Usar Chrome Enterprise Premium para integrar DLP con Chrome

Debes tener el complemento Chrome Enterprise Premium para usar esta función.

Puedes usar Chrome Enterprise Premium con reglas de Prevención de la pérdida de datos (DLP) para monitorizar las acciones de los usuarios en el navegador Chrome y en dispositivos Windows, Mac, Linux y ChromeOS. Puedes analizar hasta 10 MB de contenido de texto de un archivo para detectar automáticamente los datos que se abren, suben, descargan, pegan o transfieren. Usa reglas de DLP con Chrome Enterprise Premium para controlar la información sensible, como los números de la seguridad social o los números de tarjetas de crédito.

En esta página

Antes de empezar
Información sobre los eventos de usuario (activadores)
Información sobre las condiciones de DLP
Información sobre las acciones de DLP
Elegir una región para tus datos
Activar OCR
Crear una regla de DLP
Casos prácticos habituales
Revisar, monitorizar e investigar alertas

Antes de empezar

Configura políticas del conector de Chrome Enterprise. Para ver los pasos, consulta el artículo Definir políticas del conector de Chrome Enterprise en Chrome Enterprise Premium.

Información sobre los eventos de usuario (activadores)

Antes de definir el contenido o el contexto que debe buscar tu regla, debes especificar el evento de usuario que inicia el proceso de análisis. Este evento es el activador de toda la regla. El evento que selecciones determinará las opciones de Tipo de contenido que se va a analizar que estén disponibles para tu regla.

Puedes seleccionar uno de los siguientes eventos de usuario:

Archivo subido: un usuario sube un archivo desde su dispositivo en el navegador Chrome.
Archivo descargado: un usuario descarga un archivo en su dispositivo.
Contenido pegado: un usuario pega contenido en una página web.
Contenido impreso: un usuario imprime el contenido de una página web.
URL visitada: un usuario va a una URL.

Información sobre las condiciones de DLP

Cuando creas una regla de DLP, especificas las condiciones que definen el contenido o la actividad que se debe analizar. Puedes combinar varias condiciones para crear reglas específicas.

Las opciones de Tipo de contenido que se va a analizar disponibles cambian en función del evento de usuario que se seleccione para iniciar el análisis, como Archivo subido, Archivo descargado, Contenido pegado, Contenido impreso, URL visitada, etc.

Tipo de contenido que se va a analizar	Qué se va a buscar en el análisis	Detalles y uso
Todo el contenido	Coincide con el tipo de datos predefinido	Analiza todo el contenido para detectar información sensible que coincida con un tipo de datos predefinido, como Global - Dirección de correo electrónico o Estados Unidos - número de la seguridad social. Puedes definir un umbral de probabilidad y un mínimo de coincidencias únicas o totales.
Cuerpo	Contiene la cadena de texto Coincide con palabras de una lista de palabras Coincide con la expresión regular	Analiza el contenido de texto principal (cuerpo) de una página web o un archivo para buscar texto específico, palabras de una lista personalizada o patrones definidos por una expresión regular.
Tamaño del archivo	Es mayor que Es menor que Es igual a	Define un umbral de tamaño de archivo (en bytes) para activar la regla en función de la comparación.
Tipo de archivo	Coincide con la categoría de archivo del sistema Coincide con el tipo de MIME específico	Filtra lo que se va a analizar por categorías de archivos predefinidas, como Imagen o Ejecutable, o por un tipo MIME específico. Consulta más información sobre los tipos MIME por categoría de archivos.
Contexto de Chrome de origen	Atributos específicos relacionados con el navegador Chrome	Analiza los atributos internos de Chrome para definir el entorno o el estado del navegador. La regla se aplica si el contexto es uno de los siguientes valores: Incognito, Clipboard u Other Profile (Otro perfil).
URL de origen	Contiene la cadena de texto Coincide con palabras de una lista de palabras Coincide con la expresión regular	Analiza la URL de origen del contenido para buscar texto específico, palabras de una lista personalizada o patrones.
Cuenta con la que se ha iniciado sesión en la aplicación web	Con el nombre de dominio Coincide con la dirección de correo electrónico Coincide con la expresión regular de la dirección de correo electrónico	Analiza la cuenta de usuario que ha iniciado sesión en la aplicación web de Google (por ejemplo, Gmail o Drive) en el momento del evento. Esta condición se aplica a las reglas activadas por eventos de pegar, URL visitada, descarga de archivos, subida de archivos e impresión. Actualmente, solo se admite en cuentas de Google personales y gestionadas.
Cuenta con la que se ha iniciado sesión en la aplicación web de origen	Con el nombre de dominio Coincide con la dirección de correo electrónico Coincide con la expresión regular de la dirección de correo electrónico	Analiza la cuenta de usuario que ha iniciado sesión en la aplicación web de Google y que contiene la fuente del contenido (la aplicación en la que el usuario ha copiado el contenido). Esta condición solo se aplica a las reglas activadas por el evento Contenido pegado. Actualmente, solo se admite en cuentas de Google personales y gestionadas.
Categoría de URL de origen	Seleccionar categoría	Funciona con el evento de usuario, como "Contenido pegado", para comprobar si una URL de origen pertenece a una categoría predefinida, como Redes sociales o Noticias.
Título	Contiene la cadena de texto Coincide con palabras de una lista de palabras Coincide con la expresión regular	Analiza el título de la página web o el documento implicados en la acción para buscar texto, palabras de una lista personalizada o patrones específicos.
URL	Contiene la cadena de texto Coincide con palabras de una lista de palabras Coincide con la expresión regular	Analiza la URL implicada en la acción para buscar texto específico, palabras de una lista personalizada o patrones. Este análisis incluye las URLs del contenido cargado en los iframes insertados.
Categoría de URL	Seleccionar categoría	Comprueba si la URL implicada en la acción pertenece a una categoría predefinida, como redes sociales, juegos o juegos de azar y apuestas. Este análisis incluye las URLs del contenido cargado en los iframes insertados.

Nota: El activador URL visitada no analiza las URLs ni sus categorías correspondientes en iframes insertados.

Información sobre las acciones de DLP

Cuando se cumpla una condición, tu regla podrá implementar obligatoriamente una de estas acciones:

Acción (para el navegador Chrome y ChromeOS)	Descripción	Configuración opcional
Bloquear	Impide que el usuario complete la acción, como subir un archivo. El usuario recibe un error o un mensaje personalizado.	Personalizar mensaje: muestra un mensaje personalizado (de hasta 300 caracteres y con hiperenlaces) al usuario para explicarle por qué se ha bloqueado la acción.
Permitir con una advertencia	Permite que el usuario continúe después de recibir un mensaje de advertencia. La decisión del usuario de continuar se registra en los eventos de registro.	Personalizar mensaje: muestra un mensaje de advertencia personalizado. Añadir una marca de agua sobre el contenido de las páginas: en las acciones de URL visitada, se superpone una marca de agua translúcida y el texto "Confidencial" o un mensaje personalizado en la página web. Restringir el contenido de capturas de pantalla y de pantalla compartida: en las acciones de URL visitada en Mac y Windows, se bloquean las capturas de pantalla y la función de compartir pantalla en las páginas asociadas. El contenido se oculta en las capturas de pantalla (Windows) o desaparece (Mac).
Solo auditoría	Permite que el usuario continúe sin interrupciones y registra el evento para que se revise.	Añadir una marca de agua sobre el contenido de las páginas: en las acciones de URL visitada, se superpone una marca de agua translúcida y el texto "Confidencial" o un mensaje personalizado en la página web. Restringir el contenido de capturas de pantalla y de pantalla compartida: en las acciones de URL visitada en Mac y Windows, se bloquean las capturas de pantalla y la función de compartir pantalla en las páginas asociadas. El contenido se oculta en las capturas de pantalla (Windows) o desaparece (Mac).

Acción (para el navegador Chrome y ChromeOS)

Descripción

Configuración opcional

Bloquear

Impide que el usuario complete la acción, como subir un archivo. El usuario recibe un error o un mensaje personalizado.

Personalizar mensaje: muestra un mensaje personalizado (de hasta 300 caracteres y con hiperenlaces) al usuario para explicarle por qué se ha bloqueado la acción.

Permitir con una advertencia

Permite que el usuario continúe después de recibir un mensaje de advertencia. La decisión del usuario de continuar se registra en los eventos de registro.

Personalizar mensaje: muestra un mensaje de advertencia personalizado.

Añadir una marca de agua sobre el contenido de las páginas: en las acciones de URL visitada, se superpone una marca de agua translúcida y el texto "Confidencial" o un mensaje personalizado en la página web.

Restringir el contenido de capturas de pantalla y de pantalla compartida: en las acciones de URL visitada en Mac y Windows, se bloquean las capturas de pantalla y la función de compartir pantalla en las páginas asociadas. El contenido se oculta en las capturas de pantalla (Windows) o desaparece (Mac).

Solo auditoría

Permite que el usuario continúe sin interrupciones y registra el evento para que se revise.

Importante: En los eventos de usuario Archivo subido y Contenido pegado, el comportamiento del bloqueo depende de los ajustes Retrasar subida de archivo y Retrasar introducción de texto de las políticas de Chrome Enterprise Connectors. Consulta más información en los artículos Subir análisis de contenido y Análisis de contenido de texto en bloque.

Elegir una región para tus datos

Puedes almacenar tus análisis de DLP y malware en una región concreta, como Estados Unidos o Europa. Puedes elegir una región para conseguir la residencia de datos, que es un requisito de muchos acuerdos de cumplimiento. Consulta más información en el artículo Elegir la región geográfica de los datos.

Activar OCR

Debes activar el reconocimiento óptico de caracteres (OCR) para permitir que Chrome busque contenido sensible en las imágenes de los archivos y PDFs. El OCR analiza los archivos BMP, GIF, JPEG, PNG y TIF que se suben, descargan e imprimen. Si activas el OCR, se aplicará a todas las reglas de DLP. No se puede aplicar de forma selectiva a reglas concretas.

Para activar el OCR, sigue estos pasos:

Inicia sesión con una cuenta de administrador en Consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
Ve a Menú Seguridad > Control de acceso y de datos > Protección de datos.
Debes tener los privilegios de administrador Ver regla de DLP y Gestionar regla de DLP.
Ve a Configuración de protección de datos y haz clic en Reconocimiento óptico de caracteres (OCR).
Activa Para Google Chrome.
Haz clic en Guardar.

Crear una regla de DLP

Una vez que hayas activado el OCR y determinado las condiciones y las acciones de tu regla, crea la regla de DLP. Para obtener más información, consulta el artículo Crear una regla de DLP.

Casos prácticos habituales

En la siguiente tabla se muestran ejemplos de cómo combinar un evento de usuario (el activador), condiciones (lo que se comprueba) y una acción específica (la medida) para definir tu política de DLP. Para usar esta tabla, debes hacer lo siguiente:

Selecciona un evento de usuario.
Asigna valores de condición a las opciones correspondientes.
Selecciona una acción.

Caso práctico	Evento de usuario	Condiciones	Acción
Impedir que se descarguen archivos de Google Drive	Se ha descargado el archivo	Tipo de contenido: URL* Coincidencia: contiene la cadena de texto Valor: drive.google.com	Bloquear
Avisar al usuario si un archivo descargado contiene más de 30 direcciones de correo electrónico	Se ha descargado el archivo	Tipo de contenido: Todo el contenido Coincidencia: Coincide con el tipo de datos predefinido Ajustes: Tipo de datos: Internacional - Dirección de correo electrónico, Probabilidad media, Número mínimo de coincidencias únicas: 30	Permitir con una advertencia
Bloquear la subida de archivos a redes sociales	Subida de archivo	Tipo de contenido: Categoría de URL Coincidencia: Seleccionar categoría Valor: Redes sociales	Bloquear
Bloquear la descarga de archivos de imagen de más de 10 kilobytes	Se ha descargado el archivo	Condición 1: Tamaño de archivo Coincidencia: Es mayor que Valor: 10.000 bytes Y Condición 2: Tipo de archivo Coincidencia: Coincide con la categoría de archivo del sistema Valor: Imagen	Bloquear
Registrar las instancias en las que se transfieren números de la seguridad social de EE.UU. en archivos de ChromeOS	Transferencia de archivos	Tipo de contenido: Todo el contenido Coincidencia: Coincide con el tipo de datos predefinido Configuración: Tipo de datos: Estados Unidos: número de la seguridad social, Probabilidad media, Número mínimo de coincidencias únicas: 1, Número mínimo de coincidencias: 1	Solo auditoría
Impedir que los usuarios peguen contenido copiado de Gmail (mail.google.com)	Contenido pegado	Tipo de contenido: URL de origen* Coincidencia: contiene la cadena de texto Valor: mail.google.com	Bloquear
Aplicar una marca de agua o restringir las capturas de pantalla cuando los usuarios visiten sitios web sensibles designados	URL visitada	Tipo de contenido: URL* o Categoría de URL Coincidencia: Selecciona la coincidencia adecuada Valor: La URL o la categoría sensibles específicas	Permitir con una advertencia o Solo auditoría (con las opciones Añadir marca de agua o Restringir captura de pantalla seleccionadas)
Bloquear la subida de archivos a cuentas personales de Google Drive	Archivo subido	Condición 1: Tipo de contenido: URL Coincidencia: contiene la cadena de texto Valor: drive.google.com AND Condición 2: Tipo de contenido: Cuenta con la que se ha iniciado sesión en la aplicación web Coincidencia: No coincide con el nombre de dominio Valor: your-organization-domain-name.com	Bloquear

*Si una URL que has filtrado se ha visitado recientemente, se almacenará en la caché durante varios minutos y no se filtrará correctamente mediante una regla nueva (o modificada) hasta que la caché se borre. Espera unos 5 minutos antes de probar una regla nueva o modificada.

Revisar, monitorizar e investigar alertas

Una vez que hayas creado las reglas de DLP, podrás revisar las acciones de los usuarios, como subir, descargar, copiar y pegar datos en el navegador Chrome. Podrás hacer lo siguiente:

Consultar informes en el panel de seguridad. Los informes relacionados con Chrome Enterprise Premium incluyen lo siguiente:
- Informe "Resumen de protección contra amenazas de Chrome"
- Informe "Resumen de incidentes relacionados con la protección de datos de Chrome"
- Informe "Usuarios de Chrome de alto riesgo"
- Informe "Dominios de Chrome de alto riesgo"
- Para obtener más información, consulta el artículo Utilizar el panel de control de seguridad.

Investigar alertas sobre los incidentes de uso compartido de datos con la herramienta de investigación de seguridad. Consulta más información en el artículo Acerca de la herramienta de investigación de seguridad.
Consulta los detalles de los incidentes en Eventos de registro de reglas.
Investiga las infracciones de reglas de DLP para determinar si son incidentes reales o falsos positivos. Para obtener más información, consulta el artículo Ver contenido que activa reglas de DLP.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?