Usar la nueva función DLP de Drive

Evitar la pérdida de datos con la nueva versión de DLP de Drive

Usar la nueva versión de Prevención de la pérdida de datos (DLP) de Drive y sus funciones avanzadas

Ediciones compatibles con esta función: Enterprise, Education, Enterprise para Centros Educativos y Essentials. Comparar ediciones

¿Por qué debo usar la nueva versión de DLP de Drive en vez de la que he estado usando hasta ahora?

En la nueva versión de Prevención de la pérdida de datos (DLP) de Drive se incluyen actualizaciones que permiten a los administradores utilizar funciones y opciones avanzadas que no se encuentran en la versión original antigua del producto que has estado usando hasta ahora. Cuando accedes a la versión antigua de DLP a través de la pestaña Reglas, aparece un mensaje en el que se indica que las reglas y los detectores de DLP se van a trasladar a una nueva ubicación. Para acceder a esa ubicación, ve a la página principal de la consola de administración y haz clic en Seguridady luegoProtección de datos. Consulta más abajo las secciones con la comparación de cómo se gestionan las reglas en la versión antigua de DLP y en la nueva, y con las nuevas funciones de DLP.

La versión actualizada de DLP solo está disponible en Drive, por lo que, de momento, se seguirá utilizando la versión antigua de DLP en los análisis de Gmail.

Migración de la versión antigua de DLP a la nueva versión de DLP de Drive

Puedes migrar manualmente las reglas de DLP de Reglas a Seguridady luegoProtección de datos. Además, después de un tiempo, DLP migra automáticamente todas las reglas de DLP de Reglas a Seguridady luegoProtección de datos. Para gestionar esta migración, habrá un periodo durante el cual no podrás modificar las reglas de la versión antigua de DLP. Dichas reglas seguirán funcionando, pero no podrán modificarse en ese momento.

Para obtener más información sobre la migración de reglas, consulta el artículo Migrar reglas de la versión antigua de DLP a la nueva DLP de Drive.

Usar el registro de auditoría para probar las reglas de la nueva versión de DLP

Para probar las nuevas funciones, puedes crear reglas de DLP que no incluyan una acción opcional, como bloquear o advertir a los usuarios. Si se activan estas reglas, los datos relacionados con el incidente se recogen en el registro de auditoría de reglas. Puedes crear este tipo de reglas para probarlas en la nueva versión de DLP y asegurarte de que cumplen la misma función que las reglas que utilizabas en la versión antigua. Para obtener más información, consulta el paso 1 del artículo Crear reglas y detectores de contenido personalizados en la nueva versión de DLP de Drive, donde se explica cómo planificar las reglas y cómo usar el registro de auditoría para comprobar los resultados de las reglas.

Flujo de reglas y acciones de DLP

Con la función Prevención de la pérdida de datos (DLP), puedes crear y aplicar reglas para controlar el contenido que los usuarios pueden compartir en archivos de Google Drive fuera de la organización. DLP te permite controlar lo que los usuarios pueden compartir, e impide la divulgación involuntaria de información sensible, como números de tarjetas de crédito o de identificación personal.

Las reglas de DLP activan un análisis de los archivos en busca de contenido sensible e impiden que los usuarios compartan ese contenido. Asimismo, determinan la naturaleza de los incidentes de DLP y estos activan acciones, como el bloqueo del contenido especificado. 

Puedes permitir el uso compartido controlado dentro de un dominio, una unidad organizativa o un grupo.

Resumen del flujo de DLP:

  • Se definen las reglas de DLP, en las que se especifica qué contenido es sensible y debe protegerse. Las reglas de DLP se aplican tanto a Mi unidad como a Unidades compartidas.
  • DLP analiza el contenido de Drive en busca de infracciones de reglas de DLP que activen incidentes.
  • DLP aplica las reglas definidas y las infracciones activan acciones; por ejemplo, alertas.
  • Recibes una alerta de infracción de las reglas de DLP.

Casos prácticos de ejemplo de DLP

Puedes usar DLP para los siguientes fines:

  • Auditar el uso en Drive de contenido sensible que tus usuarios puedan haber compartido ya para recopilar información sobre los archivos con este tipo de contenido que han subido los usuarios.
  • Advertir directamente a los usuarios finales que no compartan contenido sensible fuera del dominio.
  • Impedir que se compartan datos sensibles (como números de identificación personal) con usuarios externos.
  • Alertar a los administradores u otros usuarios sobre infracciones de las políticas o incidentes de DLP.
  • Investigar los detalles de un incidente con información sobre la infracción de las políticas.

Comparar cómo se gestionan las reglas en la versión antigua de DLP y en la nueva

En esta tabla se compara la versión antigua de DLP con la nueva.

Versión antigua de DLP Nueva versión de DLP
Producto anterior Nuevo producto con más funciones
Las reglas de DLP se encuentran en la consola de administración, en Reglas. Las reglas de DLP se encuentran en la consola de administración, en Seguridady luegoProtección de datos.
Para configurar políticas de DLP, se necesita la función de superadministrador. Para configurar políticas de DLP, en concreto, reglas y detectores, existen privilegios de administrador específicos. La gestión de las políticas de DLP no requiere el permiso para gestionar toda la configuración de Drive.
El recuento de coincidencias solo funciona con los detectores predefinidos. El recuento de coincidencias funciona con todas las condiciones que utilizan:
  • Expresiones regulares
  • Listas de palabras
  • Detectores predefinidos
Dos umbrales de detección:
  • Alto
  • Medio
Umbrales de detección más granulares:
  • Muy poca confianza
  • Poca confianza
  • Posible
  • Probable
  • Muy probable
Los informes se limitan a los registros de auditoría y los informes relacionados con Drive. Los informes incluyen paneles de gestión de incidentes de DLP, disponibles en Seguridady luegoPaneles.

Los informes ahora incluyen los usuarios con los que se comparten los documentos.

Nuevas funciones de DLP

En la siguiente tabla se describen las funciones de la nueva versión de DLP:

Funciones de DLP Detalles
Creación de reglas de DLP especificando el ámbito, condiciones y acciones

Ámbito 

  • Creación de políticas basadas en unidades organizativas o grupos
  • Inclusión y exclusión de unidades organizativas y grupos: define políticas basadas en unidades organizativas en su entorno (consulta también el artículo Preguntas frecuentes sobre la nueva DLP de Drive)
Condiciones

Acciones

  • Definir reglas de notificación y alerta
  • Bloquear enlaces compartidos de forma externa
  • Advertir a los usuarios finales
  • Auditar infracciones de contenido de archivos de Drive
Gestión de incidentes
  • Envía un resumen de alertas a los administradores de DLP para que puedan detectar rápidamente los incidentes de DLP y validar los falsos positivos. Para obtener más detalles, consulta el artículo Ver información de las alertas.
  • Cuando se activa una regla de DLP, recibes una alerta de DLP en el Centro de alertas. En la página principal de la consola de administración, ve a Menuy luegoSeguridady luegoCentro de alertas. Para obtener más detalles, consulta el artículo Ver información de las alertas.
  • Incluye un panel de informes e investigación para ver las infracciones de las políticas (incidentes de DLP y relacionados con las principales políticas). Para obtener más información, consulta el artículo Acerca del panel de seguridad.
Investigación de reglas
  • Utiliza la herramienta de investigación de seguridad para investigar las reglas. Para obtener más información, consulta el artículo Acerca de la herramienta de investigación de seguridad
  • Para poder acceder a la herramienta de investigación, debes tener el privilegio Ver Metadatos y atributos, ubicado en Centro de seguridady luegoHerramienta de investigacióny luegoReglay luego.
  • Utiliza la herramienta de investigación para identificar y clasificar problemas de seguridad y privacidad en tu dominio, y para tomar medidas al respecto.
Privilegios de administrador
  • Ver reglas de DLP: permite a los administradores delegados ver las reglas de DLP.
  • Gestionar reglas de DLP: permite a los administradores delegados crear, editar e investigar reglas de DLP. 

Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas.

Para poder acceder a la herramienta de investigación, debes tener habilitado el privilegio "Ver metadatos y atributos", ubicado en Centro de seguridady luegoHerramienta de investigacióny luegoRegla.

Aplicaciones y tipos de archivo que se analizan con la nueva versión de DLP

Aplicaciones que se analizan

Estas son algunas de las aplicaciones que se analizan:

  • Hojas de cálculo
  • Documentos
  • Presentaciones

DLP no admite comentarios en Documentos, Hojas de cálculo, Presentaciones ni Dibujos, ni tampoco en las notificaciones por correo electrónico, y no se analizan.

De momento, la función DLP no está disponible en Formularios ni en Sites. Si implementas DLP, se inhabilitará la subida de archivos de Formularios.

Tipos de archivo que se analizan

Estos son algunos de los tipos de archivos cuyo contenido se analiza:

  • Tipos de archivos de documentos: .doc, .docx, .html, .odp, .ods, .odt, .pdf, .ppt. .rtf, .wdp, .xls, .xlsx y .xml
  • Tipos de archivos de imágenes: .eps, .fif, .img_for_ocr y .ps
  • Tipos de archivos comprimidos: .7z, .bzip, .gzip, .rar, .tar y .zip
  • Tipos de archivos personalizados: .hwp, .kml, .kmz, .sdc, .sdd, .sdw, .sxc, .sxi, .sxw, .ttf, .wml y .xps

Los archivos de vídeo y de audio no se analizan.

Requisitos de administrador

Para poder crear y definir reglas y detectores de contenido de DLP, debes tener la función de superadministrador o de administrador delegado con estos privilegios:

  • Privilegios de administrador de unidades organizativas. 
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees una función personalizada que incluya ambos privilegios. 
  • Privilegio "Ver metadatos y atributos" (solo para utilizar la herramienta de investigación): Centro de seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y la creación de funciones de administrador personalizadas.

Siguiente paso: crear reglas y detectores de contenido

Crear reglas y detectores de contenido personalizados en la nueva versión de DLP de Drive

Información relacionada

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.