miércoles, 2 de julio de 2025

Sensitivity labels: la taxonomía que sí funciona con Copilot

 

Tres veces en mi carrera he tenido que rehacer el esquema de sensitivity labels de una organización. La tercera fue después de meter Copilot. Voy a explicar por qué.

Los esquemas que se diseñaron antes de Copilot tienen un sesgo: están pensados para humanos clasificando documentos. Cinco niveles, descripciones largas, instrucciones que el usuario teóricamente lee al elegir el label. En la práctica, el usuario clica el primero que ve y sigue. Cuando Copilot empieza a actuar sobre esas etiquetas, los problemas afloran.

Mi taxonomía actual, después de tres iteraciones

Cuatro niveles, no más. Más de cuatro y la gente se confunde. Public, Internal, Confidential, Restricted. Cada nivel con un sub-marcador opcional (“External-Allowed” o “External-Blocked”). El sub-marcador ataca el problema de “es confidencial pero el partner X sí lo puede ver”.

Reglas claras de procesamiento por Copilot. Cada label tiene una regla explícita: ¿Copilot puede leer? ¿Puede generar contenido derivado? ¿Puede compartir en la respuesta a un usuario externo invitado? La matriz cabe en una página.

Auto-labeling agresivo en lo trivial. SSN, números de tarjeta, IBANs, datos de RRHH conocidos — auto-label sin pedirle al usuario. La auto-classification de Purview es buena. Confío en ella para el 70% del corpus. El 30% restante lo etiqueta el usuario.

Defaults razonables. Si un sitio nuevo se crea sin label, hereda “Internal” por política. Antes era “Public” por descuido. Eso solo bajó mi superficie de exposición en un 12%.

Lo que aprendí en el camino

Que un label complicado se ignora. La gente no quiere leer. La gente quiere clicar.

Que los labels por sí solos no protegen. Un label sin DLP detrás es un papel en la pared. Yo combino label más DLP más Conditional Access. Las tres capas o ninguna.

Que migrar es doloroso. Tuve documentos con label viejo, documentos con label nuevo, documentos sin label. Tomó cuatro meses migrar el corpus crítico. Los demás documentos los seguimos limpiando. La perfección es enemiga del progreso.

Que Copilot acelera la limpieza. Cuando un usuario pregunta a Copilot por algo y la respuesta se bloquea por DLP, el usuario reporta. Cada bloqueo es feedback. Cada feedback me dice qué documentos tienen el label mal puesto. La operación de Copilot se vuelve auditoría continua del esquema de labels.

¿Lo recomendaría? Sí, pero con expectativas reales. Diseñar bien lleva semanas. Implementar lleva meses. Madurar lleva un año. Si tienes Copilot en piloto y sensitivity labels todavía sin definir, no demores. La complejidad solo crece.

Publicado por en
Etiquetas: ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)