Compartilhar via

Planejamento de implementação do Power BI: proteção de informações no nível da organização

  • Artigo

Observação

Este artigo faz parte da série de artigos sobre o Planejamento de implantação do Power BI. Esta série se concentra principalmente na experiência do Power BI no Microsoft Fabric. Para ter uma introdução a essa série, confira Planejamento de implementação do Power BI.

Este artigo descreve a avaliação inicial e as atividades preparatórias para a proteção de informações no Power BI. Ele destina-se a:

  • Administradores do Power BI: os administradores responsáveis por supervisionar o Power BI na organização. Os administradores do Power BI precisam colaborar com equipes de segurança da informação e outras equipes relevantes.
  • Equipe do Centro de Excelência, de TI e de BI: as equipes responsáveis por supervisionar o Power BI na organização. Talvez seja necessário colaborar com o administrador do Power BI, as equipes de segurança da informação e outras equipes relevantes.

Importante

A proteção de informações e a prevenção contra perda de dados (DLP) é um empreendimento significativo em toda a organização. Seu escopo e impacto são muito maiores do que o Power BI sozinho. Esse tipo de iniciativa requer financiamento, priorização e planejamento. Esteja preparado para envolver várias equipes multifuncionais em seus esforços de planejamento, uso e supervisão.

Avaliação do estado atual

Antes de começar a usar as atividades de configuração, avalie o que está acontecendo atualmente em sua organização. É fundamental entender até que ponto a proteção de informações está implementada no momento (ou está sendo planejada).

Geralmente, há dois casos de uso de rótulo de confidencialidade.

  • Rótulos de confidencialidade estão em uso no momento: nesse caso, os rótulos de confidencialidade são configurados e usados para classificar arquivos do Microsoft Office. Nessa situação, a quantidade de trabalho que será necessária para usar rótulos de confidencialidade para o Power BI será significativamente menor. A linha do tempo será mais curta e a configuração será mais simples e rápida.
  • Rótulos de confidencialidade ainda não estão em uso: nesse caso, os rótulos de confidencialidade não são usados para arquivos do Microsoft Office. Nessa situação, será necessário um projeto em toda a organização para implementar rótulos de confidencialidade. Para algumas organizações, esse projeto pode representar uma quantidade significativa de trabalho e um investimento de tempo considerável. Isso ocorre porque os rótulos devem ser usados em toda a organização por vários aplicativos (em vez de um aplicativo, como o Power BI).

O diagrama a seguir mostra como os rótulos de confidencialidade são usados amplamente em toda a organização.

Diagrama que mostra como os rótulos de confidencialidade são usados. Os itens no diagrama são descritos na tabela abaixo.

O diagrama acima representa os seguintes itens:

Item Descrição
Item 1. Os rótulos de confidencialidade são configurados no portal de conformidade do Microsoft Purview.
Item 2. Os rótulos de confidencialidade podem ser aplicados a muitos tipos de itens e arquivos, como arquivos do Microsoft Office, itens no serviço do Power BI, arquivos do Power BI Desktop e emails.
Item 3. Os rótulos de confidencialidade podem ser aplicados a sites do Teams, sites do SharePoint e grupos do Microsoft 365.
Item 4. Os rótulos de confidencialidade podem ser aplicados a ativos de dados esquematizados registrados no Mapa de Dados do Microsoft Purview.

No diagrama, observe que os itens no serviço do Power BI e arquivos do Power BI Desktop são apenas alguns dos muitos recursos que permitem a atribuição de rótulos de confidencialidade. Os rótulos de confidencialidade são definidos centralmente na Proteção de Informações do Microsoft Purview. Depois de definidos, os mesmos rótulos são usados por todos os aplicativos com suporte em toda a organização. Não é possível definir rótulos para uso em apenas um aplicativo, como o Power BI. Portanto, seu processo de planejamento precisar considerar um conjunto mais amplo de cenários de uso para definir rótulos que podem ser usados em vários contextos. Como a proteção de informações destina-se a ser usada de forma consistente entre aplicativos e serviços, é essencial começar a avaliar quais rótulos de confidencialidade estão em vigor no momento.

As atividades para implementar rótulos de confidencialidade são descritas no artigo Proteção de informações para o Power BI.

Observação

Os rótulos de confidencialidade são o primeiro pilar para implementar a proteção de informações. A DLP ocorre após a configuração da proteção de informações.

Lista de verificação – Ao avaliar o estado atual da proteção de informações e DLP em sua organização, as principais decisões e ações incluem:

  • Determinar se a proteção de informações está em uso no momento: descubra quais recursos estão habilitados no momento, como eles estão sendo usados, por quais aplicativos e por quem.
  • Identificar quem é atualmente responsável pela proteção de informações: ao avaliar os recursos atuais, determine quem é o responsável atualmente. Envolva essa equipe em todas as atividades daqui para frente.
  • Consolidar projetos de proteção de informações: se aplicável, combine os métodos de proteção de informações atualmente em uso. Se possível, consolide projetos e equipes para obter eficiência e consistência.

Recrutamento de equipe

Conforme mencionado anteriormente, muitos dos recursos de proteção de informações e DLP que serão configurados terão um impacto em toda a organização (muito além do Power BI). É por isso que é fundamental montar uma equipe que inclua todas as pessoas relevantes. A equipe será essencial para definir as metas (descritas na próxima seção) e orientar o esforço geral.

À medida que você define funções e responsabilidades para sua equipe, recomendamos que você inclua pessoa que possam traduzir os requisitos e se comunicar bem com os stakeholders.

Sua equipe deve incluir partes interessadas pertinentes envolvendo diferentes indivíduos e grupos na organização, incluindo:

  • Diretor de segurança da informação / responsável pela proteção de dados
  • Equipe de segurança da informação / segurança cibernética
  • Ofício
  • Conformidade
  • Gerenciamento de riscos
  • Comitê de governança de dados corporativos
  • Diretor de dados / diretor de análise
  • Equipe de auditoria interna
  • Centro de Excelência (COE) de Análise
  • Equipe de análise empresarial / business intelligence (BI)
  • Administradores de dados e proprietários de dados de domínio das principais unidades de negócios

Sua equipe também deve incluir os seguintes administradores de sistema:

  • Administrador do Microsoft Purview
  • Administrador do Microsoft 365
  • Administrador do Microsoft Entra ID
  • Administrador do Defender for Cloud Apps
  • Administrador do Power BI

Dica

Espere que o planejamento e a implementação da proteção de informações sejam um esforço coletivo que levará tempo para acertar.

A tarefa de planejar e implementar a proteção de informações geralmente é uma responsabilidade de tempo parcial para a maioria das pessoas. Normalmente, é uma das muitas prioridades urgentes. Portanto, ter um responsável executivo ajudará a esclarecer prioridades, definir prazos e fornecer diretrizes estratégicas.

É necessário ter clareza sobre funções e responsabilidades para evitar mal-entendidos e atrasos ao trabalhar com equipes multifuncionais entre limites organizacionais.

Lista de verificação – Ao reunir sua equipe de proteção de informações, as principais decisões e ações incluem:

  • Montar a equipe: envolva todos os stakeholders técnicos e não técnicos.
  • Determinar quem é o responsável executivo: verifique se você está ciente de quem é o líder do esforço de planejamento e implementação. Envolva essa pessoa (ou grupo) para priorização, financiamento, obtenção de consenso e tomada de decisões.
  • Esclarecer funções e responsabilidades: verifique se todos os envolvidos estão cientes de suas funções e responsabilidades.
  • Criar um plano de comunicação: considere como e quando você se comunicará com os usuários em toda a organização.

Metas e requisitos

É importante considerar quais são suas metas para implementar a proteção de informações e a DLP. Diferentes stakeholders da equipe que você reuniu provavelmente terão diferentes pontos de vista e áreas de interesse.

Neste ponto, recomendamos que você se concentre nas metas estratégicas. Se sua equipe tiver começado definindo detalhes do nível de implementação, sugerimos que você retorne e defina as metas estratégicas. Metas estratégias bem definidas ajudarão você a fornecer uma implementação mais suave.

Seus requisitos de proteção de informações e DLP podem incluir as metas a seguir.

  • Habilitação do usuário de autoatendimento: permita que criadores e proprietários de conteúdo de BI de autoatendimento colaborem, compartilhem e tenham o máximo de produtividade possível; tudo dentro dos limites estabelecidos pela equipe de governança. A meta é equilibrar o BI de autoatendimento com BI centralizado e facilitar que os usuários de autoatendimento façam a coisa certa, sem afetar negativamente sua produtividade.
  • Cultura de dados que valoriza a proteção de dados confiáveis: implemente a proteção de informações com baixo atrito e sem atrapalhar a produtividade do usuário. Quando implementados de uma forma equilibrada, é muito mais provável que os usuários trabalhem em seus sistemas em vez de contorná-los. A educação do usuário e o suporte ao usuário são essenciais.
  • Redução de risco: proteja a organização reduzindo os riscos. As metas de redução de risco geralmente incluem minimizar a possibilidade de vazamento de dados fora da organização e proteger os dados contra acesso não autorizado.
  • Conformidade: apoie os esforços de conformidade para regulamentos governamentais, regionais e do setor. Além disso, sua organização também pode ter requisitos internos de governança e segurança considerados críticos.
  • Capacidade de auditoria e reconhecimento: entenda onde os dados confidenciais estão localizados em toda a organização e quem os está usando.

Lembre-se de que uma iniciativa para introduzir a proteção de informações é complementar a outras abordagens relacionadas que envolvem segurança e privacidade. Coordene iniciativas de proteção de informações com outros esforços, como:

  • Funções de acesso, permissões, compartilhamento e RLS (segurança em nível de linha) para conteúdo do Power BI
  • Requisitos de residência de dados
  • Requisitos de segurança de rede
  • Requisitos de criptografia de dados
  • Iniciativas de catalogação de dados

Para saber mais sobre como proteger o conteúdo no Power BI, confira artigos sobre planejamento de segurança.

Lista de verificação – Ao considerar suas metas de proteção de informações, as principais decisões e ações incluem:

  • Identificar os regulamentos e riscos de privacidade de dados aplicáveis: verifique se sua equipe está ciente dos regulamentos de privacidade de dados aos quais sua organização está sujeita para seu setor ou região geográfica. Se necessário, realize uma avaliação de risco de privacidade de dados.
  • Discutir e esclarecer suas metas: tenha discussões iniciais com stakeholders relevantes e pessoas interessadas. Verifique se você está ciente das metas estratégicas de proteção. Verifique se você pode converter essas metas em requisitos de negócios.
  • Aprovar, documentar e priorizar suas metas: verifique se suas metas estratégias estão documentadas e priorizadas. Quando você precisar tomar decisões complexas, priorizar ou fazer compensações, consulte essas metas.
  • Verificar e documentar requisitos regulatórios e de negócios: verifique se todos os requisitos regulatórios e de negócios para privacidade de dados estão documentados. Consulte-os para obter necessidades de conformidade e priorização.
  • Começar a criar um plano: comece a criar um plano de projeto usando as metas estratégias priorizadas e os requisitos documentados.

Conteúdo relacionado

No próximo artigo desta série, saiba mais sobre rotulagem e classificação de ativos de dados para uso com o Power BI.