Analizar y proteger archivos de Drive mediante reglas de Prevención de la pérdida de datos

Supported editions for this feature: Enterprise; Enterprise for Education.  Comparar ediciones

Como administrador, puedes impedir que los usuarios compartan contenido sensible en Google Drive o en una unidad compartida con usuarios ajenos a tu organización. Las reglas de Prevención de la pérdida de datos (DLP) sirven para analizar archivos en busca de contenido sensible. Por ejemplo, si un usuario comparte un archivo que contiene un número de cuenta bancaria o de identificación fiscal, puedes avisar por correo electrónico a los superadministradores. También puedes mostrar una advertencia a los usuarios cuando intenten compartir un archivo, o bien bloquear por completo usuarios ajenos a tu organización para que no puedan acceder a él.

Nota: Para ver ejemplos de contenido sensible o probar estas funciones con tu propio contenido, echa un vistazo a la demo de Prevención de la pérdida de datos (DLP).

Aplicaciones y tipos de archivos analizados

Estas son algunas de las aplicaciones de G Suite que se analizan:

  • Hojas de cálculo
  • Documentos
  • Presentaciones

DLP no admite comentarios en Documentos, Hojas de cálculo, Presentaciones ni Dibujos, ni tampoco en las notificaciones por correo electrónico, y no se analizan.

DLP no admite ni analiza formularios; además, si integras DLP, se impide que se suban.

Estos son algunos de los tipos de archivos que se analizan en busca de contenido:

  • Tipos de archivos de documentos: .doc, .docx, .html, .odp, .ods, .odt, .pdf, .ppt. .rtf, .wdp, .xls, .xlsx, .xml
  • Tipos de archivos de imágenes: .eps, .fif, .img_for_ocr, .ps
  • Tipos de archivos comprimidos: .7z, .bzip, .gzip, .rar, .tar, .zip
  • Tipos de archivos personalizados: .hwp, .kml, .kmz, .sdc, .sdd, .sdw, .sxc, .sxi, .sxw, .ttf, .wml y .xps

Los archivos de vídeo y de audio no se analizan.

Funcionamiento de las reglas

Puedes trabajar con plantillas predefinidas o crear una propia. Además, puedes asignar una regla a todo tu dominio, a una unidad organizativa o a un grupo de Grupos de Google. Si quieres que las reglas se apliquen a los archivos de unidades compartidas, deberás asignarlas a todos los usuarios de tu organización. También puedes especificar qué medida se tomará si se detecta contenido con información sensible. Para obtener más información, consulta la sección Cómo definir una regla.

Crear y editar reglas

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

Crear reglas con plantillas predefinidas
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.
  3. Haz clic en Añadir "" o, en la parte superior, haz clic en Plantillas para que se muestre la lista de plantillas.
  4. En "Prevención de la pérdida de datos", selecciona una plantilla predefinida de la lista.
  5. (Opcional) Edita el título y la descripción de la regla.
  6. (Opcional) En Activadores, Condiciones y Acciones, cambia o añade ajustes y haz clic en Listo. Consulta más información en la sección Cómo definir una regla.
  7. Haz clic en Crear y activar
Crear reglas con plantillas en blanco
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.
  3. Haz clic en Añadir "" o, en la parte superior, haz clic en Plantillas para que se muestre la lista de plantillas.
  4. En "Prevención de la pérdida de datos", haz clic en Plantilla en blanco.
  5. En el campo de título, introduce el nombre de la regla y añade una descripción en el cuadro que hay más abajo.
  6. Añade Activadores, Condiciones y Acciones, y haz clic en Listo. Consulta más información en la sección Cómo definir una regla.
  7. Haz clic en Crear y activar
Editar reglas
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.
  3. En la parte superior, haz clic en Administrar para ver la lista de reglas de DLP.
  4. Haz clic en la regla que quieras modificar.
  5. Cambia los ajustes que quieras en Activadores, Condiciones o Acciones y, a continuación, haz clic en Listo. Consulta más información en la sección Cómo definir una regla.
  6. Haz clic en Guardar y activar.
Cómo definir una regla

Activadores

Son los archivos de aplicación que analiza la regla. Por ahora solo están disponibles en Drive, lo cual incluye las unidades compartidas. 

Condiciones

Te permiten personalizar la forma en que se aplica una regla a los usuarios y al contenido. 

  • Usuarios: puedes aplicar la regla a unidades organizativas, a grupos de Google o a ambos. Si quieres analizar archivos de una unidad compartida, tienes que aplicar la regla a todos los usuarios de tu organización desde el nivel organizativo superior. Con este tipo de regla, puedes analizar los archivos de los usuarios de las organizaciones o los grupos que selecciones, así como añadir y excluir tantos grupos y organizaciones como quieras. Si no indicas ninguno en concreto, la regla se aplicará a tu nivel organizativo superior.
  • Contenido: puedes hacer que la regla se active si encuentra contenido que coincida con el de una lista predefinida de detectores de contenido. También puedes hacer que se active si coincide con una lista personalizada de palabras o expresiones regulares que hayas añadido o seleccionado. Puedes añadir todos los tipos de contenido, listas de palabras y expresiones regulares que quieras. Consulta más información sobre detectores de contenido predefinidos y expresiones regulares.

    Las reglas pueden analizar estos tipos de contenido (que son partes de los documentos):
    • Título: nombre del documento
    • Cuerpo: cuerpo del documento
    • Sugerencias: contenido añadido al documento en el modo Sugerencias
    • Todo el contenido: todo el contenido del documento, incluido el título, el cuerpo y cualquier sugerencia

      Nota:: Al añadir diversos tipos de contenido a una condición, la regla se activa si se detecta cualquiera de esos tipos.

      Si optas por hacer coincidir el contenido sensible, deberás definir un umbral de confianza que indique qué probabilidad hay de que el contenido detectado cumpla los criterios que hayas especificado. Un umbral medio significa que activarán la acción un número mayor de archivos. Un umbral alto puede reducir la cantidad de archivos que se comparten sin haber activado la acción (cuando deberían haberlo hecho), pero también es posible que haya más archivos que activen la acción sin que sea necesario.

Acciones

Son las acciones que ejecuta una regla cuando detecta un problema. Aunque no elijas ninguna acción, los archivos que coinciden con los criterios de la regla siempre se marcan y aparecen en los datos de los informes. 

  • Bloquear acceso externo: sirve para que los archivos que tengan contenido sensible no se compartan con usuarios ajenos a tu organización, aun cuando se hayan añadido a una unidad compartida.  
  • Advertir cuando se compartan archivos con usuarios externos: informa a los usuarios de que están compartiendo un archivo que contiene información sensible.
  • Enviar un correo electrónico a superadministradores: se envía un correo electrónico a los superadministradores cuando un usuario crea, modifica o sube un archivo que contiene contenido sensible. En principio, se envía un correo electrónico cada vez que se cambia el tipo de contenido sensible presente en el archivo, si bien hay un límite de 25 correos electrónicos durante un intervalo de dos horas.

Consejo: Si te encuentras una gran cantidad de falsos positivos, puedes crear un par de reglas. En la primera, añade una acción drástica, como "Bloquear acceso externo", con el umbral de confianza alto. A continuación, crea una segunda regla con un umbral de confianza medio. En esta regla, añade la acción "Advertir cuando se compartan archivos con usuarios externos".

Supervisar reglas o cambios

Puedes controlar las reglas que se añaden, modifican o eliminan a través del análisis de DLP. Cuando empieza un análisis, puedes encontrar detalles al respecto y todos sus cambios en la sección "Tareas" de la consola de administración. Para obtener más información, consulta el artículo Comprobar el estado de tareas extensas.

  • Si añades, modificas o eliminas una regla, se activa un nuevo análisis de DLP y una tarea. 
  • Si cambias una regla mientras se está haciendo un análisis de DLP, el análisis vuelve a empezar. La tarea asociada con este análisis se actualiza para indicar qué se ha cambiado.
  • Si otro administrador cambia una regla mientras se está llevando a cabo un análisis de DLP, la búsqueda vuelve a empezar y se crea una tarea para el otro administrador. La tarea original deja de hacer un seguimiento del análisis.

Utilizar datos de auditoría de reglas y plantillas

Para llevar a cabo esta tarea, tienes que haber iniciado sesión como superadministrador.

Ver o exportar datos sobre elementos marcados
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.
  3. En la parte superior, haz clic en Auditoría para ver los datos incluidos en los informes de auditoría de la regla de DLP.
  4. (Opcional) Para cambiar los criterios que aparecen, haz clic en "Seleccionar columnas" "" . Todos los cambios se guardarán y se aplicarán la próxima vez que inicies sesión.
  5. Para configurar la tabla de forma que solo se muestren determinados elementos, en la sección Filtros, introduce los nombres de los elementos que te interesen o selecciónalos en estos campos:
    1. Nombre de la regla: es el nombre de la regla que ha incumplido el elemento marcado.
    2. Nombre del elemento marcado: es el nombre del archivo que la regla ha marcado.
    3. Identificador del elemento marcado: es el nombre del identificador del archivo que la regla ha marcado.
    4. Propietario del elemento: es el correo electrónico del propietario del archivo que la regla ha marcado.
    5. ID de unidad compartida: es el número de la unidad compartida en la que está almacenado el archivo que ha marcado la regla.
    6. Detectores de contenido relacionado: selecciona uno predefinido o uno personalizado.
    7. Intervalo de fecha y hora: es la fecha y hora de inicio y finalización de los eventos de una lista.
      Cada entrada del registro se asocia a un solo evento.
  6. Si quieres exportar los datos de un informe a una hoja de cálculo de Google en Drive o descargarlos en un archivo CSV, haz clic en Descargar "". El archivo puede contener un máximo de 200.000 celdas. La cantidad máxima de filas depende del número de columnas seleccionadas.
Ver o filtrar plantillas de DLP
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.
  3. En la parte superior, haz clic en Plantillas.
  4. (Opcional) Para cambiar los criterios que aparecen, haz clic en "Seleccionar columnas" "" . Todos los cambios se guardarán y se aplicarán la próxima vez que inicies sesión.
  5. (Opcional) Para configurar la tabla de forma que solo se muestren determinados elementos, en la sección Filtros, introduce los nombres de los elementos que te interesen o selecciónalos en estos campos:
    1. Nombre de la plantilla: es el nombre de la plantilla definida previamente.
    2. Descripción de la plantilla: es la descripción de la plantilla definida previamente.
    3. Categoría: actualmente, la única categoría que se admite es "Prevención de la pérdida de datos".
    4. Aplicación: son los archivos de aplicación que analiza la regla. Por ahora, las reglas de DLP solo se aplican a archivos de Drive.

Preguntas frecuentes

¿Qué detectores de contenido predefinidos se admiten?

La función DLP de Drive admite una gran cantidad de detectores predefinidos. Se irán añadiendo más a medida que crezca la plataforma.

¿Se garantiza una detección del 100 %?

No; no podemos garantizar que se detecten y marquen todos los datos sensibles. El sistema de detección DLP convierte las plantillas predefinidas en expresiones regulares y determina la probabilidad de que haya una coincidencia mediante parámetros de contenido adicionales. Podrían activarse falsos positivos y negativos por numerosos factores.

¿Sabrán los usuarios por qué no pueden compartir un archivo?

Los usuarios reciben un mensaje específico de DLP en el que se les informa del motivo por el que no se les permite compartir un archivo determinado. Si se producen varias infracciones, el mensaje indicará el primer problema que se haya detectado.

Cuando se cambian o añaden reglas, ¿analiza el sistema los archivos creados previamente?

Sí, cada vez que se añade o edita una regla, se hace un análisis de todos los archivos. Este análisis puede tardar algunas horas, un día o incluso más en función de distintos factores, como por ejemplo el número de archivos que haya en el dominio. 

Nota: Si añades o modificas una regla, DLP analizará la última revisión de los archivos ya subidos.

¿Es posible que se analice un mismo archivo más de una vez?

Sí, para detectar todo el contenido sensible que podamos, a veces el sistema analiza los documentos dos veces. Por lo tanto, el número de archivos que se ven afectados si se cambia una regla puede variar entre análisis.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.