Crea reglas y detectores de contenido personalizados de DLP para Drive

Las condiciones de la regla de DLP determinan qué tipo de contenido sensible detectará la regla. Consulta los ejemplos de reglas de DLP a continuación para ver ejemplos básicos. Una regla puede necesitar solo una condición o combinar varias con los operadores AND, OR o NOT. Consulta Ejemplos de operadores de condiciones anidadas de las reglas de la DLP para Drive para ver ejemplos de condiciones anidadas.

• Para detectar información personal estándar, como el número de la licencia de conducir o el ID del contribuyente, tu regla puede usar detectores de contenido predefinidos. Consulta Cómo usar detectores de contenido predefinidos para obtener una lista completa de los detectores disponibles.
• Las condiciones de tus reglas también pueden usar detectores de contenido personalizados que crees, como un detector de contenido que contenga una lista de palabras o una expresión regular. Para obtener instrucciones, consulta el paso 2. Crea un detector personalizado.

Para obtener sugerencias sobre cómo mejorar las pruebas de reglas, incluida la configuración de un entorno de pruebas de reglas, consulta Prácticas recomendadas para realizar pruebas de reglas más rápidas.

Puedes crear una regla solo de auditoría para probar las reglas que crees en DLP. Esto te permite probar el impacto potencial de una regla para Google Drive. Al igual que todas las reglas, estas se activan, pero, en este caso, no realizan ninguna acción, sino que escriben los resultados en el registro de auditoría de reglas y en la herramienta de investigación.

Para obtener sugerencias sobre cómo mejorar las pruebas de reglas, incluida la configuración de un entorno de pruebas de reglas, consulta Prácticas recomendadas para realizar pruebas de reglas más rápidas.

Para crear y usar una regla de solo auditoría, haz lo siguiente:

1. Sigue los pasos para crear reglas que se indican en el paso 3. Crea reglas.
2. Cuando llegues a la sección Acción de la creación de reglas, no selecciones ninguna acción. Las acciones son opcionales. La regla se activará sin una acción asociada, y todos los incidentes se registrarán en el registro de auditoría de reglas. En este caso, la regla muestra la designación Solo auditoría en la sección Acción.
3. Continúa y completa la configuración de la regla. Asegúrate de que la regla esté Activa.
4. Prueba la funcionalidad por tu cuenta o espera a que los usuarios de tu dominio compartan de forma natural datos que podrían verse afectados por esta regla.
5. Consulta el registro de auditoría de reglas. Para obtener más información, consulta el Registro de auditoría de reglas o la Herramienta de investigación. El registro de auditoría mostrará las reglas sin acciones activadas cuando uses una regla de solo auditoría.

6. Cuando te asegures de que la regla está configurada exactamente como deseas, cámbiala para que se aplique una acción (como se describe en el paso 3). Crear reglas).

Las reglas recomendadas son reglas de DLP que se te recomiendan según los resultados del informe de recomendaciones para la protección de datos. Por ejemplo, si el informe indica que los números de pasaporte son un tipo de datos compartido en tu organización, la DLP recomienda una regla para evitar que se compartan.

Solo recibirás recomendaciones de reglas si tienes activado el informe de Recomendaciones para la protección de datos. Consulta Cómo evitar la filtración de datos con las reglas recomendadas de Protección de datos para obtener más detalles.

• Grupos dinámicos: Administra las membresías automáticamente cuando los usuarios se unen a tu organización, se mueven dentro de ella o la abandonan. Los grupos dinámicos, disponibles en la Consola del administrador o con la API de Cloud Identity, te ayudan a reducir el tiempo que dedicas a administrar la membresía de los grupos de forma manual. Para usar un grupo dinámico en una regla de DLP, asegúrate de que también sea un grupo de seguridad (que tenga la etiqueta Seguridad). Obtén más información sobre los grupos dinámicos.

• Grupos de seguridad: Convierte un grupo estándar o dinámico en un grupo de seguridad, lo que te ayuda a regular, auditar y supervisar el grupo para controlar los permisos y el acceso. Puedes crear grupos de seguridad en la Consola del administrador o con la API de Cloud Identity Groups agregándoles la etiqueta Seguridad. Obtén más información sobre los grupos de seguridad.

• Grupos migrados: Usa Google Cloud Directory Sync (GCDS) para sincronizar los grupos que creas en Microsoft Active Directory o en otras herramientas con Google Workspace. Luego, usas esos grupos sincronizados en las reglas de la DLP. Obtén más información sobre GCDS.

Estas son instrucciones generales para crear un detector personalizado, en caso de que necesites usar uno en las condiciones de las reglas.

Crea un detector de DLP para usar con reglas

Antes de comenzar, accede a tu Cuenta de administrador avanzado o a una cuenta de administrador delegado con los siguientes privilegios:

• Privilegios de administrador de la unidad organizacional.
• Privilegios del administrador de grupos.
• Privilegios para ver y administrar la regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Administrar para tener acceso completo a la creación y edición de reglas. Te recomendamos crear una función personalizada que tenga ambos privilegios.
• Privilegios de Ver metadatos y atributos (obligatorios únicamente para el uso de la herramienta de investigación): Centro de seguridadHerramienta de investigaciónReglaVer metadatos y atributos.

Obtén más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar detectores.
3. Haz clic en Agregar detector. Agrega el nombre y la descripción.

   Puedes seleccionar:

   • Expresión regular: Una expresión regular, también conocida como regex, es un método que permite que el texto coincida con distintos patrones. Haz clic en Probar expresión para verificar la expresión regular. Consulta Ejemplos de expresiones regulares.
   • Lista de palabras: Es una lista de palabras personalizada que creas. Es una lista de palabras separadas por comas que se deben detectar. Se ignoran las mayúsculas y los símbolos. Solo se consideran coincidencias las palabras completas. Puedes agregar un mensaje emergente para que aparezca cuando se detecte contenido. Las palabras de los detectores de listas de palabras deben contener al menos 2 caracteres que sean letras o dígitos.
4. Haz clic en Crear. Más adelante, usa el detector personalizado cuando agregues condiciones a una regla.

Antes de comenzar, accede a tu Cuenta de administrador avanzado o a una cuenta de administrador delegado con los siguientes privilegios:

• Privilegios de administrador de la unidad organizacional.
• Privilegios del administrador de grupos.
• Privilegios para ver y administrar la regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Administrar para tener acceso completo a la creación y edición de reglas. Te recomendamos crear una función personalizada que tenga ambos privilegios.

Para obtener información sobre los privilegios requeridos solo para la herramienta de investigación, consulta Privilegios de administrador para la herramienta de investigación de seguridad.

Obtén más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar reglas. Luego, haz clic en Agregar reglaRegla nueva o en Agregar reglaRegla nueva a partir de plantilla. En el caso de las plantillas, selecciona una en la página Plantillas.
3. Agrega el nombre y la descripción de la regla.
4. En la sección Apps, selecciona Google Drive Archivos de Drive.
5. Haz clic en Continuar.
6. En la sección Acciones, puedes seleccionar de forma opcional la acción que se realizará si se detectan datos sensibles en el análisis:

   ¿Quieres probar una regla antes de agregarle una acción?
   Puedes crear una regla de solo auditoría para probar una regla que escribe en el registro de auditoría sin realizar ninguna acción. Seleccionar una acción es opcional. Para obtener más información, consulta Cómo usar reglas solo de auditoría para probar los resultados de las reglas (opcional, pero recomendado).

   • Bloquear uso compartido externo: Impide que se comparta el documento.
   • Advertencia sobre el uso compartido externo: Si un usuario intenta compartir el archivo, se le advierte que contiene contenido sensible. Pueden cancelar la acción o hacer clic en "Compartir igualmente".

     Nota: Si habilitas las alertas para esta acción, se activarán cuando se detecte contenido sensible, independientemente de si el archivo se compartió en ese momento. Por lo general, la detección se produce después de que se crea o actualiza un archivo, o después de que cambian las reglas aplicadas al archivo (por ejemplo, se crea o actualiza una regla). También puede ocurrir cuando una actualización del sistema mejora la capacidad de detección. Los eventos de detección se registran en el registro de reglas.

   • Inhabilitar la opción para descargar, imprimir y copiar: Impide que se descarguen, impriman y copien archivos, a menos que el usuario tenga privilegios de editor o superiores. Esta función es la administración de derechos sobre la información (IRM) de DLP y usa la configuración de uso compartido de Drive como políticas, de modo que los usuarios no pueden descargar, imprimir ni copiar documentos, hojas de cálculo ni presentaciones de Google Drive en ninguna plataforma. Consulta las Preguntas frecuentes sobre el IRM para obtener más información.
   • Aplicar etiquetas de clasificación: Aplica una etiqueta de clasificación existente a los archivos coincidentes. Sigue estos pasos para configurar la cuenta:
     1. Elige una etiqueta disponible en la lista desplegable Etiqueta de clasificación y, luego, selecciona un Campo y una Opción de campo disponibles para la etiqueta. Solo se admiten las etiquetas con insignia y las etiquetas estándar con el tipo de campo Lista de opciones. Para obtener más información, consulta Primeros pasos como administrador de etiquetas de clasificación.
     2. (Opcional) Haz clic en Agregar etiqueta para agregar etiquetas adicionales.
     3. Elige si permitirás que los usuarios cambien las etiquetas y los valores de campo que se hayan aplicado a sus archivos.
7. En la sección Alertas, elige un nivel de gravedad (Bajo, Medio o Alto). El nivel de gravedad afecta la forma en que se registran los incidentes en el panel de incidentes de DLP (la cantidad de incidentes con gravedad alta, media o baja) a lo largo del tiempo.
8. De manera opcional, marca Centro de alertas para activar las notificaciones. Las alertas solo son compatibles con Google Drive. Consulta Cómo ver los detalles de las alertas para obtener más información.

   Marca la casilla para alertar a todos los administradores avanzados o agrega las direcciones de correo electrónico de los destinatarios adicionales. Solo se pueden agregar los destinatarios que pertenecen al usuario. Se ignoran los destinatarios externos. Los destinatarios pueden ser usuarios o grupos. Recuerda que debes configurar el acceso para los grupos seleccionados de modo que puedan recibir el correo electrónico que se les envía. Consulta Cómo configurar las notificaciones por correo electrónico del Centro de alertas para obtener detalles sobre cómo configurar el acceso a grupos para las notificaciones por correo electrónico.

   Las alertas se muestran en el Centro de alertas. Ten en cuenta que hay un retraso entre el momento en que se activa una alerta y el momento en que se registra. Hay un retraso entre el momento en que se muestra una alerta en el Centro de alertas y el momento en que se actualizan el registro de auditoría de reglas y los paneles de seguridad de DLP. Es posible que recibas una alerta y veas el resumen de la alerta. Sin embargo, el recuento de incidentes en los paneles o los registros de auditoría de la Herramienta de investigación tardan en actualizarse. Puede haber hasta 50 alertas por regla al día. Las alertas se producen hasta que se alcanza este umbral.

9. Haz clic en Continuar.
10. En la sección Permiso, elige Todo en <domain.name> o elige aplicar esta regla solo a los usuarios de las unidades organizativas o los grupos seleccionados. Si existe un conflicto entre las unidades organizativas y los grupos en términos de inclusión o exclusión, el grupo tiene prioridad.

    Nota: Si deseas aplicar la regla a un grupo dinámico, el grupo también debe tener la etiqueta Seguridad. Para obtener más información, consulta ¿Qué tipos de grupos puedo seleccionar para el alcance de una regla?.

11. En la sección Condiciones, haz clic en Agregar condición.
12. Elige el tipo de contenido que se analizará:
    • Todo el contenido: Todo el documento, incluido el título, el cuerpo y los cambios sugeridos
    • Cuerpo: Cuerpo del documento
    • Etiqueta de clasificación: Son las etiquetas que se aplican al documento. Para obtener más información, consulta Primeros pasos como administrador de etiquetas de clasificación.
    • Cambios sugeridos: Contenido agregado al documento en el modo de sugerencias
    • Título: Título del documento
13. Elige Qué analizar y, luego, completa los atributos necesarios para ese tipo de análisis, que se enumeran en la siguiente tabla.

    Ten en cuenta que las opciones de Qué analizar varían según el Tipo de contenido para analizar que elegiste en el paso anterior. Por ejemplo, si eliges "Título" como el tipo de contenido para analizar, las opciones de Qué analizar incluirán Termina con y Comienza con.

    Qué buscar	Atributos
    Coincide con el tipo de datos predefinido	Tipo de datos: Selecciona un tipo de datos predefinido. Obtén más información sobre los tipos de datos predefinidos aquí. Umbral de probabilidad: Selecciona un umbral de probabilidad. Los umbrales disponibles son los siguientes: Muy bajo Baja Medio Alta Muy alto Estos umbrales reflejan la confianza del sistema de DLP en el resultado de la coincidencia. En general, el umbral Muy alto coincidirá con menos contenido y será más preciso. El umbral Muy bajo es una red más amplia que se espera que coincida con más archivos, pero tendrá una precisión menor. Cantidad mínima de coincidencias únicas: Es la cantidad mínima de veces que un resultado coincidente debe aparecer de forma única en un documento para activar la acción. Recuento mínimo de coincidencias: Es la cantidad mínima de veces que deben aparecer los resultados coincidentes en un documento para activar la acción. ¿Cómo funcionan la cantidad mínima de coincidencias y la cantidad mínima de coincidencias únicas? Por ejemplo, piensa en dos listas de números de seguridad social: la primera tiene 50 copias del mismo número exacto y la segunda tiene 50 números únicos. En este caso, si el valor de Recuento mínimo de coincidencias es igual a 10, los resultados se activarán en ambas listas, ya que hay al menos 10 coincidencias en ambas. O bien, si el valor de Coincidencias únicas mínimas es igual a 10 y el valor de Recuento mínimo de coincidencias es igual a 1, los resultados se activarán solo en la segunda lista, ya que hay 10 coincidencias y todas coinciden con valores únicos.
    Contiene una cadena de texto	Ingresa el contenido que debe coincidir: Ingresa un substring, un número o algunos otros caracteres para realizar la búsqueda. Especifica si el contenido distingue mayúsculas de minúsculas. Si se trata de una subcadena, la regla puede contener la palabra clave y, si el documento contiene la palabra clave, se produce una coincidencia.
    Contiene la palabra	Ingresa el contenido que coincida: Ingresa la palabra, el número o los demás caracteres que desees buscar. Solo está disponible si eliges Gmail como la app.
    Coincide con la expresión regular	Nombre de la expresión regular: Es un detector personalizado de expresiones regulares. Cantidad mínima de veces que se detecta el patrón: Es la cantidad mínima de veces que el patrón indicado por la expresión regular debe aparecer en un documento para activar la acción.
    Coincide con palabras de la lista	Nombre de la lista de palabras: Selecciona una lista de palabras personalizada. Modo de coincidencia: Selecciona Coincidir con cualquier palabra o Coincidir con la cantidad mínima de palabras únicas. Cantidad total mínima de veces que se detecta una palabra: Es la cantidad mínima de veces que se debe detectar una palabra para que se active la acción. Cantidad mínima de palabras únicas detectadas: Es la cantidad mínima de palabras únicas que se deben detectar para que se active la acción (solo está disponible para la opción Coincidir con la cantidad mínima de palabras únicas).
    Termina con	Ingresa el contenido que coincida: Ingresa la palabra, el número o los demás caracteres que desees buscar. Especifica si el contenido distingue mayúsculas de minúsculas.
    Comienza con	Ingresa el contenido que coincida: Ingresa la palabra, el número o los demás caracteres que desees buscar. Especifica si el contenido distingue mayúsculas de minúsculas.
    Es (solo el tipo de contenido Etiqueta de clasificación)	Etiqueta de clasificación: Elige una etiqueta de clasificación disponible en la lista desplegable. Campo de etiqueta: Elige un campo de etiqueta disponible para la etiqueta de Drive seleccionada. Opción de campo: Elige una opción de campo disponible para el campo seleccionado.

    Puedes usar los operadores AND, OR o NOT con condiciones. Consulta Ejemplos de operadores de condiciones anidadas de las reglas de la DLP de Drive para obtener detalles sobre el uso de los operadores AND, OR o NOT con condiciones.

    Nota: Si creas una regla de DLP sin condiciones, la regla aplicará la acción especificada a todos los archivos de Drive.

14. Haz clic en Continuar y revisa los detalles de la regla.
15. En la sección Estado de la regla, elige un estado inicial para la regla:
    • Activa: Tu regla se ejecuta de inmediato.
    • Inactiva: Tu regla existe, pero no se ejecuta de inmediato. Esto te brinda tiempo para revisar la regla y compartirla con los miembros del equipo antes de la implementación. Puedes activar la regla más adelante en SeguridadProtección de datosAdministrar reglas. Haz clic en el estado Inactiva de la regla y selecciona Activa. La regla se ejecuta después de que la activas, y de que DLP realice un análisis en busca de contenido sensible.
16. Haz clic en Crear.

Establece las expectativas del usuario en cuanto al comportamiento y las consecuencias de la nueva regla. Por ejemplo, podrías optar por bloquear el uso compartido externo si se comparten datos sensibles. En ese caso, infórmales a los usuarios que es posible que, a veces, no puedan compartir documentos y explícales por qué podría ocurrir esto.

En este ejemplo, se muestra cómo usar un clasificador predefinido para evitar que los usuarios de organizaciones y grupos específicos compartan datos sensibles. Puedes usar clasificadores predefinidos para especificar los datos que se ingresan con frecuencia. En este ejemplo, esos datos son los números de seguridad social.

Antes de comenzar, asegúrate de haber accedido a tu cuenta de administrador avanzado o a una cuenta de administrador delegado con los privilegios que se indican en Crea una regla de la PPD, más arriba.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar reglas. Luego, haz clic en Agregar reglaRegla nueva.
3. Agrega el nombre y la descripción de la regla.
4. En la sección Apps, selecciona Google Drive Archivos de Drive.
5. Haz clic en Continuar.
6. En la sección Acciones, en Google Drive, selecciona Bloquear uso compartido externo.
7. En la sección Alertas, elige el nivel de gravedad Alto. Selecciona la casilla Centro de alertas para activar una alerta y especifica los destinatarios de correo electrónico.

   Desde el momento en que se activa una alerta hasta que se registra, hay cierto retraso. Los administradores pueden recibir hasta 50 alertas por regla al día, momento en el que se alcanza el umbral.

8. Haz clic en Continuar.
9. En la sección Permiso, elige Aplicar a todo <domain.name>, o bien elige buscar y también incluir o excluir unidades organizativas o grupos a los que se aplica la regla. Si existe un conflicto entre las unidades organizacionales y los grupos en términos de inclusión o exclusión, el grupo tiene prioridad.
10. En la sección Condiciones de contenido, haz clic en Agregar condición y selecciona los siguientes valores:
    • Tipo de contenido que se analizará: Todo el contenido
    • Qué se analizará: Coincide con el tipo de datos predefinido (recomendado)
    • Tipo de datos: Número de seguridad social de Estados Unidos
    • Umbral de probabilidad: Muy alto. Es una medida adicional que se usa para determinar si los mensajes activan la acción.
    • Cantidad mínima de coincidencias únicas: 1 Es la cantidad mínima de veces que debe ocurrir una coincidencia única en un documento para que se active la acción.
    • Cantidad mínima de coincidencias: 1 Es la cantidad de veces que debe aparecer el contenido en un mensaje para activar la acción. Por ejemplo, si seleccionas 2, el contenido debe aparecer al menos dos veces en un mensaje para activar la acción.
11. Haz clic en Continuar.
12. Haz clic en Continuar para revisar los detalles de la regla.
13. En la sección Estado de la regla, elige un estado inicial para la regla:
    • Activa: Tu regla se ejecuta de inmediato.
    • Inactiva: Tu regla existe, pero no se ejecuta de inmediato. Esto te brinda tiempo para revisar la regla y compartirla con los miembros del equipo antes de la implementación. Puedes activar la regla más adelante en SeguridadProtección de datosAdministrar reglas. Haz clic en el estado Inactiva de la regla y selecciona Activa. La regla se ejecuta después de que la activas, y de que DLP realice un análisis en busca de contenido sensible.
14. Haz clic en Crear.

En este ejemplo, se muestra cómo configurar un detector personalizado. Puedes enumerar las palabras que se detectarán en un detector personalizado. Usa la configuración de activadores en las reglas para evitar que los usuarios compartan documentos con destinatarios externos que mencionen datos sensibles, como nombres de proyectos internos.

Antes de comenzar, asegúrate de haber accedido a tu cuenta de administrador avanzado o a una cuenta de administrador delegado con los privilegios que se indican en Crea una regla de la PPD, más arriba.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar detectores. Luego, haz clic en Agregar detectorLista de palabras.
3. Ingresa un nombre y una descripción para el detector.
4. Ingresa las palabras que deseas detectar, separadas por comas. En las listas de palabras personalizadas, haz lo siguiente:
   • Se ignora el uso de mayúsculas. Por ejemplo, BAD coincide con bad, Bad y BAD.
   • Solo se consideran coincidencias las palabras completas. Por ejemplo, si agregas la palabra "malo" a la lista de palabras personalizadas, no se encontrará una coincidencia con "bádminton".
5. Haz clic en Crear.
6. Haz clic en Administrar reglas. Luego, haz clic en Agregar reglaRegla nueva.
7. En la sección Nombre, ingresa el nombre y, de forma opcional, una descripción de la regla.
8. En la sección Apps, selecciona Google Drive Archivos de Drive.
9. En la sección Acciones, en Google Drive, selecciona Bloquear uso compartido externo.
10. En la sección Alertas, elige el nivel de gravedad Alto. Selecciona la casilla Centro de alertas para activar una alerta y especifica los destinatarios de correo electrónico.

    Desde el momento en que se activa una alerta hasta que se registra, hay cierto retraso. Los administradores pueden recibir hasta 50 alertas por regla al día, momento en el que se alcanza el umbral.

11. Haz clic en Continuar.

12. En la sección Permiso, busca y selecciona las unidades organizativas o los grupos a los que se aplica la regla.
13. En la sección Condiciones de contenido, haz clic en Agregar condición y selecciona los siguientes valores:
    • Tipo de contenido que se analizará: Todo el contenido
    • Qué se analizará: Coincide con palabras de la lista
    • Nombre de la lista de palabras: Desplázate para encontrar el detector que creaste anteriormente.
    • Modo de coincidencia: Selecciona un modo de coincidencia:
      • Coincidir con cualquier palabra: Cuenta las coincidencias de cualquier palabra en la lista de palabras predefinida.
      • Coincidir con la cantidad mínima de palabras únicas: Especifica la cantidad mínima de palabras distintas detectadas y la cantidad total mínima de veces que se detecta una palabra (de las palabras en la lista de palabras predefinida).
    • Cantidad total mínima de veces que se detecta una palabra: 1
14. Haz clic en Continuar para revisar los detalles de la regla.
15. En la sección Estado de la regla, elige un estado inicial para la regla:
    • Activa: Tu regla se ejecuta de inmediato.
    • Inactiva: Tu regla existe, pero no se ejecuta de inmediato. Esto te brinda tiempo para revisar la regla y compartirla con los miembros del equipo antes de la implementación. Puedes activar la regla más adelante en SeguridadProtección de datosAdministrar reglas. Haz clic en el estado Inactiva de la regla y selecciona Activa. La regla se ejecuta después de que la activas, y de que DLP realice un análisis en busca de contenido sensible.
16. Haz clic en Crear.

Una plantilla de regla proporciona un conjunto de condiciones que abarcan muchas situaciones típicas de protección de datos. Usa una plantilla de regla para configurar políticas en situaciones comunes de protección de datos.

En este ejemplo, se usa una plantilla de regla para bloquear el envío o el uso compartido de un documento de Drive o un correo electrónico que contenga información de identificación personal (PII) de EE.UU.

Antes de comenzar, asegúrate de haber accedido a tu cuenta de administrador avanzado o a una cuenta de administrador delegado con los privilegios que se indican en Crea una regla de la PPD, más arriba.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar reglas.
3. Haz clic en Agregar reglaRegla nueva a partir de plantilla.
4. En la página Plantillas, haz clic en Prevent PII information sharing (US).
5. Acepta el nombre y la descripción predeterminados de la regla o ingresa valores nuevos.
6. Haz clic en Continuar.
7. Revisa la configuración de las acciones y las alertas, y edítala si es necesario. En Google Drive, se selecciona Bloquear uso compartido externo. Si bloqueas el uso compartido, los usuarios no podrán compartir archivos que cumplan con las condiciones con usuarios ajenos a tu organización. La seguridad está configurada como Baja y las alertas están inhabilitadas.
8. Haz clic en Continuar.
9. Las condiciones ya están preseleccionadas para la plantilla de regla. Revísalas si quieres ver las condiciones específicas que se aplican a la regla.
10. Haz clic en Continuar para revisar los detalles de la regla.
11. En la sección Estado de la regla, elige un estado inicial para la regla:
    • Activa: Tu regla se ejecuta de inmediato.
    • Inactiva: Tu regla existe, pero no se ejecuta de inmediato. Esto te brinda tiempo para revisar la regla y compartirla con los miembros del equipo antes de la implementación. Puedes activar la regla más adelante en SeguridadProtección de datosAdministrar reglas. Haz clic en el estado Inactiva de la regla y selecciona Activa. La regla se ejecuta después de que la activas, y de que DLP realice un análisis en busca de contenido sensible.
12. Haz clic en Crear.

En este ejemplo, se combina una regla de DLP con una condición de Acceso adaptado al contexto. Cuando combinas una regla de la DLP con una condición de contexto, la regla solo se aplica cuando se cumple la condición.

En este ejemplo, la regla de DLP impide que los usuarios de documentos de Google con acceso de lectura o comentario descarguen, impriman o copien contenido sensible. La condición de contexto es que los usuarios accedan al contenido desde dispositivos iOS o Android.

Importante: Para aplicar condiciones de contexto basadas en el dispositivo o en el SO del dispositivo a los dispositivos móviles, se debe habilitar la administración de dispositivos básica o avanzada.

Antes de comenzar, asegúrate de haber accedido a tu cuenta de administrador avanzado o a una cuenta de administrador delegado con los privilegios que se indican en Crea una regla de la PPD, más arriba.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar reglas. Luego, haz clic en Agregar reglaRegla nueva.
3. Agrega un nombre y una descripción para la regla.
4. En la sección Apps, selecciona Google Drive Archivos de Drive.
5. Haz clic en Continuar.
6. En la sección Acciones, para Google Drive, elige Inhabilitar la opción para descargar, imprimir y copiar y selecciona Solo para comentaristas y lectores.

   Nota: La acción solo se aplica cuando se cumplen las condiciones de contenido y las condiciones de contexto.

7. Opcional: Elige un nivel de gravedad de la alerta (Bajo, Medio o Alto) y si deseas enviar notificaciones de alerta y de alerta por correo electrónico.
8. Haz clic en Continuar.
9. En la sección Permiso, busca y selecciona los grupos de unidades organizativas a los que se aplica la regla.
10. En Apps, en Google Drive, marca Archivos de Drive.
11. En la sección Condiciones de contenido, haz clic en Agregar condición.
12. En Tipo de contenido que se analizará, elige Todo el contenido.
13. En Qué se analizará, elige un tipo de análisis de DLP y selecciona atributos. Para obtener más información sobre los atributos disponibles, consulta Cómo crear una regla de DLP.
14. En la sección Condiciones de contexto, haz clic en Seleccionar un nivel de acceso para mostrar tus niveles de acceso existentes.
15. Haz clic en Crear un nuevo nivel de acceso.
16. Ingresa un nombre y una descripción para el nuevo nivel de acceso.
17. En Condiciones de contexto, haz clic en Agregar condición.
18. Selecciona Cumple con todos los atributos.
19. Haz clic en Seleccionar atributoSO del dispositivo, luego en Seleccionar SO y, por último, selecciona iOS en la lista desplegable.
20. En Versión mínima, deja la opción predeterminada Cualquier versión o selecciona una versión específica.
21. Haz clic en Agregar condición y, luego, repite los pasos del 20 al 21, seleccionando Android como el SO del dispositivo.
22. Establece el botón de activación Unir varias condiciones con (ubicado sobre Condiciones) en OR. Esto significa que la regla de DLP se aplicará si los usuarios acceden a contenido sensible con dispositivos iOS o Android.
23. Haz clic en Crear. Volverás a la página Crear regla. Tu nuevo nivel de acceso se agrega a la lista, y sus atributos se muestran a la derecha.
24. Haz clic en Continuar para revisar los detalles de la regla.
25. En la sección Estado de la regla, elige un estado inicial para la regla:
    • Activa: Tu regla se ejecuta de inmediato.
    • Inactiva: Tu regla existe, pero no se ejecuta de inmediato. Esto te brinda tiempo para revisar la regla y compartirla con los miembros del equipo antes de la implementación. Puedes activar la regla más adelante en SeguridadProtección de datosAdministrar reglas. Haz clic en el estado Inactiva de la regla y selecciona Activa. La regla se ejecuta después de que la activas, y de que DLP realice un análisis en busca de contenido sensible.
26. Haz clic en Crear.

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Obtén más información.

Para obtener más ejemplos, consulta Combina reglas de la DLP con condiciones del acceso adaptado al contexto.

Antes de comenzar, accede a tu Cuenta de administrador avanzado o a una cuenta de administrador delegado con los siguientes privilegios:

• Privilegios de administrador de la unidad organizacional.
• Privilegios del administrador de grupos.
• Privilegios para ver y administrar la regla de DLP. Ten en cuenta que debes habilitar los permisos Ver y Administrar para tener acceso completo a la creación y edición de reglas. Te recomendamos crear una función personalizada que tenga ambos privilegios.
• Privilegios de Ver metadatos y atributos (obligatorios únicamente para el uso de la herramienta de investigación): Centro de seguridadHerramienta de investigaciónReglaVer metadatos y atributos.

Obtén más información sobre los privilegios de administrador y cómo crear roles de administrador personalizados.

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosProtección de datos.

   Ir a Protección de datos

   Se requiere tener los privilegios de administrador para ver y administrar la regla de DLP.

2. Haz clic en Administrar reglas o Administrar detectores. La página de reglas se encuentra en Seguridad > Protección de datos > Reglas. La página de detectores se encuentra en Seguridad > Protección de datos > Detectores.

Reglas de clasificación

Puedes ordenar las reglas por las columnas Nombre o Última modificación en orden ascendente o descendente.

1. En la página de reglas, haz clic en el nombre de la columna Nombre o Última modificación.
2. Haz clic en la flecha hacia arriba o hacia abajo para ordenar la columna.

Cómo activar o desactivar reglas

Si activas una regla, la DLP ejecutará un análisis en los documentos que la usen.

1. En la página de reglas, en la columna Estado de una regla, selecciona Activa o Inactiva.
2. Confirma que deseas activar o desactivar la regla.

Cómo borrar una regla

La acción de borrar reglas es permanente.

1. En la página de reglas, apunta a una fila para mostrar el ícono de papelera al final de la fila.
2. Haz clic en la papelera .
3. Verifica que quieres borrar la regla.

Reglas de exportación

Puedes exportar reglas a un archivo .txt.

1. En la página de reglas, haz clic en Exportar reglas.
2. La lista de reglas se descarga en un archivo de texto. Haz clic en el archivo .txt en la esquina inferior izquierda para ver las reglas descargadas.

Cómo editar los detalles de la regla

Cuando editas reglas, se activa un nuevo análisis de los documentos afectados por esas reglas.

1. En la lista de reglas, haz clic en la que deseas editar.
2. Haz clic en Editar regla.
3. Edita la regla según sea necesario. El flujo es el mismo que el de la creación de reglas.
4. Cuando se complete, haz clic en Actualizar y elige una de las siguientes opciones:
   • Activa: Tu regla se ejecuta de inmediato.
   • Inactiva: Tu regla existe, pero no se ejecuta de inmediato. Esto te brinda tiempo para revisar la regla y compartirla con los miembros del equipo antes de la implementación. Puedes activar la regla más adelante en SeguridadProtección de datosAdministrar reglas. Haz clic en el estado Inactiva de la regla y selecciona Activa. La regla se ejecuta después de que la activas, y de que DLP realice un análisis en busca de contenido sensible.
5. Haz clic en Completar.

Investiga una regla con la herramienta de investigación de seguridad

Ediciones compatibles con esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Standard y Education Plus; Enterprise Essentials Plus. Comparar tu edición

La DLP usa la herramienta de investigación de seguridad para mostrar con qué frecuencia se activa una regla. La herramienta muestra los resultados de una búsqueda en la regla y las acciones activadas para cada incidente.

Para usar la herramienta de investigación, debes tener privilegios de Visualizar metadatos y atributos, que se encuentran en Centro de seguridadHerramienta de investigaciónReglaVisualizar metadatos y atributos.

Para investigar una regla, haz lo siguiente:

1. En la lista de reglas, selecciona una fila y haz clic en Investigar regla.
2. Verás los resultados de la búsqueda de la regla. Ten en cuenta que hay un retraso entre el momento en que se activa una regla y el momento en que se actualiza el registro. Ve a Herramienta de investigación para obtener más información.

Nota: Puedes activar o desactivar una regla desde la herramienta de investigación. En la tabla de resultados, apunta al encabezado de la columna ID de regla. Haz clic y, luego, selecciona AccionesActivar regla o AccionesDesactivar regla.

Sugerencia: Para ver los resultados de todas las reglas de DLP, haz clic en Cerrar X para quitar la regla específica.

Cómo filtrar detectores personalizados

Puedes filtrar la lista de detectores personalizados por nombre y tipo.

1. En la página del detector personalizado, haz clic en Agregar un filtro.
2. Filtrar por nombre o tipo de detector:
   • Nombre del detector: Ingresa una cadena para buscar.
   • Tipo de detector: Selecciona un tipo de detector.
3. Haz clic en Aplicar. El filtro permanece hasta que lo descartas.

Exportar detectores

Puedes exportar detectores a un archivo .txt.

1. En la página de detectores, haz clic en Exportar detectores.
2. La lista de detectores se descarga en un archivo de texto. Haz clic en el archivo .txt en la esquina inferior izquierda para ver los detectores descargados .

Cómo editar el detector personalizado de lista de palabras

Cuando editas detectores personalizados que se usan en reglas, se activa un nuevo análisis de los documentos afectados por las reglas que contienen los detectores modificados.

Para editar el nombre y la descripción de un detector personalizado, sigue estos pasos:

1. Haz clic en un detector personalizado de lista de palabras en la lista.
2. Haz clic en Editar información.
3. Edita el título y la descripción.
4. Haz clic en Guardar.

Para agregar palabras a la lista, haz lo siguiente:

1. Haz clic en un detector personalizado de lista de palabras en la lista.
2. Haz clic en Agregar palabras.
3. Agrega palabras a la lista de palabras.
4. Haz clic en Guardar.

Para editar palabras en la lista, sigue estos pasos:

1. Haz clic en un detector personalizado de palabras personalizadas en la lista.
2. Haz clic en Editar palabras.
3. Edita las palabras de la lista.
4. Haz clic en Guardar.

Edita el detector personalizado de expresiones regulares

Cuando editas detectores personalizados que se usan en reglas, se activa un nuevo análisis de los documentos afectados por las reglas que contienen los detectores modificados.

Para editar el nombre, la descripción o la expresión regular del detector personalizado de expresión regular

1. En la página del detector personalizado, haz clic en un detector personalizado de expresiones regulares.
2. En la ventana emergente, edita el título, la descripción o la expresión regular.
3. Si editaste la expresión regular, haz clic en Probar expresión. Ingresa los datos de prueba para verificar.
4. Haz clic en Guardar.

Cómo borrar un detector personalizado

La acción de borrar detectores es permanente.

1. En la página del detector personalizado, apunta a una fila para mostrar el ícono de papelera al final de la fila.
2. Selecciona la papelera .
3. Verifica que quieres borrar el detector.