Copilot no elude sus permisos. Los respeta a la perfección, lo que significa que hace aflorar todo aquello a lo que sus usuarios tienen acceso técnicamente, incluidos sitios que nadie recuerda haber compartido. Esta checklist guía a los equipos de TI y seguridad a través de siete fases de preparación, con 57 puntos respaldados por evidencias y puertas go/no-go formales antes del piloto y antes del despliegue general.
La mayoría de los despliegues bloqueados se remontan a la misma historia: un usuario piloto hace una pregunta rutinaria y obtiene una respuesta extraída de contenidos que nunca debió ver.
Copilot recupera información de todo lo que un usuario puede alcanzar técnicamente. Los sitios compartidos con «Todos excepto los usuarios externos» hace años quedan de pronto a una simple pregunta en lenguaje natural.
Los antiguos enlaces a escala de la organización otorgan acceso permanente mucho después de que todos los hayan olvidado. Copilot respeta cada uno de ellos hasta que usted los haga caducar.
Nadie visita el sitio financiero olvidado, así que nada parece anómalo. La búsqueda impulsada por IA lo cambia de la noche a la mañana; por eso la gobernanza debe llegar antes de la activación.
La checklist pone las correcciones en el orden correcto: auditar la proliferación de permisos, limpiar los enlaces de uso compartido, etiquetar y proteger el contenido sensible con Microsoft Purview y, solo entonces, asignar las licencias.
57 puntos de control, cada uno con una línea de «por qué importa», un campo de evidencia y un responsable. Recorra las fases en orden; las puertas comprueban que no se haya omitido nada.
Planes base aptos, buzones en Exchange Online, Entra ID, OneDrive, canales de actualización y puntos de conexión de red. El suelo técnico antes de cualquier trabajo de gobernanza.
La fase decisiva: auditoría de la proliferación de permisos, higiene de los enlaces de uso compartido, etiquetas de confidencialidad, DLP para Copilot y decisiones sobre Restricted Content Discovery.
Registro de auditoría de las interacciones de Copilot, retención y eDiscovery, postura sobre la búsqueda web y línea base de gobernanza de agentes.
Una cohorte de áreas de negocio reales, métricas de éxito con líneas base, un circuito de retroalimentación con responsable y un plan de contención que espera no usar nunca.
Enmienda de la política de uso aceptable citando a Copilot, guía de prompts aceptables, formación antes de asignar licencias y acuses de recibo firmados.
Oleadas escalonadas con puntos de control, supervisión continua del uso compartido excesivo, revisión de auditoría, revisión de agentes y una vía de incidentes operativa.
La revisión a los 90 días: repetir la evaluación del uso compartido excesivo, ajustar etiquetas y DLP, retirar las restricciones temporales e informar al patrocinador.
Dos puntos de decisión formales mantienen la honestidad del despliegue. Cada criterio debe estar en «Go»; un solo «No-go» pausa el lanzamiento hasta resolverlo o aceptarlo por escrito.
La plantilla incluye un ejemplo práctico de un «No-go» bien gestionado: restringir los sitios señalados, corregir, reconvocar doce días después y empezar limpio.
La puerta B convierte las evidencias del piloto en una decisión de despliegue que su comité de gobernanza puede respaldar.
Copilot rara vez es la única IA de la empresa. Aona descubre cada herramienta de IA que sus empleados ya utilizan, muestra qué datos fluyen hacia ellas y mantiene su inventario de IA listo para auditoría de cara al despliegue.