Analizar y proteger los archivos de Drive mediante las reglas de Prevención de la pérdida de datos (DLP)

Esta función solo está disponible en G Suite Enterprise, en Drive Enterprise y en G Suite para Centros Educativos. Comparar ediciones

Como superadministrador de G Suite Enterprise o G Suite for Education, puedes impedir que los usuarios compartan contenido sensible en Google Drive o en las unidades de equipo con personas ajenas a tu organización. Con las reglas de Prevención de la pérdida de datos (DLP), puedes analizar los archivos para detectar contenido sensible. Por ejemplo, si un usuario comparte un archivo que contiene un número de cuenta bancaria o de identificación fiscal, puedes enviar un correo electrónico a los superadministradores para avisarles. También puedes advertir a los usuarios cuando intenten compartir un archivo o cuando bloqueen por completo a usuarios ajenos a tu organización de forma que evitan que puedan acceder al archivo. 

Consejo: Para ver ejemplos de contenido sensible y analizar tu propio contenido, prueba la demostración de Prevención de la pérdida de datos.

Funcionamiento de las reglas

Puedes trabajar con plantillas predefinidas o crear una propia. Además, puedes asignar una regla a todo tu dominio, a una unidad organizativa o a un grupo de Google. Para que las reglas se apliquen a los archivos de las unidades de equipo, tienes que asignarla a todos los usuarios de tu organización. Si se detecta contenido con información sensible, podrás determinar qué medida se tomará. Para obtener más información, consulta la sección Cómo definir una regla.

Crear y editar reglas

Para realizar esta tarea, es necesario iniciar sesión como superadministrador.

Crear reglas con plantillas predefinidas
  1. Inicia sesión en tu Consola de administración de Google.

    Inicia sesión con tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. Haz clic en Añadir Añadir o, en la parte superior, haz clic en Plantillas para que se muestre la lista de plantillas.
  4. En Prevención de la pérdida de datos, selecciona una de las plantillas predefinidas de la lista.
  5. (Opcional) Edita el título y la descripción de la regla.
  6. (Opcional) En Activadores, Condiciones y Acciones, cambia o añade ajustes y haz clic en Listo. Para obtener más información, consulta la sección Cómo definir una regla.
  7. Haz clic en Crear y activar
Crear reglas mediante plantillas en blanco
  1. Inicia sesión en tu Consola de administración de Google.

    Inicia sesión con tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. Haz clic en Añadir Añadir o, en la parte superior, haz clic en Plantillas para que se muestre la lista de plantillas.
  4. En Prevención de la pérdida de datos, haz clic en Plantilla en blanco.
  5. En el campo de título, introduce el nombre de la regla y añade una descripción en el cuadro de más abajo.
  6. Añade Activadores, Condiciones y Acciones, y haz clic en Listo. Para obtener más información, consulta la sección Cómo definir una regla.
  7. Haz clic en Crear y activar
Editar reglas
  1. Inicia sesión en tu Consola de administración de Google.

    Inicia sesión con tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Administrar para ver la lista de reglas de DLP.
  4. Haz clic en la regla que quieras modificar.
  5. Cambia los ajustes que quieras en Activadores, Condiciones o Acciones y, a continuación, haz clic en Listo. Para obtener más información, consulta la sección Cómo definir una regla.
  6. Haz clic en Guardar y activar.
Cómo definir una regla

Activadores

Archivos de aplicación que analiza la regla. Actualmente solo están disponibles en Drive, incluidas las unidades de equipo. 

Condiciones

Puedes personalizar la forma en que se aplica la regla a los usuarios y al contenido. 

  • Usuarios: puedes aplicar la regla a unidades organizativas, a grupos de Google o a ambos elementos. Para analizar archivos de una unidad de equipo, tendrás que aplicar la regla a todos los usuarios de tu organización (nivel organizativo superior). Con las reglas, puedes analizar los archivos de los usuarios de las organizaciones o los grupos seleccionados, así como añadir y excluir tantos grupos y organizaciones como quieras. Si no especificas ninguno concreto, la regla se aplicará a tu nivel organizativo superior.
  • Contenido: puedes hacer que la regla se active si encuentra contenido que coincide con el de una lista predefinida de detectores de contenido. También puedes hacer que se active si encuentra el de una lista de palabras personalizada o expresiones regulares que hayas añadido o seleccionado. Puedes añadir todos los tipos de contenido, listas de palabras y expresiones regulares que quieras. Consulta más información sobre los selectores de contenido predefinidos y las expresiones regulares.

    Si optas por hacer que la regla se active si coincide con contenido sensible, deberás definir un umbral de confianza, que indicará qué probabilidad hay de que el contenido detectado cumpla los criterios que hayas establecido. Un umbral medio significa que activarán la acción un número mayor de archivos. Un umbral alto puede reducir la cantidad de archivos compartidos que activen la acción, pero también es posible que haya más archivos que activen la acción sin que sea necesario.

Acciones

La acción que lleva a cabo la regla cuando detecta un problema. Aunque no elijas ninguna, los archivos que coinciden con los criterios la regla se marcarán siempre y aparecerán en los datos de los informes. 

  • Bloquear acceso externo: con esta acción puedes asegurarte de que los archivos con contenido sensible no se compartan con usuarios ajenos a tu organización, aunque se hayan añadido a una unidad de equipo.  
  • Advertir cuando se compartan archivos con usuarios externos: informa a un usuario de que está compartiendo un archivo que contiene información sensible.
  • Enviar un correo electrónico a superadministradores: se envía un correo electrónico a los superadministradores cuando un usuario crea, modifica o sube un archivo con contenido sensible. Se envía un correo electrónico cuando cambia el tipo de contenido sensible del archivo. El número máximo de correos electrónicos que se pueden enviar en un intervalo de 2 horas es de 25.

Consejo: Si te encuentras una gran cantidad de falsos positivos, puedes crear un par de reglas. En la primera, añade una acción drástica como, por ejemplo, "Bloquear acceso externo" con el umbral de confianza alto. A continuación, crea una segunda regla con un umbral de confianza medio y añádele la acción "Advertir cuando se compartan archivos con usuarios externos".

Supervisar una regla o una modificación

Puedes hacer el seguimiento de las reglas que se añaden, modifican o eliminan a través del análisis de DLP. Cuando empieza un análisis, puedes encontrar detalles al respecto y todos sus cambios en la sección Tareas de la consola de administración. Para obtener más información, consulta el artículo Comprobar el estado de tareas grandes.

  • Si añades, modificas o eliminas una regla, se activa un nuevo análisis de DLP y una tarea. 
  • Si modificas una regla mientras se está realizando un análisis de DLP, este vuelve a empezar y la tarea asociada a ese análisis se actualiza para mostrar lo que se ha modificado.
  • Si otro administrador modifica una regla mientras se está realizando un análisis de DLP, este vuelve a empezar y se crea una tarea para el otro administrador. La tarea original deja de hacer el seguimiento del análisis.

Utilizar datos de auditoría de reglas y plantillas

Para realizar esta tarea, es necesario iniciar sesión como superadministrador.

Ver o exportar datos sobre elementos marcados
  1. Inicia sesión en tu Consola de administración de Google.

    Inicia sesión con tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Auditoría para ver los datos de los informes de auditoría de la regla de DLP.
  4. (Opcional) Para cambiar los criterios que se muestran, haz clic en Seleccionar columnas Seleccionar columnas. Todos los cambios se guardarán y estarán disponibles la próxima vez que inicies sesión.
  5. Para que en la tabla solo se muestren determinados elementos, en la sección Filtros, introduce los nombres de los que te interesen o selecciona un elemento de los siguientes campos:
    1. Nombre de la regla: la que ha incumplido el elemento marcado.
    2. Nombre del elemento marcado: el nombre del archivo que la regla ha marcado.
    3. Identificador del elemento marcado: nombre del identificador del archivo que la regla ha marcado.
    4. Propietario del elemento: correo electrónico del propietario del archivo que la regla ha marcado.
    5. ID de unidad de equipo: número de la unidad en la que está almacenado el archivo que la regla ha marcado.
    6. Detectores de Contenido Relacionado: selecciona uno predefinido o uno personalizado.
    7. Intervalo de fecha y hora: fecha y hora de inicio y finalización de los eventos de una lista.
      Cada entrada del registro se asocia con un único evento.
  6. Para exportar los datos de un informe a un archivo de Hojas de cálculo de Google en Drive o para descargarlos en un archivo CSV, haz clic en Descargar Descargar. El archivo puede contener un máximo de 200.000 celdas. La cantidad máxima de filas depende del número de columnas seleccionadas.
Ver o filtrar plantillas de DLP
  1. Inicia sesión en tu Consola de administración de Google.

    Inicia sesión con tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Reglas.

    Para ver Reglas, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior. 

  3. En la parte superior, haz clic en Plantillas.
  4. (Opcional) Para cambiar los criterios que se muestran, haz clic en Seleccionar columnas Seleccionar columnas. Todos los cambios se guardarán y estarán disponibles la próxima vez que inicies sesión.
  5. (Opcional) Para configurar la tabla de forma que solo se muestren determinados elementos, en la sección Filtros, introduce los nombres de los que te interesen o selecciona el elemento en los campos siguientes:
    1. Nombre de la plantilla: de aquella definida previamente.
    2. Descripción de la plantilla: de aquella definida previamente.
    3. Categoría: actualmente, la única categoría que se admite es Prevención de la pérdida de datos.
    4. Aplicación: archivos de aplicación que la regla analiza. Actualmente, las reglas de DLP solo están disponibles para archivos de Drive.

Preguntas frecuentes

¿Qué detectores de contenido predefinidos se admiten?

La función DLP de Drive admite una gran cantidad de detectores predefinidos. Se irán añadiendo más a medida que crezca la plataforma de DLP.

¿Se garantiza una detección del 100 %?

No, no podemos garantizar que se detecten y marquen todos los datos sensibles. El sistema de detección DLP convierte las plantillas predefinidas a expresiones regulares (regex) y utiliza parámetros de contenido adicionales para determinar la probabilidad de que haya una coincidencia. Podría haber falsos positivos y negativos que se activasen por numerosos factores.

¿Sabrán los usuarios por qué no pueden compartir un archivo?

Los usuarios reciben un mensaje específico de DLP en el que se les informa del motivo por el que no se permite compartir un archivo determinado. Si se producen varias infracciones, el mensaje indicará el primer problema que se haya detectado.

Cuando se modifican o añaden reglas, ¿analiza el sistema los archivos creados previamente?

Sí, cada vez que se añaden o modifican reglas se analizan todos los archivos. Este análisis puede tardar algunas horas, un día o incluso más en función de distintos factores como, por ejemplo, el número de archivos del dominio.

¿Es posible que se analice un mismo archivo más de una vez?

Sí, ya que para asegurarse de que se detecta el contenido sensible de los documentos, a veces se analizan dos veces. Por lo tanto, el número de archivos que se ven afectados si se cambia una regla puede variar entre análisis.

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?