Eseguire la scansione e proteggere i file di Drive con le regole DLP

Questa funzionalità è disponibile solo con G Suite Enterprise, Drive Enterprise e G Suite for Education. Confronta le versioni

In qualità di amministratore di G Suite, puoi impedire che gli utenti condividano contenuti sensibili presenti su Google Drive o su Drive del team con persone esterne all'organizzazione. Puoi utilizzare le regole per la prevenzione della perdita di dati (Data Loss Prevention, DLP) per eseguire la scansione dei file e individuare in questo modo gli eventuali contenuti sensibili. Ad esempio se un utente condivide un file che contiene un numeri di conti bancari o codici fiscali, puoi inviare un'email ai super amministratori per informarli dell'accaduto. Inoltre, quando gli utenti tentano di condividere un file, puoi avvisarli oppure impedire del tutto alle persone esterne all'organizzazione di accedere a quel file. 

Suggerimento: per alcuni esempi di contenuti sensibili o per verificare i tuoi contenuti, prova la demo per la prevenzione della perdita di dati.

Come funzionano le regole

Puoi utilizzare un modello predefinito o crearne uno tuo e assegnare una regola a tutto il dominio, a un'unità organizzativa o a un gruppo di Google Gruppi. Affinché le regole siano valide per i file sui Drive del team, devi applicarle a tutti gli utenti dell'organizzazione. È tuo compito stabilire quale azione eseguire se vengono rilevati elementi sensibili. Per maggiori dettagli, vedi Come definire una regola.

Creare e modificare le regole

Per eseguire questa operazione è necessario accedere come Super User.

Creare regole utilizzando i modelli predefiniti
  1. Accedi al tuo Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. Fai clic su Aggiungi Aggiungi o, in alto, su Modelli per aprire l'elenco dei modelli.
  4. In Prevenzione della perdita di dati, seleziona dall'elenco un modello predefinito.
  5. Modifica il titolo e la descrizione della regola. (facoltativo)
  6. In Attivatori, Condizioni e Azioni cambia o modifica le impostazioni desiderate e fai clic su Fine. Per maggiori dettagli, vedi Come definire una regola. (facoltativo)
  7. Fai clic su Crea e attiva
Creare regole con un modello vuoto
  1. Accedi al tuo Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. Fai clic su Aggiungi Aggiungi o, in alto, su Modelli per aprire l'elenco dei modelli.
  4. In Prevenzione della perdita dei dati, fai clic su Modello vuoto.
  5. Nel campo del titolo, inserisci il nome della regola e aggiungi sotto una descrizione della regola.
  6. Aggiungi Attivatori, Condizioni e Azioni e fai clic su Fine. Per maggiori dettagli, vedi Come definire una regola.
  7. Fai clic su Crea e attiva
Modificare le regole
  1. Accedi al tuo Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto, fai clic su Gestisci per vedere un elenco delle regole DLP.
  4. Fai clic sulla regola da modificare.
  5. Nelle sezioni Attivatori, Condizioni e Azioni, modifica le impostazioni e fai clic su Completato. Per maggiori dettagli, vedi Come definire una regola.
  6. Fai clic su Salva e attiva.
Come definire una regola

Attivatori

Si tratta dei file dell'applicazione che la regola sottopone a scansione. Attualmente la funzionalità è disponibile soltanto per Drive, inclusi i Drive del team. 

Condizioni

Puoi personalizzare il modo in cui la regola viene applicata agli utenti e ai contenuti. 

  • Utenti: puoi applicare la regola a un'unità organizzativa, un gruppo di Google Gruppi o a entrambi. Affinché venga eseguita la scansione di file che si trovano su Drive del team, devi applicare la regola a tutti gli utenti dell'organizzazione, ossia all'organizzazione di primo livello. La regola sottopone a scansione i file di proprietà degli utenti presenti nelle organizzazioni o gruppi selezionati. Puoi anche aggiungere ed escludere tutti i gruppi e le organizzazioni che ritieni necessari. Se non specifichi alcuna impostazione, la regola verrà applicata all'organizzazione di primo livello.
  • Contenuti: poi fare in modo che la regola venga attivata se viene trovata una corrispondenza con contenuti presenti in un elenco predefinito di rilevatori di contenuti. Puoi anche consentire che la regola venga attivata se vengono trovate corrispondenze con un elenco personalizzato di parole o con un'espressione regolare (regex) selezionata o aggiunta da te. Puoi aggiungere tutti i tipi di contenuti, gli elenchi di parole e le espressioni regolari che ritieni opportuni. Ulteriori informazioni sui rilevatori di contenuti predefiniti e le espressioni regolari.

    Nota: se aggiungi a una condizione più tipi di contenuti, la regola si attiva in caso di corrispondenza con qualsiasi tipo di contenuto. 

    Se scegli di trovare corrispondenze con contenuti sensibili, devi impostare la soglia di confidenza. Questa soglia indica la probabilità che i contenuti individuati corrispondano ai criteri. Una soglia media indica che più file attivano l'azione. Una soglia alta può avere come risultato un numero minore di file condivisi di quanti avrebbero dovuto attivare l'azione, ma probabilmente anche un numero maggiore di file che attivano l'azione di quanti la richiedano.

Azioni

Si tratta dell'azione che viene eseguita quando viene rilevato un problema. Anche se non scegli un'azione, i file corrispondenti vengono comunque segnalati ed elencati nei dati nel rapporto. 

  • Blocca accesso esterno: assicura che l'accesso a qualsiasi file con contenuti sensibili venga bloccato per tutti gli utenti esterni all'organizzazione, anche se sono stati aggiunti a un Drive del team.  
  • Avviso in caso di condivisione esterna: consente di informare l'utente del fatto che sta condividendo un file con contenuti sensibili.
  • Invia email a super amministratore: consente di inviare un'email ai super amministratori quando un utente crea, modifica o carica un file con contenuti sensibili. Viene inviata un'email ogni volta che il tipo di contenuti sensibili nel file cambia.Il numero massimo di email inviate è 25 email ogni due ore.

Suggerimento: se noti un numero elevato di falsi positivi, crea una coppia di regole. Nella prima aggiungi un'azione forte come "Blocca accesso esterno", impostando la soglia di confidenza su Alta. Crea quindi una seconda regola con una soglia di confidenza media e aggiungi l'azione "Avviso in caso di condivisione esterna".

Monitorare le regole e le relative modifiche

Puoi monitorare le regole aggiunte, modificate o eliminate mediante la scansione DLP. Quando una scansione viene avviata, puoi trovare i relativi dettagli e tutte le modifiche che questa ha subito in Attività, nella Console di amministrazione. Per informazioni dettagliate, vedi Controllare lo stato di attività di grandi dimensioni.

  • Se aggiungi, modifichi o elimini una regola: viene attivata una nuova scansione DLP e avviata una nuova attività. 
  • Se modifichi una regola mentre è in corso una scansione DLP: la scansione viene riavviata. L'attività associata alla scansione viene aggiornata per mostrare che quest'ultima è stata modificata.
  • Se un altro amministrazione modifica una regola mentre è in corso una scansione DLP: la scansione viene riavviata e viene creata una nuova attività per l'altro amministratore. La scansione non viene più monitorata mediante l'attività originaria.

Utilizzare dati e modelli per il controllo delle regole

Per eseguire questa operazione è necessario accedere come Super User.

Visualizzare o esportare i dati relativi a elementi segnalati
  1. Accedi al tuo Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto, fai clic su Controlli per vedere i dati del rapporto di controllo sulle regole DLP.
  4. Per modificare i criteri visualizzati, fai clic su Seleziona colonne Seleziona colonne. Tutte le modifiche vengono salvate e saranno disponibili all'accesso successivo. (facoltativo)
  5. Per configurare la tabella in modo che mostri solo determinati elementi, nella sezione Filtri, inserisci i nomi o seleziona l'elemento nei campi seguenti:
    1. Nome regola: la regola violata dall'elemento segnalato.
    2. Nome elemento segnalato: il nome del file segnalato dalla regola.
    3. Identificatore elemento segnalato: il nome dell'identificatore presente nel file segnalato dalla regola.
    4. Proprietario dell'elemento: l'indirizzo email del proprietario del file segnalato dalla regola.
    5. ID Drive del team: il numero del Drive del team in cui risiede il file segnalato dalla regola.
    6. Rilevatori di contenuti corrispondenti: seleziona uno dei rilevatori di contenuti predefiniti o personalizzati.
    7. Intervallo di data e ora: la data di inizio e di fine e l'ora per gli eventi in elenco.
      Ogni voce del log è associata a un singolo evento.
  6. Fai clic su Scarica Scarica per esportare i dati del rapporto in un file di Fogli Google su Drive o per scaricare un file CSV contenente tali dati. Il file può contenere un massimo di 200.000 celle. Il numero massimo di righe dipende dal numero di colonne selezionate.
Visualizzare o filtrare i modelli DLP
  1. Accedi al tuo Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (non termina con @gmail.com).

  2. Nella home page della Console di amministrazione, vai a Regole.

    Per visualizzare Regole potrebbe essere necessario fare clic su Altri controlli in fondo alla pagina. 

  3. In alto fai clic su Modelli.
  4. Per modificare i criteri visualizzati, fai clic su Seleziona colonne Seleziona colonne. Tutte le modifiche vengono salvate e saranno disponibili all'accesso successivo. (facoltativo)
  5. Per configurare la tabella in modo che mostri solo determinati elementi, inseriscine i nomi nella sezione Filtri oppure seleziona l'elemento nei campi seguenti: (facoltativo)
    1. Nome modello: il nome del modello definito in precedenza.
    2. Descrizione modello: la descrizione del modello definito in precedenza.
    3. Categoria: al momento Prevenzione della perdita dei dati è l'unico tipo di categoria supportato.
    4. Applicazione: i file dell'applicazione che la regola sottopone a scansione. Attualmente, le regole DLP sono disponibili solo per i file di Drive.

Domande frequenti

Quali rilevatori di contenuti predefiniti sono supportati?

La funzionalità DLP per Drive supporta numerosi rilevatori predefiniti. Ne saranno aggiunti altri via via che la piattaforma DLP si evolve.

La rilevazione è garantita al 100%?

No. Non possiamo garantire che tutti i dati sensibili saranno rilevati e segnalati. Il sistema di rilevazione DLP traduce i modelli predefiniti in espressioni regolari (regex) e utilizza parametri di contenuto aggiuntivi per determinare la probabilità di una corrispondenza. Potrebbero verificarsi falsi positivi e falsi negativi, che possono essere causati da molti fattori.

Gli utenti vengono informati del perché non possono condividere un file?

Gli utenti ricevono un messaggio specifico della piattaforma DLP che li informa del perché la condivisione è stata bloccata. Se sono presenti più violazioni, il messaggio indicherà il primo rilevatore che ha individuato una corrispondenza.

Quando le regole vengono modificate o ne vengono aggiunte altre, il sistema esegue la scansione dei file creati in precedenza?

Sì. Ogni volta che viene aggiunta o modificata una regola, tutti i file vengono sottoposti a scansione. La scansione dei file può richiedere alcune ore, un giorno o anche di più, a seconda di una serie di fattori, tra cui il numero di file presenti nel dominio.

È possibile che la scansione di un file sia eseguita più di una volta?

Sì. Per assicurare il rilevamento dei contenuti sensibili, talvolta il processo di scansione viene eseguito due volte. Pertanto, il numero di file interessati da una modifica apportata a una regola può variare da una scansione all'altra.

Hai trovato utile questo articolo?
Come possiamo migliorare l'articolo?