Aplica automáticamente etiquetas de clasificación a los archivos de Drive con reglas de DLP

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus. Compara tu edición

La DLP de Drive y la DLP de Chat están disponibles para los usuarios de Cloud Identity Premium que también tienen una licencia de Google Workspace. En el caso de la DLP de Drive, la licencia debe incluir los eventos de registro de Drive.

Como administrador, puedes usar reglas de prevención de pérdida de datos (DLP) para aplicar automáticamente etiquetas a los archivos de Drive en función de la detección de contenido sensible. Los nombres de las etiquetas y los datos de los ejemplos de este artículo no son datos reales nativos del Administrador de etiquetas ni de la DLP.

Cómo usar etiquetas en las condiciones de las reglas de DLP de Drive

Puedes usar etiquetas de clasificación en las condiciones de las reglas.

Se admiten las siguientes condiciones:

  • Verificar la presencia de una etiqueta
  • Verificar la presencia de uno o más valores de campo de la lista de opciones cuando el parámetro de configuración de la lista de opciones Permitir varias selecciones está inhabilitado
  • Negar las condiciones anteriores

No se admiten las siguientes condiciones:

  • Verificar los valores de campo de la lista de opciones cuando el parámetro de configuración de la lista de opciones Permitir varias selecciones está habilitado
  • Verificar los valores de otros tipos de campos, por ejemplo, Número, Fecha, Texto o Persona

Cómo usar etiquetas en las acciones de las reglas de DLP de Drive

Aplica una etiqueta de clasificación como una acción de DLP que se aplica automáticamente. Cuando se activa la regla de DLP, la DLP aplica etiquetas como una acción a los archivos de Drive que cumplen con los criterios de la regla.

Se admite la siguiente acción de regla:

  • Aplicar una etiqueta y un valor de campo de la lista de opciones cuando el parámetro de configuración de la lista de opciones Permitir varias selecciones está inhabilitado

No se admiten las siguientes acciones de regla:

  • Aplicar una etiqueta, pero no un valor de campo Sin embargo, puedes configurar los parámetros de clasificación predeterminados para aplicar una etiqueta a los archivos recién creados y a los archivos que cambian de propietario. Para obtener más información, consulta Aplica automáticamente etiquetas de clasificación a archivos nuevos.
  • Aplicar una etiqueta y un campo de la lista de opciones cuando el parámetro de configuración de la lista de opciones Permitir varias selecciones está habilitado
  • Aplicar una etiqueta con otros tipos de campos, por ejemplo, Número, Fecha, Texto o Persona

Antes de comenzar

Comprende y crea etiquetas de clasificación

Antes de que puedas usar etiquetas de clasificación con las reglas de DLP de Drive, haz lo siguiente:

  1. Comprende el propósito y la funcionalidad de las etiquetas de clasificación. Para obtener más información, consulta Primeros pasos como administrador de etiquetas de clasificación.
  2. Crea etiquetas o conoce las etiquetas existentes que quieres usar.

Usa reglas de DLP o la clasificación predeterminada para aplicar etiquetas automáticamente

Usa reglas de DLP para aplicar etiquetas automáticamente si necesitas usar condiciones o acciones específicas para aplicar etiquetas. Si solo quieres aplicar etiquetas a los archivos nuevos cuando los crean usuarios específicos, usa etiquetas de clasificación predeterminadas.

Cómo funcionan las etiquetas de clasificación predeterminadas

  • Aplica etiquetas a los archivos nuevos y cuando cambia la propiedad de un archivo. La clasificación predeterminada no aplica etiquetas de forma retroactiva a los archivos existentes, a menos que cambie el propietario del archivo.
  • Aplica etiquetas según la unidad organizativa o el grupo del propietario del archivo. La clasificación predeterminada no busca ciertas condiciones en el contenido o los metadatos del archivo.
  • Si los usuarios tienen permiso para cambiar una etiqueta, pueden cambiarla o quitarla después de que se aplique automáticamente.
  • Solo se admiten las etiquetas con un campo de lista de opciones para la clasificación predeterminada.
  • Las etiquetas de clasificación predeterminadas se reemplazan por las etiquetas establecidas por la DLP, incluso si el valor de clasificación de datos es más alto en la lista de opciones.

Cómo funcionan las etiquetas establecidas por las reglas de DLP

  • Aplica etiquetas a los archivos nuevos y existentes.
  • Aplica etiquetas según las condiciones, como el tipo de archivo, las coincidencias de palabras y las coincidencias de cadenas.
  • No puedes aplicar una etiqueta con una regla de DLP que use una etiqueta como condición.
  • Puedes impedir que los usuarios cambien la etiqueta, incluso si tienen permiso para hacerlo. Si la cambian, la DLP volverá a analizar el archivo de inmediato y volverá a la configuración de la etiqueta de DLP.
  • Si tu organización tiene una regla de DLP que bloquea el uso compartido externo, los usuarios fuera de tu organización no podrán ver el historial de versiones de los archivos a los que se les haya aplicado alguna vez una regla de DLP. Esta estipulación incluye las reglas de DLP que aplican etiquetas, pero no bloquean el uso compartido externo.
  • Las reglas de DLP pueden aplicar etiquetas con campos de lista de opciones, incluidas las etiquetas con insignia.

Cómo funcionan las etiquetas de clasificación de IA

  • Aplica etiquetas a los archivos nuevos y existentes.
  • Solo se admiten las etiquetas con un campo de lista de opciones con 2 a 7 valores para la clasificación de IA.
  • Aplica etiquetas después de un período de entrenamiento. Durante el período de entrenamiento, los etiquetadores designados aplican una etiqueta de entrenamiento a, al menos, 100 archivos por opción de campo.
  • Las etiquetas de clasificación de IA se reemplazan por las etiquetas establecidas por la DLP, pero reemplazan las etiquetas de clasificación predeterminadas.

Descubre cómo se resuelven los conflictos de reglas

Los valores de las etiquetas establecidos por las reglas de DLP tienen prioridad sobre la clasificación de IA, y ambos tienen prioridad sobre la clasificación predeterminada.

Cuando 2 o más reglas del mismo tipo intentan aplicar diferentes valores de etiqueta al mismo archivo, se aplica el valor que está más arriba en la lista de opciones de la etiqueta. Por ejemplo, es posible que tengas una etiqueta con un campo que tenga 3 opciones enumeradas en el Administrador de etiquetas:

  1. Confidencial
  2. Interno
  3. Público

Si la Regla 1 intenta establecer la etiqueta como Confidencial y la Regla 2 intenta establecer la etiqueta como Público para el mismo archivo, se aplica Confidencial (Regla 1). Asegúrate de que las opciones de campo de una etiqueta estén enumeradas en el orden de prioridad que prefieras antes de configurar las reglas.

Configura una regla de DLP de Drive para aplicar una etiqueta de clasificación

Comprende el bloqueo de etiquetas

Las etiquetas, los campos y las opciones de campo que están asociados con las reglas de DLP están bloqueados en el Administrador de etiquetas. Esto impide que se editen las etiquetas o los campos que podrían infringir las políticas comerciales. Para desbloquear la etiqueta, el campo o la opción de campo, quítalos de todas las reglas de DLP.

Se permiten las ediciones en el Administrador de etiquetas, como las siguientes:

  • Cambiar el nombre o agregar campos nuevos o opciones de campo
  • No se permite inhabilitar ni borrar etiquetas, campos ni opciones de campo que se usen en las reglas de DLP. Los administradores con el privilegio Administrar etiquetas pueden ver si una etiqueta se usa en una regla, pero no pueden ver la regla en sí, a menos que tengan los privilegios necesarios.

No puedes crear reglas de DLP con etiquetas, campos ni opciones de campo inhabilitados, incluso en borradores de etiquetas publicadas.

Deshaz un cambio global en las etiquetas de Drive

Si aplicas accidentalmente una etiqueta (o una etiqueta y valores de campo) a una amplia variedad de archivos a través de una regla de DLP, puedes usar la DLP para limpiar esos cambios.

Para ello, inhabilita la regla de DLP que aplicó el cambio. La regla quita automáticamente la etiqueta y los valores de campo. También puedes editar la regla de DLP en cuestión para quitar la acción Aplicar etiqueta. Con esta acción, también se quitan la etiqueta y los valores de campo que aplicó la regla. Aplicar este cambio puede demorar unos minutos, unas horas o más, según la cantidad de documentos que se deban actualizar.

Se produce una excepción a esta limpieza si usas la opción Permitir de Selecciona si los usuarios pueden cambiar las etiquetas y los valores de campo que se hayan aplicado a sus archivos. Se quitan las etiquetas y los campos modificados por las reglas de DLP, pero las etiquetas y los valores de campo modificados por el usuario permanecen intactos.

Consulta los eventos de registro de Drive para verificar las acciones

Si quieres investigar qué cambió en un archivo, consulta el registro de auditoría de Drive. En la columna Descripción del evento, se enumeran las acciones de DLP, como Se aplicó la etiqueta Contrato de la regla de DLP. Para obtener más información, consulta Eventos de registro de Drive.

Los análisis de DLP tardan más de lo que esperaba. ¿Qué sucede?

Usar la DLP para aplicar etiquetas automáticamente te permite realizar cambios en varios documentos en Drive. Esto puede hacer que se vean afectados más archivos de lo que esperas. Las reglas que actualizan una gran cantidad de archivos pueden tardar más en procesarse que las reglas que solo afectan a una pequeña cantidad de archivos. Te recomendamos que pruebes una regla que aplique una etiqueta en una muestra pequeña antes de aplicarla a gran escala.