Notificación

Duet AI ahora es Gemini para Google Workspace. Más información

Detener la pérdida de datos con DLP

Crear reglas y detectores de contenido personalizados con DLP de Drive

Reglas y detectores de contenido de DLP de Drive

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard y Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus y Enterprise Essentials Plus.  Comparar ediciones

La función DLP de Drive y de Chat está disponible para los usuarios de Cloud Identity Premium con una licencia de Google Workspace. En el caso de DLP de Drive, la licencia debe incluir los eventos de registro de Drive.

La función Prevención de la pérdida de datos (DLP) de Drive te permite crear reglas complejas que combinen activadores y condiciones. También puedes especificar una acción que envíe una notificación a los usuarios cuando se haya bloqueado su contenido. 

Crear reglas y detectores de contenido personalizados con DLP de Drive

Paso 1: Planifica tus reglas

Decidir las condiciones de las reglas

Las condiciones de las reglas de DLP determinan qué tipo de contenido sensible detectará la regla. Consulta la siguiente sección Ejemplos de reglas de DLP para ver ejemplos básicos. Es posible que una regla solo necesite una condición o que pueda combinar varias condiciones usando los operadores AND, OR o NOT. Para ver más ejemplos de condiciones anidadas, consulta el artículo Ejemplos de los operadores que se pueden incluir en las condiciones anidadas de las reglas de DLP de Drive.

  • Para detectar información personal estándar, como el número de un carné de conducir o un número de identificación fiscal, tu regla puede utilizar detectores de contenido predefinidos. Puedes consultar la lista completa en el artículo Utilizar detectores de contenido predefinidos.
  • En las condiciones de una regla también puedes utilizar detectores de contenido personalizados que incluyan, por ejemplo, una lista con palabras o una expresión regular. Para obtener instrucciones, consulta Paso 2: Crea un detector personalizado.

Para obtener sugerencias sobre cómo mejorar las pruebas de reglas, incluidas instrucciones para configurar un entorno de prueba, consulta el artículo Prácticas recomendadas para probar reglas de forma más rápida.

Probar los resultados de reglas mediante reglas de solo auditoría (opcional, pero recomendado)

Puedes crear una regla de solo auditoría para probar las reglas que crees en DLP y comprobar su posible impacto en Google Drive. Aunque estas reglas se activan como todas las demás, no ejecutan ninguna acción, sino que se limitan a anotar los resultados en el registro de auditoría de reglas y en la herramienta de investigación.

Para obtener sugerencias sobre cómo mejorar las pruebas de reglas, incluidas instrucciones para configurar un entorno de prueba, consulta el artículo Prácticas recomendadas para probar reglas de forma más rápida.

A continuación te explicamos cómo crear y utilizar una regla de solo auditoría:

  1. Sigue las instrucciones para crear reglas de Paso 3: Crea reglas.
  2. Cuando llegues a la sección "Acción" de la creación de reglas, no selecciones una acción, ya que son opcionales. De este modo, la regla se activará sin una acción asociada y registrará todos los incidentes en el registro de auditoría de reglas. En este caso, se mostrará la indicación Solo auditoría en la sección "Acción" de la regla.
  3. Sigue adelante y termina de configurar la regla, asegurándote de que esté activa.
  4. Puedes probar la regla directamente para ver cómo funciona o esperar a que los usuarios de tu dominio compartan datos que puedan verse afectados por ella.
  5. Consulta el registro de auditoría de reglas. Para obtener información a este respecto, ve a Registro de auditoría de reglas o a Herramienta de investigación. El registro de auditoría recoge las reglas que no han activado ninguna acción cuando se utiliza una regla de solo auditoría.
  6. Cuando hayas comprobado que la regla está configurada exactamente como quieres, cámbiala para que se aplique una acción concreta (tal como se describe en Paso 3: Crea reglas).

¿Qué son las reglas recomendadas?

Las reglas recomendadas son reglas de DLP que se te sugieren según los resultados del informe "Estadísticas sobre la protección de datos". Por ejemplo, si en el informe se indica que se han compartido números de pasaporte en tu organización, DLP recomienda una regla para evitarlo.

Solo recibirás recomendaciones sobre reglas si tienes activado el informe "Estadísticas sobre la protección de datos". Consulta más información en el artículo sobre cómo evitar que se filtren datos implementando reglas recomendadas de protección de datos.

¿Qué tipos de grupos puedo seleccionar como permiso de una regla?
Puedes elegir un grupo, creado por administradores o usuarios, de la lista Grupos de la consola de administración. Las direcciones de los grupos deben terminar con el dominio de tu organización. No puedes elegir grupos externos como permiso de una regla.
A continuación se indican algunos tipos de grupos que pueden usarse en las reglas de DLP:
  • Grupos dinámicos: gestiona la pertenencia a grupos de forma automática cuando los usuarios se unan a tu organización, cambien de departamento o la dejen. Los grupos dinámicos, que están disponibles en la consola de administración o con la API de Cloud Identity, te ayudan a reducir el tiempo que dedicas a gestionar la pertenencia a grupos de forma manual. Para utilizar un grupo dinámico en una regla de DLP, asegúrate de que también sea un grupo de seguridad (con la etiqueta Seguridad). Más información sobre los grupos dinámicos

  • Grupos de seguridad: puedes convertir un grupo estándar o dinámico en un grupo de seguridad, lo que te ayudará a regular, auditar y monitorizar el grupo en busca de permisos y control de acceso. Puedes crear grupos de seguridad en la consola de administración o con la API Groups de Cloud Identity añadiendo la etiqueta Seguridad. Más información sobre los grupos de seguridad

  • Grupos migrados: usa Google Cloud Directory Sync (GCDS) para sincronizar grupos que crees en Microsoft Active Directory o en otras herramientas con Google Workspace. A continuación, debes usar esos grupos sincronizados en las reglas de DLP. Más información sobre GCDS

Paso 2: Crea un detector personalizado (opcional)

Crear un detector personalizado si fuera necesario

Para crear un detector personalizado en caso de que necesites utilizarlo en las condiciones de una regla, sigue las instrucciones generales que se detallan a continuación.

Crear un detector de DLP para utilizarlo con reglas

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:

  • Privilegios de administrador de la unidad organizativa
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Haz clic en Gestionar detectores.
  4. Haz clic en Añadir detector. Añade el nombre y la descripción.

    Puedes seleccionar una de estas opciones:

    • Expresión regular: también denominada "regex", se trata de un método para relacionar texto con determinados patrones. Haz clic en Probar expresión para validar la expresión que has introducido. Consulta Ejemplos de expresiones regulares.
    • Lista de palabras: se trata de una lista personalizada de palabras separadas por comas. No se hace distinción entre mayúsculas y minúsculas, y los símbolos se ignoran. Solo se establecen coincidencias con palabras completas. Puedes añadir un mensaje emergente que aparezca cuando se detecte contenido. Las palabras de la lista de detectores deben contener como mínimo 2 caracteres que sean letras o dígitos. 
  5. Haz clic en Crear. Después, utiliza el detector personalizado cuando añadas condiciones a una regla.

Paso 3: Crea reglas

Sigue las instrucciones generales que se indican a continuación para crear reglas.

Crear una regla de DLP

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:

  • Privilegios de administrador de la unidad organizativa
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglay luegoRegla nueva o en Añadir reglay luegoRegla nueva a partir de plantilla. Si eliges esta última opción, selecciona una plantilla desde la página Plantillas.
  4. Añade el nombre y la descripción de la regla.
  5. En la sección Ámbito, elige Todos en <nombre.de.dominio> o aplica esta regla solo a los usuarios de las unidades organizativas o los grupos seleccionados. Si hay un conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.

    Nota: Si quieres aplicar la regla a un grupo dinámico, este también debe tener la etiqueta Seguridad. Para obtener más información, consulta ¿Qué tipos de grupos puedo seleccionar como permiso de una regla?.

  6. Haz clic en Continuar.
  7. En la sección Aplicaciones, elige Archivos de Drive.
  8. Haz clic en Continuar.
  9. En la sección Condiciones, haz clic en Añadir condición.
  10. Elige el tipo de contenido que se va a analizar
    • Todo el contenido: todo el documento, incluido el título, el cuerpo y cualquier modificación sugerida
    • Cuerpo: cuerpo del documento
    • Etiqueta de Drive: cualquier etiqueta aplicada al documento.Para obtener más información, consulta el artículo Empezar a usar etiquetas de Drive.
    • Cambios sugeridos: contenido añadido al documento en el modo Sugerencia
    • Título: nombre del documento
  11. Selecciona Qué se va a buscar en el análisis y, a continuación, rellena los atributos necesarios para ese tipo de análisis en la tabla que se incluye a continuación. 

    Las opciones de Qué se va a buscar en el análisis varían en función del tipo de contenido que se va a analizar que hayas seleccionado en el paso anterior. Por ejemplo, si elige "Título" como el tipo de contenido que se va a analizar, las opciones Qué se va a buscar en el análisis incluirán Termina en y Empieza por.

    Qué se va a buscar en el análisis Atributos
    Coincide con el tipo de datos predefinido Tipo de datos: selecciona un tipo de datos predefinido. Más información sobre los tipos de datos predefinidos

    Umbral de probabilidad: selecciona un umbral de probabilidad. Los umbrales disponibles son estos:

    • Muy baja
    • Baja
    • Medio
    • Alta
    • Muy alta

    Estos umbrales reflejan el grado de confianza del sistema de DLP en la precisión del resultado de la coincidencia. En general, el umbral Muy alta coincidirá con menos contenido y será más preciso. Sin embargo, el nivel Muy baja coincidirá con más archivos, pero tendrá una precisión menor.

    Número mínimo de coincidencias únicas: el número mínimo de veces que debe aparecer de forma exclusiva un resultado coincidente en un documento para que se active la acción. 

    Cantidad mínima de coincidencias: el número mínimo de veces que deben aparecer resultados coincidentes en un documento para que se active la acción. 

    ¿Cómo funcionan la cantidad mínima de coincidencias y el número mínimo de coincidencias únicas? Por ejemplo, piensa en dos listas de números de la Seguridad Social: la primera lista tiene 50 copias exactas del mismo número y la segunda 50 números distintos.

    En este caso, si la cantidad mínima de coincidencias es igual a 10, se activarán resultados en ambas listas, ya que hay al menos 10 coincidencias en las dos.

    En cambio, si el número mínimo de coincidencias únicas es 10 y la cantidad mínima de coincidencias es igual a 1, solo se activarán resultados en la segunda lista, ya que todos son valores únicos coincidentes.

    Contiene la cadena de texto Introduce el contenido que debe coincidir: especifica una cadena secundaria, un número u otros caracteres que buscar. Indica si al buscar este contenido debe distinguirse entre mayúsculas y minúsculas.  En el caso de la cadena secundaria, habría una coincidencia si la regla contiene la palabra clave y el documento también contiene la palabra clave.
    Contiene la palabra Introduce el contenido que debe coincidir: una palabra, un número u otros caracteres que buscar. 
    Coincide con la expresión regular Nombre de expresión regular: un detector personalizado de expresiones regulares.

    Número mínimo de veces que se ha detectado el patrón: el número mínimo de veces que debe aparecer el patrón de la expresión regular en un documento para activar la acción.

    Coincide con palabras de una lista de palabras Lista de palabras: selecciona una lista de palabras personalizada.

    Modo de coincidencia: selecciona Coincidencia con cualquier palabra o Coincidencia con un número mínimo de palabras únicas.

    Número mínimo de palabras únicas detectadas: el número mínimo de palabras únicas que se deben detectar para activar la acción.

    Número mínimo de veces en las que se detecta cualquier palabra: el mínimo de veces que se debe detectar una palabra para activar la acción (solo con la opción Coincidencia con un número mínimo de palabras únicas).

    Termina en Introduce el contenido que debe coincidir: una palabra, un número u otros caracteres que buscar. Indica si al buscar este contenido debe distinguirse entre mayúsculas y minúsculas.
    Comienza por Introduce el contenido que debe coincidir: una palabra, un número u otros caracteres que buscar. Indica si al buscar este contenido debe distinguirse entre mayúsculas y minúsculas.
    Es (solo el tipo de contenido de la etiqueta de Drive ) Etiqueta de Drive: elige una etiqueta de Drive disponible en la lista desplegable.
    Campo de etiqueta: elige un campo de etiqueta disponible para la etiqueta de Drive seleccionada.
    Opción de campo: elige una opción de campo disponible para el campo seleccionado.

    Con las condiciones, se pueden utilizar los operadores AND, OR o NOT. Consulta el artículo Ejemplos de los operadores que se pueden incluir en las condiciones anidadas de las reglas de DLP de Drive para obtener información detallada sobre cómo utilizar los operadores AND, OR o NOT con condiciones.

    Nota: Si creas una regla de DLP sin condición, se aplicará la acción especificada a todos los archivos de Drive.

  12. Haz clic en Continuar.
  13. En la sección Acciones, puedes seleccionar qué acción se aplicará si se detectan datos sensibles en el análisis:

    ¿Quieres probar una regla antes de añadirle una acción?
    Puedes crear una regla de solo auditoría y probarla sin realizar ninguna acción, ya que la selección de estas es opcional. Para obtener más información, ve a la sección Probar los resultados de reglas mediante reglas de solo auditoría (opcional, pero recomendado).

    • Impedir que se comparta de forma externa: evita que se comparta el documento.
    • Advertir cuando se compartan archivos con usuarios externos: si un usuario intenta compartir el archivo con usuarios externos, se le advertirá de que incluye contenido sensible. Puede cancelarla o seleccionar la opción Compartir de todas formas.

      Nota: Si habilitas las alertas en esta acción, se activará cuando se detecte contenido sensible en un archivo, no cuando un usuario intente compartirlo. En ese momento, también se registrará la acción en el registro de reglas. El contenido sensible se detecta cuando se crea el archivo o cuando se crea la regla (si el contenido ya existe).

    • Inhabilitar las funciones de descarga, impresión y copia para los comentadores y lectores: impide que se descarguen, impriman y copien archivos a menos que el usuario tenga el privilegio de editor o uno superior. Se trata de una función de gestión de los derechos de la información (IRM) de DLP, que utiliza como políticas las opciones para compartir de Drive. Por lo tanto, los usuarios no pueden descargar, imprimir ni copiar documentos, hojas de cálculo ni presentaciones de Drive en ninguna plataforma. Para obtener más información, consulta las preguntas frecuentes sobre IRM.
    • Aplicar etiquetas de Drive: aplica una etiqueta de Drive a archivos que coincidan. Sigue estos pasos para configurarlos:
      1. Elige una etiqueta de la lista desplegable Etiqueta de Drive y, a continuación, elige la opción Campo y Opción de campo para la etiqueta. Solo se admiten las etiquetas con insignia y las etiquetas estándar con un campo del tipo Lista de opciones. Para obtener más información, consulta el artículo Empezar a usar etiquetas de Drive.
      2. (Opcional) Haz clic en Añadir etiqueta para incluir más etiquetas. 
      3. Elige si quieres permitir que los usuarios cambien las etiquetas y los valores de campo aplicados a sus archivos.
  14. En la sección Alertas, elige un nivel de gravedad (Baja, Media o Alta). El nivel de gravedad determina cómo se representan los incidentes en los gráficos del panel de incidentes de DLP (el número de incidentes de gravedad alta, media o baja) a lo largo del tiempo.
  15. También puedes seleccionar Enviar al Centro de alertas para activar las notificaciones. Las alertas solo se admiten en Google Drive. Para obtener más información, consulta el artículo Ver información de las alertas.

    Marca la casilla para enviar alertas a todos los superadministradores o añade las direcciones de correo electrónico de otros destinatarios adicionales. Solo se pueden añadir destinatarios que pertenezcan al usuario, ya que los externos se ignoran. Los destinatarios pueden ser usuarios o grupos. Recuerda que debes configurar el acceso de los grupos seleccionados de modo que puedan recibir el correo electrónico que se les envíe. Ve al artículo Configurar notificaciones por correo electrónico del Centro de alertas para obtener información sobre cómo configurar el acceso de los grupos para recibir notificaciones por correo electrónico.

    Las alertas aparecen en el Centro de alertas. Ten en cuenta que hay un lapso de tiempo entre el momento en que se produce una alerta y el momento en que se registra. Es decir, que hay cierto desfase entre el momento en que aparece una alerta en el Centro de alertas y cuando se actualizan el registro de auditoría de reglas y los paneles de seguridad de DLP. Es posible que recibas una alerta y veas su resumen. Sin embargo, el recuento de incidentes en los paneles o registros de auditoría de la herramienta de investigación necesita tiempo para actualizarse. Puede haber hasta 50 alertas por regla al día. Las alertas se producen hasta que se alcanza este umbral.

  16. Haz clic en Continuar y revisa los detalles de la regla.
  17. En Estado de la regla, elige un estado inicial:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad y luego Protección de datos y luego Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  18. Haz clic en Crear

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Paso 4: Informa a los usuarios sobre la nueva regla

Informar a los usuarios sobre las nuevas reglas

Informa a los usuarios sobre el comportamiento y las consecuencias de la nueva regla.  Por ejemplo, si decides impedir que se compartan datos sensibles con usuarios externos, indica a los usuarios que es posible que a veces no puedan compartir documentos y explícales por qué.

Ejemplos de reglas de DLP

Ejemplos de uso de un clasificador predefinido, un detector personalizado y una plantilla de reglas.

Ejemplo 1: Proteger números de la Seguridad Social mediante un clasificador predefinido

En este ejemplo se muestra cómo evitar, con un clasificador predefinido, que los usuarios de organizaciones y grupos específicos compartan datos sensibles. Los clasificadores predefinidos pueden ser útiles para especificar datos que introduces con frecuencia. En este ejemplo, los datos son números de la Seguridad Social.

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:

  • Privilegios de administrador de la unidad organizativa
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglay luegoRegla nueva
  4. Añade el nombre y la descripción de la regla.
  5. En la sección Ámbito, selecciona Aplicar a todo <nombre.de.dominio> o elige buscar e incluir o excluir unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en cuanto a inclusión o exclusión, el grupo tiene prioridad.
  6. Haz clic en Continue (Continuar). 
  7. En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
    • Campo: todo el contenido.
    • Valor: detector de coincidencia predeterminado.
    • Detector predeterminado: número de la Seguridad Social (EE. UU.).
    • Umbral de probabilidad: muy probable. Esta es una medida adicional que determina si los mensajes activan la acción.
    • Número mínimo de coincidencias únicas: 1. El número mínimo de veces que debe producirse una coincidencia única en un documento para activar la acción.
    • Cantidad mínima de coincidencias: 1. El número de veces que el contenido debe aparecer en un mensaje para activar la acción. Por ejemplo, si seleccionas 2, el contenido debe aparecer al menos dos veces en un mensaje para activar la acción. 
  8. Haz clic en Continuar. En Google Drive, selecciona Impedir que se comparta de forma externa.
  9. En Gravedad y alertas, elige la gravedad Alta. Activa una alerta e introduce los destinatarios.

    Hay un lapso de tiempo entre el momento en que se produce una alerta y el momento en que se registra. Los administradores pueden recibir hasta 50 alertas por regla al día hasta que se alcance ese límite.

  10. Haz clic en Continuar para revisar los detalles de la regla.
  11. Haz clic en Crear y elige una opción:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad y luego Protección de datos y luego Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  12. Haz clic en Finalizar.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Ejemplo 2: Proteger nombres internos mediante un detector personalizado

En este ejemplo se muestra cómo configurar un detector personalizado. Puedes enumerar las palabras que se detectarán con el detector personalizado. Al configurar activadores de reglas, puedes impedir que los usuarios compartan con destinatarios externos documentos que incluyan datos sensibles (como nombres de proyectos internos).

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:

  • Privilegios de administrador de la unidad organizativa
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Haz clic en Gestionar detectores. A continuación, haz clic en Añadir detectory luegoLista de palabras.
  4. Introduce el nombre y la descripción del detector.
  5. Introduce las palabras que quieras detectar separadas por comas. En las listas de palabras personalizadas se aplican estas normas:
    • No se distingue entre mayúsculas y minúsculas. Por ejemplo, MAL coincide con mal, Mal y MAL.
    • Solo se establecen coincidencias con palabras completas. Por ejemplo, si añades la palabra Mal a la lista, Malformación no sería una coincidencia.
  6. Haz clic en Crear.
  7. Haz clic en Gestionar reglas. A continuación, haz clic en Añadir reglay luegoRegla nueva.
  8. En la sección Nombre de la regla, introduce el nombre y, si quieres, una descripción de la regla.
  9. En la sección Ámbito, busca y selecciona los grupos o las unidades organizativas a los que aplicar la regla.
  10. Haz clic en Continuar.
  11. En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
    • Campo: todo el contenido
    • Valor: detector de coincidencia predeterminado
    • Lista de palabras: desplázate hasta encontrar el detector que has creado anteriormente.
    • Modo de coincidencia: selecciona una de estas opciones:
    • Coincidencia con cualquier palabra: busca coincidencias de cualquier palabra de la lista
    • Coincidencia con un número mínimo de palabras únicas: especifica el mínimo de palabras distintas que se detectan y el mínimo de veces en las que se detecta cualquier palabra (de la lista predefinida de palabras)
    • Número mínimo de veces en las que se detecta cualquier palabra: 1
  12. Haz clic en Continuar. En Google Drive, selecciona la acción Impedir que se comparta de forma externa.
  13. En Gravedad y alertas, elige la gravedad Alta. Activa una alerta e introduce los destinatarios. Ten en cuenta que hay un lapso de tiempo entre el momento en que se produce una alerta y el momento en que se registra. Los administradores pueden recibir hasta 50 alertas por regla al día hasta que se alcance ese límite.
  14. Haz clic en Continuar para revisar los detalles de la regla.
  15. Haz clic en Crear y elige una opción:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad y luego Protección de datos y luego Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  16. Haz clic en Finalizar.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Ejemplo 3: Proteger información personal identificable mediante una plantilla de reglas

Una plantilla de reglas contempla diversas condiciones en las que se dan casos habituales de protección de datos. Con una plantilla de reglas, puedes configurar políticas que se puedan implementar en situaciones habituales de protección de datos.

En este ejemplo, se recurre a una plantilla de reglas para impedir el envío o el uso compartido de un correo electrónico o documento de Drive que contenga información personal identificable (IPI) de EE. UU.

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:

  • Privilegios de administrador de la unidad organizativa
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Haz clic en Gestionar reglas
  4. Haz clic en Añadir reglay luegoRegla nueva a partir de plantilla.
  5. En la página Plantillas, haz clic en Impedir que se comparta información personal identificable (EE. UU.).
  6. Acepta el nombre y la descripción predeterminados de la regla o introduce nuevos valores.
  7. En la sección Ámbito, busca y selecciona los grupos o las unidades organizativas a los que se aplica la regla.
  8. Haz clic en Continuar. En la plantilla de reglas, las condiciones están preseleccionadas; puedes revisarlas para comprobar qué condiciones concretas se aplican en la regla. La gravedad es Baja y las alertas están inhabilitadas.
  9. En Google Drive, está seleccionada la opción Impedir que se comparta de forma externa. Con esta opción, los usuarios no pueden compartir archivos que cumplan las condiciones con usuarios ajenos a tu organización.
  10. Haz clic en Continuar para revisar los detalles de la regla.
  11. Haz clic en Crear y elige una opción:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad y luego Protección de datos y luego Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  12. Haz clic en Finalizar.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Gestionar reglas y detectores de contenido personalizados de DLP

Después de crear reglas o detectores personalizados de DLP, puedes verlos, editarlos, activarlos o desactivarlos, y gestionarlos en general. 

Ver reglas y detectores personalizados

Antes de empezar, inicia sesión en tu cuenta de superadministrador o en una cuenta de administrador delegado que tenga estos privilegios:

  • Privilegios de administrador de la unidad organizativa
  • Privilegios de administrador de grupos.
  • Privilegios Ver regla de DLP y Gestionar regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Gestionar para tener acceso completo y poder crear y editar reglas. Te recomendamos que crees un rol personalizado que incluya ambos privilegios. 
  • Privilegios Ver metadatos y atributos (solo para utilizar la herramienta de investigación): Centro de Seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y atributos.

Consulta más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luegoSeguridady luegoControl de acceso y de datosy luegoProtección de datos.
  3. Haz clic en Gestionar reglas o en Gestionar detectores. La página de reglas se encuentra en Seguridad > Protección de datos > Reglas. La página de detectores se encuentra en Seguridad > Protección de datos > Detectores.
Trabajar con reglas de DLP

Ordenar reglas

Puedes ordenar las reglas modificando la vista de las columnas Nombre o Última modificación por orden ascendente o descendente. 

  1. En la página de reglas, haz clic en la columna Nombre o Última modificación.
  2. Haz clic en la flecha hacia arriba o hacia abajo para cambiar el orden.

Activar o desactivar reglas

Si activas una regla, DLP ejecutará un análisis en los documentos que la utilicen.

  1. En la página de reglas, en la columna Estado de una regla, selecciona Activa o Inactiva
  2. Confirma que quieres activar o desactivar la regla. 

Eliminar una regla

La eliminación de reglas es permanente.

  1. En la página de reglas, coloca el cursor sobre una fila para que se muestre el icono de la papelera al final de la fila. 
  2. Haz clic en el icono de la papelera .
  3. Confirma que quieres eliminar la regla. 

Exportar reglas

Puedes exportar reglas a un archivo .txt.

  1. En la página de reglas, haz clic en Exportar reglas
  2. La lista de reglas se descarga en un archivo de texto. Haz clic en el archivo .txt situado en la esquina inferior izquierda para ver las reglas descargadas.

Editar detalles de la regla

Al editar reglas, se activa un nuevo análisis de los documentos afectados por esas reglas.

  1. En la lista de reglas, haz clic en la regla que quieras editar.
  2. Haz clic en Editar regla.
  3. Haz los cambios necesarios; el proceso es el mismo que el de crear reglas. 
  4. Cuando termines, haz clic en Actualizar y selecciona una de estas opciones:
  5. Activa: la regla se ejecuta inmediatamente.
  6. Inactiva: la regla existe, pero no se ejecuta inmediatamente. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Más adelante, podrás activarla en Seguridad y luego Protección de datos y luego Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  7. Haz clic en Finalizar.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Investigar reglas con la herramienta de investigación de seguridad

Ediciones compatibles con esta función: Frontline Standard; Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; Enterprise Essentials Plus. Comparar ediciones

Con la herramienta de investigación de seguridad, DLP puede mostrar la frecuencia con la que se activa una regla. La herramienta muestra los resultados que se obtienen al buscar una regla y las acciones que se han activado en cada incidente.

Para poder usar la herramienta de investigación, debes tener los privilegios Ver metadatos y Atributos, que encontrarás en Centro de seguridady luegoHerramienta de investigacióny luegoReglay luegoVer metadatos y Atributos.

Para investigar una regla, sigue estos pasos:

  1. En la lista de reglas, haz clic en la regla que quieres investigar.
  2. Haz clic en Investigar regla.
  3. Aparecerán los resultados de búsqueda de la regla. Ten en cuenta que hay un desfase de tiempo entre el momento en que se activa una regla y el momento en que se actualiza el registro de auditoría.  Consulta más información en la sección Herramienta de investigación

Nota: Puedes activar o desactivar reglas desde la herramienta de investigación. En la tabla de resultados, coloca el cursor sobre el encabezado de columna ID de regla. Haz clic y selecciona Accionesy luegoActivar regla o Accionesy luegoDesactivar regla

Consejo: Si quieres ver los resultados de todas las reglas de DLP, haz clic en la X para eliminar los criterios de búsqueda de reglas específicos y haz clic en Buscar.

Trabajar con detectores personalizados

Filtrar detectores personalizados

Puedes filtrar la lista de detectores personalizados por nombre y tipo de detector.

  1. En la página de detectores personalizados, haz clic en Añadir un filtro.
  2. Filtra por nombre o tipo de detector:
    • Nombre del detector: introduce una cadena que buscar
    • Tipo de detector: selecciona un tipo de detector
  3. Haz clic en Aplicar. El filtro se mantiene hasta que lo descartas.

Exportar detectores

Puedes exportar los detectores a un archivo .txt.

  1. En la página de detectores, haz clic en Exportar detectores
  2. La lista de detectores se descarga en un archivo de texto. Haz clic en el archivo .txt en la esquina inferior izquierda para ver los detectores descargados.

Editar un detector personalizado de lista de palabras 

Al editar detectores personalizados que se utilizan en reglas, se activa un nuevo análisis de los documentos afectados por las reglas que contienen esos detectores modificados.

Para editar el nombre y la descripción de un detector personalizado, haz lo siguiente:

  1. Haz clic en un detector personalizado de lista de palabras.
  2. Haz clic en Editar datos.
  3. Edita el título y la descripción.
  4. Haz clic en Guardar.

Para añadir palabras a la lista, haz lo siguiente:

  1. Haz clic en un detector personalizado de lista de palabras.
  2. Haz clic en Añadir palabras.
  3. Añade palabras a la lista. 
  4. Haz clic en Guardar.

Para editar palabras de la lista, sigue estos pasos:

  1. Haz clic en un detector de palabras personalizadas de la lista.
  2. Haz clic en Editar palabras.
  3. Edita las palabras de la lista.
  4. Haz clic en Guardar.

Editar un detector personalizado de expresiones regulares

Al editar detectores personalizados que se utilizan en reglas, se activa un nuevo análisis de los documentos afectados por las reglas que contienen esos detectores modificados.

Para editar el nombre, la descripción o la expresión regular de un detector personalizado de expresiones regulares, haz lo siguiente:

  1. En la página de detectores personalizados, haz clic en un detector personalizado de expresiones regulares.
  2. En la ventana emergente, modifica el título, la descripción o la expresión regular.
  3. Si has editado la expresión regular, haz clic en Probar expresión. Introduce los datos de prueba que haya que verificar.
  4. Haz clic en Guardar.

Eliminar un detector personalizado

La eliminación de detectores es permanente.

  1. En la página de detectores personalizados, coloca el cursor sobre una fila para que se muestre el icono de la papelera al final de la fila.
  2. Selecciona la papelera .
  3. Confirma que quieres eliminar el detector.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal