Utilizar BeyondCorp Threat and Data Protection para integrar la Prevención de la pérdida de datos con Chrome

BeyondCorp integra la Prevención de la pérdida de datos con Chrome

Las funciones de BeyondCorp Threat and Data Protection solo están disponibles para los clientes que hayan comprado la edición BeyondCorp Enterprise.

Con BeyondCorp Threat and Data Protection, puedes integrar funciones de Prevención de la pérdida de datos (DLP) en Chrome para detectar datos sensibles en archivos que se suban o descarguen y en contenido que se haya pegado o arrastrado y soltado.

Esta integración te permite controlar los datos que los usuarios de Chrome pueden compartir, como los números de la seguridad social o los números de tarjetas de crédito. Solo se aplica al navegador Chrome en Windows, Mac, Linux y al sistema operativo Chrome. En este momento no se admiten otras plataformas.

BeyondCorp y DLP

La integración de DLP con Chrome se incluye en el paquete de funciones de BeyondCorp, que forma parte de la seguridad de Cloud Platform. Para configurar esta integración, deberás usar funciones de Google Workspace.

BeyondCorp incluye lo siguiente:

  • Uso de las funciones de gestión de Chrome
  • Configuración de los conectores de Chrome
  • Configuración de reglas de DLP en la seguridad de Google Workspace (descrita en este artículo)
  • Alertas e investigación sobre los eventos de seguridad que genera Chrome (como detección de software malicioso o datos sensibles, phishing, ingeniería social o reutilización de contraseñas)

Para obtener más información sobre cómo implementar BeyondCorp, consulta el artículo Proteger a los usuarios de Chrome con BeyondCorp Threat and Data Protection.

Pasos para configurar DLP en BeyondCorp

Para implementar y usar todo el conjunto de protecciones de DLP de BeyondCorp, debes hacer lo siguiente:

  • Paso 1: Configurar políticas del conector del navegador Chrome Enterprise. Para obtener más información, consulta el artículo Definir políticas del conector de Chrome Enterprise en Google BeyondCorp Enterprise en la Ayuda de Google Chrome Enterprise.
  • Paso 2: Configurar reglas de protección de datos (descritas en este artículo) en la consola de administración de Google Workspace.
  • Paso 3: Configurar alertas de actividad. Para obtener más información sobre los tipos de alertas, consulta el artículo Ver información de las alertas, que también encontrarás en la Ayuda de Google Workspace.

Una vez hayas creado las reglas de DLP, cuando los usuarios realicen acciones como subir, descargar o copiar y pegar datos en el navegador se podrán activar eventos. En concreto, podrás hacer lo siguiente:

Ejemplos de reglas de DLP que se pueden usar en las integraciones de BeyondCorp con Chrome

Integración de DLP y BeyondCorp: ejemplos de reglas

A continuación se muestran algunos ejemplos de bloqueo de descargas de archivos, advertencia de descargas que contienen varias direcciones y bloqueo de subidas de Gmail que contienen varias direcciones. En ellos se incluye el tipo de campo URL.

Ejemplo 1: Bloquear las descargas de archivos desde drive.google.com

En este ejemplo se muestra cómo se pueden usar los ajustes de las reglas para bloquear las descargas de archivos. En este caso, se bloquea la descarga si se produce desde drive.google.com.

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con estos privilegios:

  • Privilegios de administrador de la unidad organizativa.
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que tenga ambos privilegios.
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear funciones de administrador personalizadas.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Protección de datos.

    Para ver esta sección en la página principal, puede que tengas que hacer clic en la opción Más controles, situada en la parte inferior.

  3. Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglay luegoRegla nueva
  4. Añade el nombre y la descripción de la regla.
  5. En la sección Ámbito, selecciona Aplicar a todo <nombre.de.dominio> o elige buscar e incluir o excluir unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.

    Ten en cuenta que las unidades organizativas pueden contener dispositivos, usuarios o una combinación de ambos. Este dato es importante, porque las reglas solo se aplican a los dispositivos con navegadores Chrome y a los usuarios de Chrome OS. Recuérdalo cuando crees las reglas de DLP para BeyondCorp.

  6. Haz clic en Continuar. En la sección Activadores, en Chrome, selecciona Se ha descargado el archivo.
  7. En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
    1. Campo: URL
    2. Valor: Contiene
    3. Contenido que debe coincidir: drive.google.com
  8. Haz clic en Continuar. En la sección Acciones, en Chrome, selecciona Bloquear contenido.
  9. Haz clic en Continuar para revisar los detalles de la regla.
  10. Haz clic en Crear y elige una opción:
    1. Activa: la regla se ejecuta inmediatamente.
    2. Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridady luegoProtección de datosy luegoGestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  11. Haz clic en Finalizada.
    La regla puede tardar hasta 24 horas en aplicarse a todas las cuentas de usuario de las unidades organizativas y grupos seleccionados.
Ejemplo 2: Avisar de una descarga de Chrome que contiene más de 30 direcciones de correo electrónico

En este ejemplo se muestra cómo se pueden usar los ajustes de reglas para activar una advertencia para los usuarios en determinadas condiciones.  En este caso, el usuario recibe un aviso si intenta descargar más de 30 direcciones de correo electrónico a la vez.

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con estos privilegios:

  • Privilegios de administrador de la unidad organizativa.
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees una función personalizada que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear funciones de administrador personalizadas.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Protección de datos.

    Para ver esta sección en la página principal, puede que tengas que hacer clic en la opción Más controles, situada en la parte inferior.

  3. Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglay luegoRegla nueva
  4. Añade el nombre y la descripción de la regla.
  5. En la sección Ámbito, selecciona Aplicar a todo <nombre.de.dominio> o elige buscar e incluir o excluir unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.

    Ten en cuenta que las unidades organizativas pueden contener dispositivos, usuarios o una combinación de ambos. Este dato es importante, porque las reglas solo se aplican a los dispositivos con navegadores Chrome y a los usuarios de Chrome OS. Recuérdalo cuando crees las reglas de DLP para BeyondCorp.

  6. Haz clic en Continuar. En la sección Activadores, en Chrome, selecciona Se ha descargado el archivo.
  7. En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
    1. Campo: Todo el contenido
    2. Valor: Detector de coincidencia predeterminado
    3. Detector predeterminado: Internacional : dirección de correo electrónico
    4. Umbral de probabilidad: Posible
    5. Número mínimo de coincidencias únicas: 30
    6. Cantidad mínima de coincidencias: 30
  8. Haz clic en Continuar. En la sección Acciones, en Chrome, selecciona Advertir al usuario. El usuario recibe la advertencia, pero puede infringir la regla y continuar con la acción. En este caso, la acción se incluye en el registro de auditoría de reglas.
  9. Haz clic en Continuar para revisar los detalles de la regla.
  10. Haz clic en Crear y elige una opción:
    1. Activa: la regla se ejecuta inmediatamente.
    2. Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridady luegoProtección de datosy luegoGestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  11. Haz clic en Finalizada.
    La regla puede tardar hasta 24 horas en aplicarse a todas las cuentas de usuario de las unidades organizativas y grupos seleccionados.
Ejemplo 3: Bloquear las subidas a Chrome que contengan más de 30 direcciones de correo electrónico

En este ejemplo se muestra cómo usar los ajustes de las reglas para bloquear subidas de archivos.  En este caso, se produce un bloqueo si el usuario intenta subir más de 30 direcciones de correo electrónico a la vez.

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con estos privilegios:

  • Privilegios de administrador de la unidad organizativa.
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees una función personalizada que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear funciones de administrador personalizadas.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Protección de datos.

    Para ver esta sección en la página principal, puede que tengas que hacer clic en la opción Más controles, situada en la parte inferior.

  3. Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglay luegoRegla nueva
  4. Añade el nombre y la descripción de la regla.
  5. En la sección Ámbito, selecciona Aplicar a todo <nombre.de.dominio> o elige buscar e incluir o excluir unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.

    Ten en cuenta que las unidades organizativas pueden contener dispositivos, usuarios o una combinación de ambos. Este dato es importante, porque las reglas solo se aplican a los dispositivos con navegadores Chrome y solo a los usuarios de Chrome OS. Recuérdalo cuando crees las reglas de DLP para BeyondCorp.

  6. Haz clic en Continuar. En la sección Activadores, en Chrome, selecciona Archivo subido y Contenido subido.

    En los activadores Archivo subido y Contenido subido, el comportamiento del bloqueo depende del ajuste Retrasar subida de archivo especificado, tal como se explica en el artículo Definir políticas del conector de Chrome Enterprise en Google BeyondCorp Enterprise. Si el ajuste Retrasar subida de archivo está definido como Permitir subida inmediata, el archivo se subirá durante el análisis. Para impedir que los usuarios suban archivos o contenido durante un análisis, el ajuste Retrasar subida de archivo debe tener asignado el valor Retrasar subida hasta completar análisis.

  7. En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
    1. Campo: Todo el contenido
    2. Valor: Detector de coincidencia predeterminado
    3. Detector predeterminado: Internacional : dirección de correo electrónico
    4. Umbral de probabilidad: Posible
    5. Número mínimo de coincidencias únicas: 30
    6. Cantidad mínima de coincidencias: 30
    7. Haz clic en Añadir condición.
    8. Campo: URL
    9. Valor: Contiene
    10. Contenido que debe coincidir: mail.google.com
  8. Haz clic en Continuar. En la sección Acciones, en Chrome, selecciona Bloquear contenido.
  9. Haz clic en Continuar para revisar los detalles de la regla.
  10. Haz clic en Crear y elige una opción:
    1. Activa: la regla se ejecuta inmediatamente.
    2. Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridady luegoProtección de datosy luegoGestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  11. Haz clic en Finalizada.
    La regla puede tardar hasta 24 horas en aplicarse a todas las cuentas de usuario de las unidades organizativas y grupos seleccionados.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
73010
false