Cuando hablamos de gobernanza en Power Platform, las empresas medianas tienen una reacción predecible: "Eso es para las grandes, nosotros no lo necesitamos." Y suele ser cierto — hasta que tienen decenas de apps sin documentar, flujos que nadie recuerda haber creado, y un empleado que se fue hace 3 meses era el "propietario" de automatizaciones críticas.
El escenario que nadie planifica: cuando se va quien creó las apps
Este es el riesgo más concreto y el que más he visto materializarse. Un empleado motivado empieza a crear apps y flujos en Power Platform. Es bueno, resuelve problemas reales, y la empresa se beneficia. Pero nadie documenta qué hizo, nadie revisa la seguridad, y las apps corren bajo su cuenta personal. Cuando ese empleado cambia de departamento o deja la empresa, las apps siguen funcionando... hasta que dejan de funcionar. Y nadie sabe cómo arreglarlas porque nadie sabe cómo están construidas.
Gobernanza no es burocracia — es asegurarte de que tu empresa no depende de una persona para que los procesos sigan funcionando.
El mínimo viable de gobernanza: 4 cosas que puedes hacer esta semana
1. Un responsable con nombre y apellidos. No hace falta un equipo. Una persona que sepa qué apps existen, quién las mantiene, y que tenga acceso de administrador al tenant de Power Platform. Puede ser alguien de IT, puede ser un power user de negocio — pero tiene que existir.
2. Entornos separados. Como mínimo, un entorno de producción y uno de desarrollo/pruebas. Esto lo puedes configurar en minutos desde el admin center. Las apps nuevas se construyen en desarrollo, se prueban, y se promueven a producción como soluciones gestionadas. Si alguien modifica algo directamente en producción, tienes un problema de proceso, no de tecnología.
3. Tres políticas de DLP. No necesitas 20 políticas complejas. Tres bien definidas cubren la mayor parte del riesgo: una para el entorno de producción (solo conectores corporativos aprobados), una para el entorno de desarrollo (más permisiva, pero sin conectores peligrosos), y una por defecto para cualquier entorno nuevo que se cree.
4. Documentación mínima por app. Para cada app en producción: qué hace, quién la mantiene, qué datos usa, de qué solución forma parte. Un documento de una página o una entrada en un registro centralizado. Parece obvio, pero la mayoría de empresas no lo tienen.
El coste de no hacer nada: shadow IT con licencia corporativa
El shadow IT en Power Platform es especialmente peligroso porque parece inofensivo. Un empleado crea un flujo que copia datos de clientes a su OneDrive personal — para "trabajar desde casa más cómodo". Otro crea una app que envía emails masivos desde una cuenta compartida sin pasar por marketing. Otro conecta datos de RRHH con una lista de SharePoint pública sin darse cuenta de que está exponiendo información salarial.
Ninguno tiene mala intención. Todos están resolviendo un problema real. Pero sin gobernanza, cada uno de estos casos es una brecha de seguridad, compliance, o ambas.
La gobernanza que funciona es la que no estorba
Si tu gobernanza hace que los empleados dejen de usar Power Platform y vuelvan a Excel, has fracasado. El objetivo no es controlar — es habilitar con seguridad. Esto significa: dar un entorno seguro donde experimentar, documentar las reglas de forma sencilla (no un PDF de 40 páginas que nadie va a leer), automatizar lo que se pueda automatizar (el CoE Starter Kit inventaría apps automáticamente), y estar disponible para resolver dudas rápido en vez de crear un proceso de solicitud con 5 aprobaciones.
Mi recomendación para empresas medianas: empieza con el mínimo viable. Si en 3 meses ves que necesitas más estructura, la añades. Pero no empieces sin nada pensando que ya lo harás cuando sea necesario — porque cuando sea "necesario" será porque algo salió mal, y arreglar después siempre cuesta más que prevenir antes.