Planeación de la implementación de Power BI: prevención de pérdida de datos para Power BI
Nota
Este artículo forma parte de la serie de artículos sobre el planeamiento de la implementación de Power BI. Esta serie se centra principalmente en la experiencia de Power BI en Microsoft Fabric. Para obtener una introducción a la serie, consulte el planeamiento de la implementación de Power BI.
En este artículo se describen las actividades de planificación relacionadas con la implementación de la prevención de pérdida de datos (DLP) en Power BI. Se dirige a:
- Administradores de Power BI: los administradores responsables de supervisar Power BI en la organización. Los administradores de Power BI necesitan colaborar con los equipos de seguridad de la información y otros equipos relevantes.
- Centro de excelencia, equipos de TI y BI: otros equipos que son responsables de supervisar Power BI en la organización. Es posible que necesiten colaborar con administradores de Power BI, equipos de seguridad de la información y otros equipos pertinentes.
Importante
La prevención de pérdida de datos (DLP) es una tarea significativa para toda la organización. Su ámbito e impacto son mucho mayores que Power BI por sí solo. Este tipo de iniciativa requiere financiación, priorización y planificación. Prevea la participación de varios equipos interfuncionales en sus esfuerzos de planificación, uso y supervisión.
Le recomendamos que siga un enfoque gradual y por fases para implementar DLP para Power BI. Para obtener una descripción de los tipos de fases de lanzamiento que debe tener en cuenta, consulte Protección de la información para Power BI (fases de lanzamiento).
Propósito de la DLP
La prevención de pérdida de datos (DLP) se refiere a las actividades y prácticas que salvaguardan los datos de la organización. El objetivo de la DLP es reducir el riesgo de filtración de datos, que puede producirse cuando se comparten datos confidenciales con personas no autorizadas. Aunque el comportamiento responsable de los usuarios es una parte fundamental de la salvaguarda de los datos, la DLP suele referirse a directiva automatizadas.
La DLP permite:
- Detectar e informar a los administradores cuando se han compartido datos confidenciales de forma arriesgada, inadvertida o inapropiada. En concreto, permite lo siguiente:
- Mejorar la configuración general de seguridad del inquilino de Power BI, con automatización e información.
- Permitir casos de uso analítico que involucren datos confidenciales.
- Proporcionar información de auditoría a los administradores de seguridad.
- Proporcionar a los usuarios notificaciones contextuales. En concreto, permite lo siguiente:
- Ayudar a los usuarios a tomar las decisiones correctas durante su flujo de trabajo normal.
- Guiar a los usuarios para que sigan su directiva de clasificación y protección de datos sin afectar negativamente a su productividad.
Servicios de DLP
A grandes rasgos, existen dos servicios diferentes que pueden aplicar la prevención de pérdida de datos.
- Directivas de DLP de Microsoft Purview para Power BI
- Microsoft Defender for Cloud Apps
Directivas de DLP de Microsoft Purview para Power BI
Una directiva DLP para Power BI se configura en el portal de cumplimiento de Microsoft Purview. Puede detectar datos confidenciales en un modelo semántico publicado en un área de trabajo Premium en el servicio Power BI.
Importante
En ocasiones, este artículo hace referencia a Power BI Premium o a sus suscripciones de capacidad (SKU P). Tenga en cuenta que Microsoft está consolidando actualmente las opciones de compra y retirando las SKU de Power BI Premium por capacidad. Los clientes nuevos y existentes deben considerar la posibilidad de comprar suscripciones de capacidad de Fabric (SKU F) en su lugar.
Para obtener más información, consulte Actualización importante sobre las licencias de Power BI Premium y Preguntas más frecuentes sobre Power BI Premium.
El objetivo de este tipo de directivas de DLP es concienciar a los usuarios e informar a los administradores de dónde se almacenan los datos confidenciales. La directiva de DLP puede generar notificaciones a los usuarios y alertas a los administradores basadas en tipos de información confidencial o etiquetas de confidencialidad. Por ejemplo, puede determinar si en un modelo semántico se almacena información de tarjetas de crédito o información de identificación personal (PII).
Nota:
DLP para Power BI es el tema central de este artículo.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps es una herramienta con muchas funcionalidades. Algunas directivas que se pueden configurar en Microsoft Defender for Cloud Apps (con integración con el identificador entra de Microsoft) incluyen DLP. Estas directivas pueden bloquear, registrar o alertar cuando se producen determinadas actividades del usuario. Por ejemplo, cuando un usuario intenta descargar un informe del servicio Power BI al que se ha asignado una etiqueta de confidencialidad Altamente restringido, la acción de descarga se bloquea.
El artículo Defender for Cloud Apps for Power BI trata sobre el uso de Defender for Cloud Apps para supervisar el servicio Power BI. El resto de este artículo se centra en DLP para Power BI.
Importante
Una directiva DLP para Power BI configurada en el portal de cumplimiento de Microsoft Purview puede aplicarse solo al contenido almacenado en un área de trabajo de Power BI Premium. Sin embargo, las directivas que se configuran en Defender for Cloud Apps no tienen un requisito previo similar para Power BI Premium. Tenga en cuenta que la funcionalidad, el propósito y las acciones disponibles difieren para los dos conjuntos de herramientas. Para lograr el máximo efecto, le recomendamos que considere el uso de ambos conjuntos de herramientas.
Requisitos previos de DLP para Power BI
En este punto, ya debería haber completado los pasos de planificación a nivel de organización que se describen en el artículo Protección de la información para Power BI. Antes de continuar, debe tener claro lo siguiente:
- Estado actual:estado actual de DLP en su organización. Debe comprender en qué medida DLP ya está en uso y quién es responsable de su administración.
- Objetivos y requisitos:objetivos estratégicos para implementar DLP en su organización. Comprender los objetivos y los requisitos servirá como guía para los esfuerzos de implementación.
Por lo general, se implementa la protección de la información (descrita en el artículo Protección de la información para Power BI) antes de implementar la DLP. Sin embargo, esto no es un requisito previo para utilizar DLP para Power BI. Si se publican etiquetas de confidencialidad, se pueden utilizar con DLP para Power BI. También puede utilizar tipos de información confidencial con DLP para Power BI. Ambos tipos de información se describen en este artículo.
Decisiones y acciones clave
La intención de una directiva de DLP es establecer una acción automatizada, basada en reglas y condiciones, sobre el contenido que pretende proteger. Tendrá que tomar algunas decisiones sobre las reglas y condiciones que respaldarán sus objetivos y requisitos.
La ventaja de definir reglas independientes dentro de una única directiva de DLP es que puede activar alertas personalizadas o notificaciones a los usuarios.
Hay que tener en cuenta la precedencia jerárquica de la lista de directivas de DLP, así como de las reglas de las directivas de DLP. La precedencia afectará a la directiva que se invoque en primer lugar.
Precaución
Esta sección no es una lista exhaustiva de todas las posibles decisiones de DLP para todas las aplicaciones posibles. Asegúrese de trabajar con otras partes interesadas y administradores del sistema para tomar decisiones que funcionen bien para todas las aplicaciones y casos de uso. Por ejemplo, le recomendamos que investigue directivas de DLP adicionales para proteger los archivos de origen y los archivos exportados que se almacenan en OneDrive o SharePoint. Este conjunto de artículos se centra únicamente en el contenido del servicio Power BI.
Tipo de datos confidenciales
Una directiva de DLP para Power BI configurada en el portal de cumplimiento Microsoft Purview puede basarse en una etiqueta de confidencialidad o en un tipo de información confidencial.
Importante
Aunque puede asignar etiquetas de confidencialidad a la mayoría de los tipos de elementos en Power BI, las directivas de DLP descritas en este artículo se centran específicamente en los modelos semánticos. El modelo semántico debe publicarse en un área de trabajo Premium.
Etiqueta de confidencialidad
Puede utilizar etiquetas de confidencialidad para clasificar el contenido, desde menos sensible a más sensible.
Cuando se invoca una directiva DLP para Power BI, una regla de etiqueta de confidencialidad comprueba los modelos semánticos (que se publican en el servicio Power BI) para detectar la presencia de una determinada etiqueta de confidencialidad. Como se describe en el artículo Protección de la información para Power BI, una etiqueta puede ser asignada por un usuario o por un proceso automatizado (por ejemplo, una etiqueta heredada o una etiqueta predeterminada).
Estos son algunos ejemplos de cuándo podría crear una regla de DLP basada en una etiqueta de confidencialidad.
- Cumplimiento normativo: Tiene una etiqueta de confidencialidad reservada para datos sujetos a un requisito normativo concreto. Desea que los administradores de seguridad reciban una alerta cuando los usuarios asignen esa etiqueta de confidencialidad a un modelo semántico en el servicio Power BI.
- Recordatorios para creadores de contenido sobre datos confidenciales: Usted tiene una etiqueta de confidencialidad que se utiliza para datos confidenciales. Desea generar una notificación al usuario cuando éste visualice la página de detalles del modelo semántico en el centro de datos del servicio Power BI. Por ejemplo, podría recordar a los usuarios cómo manejar adecuadamente los datos confidenciales.
En la siguiente sección de este artículo se describen otras consideraciones sobre las notificaciones y alertas a los usuarios.
Lista de comprobación - Al considerar las necesidades de reglas de etiquetas de confidencialidad, las decisiones y acciones clave incluyen:
- Verificar el estado actual de la protección de la información: Asegurarse de que las etiquetas de confidencialidad están implementadas en la organización y de que se pueden utilizar con las directivas de DLP.
- Compilar casos de uso de DLP basados en etiquetas de confidencialidad: Determine qué etiquetas de confidencialidad se beneficiarían de la implementación de directivas de DLP. Tenga en cuenta sus objetivos, normativas y requisitos internos.
- Priorice la lista de casos de uso de la DLP en función de las etiquetas de confidencialidad: Discuta las principales prioridades con su equipo. Identifique qué elementos priorizar en su plan de proyecto.
Nota
Las directivas de DLP se suelen automatizar. Sin embargo, las acciones responsables de los usuarios también desempeñan un papel crucial en la protección de los datos.
Para más información, consulte Protección de la información para Power BI (Directiva de clasificación y protección de datos). Describe una directiva de gobernanza interno que proporciona orientación sobre lo que los usuarios pueden y no pueden hacer con el contenido al que se le ha asignado una determinada etiqueta de confidencialidad.
Tipos de información confidencial
No todos los tipos de datos son iguales; algunos son intrínsecamente más sensibles que otros. Existen muchos tipos de información confidencial (TIS) diferentes. En función de su sector y de los requisitos de conformidad, solo algunos SIT se aplicarán a su organización.
Algunos ejemplos comunes de SIT son
- Números de pasaporte, seguridad social y permiso de conducir.
- Números de cuenta bancaria y de ruta
- Números de tarjetas de crédito y débito
- Números de identificación fiscal y de documento nacional de identidad
- Números de identificación sanitaria e información médica
- Direcciones físicas
- Claves de cuentas, contraseñas y cadenas de conexión a bases de datos
Sugerencia
Si los datos confidenciales no tienen valor analítico, pregúntese si deben residir en un sistema analítico. Le recomendamos que eduque a sus creadores de contenido para ayudarles a tomar buenas decisiones sobre qué datos almacenar en Power BI.
Los SIT son clasificadores basados en patrones. Buscarán un patrón conocido en el texto utilizando expresiones regulares.
Encontrará muchos SIT preconfigurados en el portal de cumplimiento de Microsoft Purview. Cuando cumplan sus requisitos, debería utilizar una SIT preconfigurada para ahorrar tiempo. Piense en el SIT preconfigurado número de tarjeta de crédito: detecta los patrones correctos para los principales emisores de tarjetas, garantiza la validez de la suma de comprobación y busca una palabra clave relevante cerca del número de tarjeta de crédito
Si los SIT preconfigurados no satisfacen sus necesidades, o tiene patrones de datos propios, puede crear un SIT personalizado. Por ejemplo, puede crear una SIT personalizada que coincida con el patrón de su número de identificación de empleado.
Una vez configurado el SIT, se invoca una directiva DLP para Power BI cuando se carga o actualiza un modelo semántico. En ese momento, una regla de tipo de información confidencial comprobará los modelos semánticos (en el servicio Power BI) para detectar la presencia de tipos de información confidencial.
Estos son algunos ejemplos de cuándo podría crear una regla DLP basada en un tipo de información confidencial.
- Cumplimiento normativo: Tiene un tipo de información confidencial que está sujeta a requisitos normativos. Desea generar una alerta para sus administradores de seguridad cuando se detecte ese tipo de datos dentro de un modelo de datos en el servicio Power BI.
- Requisitos internos: tiene un tipo de información confidencial que necesita un tratamiento especial. Para cumplir los requisitos internos, necesita generar una notificación de usuario cuando un usuario consulta la configuración del modelo semántico o la página de detalles del modelo semántico en el centro de datos (en el servicio Power BI).
Lista de comprobación: al considerar las necesidades de los tipos de información confidencial, las decisiones y acciones clave incluyen:
- Compilar casos de uso de la DLP basados en tipos de información confidencial: Determine qué tipos de información confidencial se beneficiarían de la implementación de directivas de DLP. Tenga en cuenta sus objetivos, normativas y requisitos internos.
- Probar los tipos de información confidencial existentes: trabaje con el equipo de seguridad de la información para verificar que las SIT preconfiguradas satisfacen sus necesidades. Utilice datos de prueba para confirmar que los patrones y las palabras clave se detectan correctamente.
- Crear tipos de información confidencial personalizados: si procede, colabore con su equipo de seguridad de la información para crear SIT que puedan utilizarse en DLP para Power BI.
- Priorizar la lista de casos de uso: analice las principales prioridades con su equipo. Identifique qué elementos priorizar en su plan de proyecto.
Notificaciones de usuario
Una vez que haya identificado los casos de uso para la DLP con etiquetas de confidencialidad y SIT, deberá considerar qué sucede cuando se produce una coincidencia de reglas de DLP. Normalmente, esto implica una notificación al usuario.
Las notificaciones al usuario para directivas de DLP también se conocen como consejos de directivas. Son útiles cuando se desea proporcionar más orientación y concienciación a los usuarios durante el curso normal de su trabajo. Es más probable que los usuarios lean y asimilen las notificaciones de usuario si son:
- Específicas: la correlación del mensaje con la norma facilita su comprensión.
- Accionables: ofrecen una sugerencia sobre lo que el usuario debe hacer o cómo encontrar más información.
Para DLP en Power BI, las notificaciones de usuario aparecen en la configuración del modelo semántico. También aparecen en la parte superior de la página de detalles del modelo semántico en el centro de datos, como se muestra en la siguiente captura de pantalla. En este caso, la notificación dice Estos datos contienen tarjetas de crédito. Este tipo de datos no está permitido en Power BI según la directiva de clasificación, protección y uso de datos.
Puede definir una o varias reglas para cada directiva de DLP. Cada regla puede tener opcionalmente un aviso de directiva diferente que se mostrará a los usuarios.
Considere el siguiente ejemplo de cómo podría definir una directiva de DLP para detectar datos financieros almacenados dentro de modelos semánticos en el servicio Power BI. La directiva DLP utiliza SIT y tiene dos reglas.
- Regla 1: la primera regla detecta números de tarjetas de crédito. El texto de aviso de la directiva personalizada es el siguiente Estos datos contienen números de tarjetas de crédito. Ese tipo de datos no está permitido en Power BI según la directiva de Clasificación y Protección de Datos.
- Regla 2: la segunda regla detecta cuentas financieras. El texto de aviso de la directiva personalizada dice Estos datos contienen información financiera confidencial. Requiere el uso de la etiqueta Altamente Restringido. Consulte la Directiva de Clasificación y Protección de Datos para conocer los requisitos a la hora de almacenar datos financieros.
La regla 1 es más urgente que la regla 2. La regla 1 pretende comunicar que hay un problema que requiere acción. La segunda regla es más informativa. Para problemas urgentes, es una buena idea configurar alertas. Las alertas para administradores se describen en la siguiente sección.
A la hora de decidir qué notificaciones deben recibir los usuarios, le recomendamos que se centre en mostrar solo las notificaciones muy importantes. Si hay demasiadas notificaciones de directivas, los usuarios podrían sentirse abrumados por ellas. El resultado es que se pueden pasar por alto algunas notificaciones.
Los usuarios pueden actuar denunciando un problema cuando crean que se trata de un falso positivo (mal identificado). También es posible permitir que el usuario anule la directiva. Estas funcionalidades están pensadas para permitir la comunicación entre los usuarios de Power BI y los administradores de seguridad que administran DLP para Power BI.
Lista de comprobación: al considerar las notificaciones de usuario de DLP, las decisiones y acciones clave incluyen:
- Decidir cuándo son necesarias las notificaciones de usuario: para cada regla de DLP que pretenda crear, determine si es necesaria una notificación de usuario personalizada.
- Crear sugerencias de directivas personalizadas: Para cada notificación, defina qué mensaje debe mostrarse a los usuarios. Planifique correlacionar el mensaje con la regla DLP para que sea específico y accionable.
Alertas para administradores
Las alertas son útiles para determinadas reglas de DLP cuando se desea realizar un seguimiento de los incidentes en los que se ha producido una infracción de la directiva. Cuando defina las reglas de las directivas de DLP, considere si se deben generar alertas.
Sugerencia
Las alertas están diseñadas para llamar la atención de un administrador sobre determinadas situaciones. Son más adecuadas cuando se pretende investigar activamente y resolver alertas importantes. Puede encontrar todas las coincidencias de reglas DPS en el explorador de actividades del portal de cumplimiento de Microsoft Purview.
Las alertas son útiles cuando quiere:
- Informar a sus administradores de seguridad y cumplimiento de normativas de que se ha producido algo a través del panel de administración de alertas DLP. De forma opcional, también puede enviar un correo electrónico a un conjunto específico de usuarios.
- Ver más detalles de un evento ocurrido.
- Asignar un evento a alguien para que lo investigue.
- Administrar el estado de un evento o añadirle comentarios.
- Ver otras alertas generadas por actividad del mismo usuario.
Cada alerta puede definirse por un nivel de gravedad, que puede ser bajo, medio o alto. El nivel de gravedad ayuda a priorizar la revisión de las alertas abiertas.
A continuación se muestran dos ejemplos de cómo pueden utilizarse las alertas.
Ejemplo 1: Ha definido una directiva de DLP para detectar datos financieros almacenados en modelos semánticos en el servicio Power BI. La directiva DLP utiliza tipos de información confidencial. Tiene dos reglas.
- Regla 1: Esta regla detecta números de tarjetas de crédito. Se activa la alerta con una gravedad alta. También se genera un correo electrónico.
- Regla 2: esta regla detecta cuentas financieras. Se activa la alerta con una gravedad alta.
Ejemplo 2: Ha definido una directiva DLP que se invoca cuando se asigna la etiqueta de confidencialidad Altamente Restringido Miembros del Comité Ejecutivo y de la Junta Directiva a un modelo semántico en el servicio Power BI. No genera una notificación al usuario. En esta situación, es posible que no desee generar una alerta porque solo desea registrar la incidencia. Si es necesario, puede obtener más información del explorador de actividades.
Cuando se requiera una alerta por correo electrónico, le recomendamos que utilice un grupo de seguridad habilitado para correo. Por ejemplo, puede utilizar un grupo denominado Alerta de administrador de seguridad y privacidad.
Sugerencia
Tenga en cuenta que las reglas de DLP para Power BI se comprueban cada vez que se carga o actualiza un modelo semántico. Esto significa que podría generarse una alerta cada vez que se actualice el modelo semántico. Las actualizaciones regulares o frecuentes de los datos podrían dar lugar a un número abrumador de eventos y alertas registrados.
Lista de comprobación: al considerar las alertas de DLP para administradores, las decisiones y acciones clave incluyen:
- Decidir cuándo son necesarias las alertas:: para cada regla de DLP que pretenda crear, determine qué situaciones justifican el uso de alertas.
- Aclarar funciones y responsabilidades: determine las expectativas y las acciones específicas que deben llevarse a cabo cuando se genere una alerta.
- Determine quién recibirá las alertas: decida qué administradores de seguridad y cumplimiento se encargarán de las alertas abiertas. Confirme que se cumplen los requisitos de permisos y licencias para cada administrador que utilizará el portal de cumplimiento de Microsoft Purview.
- Crear grupos de correo electrónico: si es necesario, cree nuevos grupos de seguridad habilitados para correo electrónico para administrar las alertas.
Áreas de trabajo en el ámbito
Una directiva DLP para Power BI configurada en el portal de cumplimiento de Microsoft Purview tiene como objetivo los modelos semánticos. En concreto, admite el análisis de modelos semánticos que se han publicado en un área de trabajo Premium.
Puede configurar la directiva de DLP para que analice todas las áreas de trabajo Premium. Opcionalmente, puede incluir o excluir áreas de trabajo específicas. Por ejemplo, puede excluir determinadas áreas de trabajo de desarrollo o de prueba que se consideren de menor riesgo (especialmente si no contienen datos de producción reales). Otra posibilidad es crear directivas separadas para determinadas áreas de trabajo de desarrollo o de prueba.
Sugerencia
Si decide incluir en la DLP solo un subconjunto de sus áreas de trabajo Premium, tenga en cuenta el nivel de mantenimiento. Las reglas de DLP son más fáciles de mantener cuando se incluyen todas las áreas de trabajo Premium. Si decide incluir solo un subconjunto de áreas de trabajo Premium, asegúrese de contar con un proceso de auditoría para poder identificar rápidamente si falta un área de trabajo nueva en la política de DLP.
Para más información sobre el área de trabajo, consulte los artículos Planificación del área de trabajo.
Lista de comprobación - Al considerar qué áreas de trabajo incluir en el ámbito de la DLP, las decisiones y acciones clave incluyen:
- Decidir qué áreas de trabajo Premium deben tener DLP aplicada: Considerar si las directivas de DLP deben afectar a todas las áreas de trabajo Power BI Premium o solo a un subconjunto de ellas.
- Crear documentación para la asignación de áreas de trabajo: Si procede, documente qué áreas de trabajo están sujetas a DLP. Incluya los criterios y motivos por los que se incluyen o excluyen las áreas de trabajo.
- Correlación de las decisiones de DLP con la administración del área de trabajo: Si procede, actualice la documentación de gobernanza de su área de trabajo para incluir detalles sobre cómo se administra la DLP.
- Considere otras ubicaciones de archivos importantes: Además del servicio Power BI, determine si es necesario crear otras directivas de DLP para proteger los archivos de origen y los archivos exportados que se almacenan en OneDrive o SharePoint.
Requisitos de concesión de licencia
Para utilizar DLP, existen varios requisitos de licencia. Se requiere una licencia Microsoft Purview Information Protection para los administradores que configurarán, administrarán y supervisarán la DLP. Es posible que ya disponga de estas licencias porque están incluidas en algunos paquetes de licencias, como Microsoft 365 E5. Como alternativa, las funciones de Cumplimiento de Microsoft 365 E5 pueden adquirirse como licencia independiente.
Además, las directivas DLP para Power BI requieren Power BI Premium. Este requisito de licencia puede cumplirse con una capacidad Premium o una licencia Premium por usuario (PPU).
Sugerencia
Si necesita aclaraciones sobre los requisitos de licencia, hable con su equipo de cuentas de Microsoft. Tenga en cuenta que la licencia de conformidad de Microsoft 365 E5 incluye otras capacidades de DLP que están fuera del alcance de este artículo.
Lista de comprobación: al evaluar los requisitos de licencia de DLP, las decisiones y acciones clave incluyen:
- Revisar los requisitos de licencia del producto: asegúrese de haber revisado todos los requisitos de licencia para DLP.
- Revisar los requisitos de licencia Premium: compruebe que las áreas de trabajo que desea configurar para DLP son áreas de trabajo Premium.
- Adquirir licencias adicionales: si procede, adquiera más licencias para desbloquear la funcionalidad que desea utilizar.
- Asigne licencias: asigne una licencia a cada uno de los administradores de seguridad y cumplimiento que la necesiten.
Documentación y entrenamiento de los usuarios
Antes de implementar DLP para Power BI, le recomendamos que cree y publique documentación para el usuario. Una página de SharePoint o una página wiki en su portal centralizado puede funcionar bien porque será fácil de mantener. Un documento subido a una biblioteca compartida o a un sitio de Teams también es una buena solución.
El objetivo de la documentación es lograr una experiencia de usuario fluida. Preparar la documentación del usuario también le ayudará a asegurarse de que lo ha tenido todo en cuenta.
Incluya información sobre a quién dirigirse cuando los usuarios tengan preguntas o problemas técnicos. Dado que la protección de la información es un proyecto que atañe a toda la organización, la asistencia suele correr a cargo del departamento de TI.
Las preguntas frecuentes y los ejemplos son especialmente útiles para la documentación del usuario.
Sugerencia
Para más información, consulte Protección de la información para Power BI (Directiva de clasificación y protección de datos). Describe sugerencias para crear una directiva de clasificación y protección de datos para que los usuarios entiendan lo que pueden y no pueden hacer con las etiquetas de confidencialidad.
Lista de comprobación: a la hora de preparar la documentación y el entrenamiento de los usuarios, las decisiones y acciones clave incluyen:
- Actualizar la documentación para creadores y consumidores de contenidos: actualice sus preguntas frecuentes y ejemplos para incluir orientaciones relevantes sobre las directivas de DLP.
- Publicar cómo obtener ayuda: asegúrese de que sus usuarios saben cómo obtener ayuda cuando experimentan algo inesperado o que no entienden.
- Determine si se necesita formación específica: cree o actualice su entrenamiento de usuarios para incluir información útil, especialmente si existe un requisito normativo para hacerlo.
Asistencia técnica de usuario
Es importante verificar quién será el responsable de la asistencia al usuario. Es habitual que la DLP cuente con el apoyo de un servicio de asistencia de TI centralizado.
Es posible que tenga que crear una guía para el servicio de asistencia (a veces conocida como un runbook). Es posible que también tenga que realizar sesiones de transferencia de conocimiento para asegurarse de que el servicio de asistencia esté listo para responder a las solicitudes de soporte técnico.
Lista de comprobación: al preparar la función de asistencia al usuario, las decisiones y acciones clave incluyen:
- Identificar quién prestará asistencia al usuario: cuando defina las funciones y responsabilidades, asegúrese de tener en cuenta cómo obtendrán ayuda los usuarios con los problemas relacionados con la DLP.
- Asegúrese de que el equipo de asistencia al usuario esté preparado: cree documentación y lleve a cabo sesiones de transferencia de conocimientos para asegurarse de que el servicio de asistencia está preparado para dar soporte a la DLP.
- Comunicación entre equipos: Hable de las notificaciones a los usuarios y del proceso para resolver las alertas de DLP con el equipo de asistencia, así como con los administradores de Power BI y el Centro de Excelencia. Asegúrese de que todos los implicados estén preparados para las posibles preguntas de los usuarios de Power BI.
Resumen de la implementación y las pruebas
Una vez tomadas las decisiones y cumplidos los requisitos previos, es hora de empezar a implementar y probar la DLP para Power BI.
Las directivas de DLP para Power BI se configuran en el portal de cumplimiento de Microsoft Purview (anteriormente conocido como centro de cumplimiento de Microsoft 365) en el centro de administración de Microsoft 365.
Sugerencia
El proceso para configurar DLP para Power BI en el portal de cumplimiento de Microsoft Purview implica un solo paso, en lugar de dos, para configurar la directiva. Este proceso es diferente del que se utiliza para configurar la protección de la información en el portal de cumplimiento de Microsoft Purview (descrito en el artículo Protección de la información para Power BI). En ese caso, había dos pasos separados para configurar la etiqueta y publicar una directiva de etiqueta. En este caso para DLP, solo hay un paso en el proceso de implementación.
La siguiente lista de comprobación incluye una lista resumida de los pasos de implantación de extremo a extremo. Muchos de los pasos tienen otros detalles que se trataron en secciones anteriores de este artículo.
Lista de comprobación: al implementar DLP para Power BI, las decisiones y acciones clave incluyen:
- Verificar el estado actual y los objetivos: asegúrese de tener claro el estado actual de la DLP para su uso con Power BI. Todos los objetivos y requisitos para implementar la DLP deben estar claros y utilizarse activamente para impulsar el proceso de toma de decisiones.
- Tomar decisiones: revise y discuta todas las decisiones necesarias. Esta tarea debe realizarse antes de configurar nada en producción.
- Revisar los requisitos de licencia: Asegúrese de que comprende los requisitos de licencia del producto y de usuario. Si es necesario, obtenga y asigne más licencias.
- Publique documentación para el usuario: publique la información que los usuarios necesitarán para responder a sus preguntas y aclarar sus expectativas. Proporcione orientación, comunicaciones y entrenamiento a sus usuarios para que estén preparados.
- Cree directivas de DLP: En el portal de cumplimiento de Microsoft Purview, cree y configure cada directiva de DLP. Consulte todas las decisiones tomadas anteriormente para configurar las reglas de DLP.
- Realizar pruebas iniciales: Realice un conjunto inicial de pruebas para verificar que todo está configurado correctamente. Utilice el modo de prueba con algunos datos de muestra para determinar si todo se comporta como espera, minimizando el impacto en los usuarios. Utilice inicialmente un pequeño subconjunto de áreas de trabajo Premium. Considere la posibilidad de utilizar un inquilino que no sea de producción cuando tenga acceso a uno.
- Recopile opiniones de los usuarios: Obtenga comentarios sobre el proceso y la experiencia del usuario. Identifique áreas de error o resultados inesperados con tipos de información confidencial y otros problemas técnicos.
- Continuar con las versiones iterativas: Añadir gradualmente más áreas de trabajo Premium a la política DLP hasta incluirlas todas.
- Supervisar, afinar y ajustar: Invierta recursos para revisar con frecuencia las alertas de coincidencia de directivas y los registros de auditoría. Investigar los falsos positivos y ajustar las directivas cuando sea necesario.
Sugerencia
Estos elementos de la lista de comprobación se resumen a efectos de planificación. Para más información sobre estos elementos de la lista de comprobación, consulte las secciones anteriores de este artículo.
Para conocer otros pasos a seguir más allá de la implementación inicial, consulte Defender for Cloud Apps with Power BI.
Supervisión continua
Una vez completada la implementación, debe dirigir su atención a la supervisión, aplicación y ajuste de las directivas de DLP en función de su uso.
Los administradores de Power BI y los administradores de seguridad y cumplimiento tendrán que colaborar de vez en cuando. Para el contenido de Power BI, existen dos audiencias para la supervisión.
- Administradores de Power BI: se registra una entrada en el registro de actividad de Power BI cada vez que se produce una coincidencia con una regla DLP. La entrada del registro de actividad de Power BI registra los detalles del evento de DLP, incluido el usuario, la fecha y la hora, el nombre del elemento, el área de trabajo y la capacidad. También incluye información sobre la directiva, como el nombre de la directiva, el nombre de la regla, la gravedad y la condición coincidente.
- Administradores de seguridad y cumplimiento: los administradores de seguridad y cumplimiento normativo de la organización suelen utilizar los informes, alertas y registros de auditoría de Microsoft Purview.
Advertencia
La supervisión de las directivas de DLP para Power BI no se realiza en tiempo real porque los registros y alertas de DLP tardan en generarse. Si su objetivo es la aplicación en tiempo real, consulte Defender for Cloud Apps for Power BI (Directivas en tiempo real).
Lista de comprobación: al supervisar DLP para Power BI, las decisiones y acciones clave incluyen:
- Verificar funciones y responsabilidades: Asegúrese de tener claro quién es responsable de cada acción. Eduque y comuníquese con sus administradores de Power BI o administradores de seguridad, si van a ser directamente responsables de algunos aspectos de la supervisión de DLP.
- Cree o valide su proceso de revisión de la actividad: asegúrese de que los administradores de seguridad y cumplimiento tienen claras las expectativas de revisión periódica del explorador de actividad.
- Cree o valide su proceso de resolución de alertas: asegúrese de que los administradores de seguridad y cumplimiento de normativas disponen de un proceso para investigar y resolver las alertas de DLP cuando se produce una coincidencia de directivas.
Sugerencia
Para más información sobre auditoría, consulte Auditoría de protección de la información y prevención de pérdida de datos para Power BI.
Contenido relacionado
En el próximo artículo de esta serie, aprenda a utilizar Defender for Cloud Apps con Power BI.