Condividi tramite

Pianificazione dell'implementazione di Power BI: Protezione delle informazioni a livello di organizzazione

  • Articolo

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sull'esperienza Power BI in Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo descrive le attività iniziali di valutazione e preparazione per la protezione delle informazioni in Power BI. È destinato a:

  • amministratori di Power BI: gli amministratori responsabili della supervisione di Power BI nell'organizzazione. Gli amministratori di Power BI devono collaborare con i team di sicurezza delle informazioni e altri team pertinenti.
  • Team del Centro di Eccellenza, IT e BI: I team responsabili della gestione di Power BI all'interno dell'organizzazione. È possibile che debbano collaborare con gli amministratori di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.

Importante

La protezione delle informazioni e la prevenzione della perdita dei dati (DLP) è un'impresa significativa a livello di organizzazione. L'ambito e l'impatto sono molto più grandi rispetto a Power BI. Questo tipo di iniziativa richiede finanziamenti, definizione delle priorità e pianificazione. Si prevede di coinvolgere diversi team interfunzionali nelle attività di pianificazione, utilizzo e supervisione.

Valutazione dello stato corrente

Prima di iniziare le attività di configurazione, valutare le attività attualmente in corso all'interno dell'organizzazione. È fondamentale comprendere la misura in cui la protezione delle informazioni è attualmente implementata (o come è stata pianificata).

In genere, esistono due casi di uso delle etichette di riservatezza.

  • Le etichette di riservatezza sono attualmente in uso: in questo caso, le etichette di riservatezza vengono configurate e usate per classificare i file di Microsoft Office. In questa situazione, la quantità di lavoro necessaria per usare le etichette di riservatezza per Power BI sarà notevolmente inferiore. La sequenza temporale sarà più breve e sarà più semplice configurarla rapidamente.
  • Etichette di riservatezza non ancora in uso: in questo caso, le etichette di riservatezza non vengono usate per i file di Microsoft Office. In una situazione di questo genere, sarà necessario un progetto a livello di organizzazione per implementare le etichette di riservatezza. Per alcune organizzazioni, questo progetto può rappresentare una notevole quantità di lavoro e un notevole investimento in termini di tempo. Ciò è dovuto al fatto che le etichette devono essere usate in tutta l'organizzazione da varie applicazioni (anziché da una sola applicazione, ad esempio Power BI).

Il diagramma seguente mostra come le etichette di riservatezza vengono usate su larga scala nell'organizzazione.

Diagramma che mostra come vengono usate le etichette di riservatezza. Gli elementi nel diagramma sono descritti nella tabella seguente.

Il diagramma precedente illustra gli elementi seguenti:

Articolo Descrizione
Elemento 1. Le etichette di riservatezza vengono configurate nel portale di conformità di Microsoft Purview.
Elemento 2. Le etichette di riservatezza possono essere applicate a molti tipi di elementi e file, ad esempio file di Microsoft Office, elementi nel servizio Power BI, file di Power BI Desktop e messaggi di posta elettronica.
Elemento 3. Le etichette di riservatezza possono essere applicate per siti di Teams, siti di SharePoint e gruppi di Microsoft 365.
Elemento 4. Le etichette di riservatezza possono essere applicate agli asset di dati schematizzati registrati in Microsoft Purview Data Map.

Nel diagramma, gli elementi nel servizio Power BI e i file di Power BI Desktop sono solo alcune delle numerose risorse che consentono di assegnare etichette di riservatezza. Le etichette di riservatezza vengono definite centralmente in Microsoft Purview Information Protection. Una volta definite, le stesse etichette vengono usate da tutte le applicazioni supportate in tutta l'organizzazione. Non è possibile definire etichette da usare in una sola applicazione, ad esempio Power BI. Di conseguenza, il processo di pianificazione deve considerare un set più ampio di scenari di utilizzo per definire le etichette che possono essere usate in più contesti. Poiché la protezione delle informazioni è progettata per essere usata sistematicamente nelle applicazioni e nei servizi, è fondamentale iniziare con la valutazione delle etichette di riservatezza attualmente disponibili.

Le attività per l'implementazione delle etichette di riservatezza sono descritte nell'articolo Protezione delle informazioni per Power BI.

Nota

Le etichette di riservatezza sono il primo blocco predefinito verso l'implementazione della protezione delle informazioni. La prevenzione della perdita dei dati avviene dopo la configurazione della protezione delle informazioni.

Elenco di controllo: quando si valuta lo stato corrente della protezione delle informazioni e della prevenzione della perdita dei dati nell'organizzazione, le decisioni e le azioni principali includono:

  • Determinare se la protezione delle informazioni è attualmente in uso: scoprire quali funzionalità sono attualmente abilitate, come vengono usate, da quali applicazioni e da chi.
  • Identificare chi è attualmente responsabile della protezione delle informazioni: durante la valutazione delle funzionalità correnti, determinare chi è attualmente responsabile. Coinvolgere il team in tutte le future attività.
  • Consolidare i progetti di protezione delle informazioni: se applicabile, combinare i metodi di protezione delle informazioni attualmente in uso. Se possibile, consolidare progetti e team per ottenere efficienza e coerenza.

Personale del team

Come indicato in precedenza, molte delle funzionalità di protezione delle informazioni e prevenzione della perdita dei dati che verranno configurate avranno un impatto sull'intera organizzazione (ben oltre Power BI). Ecco perché è fondamentale formare un team che includa tutte le persone pertinenti. Il team sarà fondamentale per definire gli obiettivi (descritti nella sezione successiva) e guidare il lavoro complessivo.

Quando si definiscono ruoli e responsabilità per il team, si consiglia di includere persone che possano tradurre in modo competente i requisiti e comunicare bene con gli stakeholder.

È importante che il team includa stakeholder pertinenti che coinvolgano utenti e gruppi diversi dell'organizzazione, tra cui:

  • Responsabile della sicurezza delle informazioni/responsabile della protezione dei dati
  • Sicurezza delle informazioni/team di sicurezza informatica
  • Note legali
  • Conformità
  • Gestione dei rischi
  • Comitato di governance dei dati aziendali
  • Responsabile dei dati/responsabile analitico
  • Team di controllo interno
  • Analisi Center of Excellence (COE)
  • Team di analisi aziendale/business intelligence (BI)
  • Amministratori dei dati e proprietari di dati di dominio da business unit chiave

È importante che il team includa anche gli amministratori di sistema seguenti:

  • Amministratore di Microsoft Purview
  • Amministratore di Microsoft 365
  • Amministratore ID Microsoft Entra
  • Amministratore di Defender for Cloud Apps
  • Amministratore di Power BI

Suggerimento

La pianificazione e l'implementazione della protezione delle informazioni saranno il risultato di uno sforzo collettivo che richiederà del tempo per funzionare correttamente.

Il compito di pianificare e implementare la protezione delle informazioni è in genere una responsabilità part-time per la maggior parte delle persone. Si tratta solitamente di una delle molte priorità pressanti. Pertanto, avere uno sponsor esecutivo contribuirà a chiarire le priorità, definire le scadenze e fornire indicazioni strategiche.

La chiarezza sui ruoli e sulle responsabilità è necessaria per evitare malintesi e ritardi quando si lavora con team trasversali entro i confini dell'organizzazione.

Elenco di controllo: durante la formazione del team di protezione delle informazioni, le decisioni chiave e le azioni includono:

  • Assemblare il team: coinvolgere tutti gli stakeholder tecnici e non tecnici pertinenti.
  • Determinare chi è lo sponsor esecutivo: assicurarsi di sapere chi è il leader del lavoro di pianificazione e implementazione. Coinvolgere questa persona (o gruppo) per definire le priorità, il finanziamento, il raggiungimento del consenso e il processo decisionale.
  • Chiarire i ruoli e le responsabilità: assicurarsi che tutti gli utenti coinvolti siano chiari sul proprio ruolo e responsabilità.
  • Creare un piano di comunicazione: valutare come e quando si comunicheranno con gli utenti nell'intera organizzazione.

Obiettivi e requisiti

È importante considerare gli obiettivi per implementare la protezione delle informazioni e la prevenzione della perdita dei dati. È probabile che diversi stakeholder del team appena creato abbiano punti di vista e aree di interesse diversi.

A questo punto, è opportuno concentrarsi sugli obiettivi strategici. Se il team ha iniziato a definire i dettagli del livello di implementazione, si consiglia di fare un passo indietro e definire gli obiettivi strategici. Obiettivi strategici ben definiti aiuteranno a realizzare un'implementazione più fluida.

I requisiti di protezione delle informazioni e prevenzione della perdita dei dati possono includere gli obiettivi seguenti.

  • Abilitazione utenti self-service: consentire ai creatori e ai proprietari di contenuti di intelligenza aziendale self-service di collaborare, condividere ed essere il più produttivi possibile, tutto all'interno delle linee guida stabilite dal team di governance. L'obiettivo è bilanciare la BI self-service con la BI centralizzata e fare in modo che gli utenti self-service facciano ciò che è giusto, senza effetti negativi sulla produttività.
  • Cultura dei dati che valorizza la protezione dei dati attendibili: implementare la protezione delle informazioni in modo che sia senza ostacoli e non comprometta la produttività degli utenti. Se implementata in modo bilanciato, gli utenti sono molto più propensi a lavorare all'interno dei sistemi, e non attorno ad essi. L'istruzione e il supporto degli utenti sono essenziali.
  • riduzione dei rischi: proteggere l'organizzazione riducendone i rischi. Gli obiettivi di riduzione dei rischi spesso includono la riduzione al minimo della possibilità di fuoriuscita di dati all'esterno dell'organizzazione e la protezione dei dati da accessi non autorizzati.
  • conformità: supportare le attività di conformità per le normative governative, regionali e del settore. Inoltre, l'organizzazione potrebbe avere anche requisiti di governance e sicurezza interni ritenuti critici.
  • auditabilità e consapevolezza: comprendere dove si trovano i dati sensibili all'interno dell'organizzazione e chi li utilizza.

Tenere presente che l'iniziativa di introdurre la protezione delle informazioni è complementare ad altri approcci correlati che coinvolgono la sicurezza e la privacy. Coordinare le iniziative di protezione delle informazioni con altre attività, ad esempio:

  • Accedere a ruoli, autorizzazioni, condivisione e sicurezza a livello di riga per il contenuto di Power BI
  • Requisiti di residenza dei dati
  • Requisiti di sicurezza di rete
  • Requisiti di crittografia dei dati
  • Iniziative di catalogo dati

Per maggiori informazioni sulla protezione del contenuto in Power BI, vedere gli articoli sulla pianificazione della sicurezza.

Elenco di controllo: quando si considerano gli obiettivi di protezione delle informazioni, le decisioni chiave e le azioni includono:

  • Identificare i rischi e le normative sulla privacy dei dati applicabili: assicurarsi che il team sia a conoscenza delle normative sulla privacy dei dati a cui l'organizzazione è soggetta per il settore o l'area geografica. Se necessario, eseguire una valutazione dei rischi per la privacy dei dati.
  • Discutere e chiarire gli obiettivi: avere discussioni iniziali con gli stakeholder interessati e le persone interessate. Assicurarsi di comunicare chiaramente gli obiettivi strategici di protezione delle informazioni. Assicurarsi di poter tradurre tali obiettivi in requisiti aziendali.
  • Approvare, documentare e classificare in ordine di priorità gli obiettivi: assicurarsi che gli obiettivi strategici siano documentati e classificati in ordine di priorità. Quando è necessario prendere decisioni complesse, definire le priorità o trovare dei compromessi, fare riferimento a questi obiettivi.
  • Verificare e documentare i requisiti normativi e aziendali: assicurarsi che siano documentati tutti i requisiti normativi e aziendali per la privacy dei dati. Fare riferimento a essi per le esigenze di definizione delle priorità e conformità.
  • Iniziare a creare un piano: iniziare a creare un piano di progetto usando gli obiettivi strategici classificati in ordine di priorità e i requisiti documentati.

Contenuto correlato

Nel prossimo articolo di questa serie, vengono fornite informazioni sull'etichettatura e la classificazione degli asset di dati da usare con Power BI.