Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard y Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus y Enterprise Essentials Plus. Comparar ediciones
La función DLP de Drive y de Chat está disponible para los usuarios de Cloud Identity Premium con una licencia de Google Workspace. En el caso de DLP de Drive, la licencia debe incluir los eventos de registro de Drive.
La función Prevención de la pérdida de datos (DLP) de Drive te permite crear reglas complejas que combinen activadores y condiciones. También puedes especificar una acción que envíe una notificación a los usuarios cuando se haya bloqueado su contenido.
Crear reglas y detectores de contenido personalizados con DLP de Drive
Paso 1: Planifica tus reglas
Decidir las condiciones de las reglasLas condiciones de las reglas de DLP determinan qué tipo de contenido sensible detectará la regla. Consulta más abajo la sección Ejemplos de reglas de DLP para ver algunos ejemplos básicos. Es posible que una regla solo necesite una condición, pero también puede combinar varias utilizando los operadores AND, OR o NOT. Para ver ejemplos de ello, consulta el artículo Ejemplos de los operadores que se pueden incluir en las condiciones anidadas de las reglas de DLP de Drive.
- Para identificar información personal estándar, como el número de un carné de conducir o un número de identificación fiscal, se pueden utilizar detectores de contenido predefinidos en las reglas. Puedes consultar todos los detectores disponibles en el artículo Utilizar detectores de contenido predefinidos.
- En las condiciones de una regla también se pueden utilizar detectores de contenido personalizados que incluyan, por ejemplo, una lista con palabras o una expresión regular. Para obtener instrucciones, consulta la sección Paso 2: Crea un detector personalizado.
Para obtener sugerencias sobre cómo mejorar las pruebas de reglas, incluidas instrucciones para configurar un entorno de prueba, consulta el artículo Prácticas recomendadas para probar reglas de forma más rápida.
Puedes crear una regla de solo auditoría para probar las reglas que crees en DLP y comprobar su posible impacto en Google Drive. Aunque estas reglas se activan como todas las demás, no ejecutan ninguna acción, sino que se limitan a anotar los resultados en el registro de auditoría de reglas y en la herramienta de investigación.
Para obtener sugerencias sobre cómo mejorar las pruebas de reglas, incluidas instrucciones para configurar un entorno de prueba, consulta el artículo Prácticas recomendadas para probar reglas de forma más rápida.
A continuación te explicamos cómo crear y utilizar una regla de solo auditoría:
- Sigue las instrucciones para crear reglas de Paso 3: Crea reglas.
- Cuando llegues a la sección "Acción" de la creación de reglas, no selecciones una acción, ya que son opcionales. De este modo, la regla se activará sin una acción asociada y registrará todos los incidentes en el registro de auditoría de reglas. En este caso, se mostrará la indicación Solo auditoría en la sección "Acción" de la regla.
- Sigue adelante y termina de configurar la regla, asegurándote de que esté activa.
- Puedes probar la regla directamente para ver cómo funciona o esperar a que los usuarios de tu dominio compartan datos que puedan verse afectados por ella.
- Consulta el registro de auditoría de reglas. Para obtener información a este respecto, ve a Registro de auditoría de reglas o a Herramienta de investigación. El registro de auditoría recoge las reglas que no han activado ninguna acción cuando se utiliza una regla de solo auditoría.
-
Cuando hayas comprobado que la regla está configurada exactamente como quieres, cámbiala para que se aplique una acción concreta (tal como se describe en Paso 3: Crea reglas).
Las reglas recomendadas son reglas de DLP que se te sugieren según los resultados del informe "Estadísticas sobre la protección de datos". Por ejemplo, si en el informe se indica que se han compartido números de pasaporte en tu organización, DLP recomienda una regla para evitarlo.
Solo recibirás recomendaciones sobre reglas si tienes activado el informe "Estadísticas sobre la protección de datos". Consulta más información en el artículo Evitar que se filtren datos implementando reglas recomendadas de protección de datos.
-
Grupos dinámicos: gestiona la pertenencia a grupos de forma automática cuando los usuarios se unan a tu organización, cambien de departamento o la dejen. Los grupos dinámicos, que están disponibles en la consola de administración o con la API de Cloud Identity, te ayudan a reducir el tiempo que dedicas a gestionar la pertenencia a grupos de forma manual. Para utilizar un grupo dinámico en una regla de DLP, asegúrate de que también sea un grupo de seguridad (con la etiqueta Seguridad). Consulta más información sobre los grupos dinámicos.
-
Grupos de seguridad: puedes convertir un grupo estándar o dinámico en un grupo de seguridad, lo que te ayudará a regular, auditar y monitorizar el grupo en busca de permisos y control de acceso. Puedes crear grupos de seguridad en la consola de administración o con la API Groups de Cloud Identity añadiendo la etiqueta Seguridad. Más información sobre los grupos de seguridad
-
Grupos migrados: usa Google Cloud Directory Sync (GCDS) para sincronizar grupos que crees en Microsoft Active Directory o en otras herramientas con Google Workspace. Esos grupos sincronizados los usarás después en las reglas de DLP. Consulta más información sobre GCDS.
Paso 2: Crea un detector personalizado (opcional)
Crear un detector personalizado si fuera necesarioPara crear un detector personalizado en caso de que necesites utilizarlo en las condiciones de una regla, sigue las instrucciones generales que se detallan a continuación.
Crear un detector de DLP para utilizarlo con reglas
Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:
- Privilegios de administrador de la unidad organizativa.
- Privilegios de administrador de grupos.
- Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios.
- Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de SeguridadHerramienta de investigaciónReglaVer metadatos y atributos.
Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar detectores.
- Haz clic en Añadir detector. Añade el nombre y la descripción.
Puedes seleccionar una de estas opciones:
- Expresión regular: también denominada "regex", se trata de un método para relacionar texto con determinados patrones. Haz clic en Probar expresión para verificar la expresión regular que has introducido. Consulta Ejemplos de expresiones regulares.
- Lista de palabras: se trata de una lista personalizada de palabras separadas por comas. No se hace distinción entre mayúsculas y minúsculas, y los símbolos se ignoran. Solo se establecen coincidencias con palabras completas. Puedes añadir un mensaje emergente que aparezca cuando se detecte contenido. Las palabras de la lista de detectores deben contener como mínimo 2 caracteres que sean letras o dígitos.
- Haz clic en Crear. Después, utiliza el detector personalizado cuando añadas condiciones a una regla.
Paso 3: Crea reglas
Sigue las instrucciones generales que se indican a continuación para crear reglas.
Crear una regla de DLPAntes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:
- Privilegios de administrador de la unidad organizativa.
- Privilegios de administrador de grupos.
- Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios.
- Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de SeguridadHerramienta de investigaciónReglaVer metadatos y atributos.
Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglaRegla nueva o en Añadir reglaRegla nueva a partir de plantilla. Si eliges esta última opción, selecciona una plantilla desde la página Plantillas.
- Añade el nombre y la descripción de la regla.
- En la sección Permiso, elige Aplicar a todo <nombre.de.dominio> o indica que solo quieres que se aplique esta regla a los usuarios de las unidades organizativas o los grupos seleccionados. Si hay conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.
Nota: Si quieres aplicar la regla a un grupo dinámico, este también debe tener la etiqueta Seguridad. Para obtener más información, consulta ¿Qué tipos de grupos puedo seleccionar como permiso de una regla?.
- Haz clic en Continuar.
- En la sección Aplicaciones, elige Archivos de Drive.
- Haz clic en Continuar.
- En la sección Condiciones, haz clic en Añadir condición.
- En Tipo de contenido que se va a analizar, elige el que te interese.
- Todo el contenido: todo el documento, incluido el título, el cuerpo y cualquier modificación que se haya sugerido.
- Cuerpo: el cuerpo del documento.
- Etiqueta de Drive: cualquier etiqueta que se haya aplicado al documento. Para obtener más información, consulta el artículo Empezar a ser Tag Manager de Drive.
- Cambios sugeridos: contenido añadido al documento en el modo Sugerencias.
- Título: nombre del documento.
- En Qué se va a buscar en el análisis, selecciona un tipo de análisis y, a continuación, indica los atributos necesarios para que se lleve a cabo. Puedes verlos en la tabla de más abajo.
Las opciones de Qué se va a buscar en el análisis varían en función de lo que hayas seleccionado previamente en Tipo de contenido que se va a analizar. Por ejemplo, si eliges "Título" como el tipo de contenido que se va a analizar, las opciones que se incluirán en Qué se va a buscar en el análisis serán Termina en y Comienza por.
Qué se va a buscar en el análisis Atributos Coincide con el tipo de datos predefinido Tipo de datos: selecciona un tipo de datos predefinido. Consulta más información sobre los tipos de datos predefinidos. Umbral de probabilidad: selecciona un umbral de probabilidad. Los umbrales disponibles son estos:
- Muy baja
- Baja
- Media
- Alta
- Muy alta
Estos umbrales reflejan el grado de confianza del sistema de DLP en la precisión del resultado de la coincidencia. Por lo general, al seleccionar la opción Muy alta, se dan coincidencias con menos contenido, por lo que es más precisa. Al seleccionar la opción Muy baja, se dan coincidencias con más archivos, por lo que es menos precisa.
Número mínimo de coincidencias únicas: el número mínimo de veces que debe aparecer de forma exclusiva un resultado coincidente en un documento para que se active la acción.
Cantidad mínima de coincidencias: el número mínimo de veces que deben aparecer resultados coincidentes en un documento para que se active la acción.
¿Cómo funcionan la cantidad mínima de coincidencias y el número mínimo de coincidencias únicas? Por ejemplo, piensa en dos listas de números de la Seguridad Social: la primera lista tiene 50 copias exactas del mismo número y la segunda 50 números distintos.
En este caso, si la cantidad mínima de coincidencias es igual a 10, se activarán resultados en ambas listas, ya que hay al menos 10 coincidencias en las dos.
En cambio, si el número mínimo de coincidencias únicas es 10 y la cantidad mínima de coincidencias es igual a 1, solo se activarán resultados en la segunda lista, ya que todos son valores únicos coincidentes.
Contiene la cadena de texto Introduce el contenido que debe coincidir: especifica una cadena secundaria, un número u otros caracteres que buscar. Indica si al buscar este contenido debe distinguirse entre mayúsculas y minúsculas. En el caso de la cadena secundaria, habría una coincidencia si la regla contiene la palabra clave y el documento también contiene la palabra clave. Contiene la palabra Introduce el contenido que debe coincidir: especifica una palabra, un número u otros caracteres que buscar. Coincide con la expresión regular Nombre de expresión regular: un detector personalizado de expresiones regulares. Número mínimo de veces que se ha detectado el patrón: el número mínimo de veces que debe aparecer el patrón de la expresión regular en un documento para que se active la acción.
Coincide con palabras de una lista de palabras Nombre de lista de palabras: selecciona una lista de palabras personalizada. Modo de coincidencia: selecciona Coincidencia con cualquier palabra o Coincidencia con un número mínimo de palabras únicas.
Número mínimo de palabras únicas detectadas: el número mínimo de palabras únicas que se deben detectar para activar la acción.
Número mínimo de veces en las que se detecta cualquier palabra: el mínimo de veces que se debe detectar una palabra para que se active la acción (solo con la opción Coincidencia con un número mínimo de palabras únicas).
Termina en Introduce el contenido que debe coincidir: una palabra, un número u otros caracteres que buscar. Indica si al buscar este contenido debe distinguirse entre mayúsculas y minúsculas. Comienza por Introduce el contenido que debe coincidir: una palabra, un número u otros caracteres que buscar. Indica si al buscar este contenido debe distinguirse entre mayúsculas y minúsculas. Es (solo el tipo de contenido Etiqueta de Drive) Etiqueta de Drive: elige una etiqueta de Drive de las que se muestran en la lista desplegable.
Campo de etiqueta: elige uno de los campos de etiqueta disponibles para la etiqueta de Drive que hayas seleccionado.
Opción de campo: elige una de las opciones de campo disponibles para el campo seleccionado.Con las condiciones, se pueden utilizar los operadores AND, OR o NOT. Consulta el artículo Ejemplos de los operadores que se pueden incluir en las condiciones anidadas de las reglas de DLP de Drive para obtener información detallada sobre cómo utilizar los operadores AND, OR o NOT con condiciones.
Nota: Si creas una regla de DLP sin condición, se aplicará la acción especificada a todos los archivos de Drive.
- Haz clic en Continuar.
- En la sección Acciones, puedes seleccionar qué acción se aplicará si se detectan datos sensibles en el análisis:
¿Quieres probar una regla antes de añadirle una acción?
Puedes crear una regla de solo auditoría y probarla sin realizar ninguna acción, ya que la selección de estas es opcional. Para obtener más información, ve a la sección Probar los resultados de reglas mediante reglas de solo auditoría (opcional, pero recomendado).- Impedir que se comparta de forma externa: evita que se comparta el documento.
- Advertir al compartir con usuarios externos: si un usuario intenta compartir el archivo con usuarios externos, se le advertirá de que incluye contenido sensible. Podrá cancelar la acción o compartir el archivo de todas formas.
Nota: Si habilitas las alertas para esta acción, se activarán cuando se detecte contenido sensible, independientemente de si el archivo se llega a compartir o no. La detección suele producirse cuando se crea o se actualiza un archivo, o cuando cambian las reglas que se aplican a un archivo (por ejemplo, si se crean o actualizan). También puede ocurrir cuando una actualización del sistema mejora la capacidad de detección. Los eventos de detección se recogen en el registro de reglas.
- Inhabilitar las funciones de descarga, impresión y copia para los comentadores y lectores: impide que se descarguen, impriman y copien archivos a menos que el usuario tenga el privilegio de editor o uno superior. Se trata de una función de gestión de los derechos de la información (IRM) de DLP, que utiliza como políticas las opciones para compartir de Drive. Por lo tanto, los usuarios no pueden descargar, imprimir ni copiar documentos, hojas de cálculo ni presentaciones de Drive en ninguna plataforma. Para obtener más información, consulta las preguntas frecuentes sobre IRM.
- Aplicar etiquetas de Drive: se aplica una etiqueta de Drive a archivos que coincidan. Sigue los pasos que se indican a continuación para configurar esta acción:
- Elige una etiqueta de la lista desplegable Etiqueta de Drive y, a continuación, elige la opción Campo y Opción de campo para la etiqueta. Solo se admiten las etiquetas con insignia y las etiquetas estándar con un campo del tipo Lista de opciones. Para obtener más información, consulta el artículo Empezar a ser Tag Manager de Drive.
- (Opcional) Haz clic en Añadir etiqueta para incluir más etiquetas.
- Elige si quieres permitir que los usuarios cambien los valores de las etiquetas y los campos aplicados a sus archivos.
- En la sección Alertas, elige un nivel de gravedad (Baja, Intermedia o Alta). El nivel de gravedad determina cómo se representan los incidentes en los gráficos del panel de incidentes de DLP (el número de incidentes de gravedad alta, intermedia o baja) a lo largo del tiempo.
- También puedes seleccionar Enviar al Centro de alertas para que se activen las notificaciones. Las alertas solo se admiten en Google Drive. Para obtener más información, consulta el artículo Ver información de las alertas.
Marca la casilla para enviar alertas a todos los superadministradores o añade las direcciones de correo electrónico de otros destinatarios adicionales. Solo se pueden añadir destinatarios que pertenezcan al usuario, ya que los externos se ignoran. Los destinatarios pueden ser usuarios o grupos. Recuerda que debes configurar el acceso de los grupos seleccionados de modo que puedan recibir el correo electrónico que se les envíe. Ve al artículo Configurar notificaciones por correo electrónico del Centro de alertas para obtener información sobre cómo configurar el acceso de los grupos para recibir notificaciones por correo electrónico.
Las alertas aparecen en el Centro de alertas. Ten en cuenta que hay un lapso de tiempo entre el momento en que se produce una alerta y el momento en que se registra. Es decir, que hay cierto desfase entre el momento en que aparece una alerta en el Centro de alertas y cuando se actualizan el registro de auditoría de reglas y los paneles de seguridad de DLP. Es posible que recibas una alerta y veas su resumen. Sin embargo, el recuento de incidentes en los paneles o registros de auditoría de la herramienta de investigación necesita tiempo para actualizarse. Puede haber hasta 50 alertas por regla al día. Las alertas se producen hasta que se alcanza este umbral.
- Haz clic en Continuar y revisa los detalles de la regla.
- En Estado de la regla, elige un estado inicial:
- Activa: la regla se ejecuta inmediatamente.
- Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad Protección de datos Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
- Haz clic en Crear.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Paso 4: Informa a los usuarios sobre la nueva regla
Informar a los usuarios sobre las nuevas reglasInforma a los usuarios sobre el comportamiento y las consecuencias de la nueva regla. Por ejemplo, si decides impedir que se compartan datos sensibles con usuarios externos, indica a los usuarios que es posible que a veces no puedan compartir documentos y explícales por qué.
Ejemplos de reglas de DLP
Ejemplos de uso de un clasificador predefinido, un detector personalizado y una plantilla de reglas.
Ejemplo 1: Proteger números de la Seguridad Social mediante un clasificador predefinidoEn este ejemplo se muestra cómo evitar, con un clasificador predefinido, que los usuarios de organizaciones y grupos específicos compartan datos sensibles. Los clasificadores predefinidos pueden ser útiles para especificar datos que introduces con frecuencia. En este ejemplo, los datos son números de la seguridad social.
Antes de empezar, asegúrate de que has iniciado sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con los privilegios que se indican en la sección Crear una regla de DLP de este artículo.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglaRegla nueva.
- Añade el nombre y la descripción de la regla.
- En la sección Ámbito, selecciona Aplicar a todo <nombre.de.dominio> o elige buscar e incluir o excluir unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.
- Haz clic en Continuar.
- En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
- Campo: todo el contenido.
- Valor: detector de coincidencia predeterminado.
- Detector predeterminado: número de la Seguridad Social (EE. UU.).
- Umbral de probabilidad: muy probable. Esta es una medida adicional que determina si los mensajes activan la acción.
- Número mínimo de coincidencias únicas: 1. El número mínimo de veces que debe producirse una coincidencia única en un documento para activar la acción.
- Cantidad mínima de coincidencias: 1. El número de veces que el contenido debe aparecer en un mensaje para activar la acción. Por ejemplo, si seleccionas 2, el contenido debe aparecer al menos dos veces en un mensaje para activar la acción.
- Haz clic en Continuar. En Google Drive, selecciona Impedir que se comparta de forma externa.
- En Gravedad y alertas, elige la gravedad Alta. Activa una alerta e introduce los destinatarios.
Hay un lapso de tiempo entre el momento en que se produce una alerta y el momento en que se registra. Los administradores pueden recibir hasta 50 alertas por regla al día hasta que se alcance ese límite.
- Haz clic en Continuar para revisar los detalles de la regla.
- Haz clic en Crear y elige una opción:
- Activa: la regla se ejecuta inmediatamente.
- Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad Protección de datos Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
- Haz clic en Finalizar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
En este ejemplo se muestra cómo configurar un detector personalizado. Puedes enumerar las palabras que se detectarán con el detector personalizado. Al configurar activadores de reglas, puedes impedir que los usuarios compartan con destinatarios externos documentos que incluyan datos sensibles (como nombres de proyectos internos).
Antes de empezar, asegúrate de que has iniciado sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con los privilegios que se indican en la sección Crear una regla de DLP de este artículo.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar detectores. A continuación, haz clic en Añadir detectorLista de palabras.
- Introduce el nombre y la descripción del detector.
- Introduce las palabras que quieras detectar separadas por comas. En las listas de palabras personalizadas se aplican estas normas:
- No se distingue entre mayúsculas y minúsculas. Por ejemplo, MAL coincide con mal, Mal y MAL.
- Solo se establecen coincidencias con palabras completas. Por ejemplo, si añades la palabra Mal a la lista, Malformación no sería una coincidencia.
- Haz clic en Crear.
- Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglaRegla nueva.
- En la sección Nombre de la regla, introduce el nombre y, si quieres, una descripción de la regla.
- En la sección Ámbito, busca y selecciona los grupos o las unidades organizativas a los que aplicar la regla.
- Haz clic en Continuar.
- En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
- Campo: todo el contenido
- Valor: detector de coincidencia predeterminado
- Lista de palabras: desplázate hasta encontrar el detector que has creado anteriormente.
- Modo de coincidencia: selecciona una de estas opciones:
- Coincidencia con cualquier palabra: busca coincidencias de cualquier palabra de la lista
- Coincidencia con un número mínimo de palabras únicas: especifica el mínimo de palabras distintas que se detectan y el mínimo de veces en las que se detecta cualquier palabra (de la lista predefinida de palabras)
- Número mínimo de veces en las que se detecta cualquier palabra: 1
- Haz clic en Continuar. En Google Drive, selecciona la acción Impedir que se comparta de forma externa.
- En Gravedad y alertas, elige la gravedad Alta. Activa una alerta e introduce los destinatarios. Ten en cuenta que hay un lapso de tiempo entre el momento en que se produce una alerta y el momento en que se registra. Los administradores pueden recibir hasta 50 alertas por regla al día hasta que se alcance ese límite.
- Haz clic en Continuar para revisar los detalles de la regla.
- Haz clic en Crear y elige una opción:
- Activa: la regla se ejecuta inmediatamente.
- Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad Protección de datos Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
- Haz clic en Finalizar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Una plantilla de reglas contempla diversas condiciones en las que se dan casos habituales de protección de datos. Con una plantilla de reglas, puedes configurar políticas que se puedan implementar en situaciones habituales de protección de datos.
En este ejemplo, se utiliza una plantilla de reglas para impedir que se envíe o comparta un correo electrónico o documento de Drive si contiene información personal identificable (IPI) de EE. UU.
Antes de empezar, asegúrate de que has iniciado sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con los privilegios que se indican en la sección Crear una regla de DLP de este artículo.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar reglas.
- Haz clic en Añadir reglaRegla nueva a partir de plantilla.
- En la página Plantillas, haz clic en Impedir que se comparta información personal identificable (EE. UU.).
- Acepta el nombre y la descripción predeterminados de la regla o introduce nuevos valores.
- En la sección Permiso, busca y selecciona las unidades organizativas o los grupos a los que aplicar la regla.
- Haz clic en Continuar. En la plantilla de reglas, las condiciones están preseleccionadas; puedes revisarlas para comprobar qué condiciones concretas se aplican en la regla. La gravedad es Baja y las alertas están inhabilitadas.
- En Google Drive, está seleccionada la opción Impedir que se comparta de forma externa. Con esta opción, los usuarios no pueden compartir archivos que cumplan las condiciones con usuarios ajenos a tu organización.
- Haz clic en Continuar para revisar los detalles de la regla.
- Haz clic en Crear y elige una opción:
- Activa: la regla se ejecuta inmediatamente.
- Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad Protección de datos Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
- Haz clic en Finalizar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
En este ejemplo, se combina una regla de DLP con una condición de acceso contextual. Al combinar una regla de DLP con una condición contextual, la regla solo se aplica cuando se cumple la condición.
En este ejemplo, la regla de DLP impide que los usuarios de documentos de Google con permiso para ver o comentar descarguen, impriman o copien contenido sensible. La condición contextual es que los usuarios accedan al contenido desde dispositivos iOS o Android.
Importante: Para aplicar condiciones contextuales basadas en el dispositivo o en el sistema operativo del dispositivo a móviles, se debe habilitar la gestión básica o avanzada de dispositivos.
Antes de empezar, asegúrate de que has iniciado sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado con los privilegios que se indican en la sección Crear una regla de DLP de este artículo.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglaRegla nueva.
- Da un nombre a la regla y añade una descripción.
- En la sección Permiso, busca y selecciona las unidades organizativas o los grupos a los que aplicar la regla.
- Haz clic en Continuar.
- En Aplicaciones, ve a Google Drive y marca la opción Archivos de Drive.
- Haz clic en Continuar.
- En la sección Condiciones, haz clic en Añadir condición.
- En Tipo de contenido que se va a analizar, selecciona Todo el contenido.
- En Qué se va a buscar en el análisis, elige un tipo de análisis de DLP y selecciona los atributos que corresponda. Para obtener más información sobre los atributos disponibles, consulta la sección Crear una regla de DLP.
- En la sección Condiciones contextuales, haz clic en Selecciona un nivel de acceso para ver de cuáles dispones.
- Haz clic en Crear nivel de acceso.
- Introduce un nombre y una descripción para el nuevo nivel de acceso.
- En Condiciones contextuales, haz clic en Añadir condición.
- Selecciona Cumple todos los atributos.
- Haz clic en Seleccionar atributoSO del dispositivo. Luego, haz clic en Seleccionar SO y elige iOS en la lista desplegable.
- En Versión mínima, deja la opción predeterminada Cualquier versión o selecciona una versión específica.
- Haz clic en Añadir condición y repite los pasos 17 y 18 seleccionando Android como SO del dispositivo.
- En la opción Unir varias condiciones con (situada encima de Condiciones), selecciona OR. Esto significa que la regla de DLP se aplicará si los usuarios acceden a contenido sensible desde dispositivos iOS o Android.
- Haz clic en Crear. Volverás a la página Crear regla. El nuevo nivel de acceso se añadirá a la lista y los atributos se mostrarán a la derecha.
- Haz clic en Continuar.
- En la página Acciones, en la acción de Google Drive, selecciona Inhabilitar las funciones de descarga, impresión y copia para los comentadores y lectores.
Nota: La acción solo se aplica cuando se cumplen las condiciones de contenido y las condiciones contextuales.
- (Opcional) Elige el nivel de gravedad de la alerta (Baja, Intermedia o Alta) y si quieres que se envíen alertas y notificaciones por correo electrónico.
- Haz clic en Continuar para revisar los detalles de la regla.
- Elige un estado para la regla:
- Activa: la regla se ejecuta inmediatamente.
- Inactiva: la regla existe, pero no está activa. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Para activar la regla más tarde, ve a Seguridad > Control de acceso y de datos > Protección de datos > Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
- Haz clic en Crear.
Los cambios pueden tardar hasta 24 horas en surtir efecto, pero no es lo habitual. Más información
Para ver más ejemplos, consulta el artículo Combinar reglas de DLP con condiciones de acceso contextual.
Gestionar reglas y detectores de contenido personalizados de DLP
Después de crear reglas o detectores personalizados de DLP, puedes verlos, editarlos, activarlos o desactivarlos, y gestionarlos en general.
Ver reglas y detectores personalizadosAntes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:
- Privilegios de administrador de la unidad organizativa.
- Privilegios de administrador de grupos.
- Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios.
- Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de SeguridadHerramienta de investigaciónReglaVer metadatos y atributos.
Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadControl de acceso y de datosProtección de datos.
- Haz clic en Gestionar reglas o en Gestionar detectores. La página de reglas se encuentra en Seguridad > Protección de datos > Reglas. La página de detectores se encuentra en Seguridad > Protección de datos > Detectores.
Ordenar reglas
Puedes ordenar las reglas modificando la vista de las columnas Nombre o Última modificación por orden ascendente o descendente.
- En la página de reglas, haz clic en la columna Nombre o Última modificación.
- Haz clic en la flecha hacia arriba o hacia abajo para cambiar el orden.
Activar o desactivar reglas
Si activas una regla, DLP ejecutará un análisis en los documentos que la utilicen.
- En la página de reglas, en la columna Estado de una regla, selecciona Activa o Inactiva.
- Confirma que quieres activar o desactivar la regla.
Eliminar una regla
La eliminación de reglas es permanente.
- En la página de reglas, coloca el cursor sobre una fila para que se muestre el icono de la papelera al final de la fila.
- Haz clic en el icono de la papelera .
- Confirma que quieres eliminar la regla.
Exportar reglas
Puedes exportar reglas a un archivo .txt.
- En la página de reglas, haz clic en Exportar reglas.
- La lista de reglas se descarga en un archivo de texto. Haz clic en el archivo .txt situado en la esquina inferior izquierda para ver las reglas descargadas.
Editar detalles de la regla
Al editar reglas, se activa un nuevo análisis de los documentos afectados por esas reglas.
- En la lista de reglas, haz clic en la regla que quieras editar.
- Haz clic en Editar regla.
- Haz los cambios necesarios; el proceso es el mismo que el de crear reglas.
- Cuando termines, haz clic en Actualizar y selecciona una de estas opciones:
- Activa: la regla se ejecuta inmediatamente.
- Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad Protección de datos Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
- Haz clic en Finalizar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
Investigar reglas con la herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard; Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; Enterprise Essentials Plus. Comparar ediciones
Con la herramienta de investigación de seguridad, DLP puede mostrar la frecuencia con la que se activa una regla. La herramienta muestra los resultados que se obtienen al buscar una regla y las acciones que se han activado en cada incidente.
Para poder usar la herramienta de investigación, debes tener los privilegios Ver metadatos y Atributos, que encontrarás en Centro de seguridadHerramienta de investigaciónReglaVer metadatos y Atributos.
Para investigar una regla, sigue estos pasos:
- En la lista de reglas, haz clic en la regla que quieres investigar.
- Haz clic en Investigar regla.
- Aparecerán los resultados de búsqueda de la regla. Ten en cuenta que hay un desfase de tiempo entre el momento en que se activa una regla y el momento en que se actualiza el registro de auditoría. Consulta más información en la sección Herramienta de investigación.
Nota: Puedes activar o desactivar reglas desde la herramienta de investigación. En la tabla de resultados, coloca el cursor sobre el encabezado de columna ID de regla. Haz clic y selecciona AccionesActivar regla o AccionesDesactivar regla.
Consejo: Si quieres ver los resultados de todas las reglas de DLP, haz clic en la X para eliminar los criterios de búsqueda de reglas específicos y haz clic en Buscar.
Filtrar detectores personalizados
Puedes filtrar la lista de detectores personalizados por nombre y tipo de detector.
- En la página de detectores personalizados, haz clic en Añadir un filtro.
- Filtra por nombre o tipo de detector:
- Nombre del detector: introduce una cadena que buscar
- Tipo de detector: selecciona un tipo de detector
- Haz clic en Aplicar. El filtro se mantiene hasta que lo descartas.
Exportar detectores
Puedes exportar los detectores a un archivo .txt.
- En la página de detectores, haz clic en Exportar detectores.
- La lista de detectores se descarga en un archivo de texto. Haz clic en el archivo .txt en la esquina inferior izquierda para ver los detectores descargados.
Editar un detector personalizado de lista de palabras
Al editar detectores personalizados que se utilizan en reglas, se activa un nuevo análisis de los documentos afectados por las reglas que contienen esos detectores modificados.
Para editar el nombre y la descripción de un detector personalizado, haz lo siguiente:
- Haz clic en un detector personalizado de lista de palabras.
- Haz clic en Editar datos.
- Edita el título y la descripción.
- Haz clic en Guardar.
Para añadir palabras a la lista, haz lo siguiente:
- Haz clic en un detector personalizado de lista de palabras.
- Haz clic en Añadir palabras.
- Añade palabras a la lista.
- Haz clic en Guardar.
Para editar palabras de la lista, sigue estos pasos:
- Haz clic en un detector de palabras personalizadas de la lista.
- Haz clic en Editar palabras.
- Edita las palabras de la lista.
- Haz clic en Guardar.
Editar un detector personalizado de expresiones regulares
Al editar detectores personalizados que se utilizan en reglas, se activa un nuevo análisis de los documentos afectados por las reglas que contienen esos detectores modificados.
Para editar el nombre, la descripción o la expresión regular de un detector personalizado de expresiones regulares, haz lo siguiente:
- En la página de detectores personalizados, haz clic en un detector personalizado de expresiones regulares.
- En la ventana emergente, modifica el título, la descripción o la expresión regular.
- Si has editado la expresión regular, haz clic en Probar expresión. Introduce los datos de prueba que haya que verificar.
- Haz clic en Guardar.
Eliminar un detector personalizado
La eliminación de detectores es permanente.
- En la página de detectores personalizados, coloca el cursor sobre una fila para que se muestre el icono de la papelera al final de la fila.
- Selecciona la papelera .
- Confirma que quieres eliminar el detector.
Temas relacionados
- Usar DLP de Workspace para evitar la pérdida de datos
- Ejemplos de los operadores que se pueden incluir en las condiciones anidadas de las reglas de DLP de Drive
- Ver incidentes, alertas y eventos de auditoría en el panel de control de DLP de Drive
- Ver los límites de tamaño del contenido y las reglas de DLP
- Preguntas frecuentes sobre DLP de Drive
- Registro de auditoría de reglas
- Utilizar detectores de contenido predefinidos