Controlar los datos sensibles que se comparten en Gmail (beta)

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard y Enterprise Plus y Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus.  Comparar ediciones

La función DLP de Gmail también está disponible para los usuarios de Cloud Identity Premium con licencias de ediciones de Google Workspace que incluyan Gmail.

Puedes crear reglas de prevención de la pérdida de datos (DLP) en la consola de administración de Google para controlar el contenido sensible que comparten tus usuarios en Gmail. Las reglas se aplican a los mensajes enviados a usuarios tanto dentro como fuera de tu organización. Puedes usar las reglas para marcar la información sensible y evitar que salga de tu organización.

En esta página

Funciones de DLP en Gmail

Puedes hacer lo siguiente:

  • Crear reglas de protección de datos para Gmail o para varias aplicaciones de Google Workspace con DLP, como Gmail, Google Chat y Drive.
  • Implementar distintas acciones cuando se cometan infracciones de reglas. Por ejemplo, puedes bloquear la entrega de mensajes de Gmail y enviar al usuario una notificación (Bloquear mensaje), poner un mensaje en cuarentena para que un administrador lo revise antes de que se envíe o se devuelva (Poner mensaje en cuarentena), o enviar el mensaje, pero registrar el evento para una auditoría futura para evaluar el impacto de nuevas reglas (Solo auditoría).
  • Definir condiciones mediante cadenas de texto y detectores predefinidos y personalizados, como palabras clave y expresiones regulares.
  • Aplicar reglas de protección de datos a una unidad organizativa o a un grupo concretos, o a toda tu organización.
  • Informar a los administradores cuando se han infringido las reglas en el Centro de alertas para que puedan investigar el problema.
  • Utilizar el reconocimiento óptico de caracteres (OCR) para escanear el texto de las imágenes de todos los archivos adjuntos de los mensajes.

¿En qué consiste la función DLP de Gmail?

Cuando un usuario envía un mensaje de Gmail, DLP lo analiza en busca de contenido sensible. Si un mensaje o un archivo adjunto infringe una regla, se le aplicará la acción definida en la regla.

Resumen del flujo:

  1. Creas reglas de DLP mediante las que defines qué contenido es sensible y debe protegerse.
  2. Un usuario envía un mensaje de Gmail, y DLP analiza el contenido en busca de infracciones de esas reglas. 
  3. Si se infringe una regla, DLP ejecuta la acción que hayas definido en una regla.
  4. Todos los eventos se registran en los eventos de registro de reglas para que se revisen.

Recomendaciones sobre la configuración beta

  • Análisis asíncrono y síncrono: con DLP para Gmail, las reglas de protección de datos se analizan de forma asíncrona, lo que significa que el mensaje se bloquea o se pone en cuarentena después de salir del buzón de correo del remitente y antes de enviarse al destinatario.
    Próximamente: analiza las reglas de protección de datos de forma síncrona con el botón Enviar para avisar a los usuarios si hay contenido sensible en un mensaje antes de que salga de su buzón de correo.
  • Utiliza la opción Solo auditoría: te recomendamos que selecciones Solo auditoría cuando configures una regla en la versión beta. Con esta opción, permites que los mensajes que cumplan las condiciones de una regla se entreguen sin problemas y se registren los mensajes que se detecten. Esto te permite probar nuevas reglas y monitorizar su rendimiento, o supervisar de forma pasiva el entorno sin interrumpir el flujo de correo de tus usuarios.

¿Qué se analiza?

Solo se analizan los mensajes salientes. Los datos que se analizan dependen de lo que selecciones para la regla:

  • Todo el contenido: se analizan la cabecera, el asunto, el cuerpo y los archivos adjuntos del mensaje. 
  • Cuerpo: se analizan el cuerpo y los archivos adjuntos. 
  • Cabeceras del correo electrónico: se analizan la cabecera y el asunto. 
  • Asunto: solo se analiza el asunto.

Los archivos adjuntos incluyen archivos e imágenes. El nombre del archivo adjunto también se analiza (en los tipos de archivo admitidos).

Tipos de archivos adjuntos admitidos

Se analizan los siguientes tipos de archivos adjuntos:

  • Tipos de archivos de documentos: TXT, DOC, DOCX, RTF, HTML,XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON y SH
  • Tipos de archivos de imagen (si el OCR está activado): EPS, BMP, GIF, JPEG, PNG e imágenes incluidas en archivos PDF 
  • Tipos de archivo comprimidos: ZIP
  • Tipos de archivos personalizados: HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML y XPS

¿Cómo coexiste la función DLP de Gmail con otras reglas?

Las reglas de protección de datos se evalúan antes que las reglas de cumplimiento de las normas de contenido y las de enrutamiento. Si un mensaje no está marcado por una regla de protección de datos, se realizan análisis adicionales para comprobar si hay alguna regla de enrutamiento o de cumplimiento de las normas de contenido. Si un mensaje resulta rechazado por una regla de protección de datos, no se harán análisis en ninguna otra regla. Si una regla de enrutamiento o de cumplimiento de las normas de contenido provoca una nueva instancia de un mensaje (por ejemplo, se añade un destinatario nuevo), los mensajes nuevos se someterán a todo el ciclo de análisis. Para obtener más información sobre las reglas de cumplimiento de las normas de contenido, consulta el artículo Configurar reglas avanzadas para filtrar el contenido de mensajes de correo.

Limitaciones conocidas

Para conocer los límites de análisis de mensajes, consulta Límites de contenido de DLP de Gmail.

Crear una regla de protección de datos para Gmail

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Reglas.
  3. En Clasificación y protección del contenido sensible, haz clic en Crear regla.
  4. Haz clic en Nombre y escribe el nombre de la regla y, si quieres, una descripción.
  5. En Ámbito, elige una opción:
    • Para aplicar la regla a toda tu organización, selecciona Todo en domain.name.
    • Para aplicar la regla a unidades organizativas o grupos específicos, selecciona Unidades organizativas o grupos e incluye o excluye las unidades organizativas y los grupos.
  6. Haz clic en Continuar.
  7. (Opcional) Para comprobar si el OCR está activado, haz clic en Comprobar y marca la casilla Gmail para activar el OCR en Gmail.
  8. En Gmail, marca la casilla Mensaje enviado.
  9. Haz clic en Continuar.
  10. (Opcional) Para añadir una condición:
    1. Haz clic en Añadir condición. En Gmail, puedes elegir analizar lo siguiente:
      • Todo el contenido (encabezado, asunto, cuerpo y archivos adjuntos)
      • Cuerpo (cuerpo y archivos adjuntos)
      • Cabeceras del correo electrónico (cabecera y asunto)
      • Asunto (asunto)
      Si el mensaje se envía con el cifrado del lado del cliente de Google Workspace, solo se podrá analizar el contenido de las cabeceras del correo electrónico (incluido el asunto).
    2. Haz clic en Qué buscar y completa los atributos necesarios según el tipo de búsqueda.
    Si creas una regla sin ninguna condición, la regla aplicará la acción especificada a todos los mensajes de Gmail y a todo el contenido.
  1. Haz clic en Continue (Continuar). 
  2. Haz clic en Acción y elige una opción:
    • Para que el mensaje no se entregue y el remitente reciba una notificación, selecciona Bloquear mensaje.
    • Para poner el mensaje en cuarentena, selecciona Poner mensaje en cuarentena y, en Seleccionar una cuarentena, elige la condición de cuarentena que se aplicará a los mensajes.
    • Para evaluar las reglas nuevas y enviar mensajes, pero registrar el evento para revisarlo más tarde, selecciona Solo auditoría.
    Todas las acciones se registran en eventos de registro de reglas.
  1. En Selecciona cuándo debe realizarse esta acción, elige si la acción se debe aplicar a los mensajes enviados a destinatarios externos o internos, o a ambos.
  1. (Opcional) Si quieres crear un mensaje personalizado para informar a los usuarios de por qué se ha bloqueado su mensaje, en Bloquear mensaje, marca la casilla Personalizar mensaje y escribe el mensaje que quieras. Puedes crear mensajes de hasta 300 caracteres (incluida la longitud de la URL) e insertar enlaces. Si no creas un mensaje personalizado, los usuarios verán el mensaje predeterminado.
  2. (Opcional) Para elegir el nivel de gravedad que quieres que se utilice para informar de eventos activados por esta regla en la consola de administración, en Alertas, selecciona Baja, Media o Alta. El nivel de gravedad se registra en los eventos de registro de reglas y se puede utilizar para investigar el incidente.
  3. (Opcional) Para elegir si un evento activado por esta regla también debe enviar una alerta al Centro de alertas, marca la casilla Enviar al Centro de alertas y, si quieres enviar una notificación sobre la alerta a todos los superadministradores, marca la casilla Todos los superadministradores. También puedes introducir otros destinatarios de correo electrónico para las notificaciones.
  4. Haz clic en Continuar y revisa los detalles de la regla. 
  5. Elige un estado para la regla:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Para activar la regla más adelante, en la consola de administración, ve a Seguridady luegoAcceso y control de datosy luegoProtección de datosy luegoGestionar reglas, cambia el estado a Activo y haz clic en Confirmar
  6. Haz clic en Crear.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Investigar infracciones de reglas de DLP con la herramienta de investigación de seguridad

Buscar eventos de registro de reglas

En el ejemplo siguiente se hace una búsqueda para investigar los mensajes de Gmail que infringen una regla de DLP. Puedes utilizar otras condiciones en la búsqueda o no incluir ninguna.

  1. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  2. Haz clic en Fuente de datos y selecciona Eventos de registro de reglas.
  3. Haz clic en Añadir condicióny luegoAtributoy luegoTipo de regla.
  4. Selecciona DLP.
  5. Haz clic en Buscar.
    En los resultados de búsqueda que aparecen en la parte inferior de la página, verás una lista de eventos con detalles sobre cada uno de ellos.
  6. Desplázate hasta el ID de recurso y haz clic en Menú para hacer el cambio de Eventos de registro de Gmail > ID de mensaje.
  7. Haz clic en Buscar para abrir una nueva página de búsqueda en la que la fuente de datos es Eventos de registro de Gmail.
  8. Para desglosar la información y ver más detalles, haz clic en el ID de mensaje de cualquier fila de los resultados de búsqueda. En el panel lateral, puedes consultar más detalles sobre tu investigación.
  9. Si se te solicita, introduce una razón para justificar la necesidad de ver el contenido de Gmail de la empresa y haz clic en Confirmar.

Enviar comentarios

En la consola de administración de cualquier página de protección de datos, haz clic en Enviar comentarios.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal