Analizar y proteger archivos de Drive mediante reglas de Prevención de la pérdida de datos

Esta función solo está disponible en G Suite Enterprise, en Drive Enterprise y en G Suite para Centros Educativos. Comparar ediciones

Con tu cuenta de administrador de G Suite, puedes impedir que los usuarios compartan contenido sensible en Google Drive o en unidades de equipo con usuarios ajenos a la organización. Con las reglas de Prevención de la pérdida de datos (DLP), puedes analizar archivos para detectar contenido sensible. Por ejemplo, si un usuario comparte un archivo que contiene un número de cuenta bancaria o de identificación fiscal, puedes avisar por correo electrónico a los superadministradores. También puedes mostrar una advertencia a los usuarios cuando intenten compartir un archivo, o bien bloquear por completo usuarios ajenos a tu organización para que no puedan acceder a él. Solo se analizan los archivos compartidos. 

Consejo: Si quieres ver ejemplos de contenido sensible y analizar tu propio contenido, prueba la demo de Prevención de la pérdida de datos.

Funcionamiento de las reglas

Puedes trabajar con plantillas predefinidas o crear una propia. Además, puedes asignar una regla a todo tu dominio, a una unidad organizativa o a un grupo de Google. Para que las reglas se apliquen a los archivos de las unidades de equipo, tienes que asignarla a todos los usuarios de tu organización. También puedes especificar qué medida se tomará si se detecta contenido con información sensible. Para obtener más información, consulta la sección Cómo definir una regla.

Crear y editar reglas

Para realizar esta tarea, es necesario iniciar sesión como superadministrador.

Crear reglas con plantillas predefinidas
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. Haz clic en Añadir Añadir o, en la parte superior, haz clic en Plantillas para que aparezca la lista de plantillas.
  4. En Prevención de la pérdida de datos, selecciona una de las plantillas predefinidas de la lista.
  5. (Opcional) Edita el título y la descripción de la regla.
  6. (Opcional) En Activadores, Condiciones y Acciones, cambia o añade ajustes y haz clic en Listo. Para obtener más información, consulta la sección Cómo definir una regla.
  7. Haz clic en Crear y activar
Crear reglas con plantillas en blanco
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. Haz clic en Añadir Añadir o, en la parte superior, haz clic en Plantillas para que aparezca la lista de plantillas.
  4. En Prevención de la pérdida de datos, haz clic en Plantilla en blanco.
  5. En el campo de título, introduce el nombre de la regla y añade una descripción en el cuadro de más abajo.
  6. Añade Activadores, Condiciones y Acciones, y haz clic en Listo. Para obtener más información, consulta la sección Cómo definir una regla.
  7. Haz clic en Crear y activar
Editar reglas
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Administrar para ver la lista de reglas de DLP.
  4. Haz clic en la regla que quieras modificar.
  5. Cambia los ajustes que quieras en Activadores, Condiciones o Acciones y, a continuación, haz clic en Listo. Para obtener más información, consulta la sección Cómo definir una regla.
  6. Haz clic en Guardar y activar.
Cómo definir una regla

Activadores

Son los archivos de aplicación que analiza la regla. Actualmente solo están disponibles en Drive, lo cual incluye las unidades de equipo. 

Condiciones

Puedes personalizar la forma en que se aplica una regla a los usuarios y al contenido. 

  • Usuarios: puedes aplicar la regla a unidades organizativas, a grupos de Google o a ambos. Para analizar archivos de una unidad de equipo, tendrás que aplicar la regla a todos los usuarios de tu organización desde el nivel organizativo superior. Con las reglas, puedes analizar archivos de los usuarios de las organizaciones o los grupos que seleccionas, así como añadir y excluir tantos grupos y organizaciones como quieras. Si no indicas ninguno concreto, la regla se aplicará a tu nivel organizativo superior.
  • Contenido: puedes hacer que la regla se active si encuentra contenido que coincida con el de una lista predefinida de detectores de contenido. También puedes hacer que se active si coincide con una lista de palabras personalizada o expresiones regulares que hayas añadido o seleccionado. Puedes añadir todos los tipos de contenido, listas de palabras y expresiones regulares que quieras. Consulta más información sobre detectores de contenido predefinidos y las expresiones regulares.

    Nota: Al añadir diversos tipos de contenido a una condición, la regla se activará si se detecta cualquiera de esos tipos. 

    Si optas por hacer que la regla se active si coincide con contenido sensible, debes definir un umbral de confianza, que indica qué probabilidad hay de que el contenido detectado cumpla los criterios indicados. Si seleccionas un umbral medio, más archivos activarán la acción. Un umbral alto puede reducir la cantidad de archivos compartidos que debían haber activado la acción, pero también es posible que haya más archivos que activen la acción sin que sea necesario.

Acciones

La acción que ejecuta una regla cuando detecta un problema. Aunque no elijas ninguna, los archivos que coinciden con los criterios de la regla se marcarán siempre y aparecerán en los datos de los informes. 

  • Bloquear acceso externo: sirve para que los archivos con contenido sensible no se compartan con usuarios ajenos a tu organización, aun cuando se hayan añadido a una unidad de equipo.  
  • Advertir cuando se compartan archivos externos: informa a un usuario de que está compartiendo un archivo que contiene información sensible.
  • Enviar un correo electrónico a superadministradores: se envía un correo electrónico a los superadministradores cuando un usuario crea, edita o sube un archivo con contenido sensible. Se envía un correo electrónico siempre que cambia el tipo de contenido sensible del archivo. El número máximo de correos electrónicos que se pueden enviar en un intervalo de 2 horas es de 25.

Consejo: Si te encuentras una gran cantidad de falsos positivos, puedes crear un par de reglas. En la primera, añade una acción drástica como, por ejemplo, "Bloquear acceso externo" con el umbral de confianza alto. A continuación, crea una segunda regla con un umbral de confianza medio y añádele la acción "Advertir cuando se compartan archivos con usuarios externos".

Supervisar reglas o cambios

Puedes supervisar las reglas que se añaden, modifican o eliminan a través del análisis de DLP. Cuando empieza un análisis, puedes encontrar detalles al respecto y todos sus cambios en la sección Tareas de la consola de administración. Para obtener más información, consulta el artículo Comprobar el estado de tareas extensas.

  • Si añades, cambias o eliminas una regla, se activa un nuevo análisis de DLP y una tarea. 
  • Si cambias una regla mientras se está haciendo un análisis de DLP, la búsqueda volverá a empezar. La tarea asociada con este análisis se actualiza para indicar qué se ha cambiado.
  • Si otro administrador cambia una regla mientras se está llevando a cabo un análisis de DLP, este análisis vuelve a empezar y se crea una tarea para el otro administrador. La tarea original deja de hacer un seguimiento del análisis.

Utilizar datos de auditoría de reglas y plantillas

Para realizar esta tarea, es necesario iniciar sesión como superadministrador.

Ver o exportar datos sobre elementos marcados
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Auditoría para ver los datos de los informes de auditoría de la regla de DLP.
  4. (Opcional) Para cambiar los criterios que aparecen, haz clic en Seleccionar columnas Seleccionar columnas. Todos los cambios se guardarán y estarán disponibles la próxima vez que inicies sesión.
  5. Para que en la tabla solo se muestren determinados elementos, en la sección Filtros, introduce los nombres de los que te interesen o selecciona un elemento de los siguientes campos:
    1. Nombre de la regla: la que ha incumplido el elemento marcado.
    2. Nombre del elemento marcado: el nombre del archivo que la regla ha marcado.
    3. Identificador del elemento marcado: nombre del identificador del archivo que la regla ha marcado.
    4. Propietario del elemento: correo electrónico del propietario del archivo que la regla ha marcado.
    5. ID de unidad de equipo: número de la unidad en la que está almacenado el archivo que la regla ha marcado.
    6. Detectores de Contenido Relacionado: selecciona uno predefinido o uno personalizado.
    7. Intervalo de fecha y hora: fecha y hora de inicio y finalización de los eventos de una lista.
      Cada entrada del registro se asocia con un único evento.
  6. Si quieres exportar los datos de un informe a una hoja de cálculo de Google en Drive o descargarlos en un archivo CSV, haz clic en Descargar Descargar. El archivo puede contener un máximo de 200.000 celdas. La cantidad máxima de filas depende del número de columnas seleccionadas.
Ver o filtrar plantillas de DLP
  1. Inicia sesión en la Consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Plantillas.
  4. (Opcional) Para cambiar los criterios que aparecen, haz clic en Seleccionar columnas Seleccionar columnas. Todos los cambios se guardarán y estarán disponibles la próxima vez que inicies sesión.
  5. (Opcional) Para configurar la tabla de forma que solo se muestren determinados elementos, en la sección Filtros, introduce los nombres de los que te interesen o selecciónalos en los campos siguientes:
    1. Nombre de la plantilla: de aquella definida previamente.
    2. Descripción de la plantilla: de aquella definida previamente.
    3. Categoría: actualmente, la única categoría que se admite es Prevención de la pérdida de datos.
    4. Aplicación: archivos de aplicación que la regla analiza. Actualmente, las reglas de DLP solo están disponibles con archivos de Drive.

Preguntas frecuentes

¿Qué detectores de contenido predefinidos se admiten?

La función DLP de Drive admite una gran cantidad de detectores predefinidos. Se irán añadiendo más a medida que crezca la plataforma.

¿Se garantiza una detección del 100 %?

No, no podemos garantizar que se detecten y marquen todos los datos sensibles. El sistema de detección DLP convierte las plantillas predefinidas a expresiones regulares (regex) y utiliza parámetros de contenido adicionales para determinar la probabilidad de que haya una coincidencia. Podrían activarse falsos positivos y negativos por numerosos factores.

¿Sabrán los usuarios por qué no pueden compartir un archivo?

Los usuarios reciben un mensaje específico de DLP en el que se les informa del motivo por el que no se les permite compartir un archivo determinado. Si se producen varias infracciones, el mensaje indicará el primer problema que se haya detectado.

Cuando se cambian o añaden reglas, ¿analiza el sistema los archivos creados previamente?

Sí. Cada vez que se añade o edita una regla, se hace un análisis de todos los archivos. Este análisis puede tardar algunas horas, un día o incluso más en función de distintos factores como, por ejemplo, el número de archivos del dominio. 

Consejo: Si añades o editas una regla, DLP analizará la última revisión de los archivos ya subidos.

¿Es posible que se analice un mismo archivo más de una vez?

Sí. Para detectar todo el contenido sensible que podamos, a veces el sistema analiza los documentos dos veces. Por lo tanto, el número de archivos que se ven afectados si se cambia una regla puede variar entre análisis.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?