Aplica automáticamente etiquetas de clasificación a los archivos de Drive con reglas de DLP

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus. Comparar tu edición

La DLP de Drive y la DLP de Chat están disponibles para los usuarios de Cloud Identity Premium que también tienen una licencia de Google Workspace. En el caso de la DLP de Drive, la licencia debe incluir los eventos de registro de Drive.

Como administrador, puedes usar reglas de prevención de pérdida de datos (DLP) para aplicar automáticamente etiquetas a los archivos de Drive según la detección de contenido sensible. Los nombres de las etiquetas y los datos de los ejemplos de este artículo no son datos reales nativos del Administrador de etiquetas ni de la DLP.

Usa etiquetas en las condiciones de las reglas de la DLP de Drive

Puedes usar etiquetas de clasificación en las condiciones de las reglas.

Se admiten las siguientes condiciones:

  • Verifica la presencia de una etiqueta.
  • Verifica la presencia de uno o más valores del campo Lista de opciones cuando el parámetro de configuración Permitir varias selecciones de la lista de opciones está inhabilitado.
  • Niega las condiciones anteriores.

No se admiten las siguientes condiciones:

  • Verifica los valores del campo Lista de opciones cuando el parámetro de configuración Permitir selecciones múltiples de la Lista de opciones esté habilitado.
  • Verifica los valores de otros tipos de campos, por ejemplo, Número, Fecha, Texto o Persona.

Usa etiquetas en las acciones de las reglas de DLP de Drive

Aplicar una etiqueta de clasificación como una acción de DLP aplicada automáticamente Cuando se activa la regla de DLP, esta aplica etiquetas como acción a los archivos de Drive que cumplen con los criterios de la regla.

Se admite la siguiente acción de regla:

  • Aplica una etiqueta y un valor de campo de lista de opciones cuando el parámetro de configuración de la lista de opciones Permitir selecciones múltiples esté inhabilitado.

No se admiten las siguientes acciones de reglas:

  • Aplicar una etiqueta, pero no un valor de campo Sin embargo, puedes configurar parámetros de clasificación predeterminados para aplicar una etiqueta a los archivos recién creados y a los archivos cuya propiedad cambia. Para obtener más información, consulta Cómo aplicar automáticamente etiquetas de clasificación a archivos nuevos.
  • Aplica una etiqueta y un campo Lista de opciones cuando el parámetro de configuración Lista de opciones Permitir selecciones múltiples esté habilitado.
  • Aplica una etiqueta con otros tipos de campos, por ejemplo, Número, Fecha, Texto o Persona.

Antes de comenzar

Comprende y crea etiquetas de clasificación

Antes de usar etiquetas de clasificación con las reglas de la DLP de Drive, haz lo siguiente:

  1. Comprender el propósito y la funcionalidad de las etiquetas de clasificación Para obtener más información, consulta Primeros pasos como administrador de etiquetas de clasificación.
  2. Crea etiquetas o conoce las etiquetas existentes que deseas usar.

Usa reglas de DLP o la clasificación predeterminada para aplicar etiquetas automáticamente

Usa reglas de DLP para aplicar etiquetas automáticamente si necesitas usar condiciones o acciones específicas para aplicar etiquetas. Si solo quieres aplicar etiquetas a los archivos nuevos cuando los creen usuarios específicos, usa las etiquetas de clasificación predeterminadas.

Cómo funcionan las etiquetas de clasificación predeterminadas

  • Aplica etiquetas a archivos nuevos y cuando cambia la propiedad de un archivo. La clasificación predeterminada no aplica etiquetas de forma retroactiva a los archivos existentes, a menos que cambie el propietario del archivo.
  • Aplica etiquetas según la unidad organizativa o el grupo del propietario del archivo. La clasificación predeterminada no busca ciertas condiciones en el contenido ni en los metadatos del archivo.
  • Si los usuarios tienen permiso para cambiar una etiqueta, pueden cambiarla o quitarla después de que se aplique automáticamente.
  • Solo se admiten las etiquetas con un campo de lista de opciones para la clasificación predeterminada.
  • Las etiquetas de clasificación predeterminadas se reemplazan por las etiquetas establecidas por la DLP, incluso si el valor de clasificación de datos es más alto en la lista de opciones.

Cómo funcionan las etiquetas establecidas por las reglas de DLP

  • Aplica etiquetas a archivos nuevos y existentes.
  • Aplica etiquetas según condiciones, como el tipo de archivo, las coincidencias de palabras y las coincidencias de cadenas.
  • No puedes aplicar una etiqueta con una regla de DLP que use una etiqueta como condición.
  • Puedes evitar que los usuarios cambien la etiqueta, incluso si tienen permiso para hacerlo. Si lo cambian, DLP volverá a analizar el archivo de inmediato y revertirá la configuración de etiquetas de DLP.
  • Si tu organización tiene una regla de PPD que bloquea el uso compartido externo, los usuarios ajenos a tu organización no podrán ver el historial de versiones de los archivos a los que se les haya aplicado alguna regla de PPD. Esta estipulación incluye las reglas de DLP que aplican etiquetas, pero no bloquean el uso compartido externo.
  • Las reglas de DLP pueden aplicar etiquetas con campos de lista de opciones, incluidas las etiquetas con distintivos.

Cómo funcionan las etiquetas de clasificación de IA

  • Aplica etiquetas a archivos nuevos y existentes.
  • Solo se admiten las etiquetas con un campo de lista de opciones que tenga entre 2 y 7 valores para la clasificación de IA.
  • Aplica etiquetas después de un período de entrenamiento. Durante el período de entrenamiento, los etiquetadores designados aplican una etiqueta de entrenamiento a, al menos, 100 archivos por opción de campo.
  • Las etiquetas de clasificación de IA se reemplazan por las etiquetas establecidas por la DLP, pero reemplazan las etiquetas de clasificación predeterminadas.

Conoce cómo se resuelven los conflictos de reglas

Los valores de etiqueta establecidos por las reglas de DLP tienen prioridad sobre la clasificación por IA, y ambos tienen prioridad sobre la clasificación predeterminada.

Cuando 2 o más reglas del mismo tipo intentan aplicar diferentes valores de etiquetas al mismo archivo, se aplica el valor que se encuentra más arriba en la lista de opciones de la etiqueta. Por ejemplo, es posible que tengas una etiqueta con un campo que tenga 3 opciones que se muestran en el administrador de etiquetas:

  1. Confidencial
  2. Interno
  3. Público

Si la regla 1 intenta establecer la etiqueta como Confidencial y la regla 2 intenta establecer la etiqueta como Público para el mismo archivo, se aplicará Confidencial (regla 1). Antes de configurar reglas, asegúrate de que las opciones de campo de una etiqueta aparezcan en el orden de prioridad que prefieras.

Configura una regla de DLP de Drive para aplicar una etiqueta de clasificación

Información sobre el bloqueo de etiquetas

Las etiquetas, los campos y las opciones de campo asociados con las reglas del DLP están bloqueados en el administrador de etiquetas. Esto evita que se editen etiquetas o campos que podrían infringir las políticas comerciales. Para desbloquear la etiqueta, el campo o la opción de campo, quítalos de todas las reglas de DLP.

Ediciones en el Administrador de etiquetas, como las siguientes:

  • Se permite cambiar el nombre o agregar campos nuevos, o bien opciones de campos.
  • No se permite inhabilitar ni borrar etiquetas, campos ni opciones de campos que se usen en las reglas de DLP. Los administradores con el privilegio Administrar etiquetas pueden ver si una etiqueta se usa en una regla, pero no pueden ver la regla en sí, a menos que tengan los privilegios necesarios.

No puedes crear reglas de DLP con etiquetas, campos ni opciones de campos inhabilitados, ni siquiera en borradores de etiquetas publicadas.

Cómo deshacer un cambio global en las etiquetas de Drive

Si aplicas accidentalmente una etiqueta (o una etiqueta y valores de campo) a una amplia variedad de archivos a través de una regla de DLP, puedes usar DLP para limpiar esos cambios.

Para ello, inhabilita la regla de la PPD que aplicó el cambio. La regla quita automáticamente la etiqueta y los valores de los campos. También puedes editar la regla de DLP en cuestión para quitar la acción Aplicar etiqueta. Esta acción también quita la etiqueta y los valores de campo que aplica la regla. Aplicar este cambio puede demorar unos minutos, algunas horas o más, según la cantidad de documentos que deban actualizarse.

Se produce una excepción a esta limpieza si usas la opción Permitir de Selecciona si los usuarios pueden cambiar las etiquetas y los valores de campo que se hayan aplicado a sus archivos. Se quitan las etiquetas y los campos modificados por las reglas de DLP, pero las etiquetas y los valores de campo modificados por el usuario permanecen intactos.

Verifica las acciones en los eventos de registro de Drive

Si quieres investigar qué cambió en un archivo, consulta el registro de auditoría de Drive. En la columna Event Description, se enumeran las acciones de DLP, como DLP Rule applied Label Contract. Ve a Eventos de registro de Drive para obtener más detalles.

Los análisis de la DLP tardan más de lo que esperaba. ¿Qué sucede?

Usar la DLP para aplicar etiquetas automáticamente te permite realizar cambios en varios documentos de Drive. Esto puede provocar que se vean afectados más archivos de los que esperas. Las reglas que actualizan una gran cantidad de archivos pueden tardar más en procesarse que las reglas que solo afectan a una pequeña cantidad de archivos. Es posible que desees probar una regla que aplique una etiqueta en una muestra pequeña antes de aplicarla a gran escala.