetivo |
|---|---|
| Permitir a los usuarios aplicar etiquetas de confidencialidad para el contenido | Habilita la integración de Power BI con MPIP y debe habilitarse para permitir el etiquetado de elementos de Power BI. |
| Aplicación de etiquetas de confidencialidad de orígenes de datos a sus datos en Power BI | Esta opción permite que las etiquetas se hereden de las que se aplican a la información de origen, como Azure Synapse Analytics y Azure SQL Databases. Esta funcionalidad se basa en las características de recursos de datos esquematizados, que se trataron en la sección anterior. |
| Aplicar automáticamente etiquetas de confidencialidad al contenido de bajada | Esta opción permite que las etiquetas se hereden en elementos generados a partir de recursos de datos de Power BI. Por ejemplo, una etiqueta aplicada a un conjunto de datos fluye a través de los informes y paneles que usan el contenido. Las etiquetas heredadas no sobrescriben las etiquetas aplicadas manualmente y se ven como complementarias a ISM-0271, lo que garantiza un nivel mínimo de protección para los elementos de nivel inferior. |
| Permitir que los administradores del área de trabajo invaliden las etiquetas de confidencialidad aplicadas automáticamente | Esta opción permite que los administradores del área de trabajo invaliden las etiquetas, que se etiquetan automáticamente mediante la configuración anterior. Esta opción está disponible además de la capacidad del administrador para cambiar las etiquetas con el fin de invalidar Azure Rights Management controles basados en que podrían bloquear a los administradores o usuarios fuera de los elementos. |
| Restringir el contenido con etiquetas protegidas para que no se comparta a través de un vínculo con todos los usuarios de la organización | Esta opción personaliza la configuración de uso compartido para restringir la creación de usuarios en la organización que comparten vínculos, lo que reduce la posible exposición de datos. |
Una vez que se configuran las opciones de Power BI Information Protection y las etiquetas han tenido tiempo de replicarse en el servicio Power BI, las etiquetas están disponibles para la aplicación en los recursos de Power BI. Por ejemplo:
Como se describe durante las directivas de etiquetas de confidencialidad, las directivas de etiqueta se pueden configurar para aplicar el etiquetado obligatorio para todo el contenido de Power BI.
Habilitar esta opción, además de la configuración de contenido de bajada de Power BI, puede ayudar a garantizar que la información confidencial generada o vista a través de Power BI esté protegida de acuerdo con las directivas DLP de las organizaciones, incluidas las recomendadas para evitar la distribución inadecuada de información clasificada de seguridad.
Esta configuración amplía la capacidad de una organización para cumplir con el requisito básico 1 de la directiva PSPF 8. Esto se debe a que permiten que las clasificaciones, las marcas y los controles asociados se extiendan a las ubicaciones de Power BI.
| Requisito | Detalles |
|---|---|
| Directiva 8 de PSPF, requisito 1 (requisito básico): identificación de las existencias de información (v2018.6) | El originador debe determinar si la información que se genera es información oficial (destinada a su uso como registro oficial) y si esa información es confidencial o está clasificada en seguridad. |
La configuración de contenido de bajada de Power BI aplicará automáticamente una etiqueta en función de la confidencialidad de la información de origen. Normalmente, esto no se usa en la configuración gubernamental, ya que no sigue el requisito principal 2 de la directiva PSPF 8. La razón es que la etiqueta se aplica al contenido sin que un usuario necesite evaluar la confidencialidad de la información.
| Requisito | Detalles |
|---|---|
| Requisito 2 de la directiva 8 de PSPF (requisito básico): evaluar la clasificación de confidencialidad y seguridad de las explotaciones de información (v2018.6) | Para decidir qué clasificación de seguridad se va a aplicar, el originador debe: i. Evalúe el valor, la importancia o la confidencialidad de la información oficial considerando el posible daño al gobierno, al interés nacional, a las organizaciones o a las personas, que surgiría si la confidencialidad de la información estuviera en peligro (consulte la tabla siguiente) y ii. Establezca la clasificación de seguridad en el nivel razonable más bajo. |
Puede haber circunstancias excepcionales que requieran esta función (por ejemplo, un Mecanismo de Administración Pública (MoG) donde los datos masivos se mueven de un grupo de tareas a un departamento), por lo que se incluye aquí para este propósito.
Para obtener más información sobre la habilitación de la integración de Power BI, requisitos previos, consulte Habilitación de etiquetas de confidencialidad en Power BI.