Detener la pérdida de datos con DLP

Aplicar etiquetas de clasificación a archivos de Drive automáticamente con reglas de DLP

Ediciones compatibles con esta función: Business Standard y Business Plus; Enterprise Starter, Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; y Essentials, Enterprise Essentials y Enterprise Essentials PlusComparar ediciones

La función DLP de Drive y de Chat está disponible para los usuarios de Cloud Identity Premium con una licencia de Google Workspace. En el caso de DLP de Drive, la licencia debe incluir los eventos de registro de Drive.

Como administrador, puedes usar reglas de Prevención de la pérdida de datos (DLP) para aplicar etiquetas automáticamente a los archivos de Drive en función de la detección de contenido sensible. Los nombres de etiquetas y datos que aparecen en los ejemplos de este artículo no son datos reales propios del Gestor de etiquetas o de DLP.

Uso de etiquetas en condiciones de reglas de DLP de Drive

Puedes usar etiquetas de clasificación en condiciones de reglas.

Se admiten las siguientes condiciones:

  • Comprueba la presencia de alguna etiqueta.
  • Comprueba si hay uno o varios valores de los campos de la lista de opciones cuando el ajuste Permitir varias selecciones esté inhabilitado.
  • Niega las condiciones anteriores.

No se admiten las siguientes condiciones:

  • Comprueba los valores de los campos de la lista de opciones cuando la opción Permitir varias selecciones esté habilitada.
  • Comprueba los valores de otros tipos de campos, como Número, Fecha, Texto o Persona.

Usar etiquetas en acciones de reglas de DLP de Drive

Aplica una etiqueta de clasificación como acción de DLP aplicada automáticamente. Cuando se activa la regla de DLP, DLP aplica etiquetas como una acción a los archivos de Drive que cumplen los criterios de la regla. 

Se admite la siguiente acción de regla:

  • Aplicar un valor de campo de etiqueta y de lista de opciones cuando el ajuste Permitir varias selecciones esté inhabilitado.

No se admiten las siguientes acciones de regla:

  • Aplica una etiqueta, pero no un valor de campo. Sin embargo, puedes configurar ajustes de clasificación predeterminados para aplicar una etiqueta a los archivos nuevos o a aquellos cuya propiedad cambie. Consulta más información en el artículo Aplicar etiquetas de clasificación a archivos nuevos automáticamente.
  • Aplicar un campo de etiqueta y de lista de opciones cuando el ajuste Permitir varias selecciones esté habilitado.
  • Aplica una etiqueta con otros tipos de campos, como Número, Fecha, Texto o Persona.

Antes de empezar

Mostrar todo  |  Ocultar todo

Comprender y crear etiquetas de clasificación

Antes de poder usar etiquetas de clasificación con reglas de DLP de Drive:

  1. Comprende la finalidad y el funcionamiento de las etiquetas de clasificación. Consulta información detallada en el artículo de primero pasos como administrador de etiquetas de clasificación.
  2. Crear etiquetas o mirar si ya hay etiquetas creadas que puedas usar.
¿Usar reglas de DLP o la clasificación predeterminada para aplicar etiquetas automáticamente?

Si quieres usar condiciones o acciones específicas para aplicar etiquetas automáticamente, usa reglas de DLP. Si solo quieres aplicar etiquetas a archivos nuevos creados por usuarios concretos, utiliza ajustes de clasificación de datos.

Cómo funcionan las etiquetas de clasificación predeterminadas

  • Se aplican etiquetas a archivos nuevos y cuando cambia la propiedad de un archivo. La clasificación predeterminada no aplica etiquetas de forma retroactiva a los archivos, a menos que el propietario de los archivos cambie.
  • Las etiquetas se aplican según la unidad organizativa o el grupo del propietario del archivo. Con la clasificación predeterminada, no se buscan determinadas condiciones en el contenido ni en los metadatos del archivo.
  • Si los usuarios tienen permiso para cambiar una etiqueta, pueden modificarla o retirarla después de que se haya aplicado automáticamente.
  • En la clasificación predeterminada solo se admiten las etiquetas con un campo de lista de opciones.
  • Las etiquetas definidas por DLP sobrescriben las etiquetas de clasificación predeterminadas, aunque el valor de clasificación de datos sea superior en la lista de opciones.

Cómo funcionan las etiquetas definidas por las reglas de DLP

  • Se aplican etiquetas a archivos nuevos y existentes.
  • Aplica etiquetas en función de condiciones como el tipo de archivo, las coincidencias de palabras y las coincidencias de cadenas. Las reglas de DLP no aceptan unidades organizativas ni grupos como condiciones.
  • No puedes aplicar una etiqueta con una regla de DLP que use una etiqueta como condición.
  • Puedes impedir que los usuarios cambien la etiqueta, aunque tengan permiso para hacerlo. Si la cambian, DLP volverá a analizar el archivo inmediatamente y volverá a la configuración de la etiqueta de DLP.
  • Los usuarios externos no pueden ver en ningún momento el historial de versiones de los archivos a los que se les haya aplicado una etiqueta mediante una regla de DLP. 
  • Las reglas de DLP pueden aplicar etiquetas con campos de la lista de opciones, incluidas las etiquetas con insignia.

Cómo funcionan las etiquetas de clasificación de IA

  • Se aplican etiquetas a archivos nuevos y existentes.
  • La clasificación de IA solo admite etiquetas con un campo de lista de opciones con entre 2 y 4 valores.
  • Las etiquetas se aplican tras un periodo de aprendizaje. Durante el periodo de entrenamiento, los etiquetadores designados aplican una etiqueta de entrenamiento a al menos 100 archivos por opción de campo.
  • Las etiquetas de clasificación de IA las sobrescriben las etiquetas definidas por DLP, pero sobrescriben las etiquetas predeterminadas.
Cómo se resuelven los conflictos entre reglas

Los valores de las etiquetas definidos por las reglas de DLP tienen prioridad sobre la clasificación por IA, y ambos tienen prioridad sobre la clasificación predeterminada.

Cuando dos o más reglas del mismo tipo intentan aplicar valores de etiqueta diferentes al mismo archivo, se aplica el valor que aparece más arriba en la lista de opciones de la etiqueta. Por ejemplo, puedes tener una etiqueta con un campo que incluye tres opciones en el Gestor de etiquetas: 

  1. Confidencial
  2. Interno
  3. Público

Si la regla 1 intenta establecer la etiqueta como Confidencial y la regla 2 intenta definirla como Público para el mismo archivo, se aplicará la regla 1, Confidencial. Antes de configurar reglas, asegúrate de que las opciones de los campos de una etiqueta aparecen en el orden de prioridad que prefieras.

Configurar una regla de DLP de Drive para aplicar una etiqueta de clasificación

  1. Para crear una regla, sigue los pasos que se describen en el artículo Crear reglas y detectores de contenido personalizados con DLP de Drive.
  2. Cuando llegues a la sección Activadores, selecciona Google Drive y haz clic en Continuar.
  3. Configure las condiciones y haga clic en Continuar. Nota: No puedes utilizar una etiqueta de Drive como condición en una regla que aplique etiquetas de Drive.
  4. En la sección Acciones, selecciona Aplicar etiquetas de Drive. Si esta opción no está disponible, asegúrate de no haber introducido una etiqueta de Drive como condición.
  5. Especifica los detalles de la etiqueta de Drive que quieres aplicar. Solo se admiten las etiquetas con insignia y las etiquetas estándar con un campo del tipo Lista de opciones. Para obtener más información, consulta el artículo Empezar a usar etiquetas de Drive.
  6. Elige si los usuarios que tienen permiso para cambiar la etiqueta pueden modificar los valores de etiqueta y campo que se aplican en esta regla de DLP. Solo está disponible para etiquetas con opciones de campo único. Los usuarios deben tener permiso para cambiar la etiqueta en el Gestor de etiquetas.
    • Si se le asigna el valor Permitir, DLP no cambia las etiquetas ni los valores de campo que definen los usuarios. Sin embargo, DLP volverá a aplicar las etiquetas y los valores de campo que quite el usuario.
    • Si se selecciona No permitir, si un usuario cambia o quita la etiqueta aplicada por esta regla de DLP, el cambio hará que DLP vuelva a analizar el archivo y vuelva a la configuración de la etiqueta de la regla de DLP.
  7. Sigue configurando la regla. Si quieres, puedes añadir otra etiqueta haciendo clic en Añadir etiqueta.

Trabajar con reglas de DLP y las etiquetas de clasificación

Información sobre el bloqueo de etiquetas

Las etiquetas, los campos y las opciones de campo asociados a las reglas de DLP están bloqueados en el Gestor de etiquetas. Esto evita que se hagan cambios en las etiquetas o en los campos que puedan infringir las políticas empresariales. Para desbloquearlos, deberás quitarlos de todas las reglas de DLP.

Cambios en el Gestor de etiquetas: 

  • Se permite cambiar el nombre o añadir nuevos campos u otras opciones de campo. 
  • No se permite inhabilitar ni eliminar las etiquetas, los campos ni las opciones de campo usados en las reglas de DLP. Los administradores con el privilegio Gestionar etiquetas pueden ver si una etiqueta se usa en una regla, pero no pueden consultar la regla a menos que tengan los privilegios necesarios.

No se pueden crear reglas de DLP con etiquetas, campos u opciones de campo inhabilitados, aunque sean borradores de etiquetas publicadas.

Deshacer un cambio global en las etiquetas de Drive

Si aplicas por error una etiqueta (o una etiqueta y valores de campo) a una gran cantidad de archivos mediante una regla de DLP, puedes revertir los cambios con DLP.

Para hacerlo, inhabilita la regla de DLP con la que se aplicó el cambio. La regla automáticamente quita la etiqueta y los valores de campo aplicados. También puedes editar la regla de DLP en cuestión para quitar la acción Aplicar etiqueta. Así, también se anulan los valores de etiqueta y de campo aplicados. Este proceso puede tardar unos minutos, unas horas o incluso más, dependiendo de cuántos documentos se tengan que actualizar.

La excepción a este procedimiento para revertir cambios se da si se habilita la opción Selecciona si se permite a los usuarios cambiar las etiquetas y los valores de campo aplicados a sus archivos > Permitir. En este caso, se quitarían las etiquetas y los campos modificados por las reglas de DLP, pero no las etiquetas ni los valores de campo modificados por usuarios.

Comprobar el registro de auditoría de Drive para verificar acciones

Si quieres comprobar lo que ha cambiado en un archivo, consulta el registro de auditoría de Drive. En la columna "Descripción del evento" se muestran las acciones de DLP, como La regla de DLP ha aplicado la etiqueta "Contrato". Consulta el artículo Eventos de registro de Drive para obtener más información.

Los análisis de DLP están tardando más de lo esperado. ¿A qué se debe?

Al aplicar etiquetas automáticamente con DLP, puedes hacer cambios en varios documentos de Drive. No obstante, podrían verse afectados más archivos de los esperados. Las reglas que modifican un gran número de archivos pueden tardar más en procesarse que las que solo afectan a un número reducido. Es mejor que pruebes una regla que aplique una etiqueta en una muestra pequeña antes de hacerlo a gran escala.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal