Montar un Centro de Excelencia (CoE) en Power Platform es una de esas cosas que Microsoft explica en 3 slides y en la realidad lleva meses de trabajo. Porque un CoE no es instalar el CoE Starter Kit — eso es el 5% del trabajo. Un CoE es la estructura organizativa y técnica que permite que Power Platform escale en tu empresa sin convertirse en shadow IT con licencia corporativa.
¿Por qué necesitas un CoE? Porque el shadow IT ya está ahí
Si tu empresa tiene licencias de Microsoft 365, tus empleados ya están creando flujos de Power Automate y apps de Power Apps. Algunos lo saben, otros ni se han dado cuenta de que lo que hicieron es una app. Sin gobernanza, esto es lo que pasa: un usuario crea un flujo que mueve datos de clientes a un Excel compartido en un OneDrive personal. Otro crea una app que envía emails desde una cuenta compartida. Otro conecta datos de producción con su cuenta personal de Gmail porque "necesitaba verlo en el móvil".
Individualmente, cada caso parece menor. En conjunto, es un riesgo de seguridad, compliance y continuidad operativa real. El CoE existe para que la plataforma se use, pero se use bien.
Pilar 1: Visibilidad — saber qué hay en tu tenant
Antes de gobernar nada, necesitas saber qué existe. El CoE Starter Kit de Microsoft incluye flujos que inventarian automáticamente todas las apps, flujos, bots y conectores de tu tenant. Esto te da un mapa: cuántas apps hay, quién las creó, cuándo fue la última vez que se usaron, qué datos consumen, y qué conectores utilizan.
En las empresas donde he implementado esto, siempre aparecen sorpresas: flujos inactivos que nadie recuerda, apps usando conectores no autorizados, y en algunos casos flujos moviendo datos sensibles fuera del perímetro corporativo sin que nadie lo supiera. Sin el inventario, esos problemas siguen ahí invisibles.
Pilar 2: Políticas de DLP — qué conectores pueden usarse dónde
Data Loss Prevention no es opcional. Las políticas de DLP definen qué conectores pueden coexistir en un mismo flujo o app. Esto evita que alguien cree un flujo que lea datos de Dataverse (corporativo) y los envíe a Twitter (público). La configuración básica que recomiendo como mínimo:
Grupo Business: conectores corporativos (Dataverse, SharePoint, Outlook, Teams, SQL Server). Grupo Non-Business: conectores de servicios externos (Twitter, Gmail, Dropbox). Grupo Blocked: conectores que no deben usarse en ningún caso en tu organización. Un conector de Business no puede mezclarse con uno de Non-Business en el mismo flujo — así de simple, así de efectivo.
La clave es no ser ni demasiado restrictivo (si bloqueas todo, los usuarios buscarán alternativas fuera de la plataforma) ni demasiado permisivo (si permites todo, el riesgo es real).
Pilar 3: Entornos y ALM — desarrollo, test, producción
Esto es lo que separa una prueba de concepto de una plataforma enterprise. Cada solución relevante necesita al menos 3 entornos: desarrollo (donde se construye), test (donde se valida), y producción (donde se usa). Las soluciones se mueven entre entornos como paquetes gestionados, con pipelines de despliegue automatizados — idealmente con Azure DevOps o GitHub Actions.
También necesitas un entorno sandbox personal o compartido para que los citizen developers experimenten sin riesgo. Si no les das un espacio seguro para probar, van a probar en producción.
Pilar 4: Formación y comunidad interna
El CoE funciona cuando la gente sabe qué puede hacer y qué no. Esto requiere formación — no un curso genérico de Microsoft Learn, sino formación adaptada a tu empresa: qué entornos usar, cómo nombrar las soluciones, dónde pedir ayuda, cómo solicitar que una app pase a producción.
Las empresas donde he visto esto funcionar mejor tienen una comunidad interna: un canal de Teams donde los makers comparten lo que construyen, piden ayuda, y el equipo del CoE responde preguntas. Es más efectivo que cualquier documento de políticas.
Lo que no te dice Microsoft: el CoE es un proceso, no un proyecto
El error más común es tratar el CoE como un proyecto con fecha de fin. Instalas el kit, defines las políticas, das una formación, y declaras victoria. Pero las políticas necesitan revisarse trimestralmente, los nuevos empleados necesitan formación, las apps abandonadas necesitan retirarse, y los conectores nuevos necesitan clasificarse. El CoE es un proceso continuo que necesita un responsable con tiempo asignado — no algo que alguien hace "además de su trabajo".