Seguridad de la información en Power BI

En el momento de desplegar por primera vez un proyecto de Power BI en una empresa es necesario tener en cuenta una serie de aspectos sobre la seguridad y compartición de la información. La mayor parte de parámetros referentes a estos aspectos están por defecto activados, por lo que es necesario que antes de que el administrador de acceso a los primeros informes haga una lista de seguridad donde quede reflejado lo que podrán o no podrán hacer los usuarios finales y con ello configurar correctamente el entorno.

Cada mes aparecen nuevas características y posibilidades de compartición y publicación por lo que al poco tiempo de publicar este post seguro que existirán opciones adicionales a tener en cuenta, algunas de las actuales son las siguientes.

Más de un administrador

Para poder parametrizar la aplicación es necesario tener una cuenta con los permisos de acceso al portal de administración de Power BI. Además del administrador inicial, pueden existir otros usuarios con acceso a este panel, para ello existe un comando en PowerShell:

Add-MsolRoleMember -RoleMemberEmailAddress “nombre@empresa.com” -RoleName “Power BI Service Administrator”

Este comando requiere tener cargado el módulo de Azure Active Directory.

Publicar en la web

Cuando un usuario entra por primera vez en la web de Power BI dispone de la opción activada  de “Publicar en la Web”, esto significa que cualquier usuario de la organización puede publicar un informe en cualquier blog o sitio web. Esta característica es muy interesante para usuarios individuales pero puede ser muy peligrosa para una empresa, más si la información que contienen los informes puede considerarse como confidencial.

Desde el portal de administración puede limitarse fácilmente esta característica. Este suele ser un error muy frecuente en el despliegue de proyectos con Power BI y que puede traer algún disgusto.

Usuarios externos

Puede existir la tentación de compartir informes y dashboards con clientes, proveedores, etc. Todos los usuarios tienen la posibilidad de invitar a otras personas para que obtengan acceso. Para impedirlo es necesario desactivar la opción “Uso compartido” del panel de addministración.

Además, si decidimos que los usuarios puedan invitar a otros, deberemos configurar si a su vez los invitados pueden invitar a otros, evitando una viralidad no deseada.

Autentificación multifactor

Algunas empresas incorporan normativas que impiden el acceso a las aplicaciones con solo una contraseña. Esto se ha hecho más habitual en cuanto las aplicaciones están disponibles fuera del entorno de la empresa y en diferentes dispositivos. Para ello, Azure Active Directory, la aplicación encargada de la autentificación de usuarios, permite configuraciones adicionales para que el usuario además de introducir la contraseña deba introducir un código adicional de seis dígitos que recibirá como un mensaje de texto, en una aplicación de su teléfono o mediante una llamada telefónica.

Acceso condicional

En algunos casos puede que las políticas de seguridad deban ser muy restrictivas. Mediante Azure Active Directory es posible limitar en diversos parámetros desde el modo o el lugar donde los usuarios podrán tener acceso. De esta manera podemos restringir el uso de la aplicación movil, la utilización desde áreas geográficas concretas e incluso restringir el acceso limitada a una localización determinada.

ROLES

Es posible que no todos los usuario deban tener acceso a toda la información. Es el caso típico de una red de ventas donde un vendedor accede solo a la información de sus clientes y de sus ventas, pero no debe acceder a las ventas de otros vendedores, mientras que un jefe regional solo ve la información de su región y el nacional accede a todo el territorio.

Para solucionar estos casos en Power BI pueden configurarse roles, de manera que la información se filtre a cada usuario dependiendo de quien es.

Auditoría

De vez en cuando es necesario echar un vistazo del nivel de utilización de los informes, conocer quién y cuándo accede pueden darnos una imagen de si se utilizan bien los recursos o hay algo que debamos revisar. Por ello es interesante activar la auditoría para disponer de los logs con los que poder luego realizar un informe.

Compartir

Por defecto cualquier usuario pude crear sus propios informes y dashboards y compartirlos, también crear paquetes de contenido a toda la organización. Para evitar que todo el mundo pueda compartir con todo el mundo, que con el tiempo puede llegar a ser un lio importante, puede delimitarse a por ejemplo que solo lo puedan hacer dentro de sus grupos y no a todo el mundo.

Exportar datos, Imprimir, …

Todos los elementos visales disponen de la opción de exportar los datos que utilizan en un archivo CSV que luego puede importarse a Excel o a cualquier base de datos. En algunas organizaciones, o partes de ellas, que utilizan información sensible puede que sea necesario revisar esta opción a determinados grupos.

Además de la exportación de datos hay otras configuraciones a revisar:

Clasificación de paneles

Power BI permite clasificar los paneles (dashboards) etiquetándolos. El objetivo es informar a los usuarios del nivel de sensibilidad tiene cada dashboard segun la información que contenga. Se trata pues de una medida puramente informativa.

Esta opción viene por defecto deshabilitada y es necesario activarla en el panel de administración antes de poder usarse.

Un vez tengamos establecidas las clasificaciones podremos asignar estas estiquetas a los paneles accediendo a su configuración

Versión premium. Fuera de la nube

La nube es un gran avance para muchas empresas debido a que libera a los departamentos de IT de disponer de grandes espacios acondicionados para un centro de datos, la inversión constante en hardware, software y toda su administración. Pero algunas compañías y sectores tienen fuertes restricciones de seguridad que impiden que los datos sean alojados fuera de la empresa.

Para este tipo de empresas Microsoft ha creado Power BI Premium, un tipo de suscripción orientado solo a compañías grandes que permite instalar el servidor de informes de Power BI en sus propios servidores sin tener que depender de la nube.

Power BI embebido

Existe también la posibilidad de alojar los informes de Power BI dentro de una aplicación propia y que los usuarios no tengan que acceder al portal de Power BI para visualizarlos. Esto se consigue con un conjunto de APIs que un programador puede utilizar para intgerar los informes y paneles dentro de su propia aplicación delegando en esta aplicación propia la autentificación de usuarios.

Esto hace que para los usuarios sea transparente si visualiza informes de Power BI o de cualquier otra tecnología y permite que además de utilizar la aplicación para el consumo de la información esta también pueda realizar otras tareas.

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *