Combinar reglas de DLP con condiciones de acceso contextual

Para tener más control sobre qué usuarios y dispositivos pueden transferir contenido sensible, puedes combinar reglas de Prevención de la pérdida de datos (DLP) con condiciones de acceso contextual, como la ubicación del usuario, el estado de seguridad del dispositivo (gestionado, cifrado) y la dirección IP. Cuando añades una política de acceso contextual a una regla de DLP, esta solo se aplica si se cumplen las condiciones contextuales. 

Por ejemplo, puedes crear una regla de DLP que bloquee las descargas de contenido sensible solo cuando los usuarios:

  • No pertenezcan a la red corporativa
  • Inicien sesión desde países de riesgo específicos
  • Utilicen dispositivos no aprobados por el administrador

Puedes combinar reglas de DLP con condiciones contextuales para controlar estas operaciones:

Chrome: subir archivos (por ejemplo, adjuntar un archivo), subir contenido web (contenido pegado), descargar e imprimir páginas.

Drive (beta): copiar, descargar e imprimir archivos de Drive por parte de usuarios con permiso para ver o comentar.

Requisitos

Edición de Workspace
Chrome Enterprise Premium

(Obligatorio para DLP de Chrome, pero no para DLP de Drive)

Versión de Chrome

Chrome 105 o una versión posterior

(Obligatorio para DLP de Chrome, pero no para DLP de Drive)

Verificación de puntos finales En dispositivos de sobremesa, la verificación de endpoints debe estar activada para aplicar condiciones contextuales basadas en el dispositivo. (No es obligatorio para atributos no basados en dispositivos como la dirección IP y la región).
Gestión de dispositivos móviles En dispositivos móviles se debe implementar obligatoriamente la gestión básica o avanzada.
Privilegios de administrador Para crear niveles de acceso:
Servicios > Seguridad de los datos > Gestión del nivel de acceso
Para usar niveles de acceso en las reglas de DLP:
Servicios > Seguridad de los datos > Gestión del nivel de acceso o
Servicios > Seguridad de los datos > Gestión de reglas

Configurar Chrome para implementar reglas de forma obligatoria

Para integrar las funciones de DLP con Chrome, debes configurar las políticas del conector de Chrome Enterprise.

Crear niveles de acceso

  • Para consultar tus niveles de acceso, ve a Seguridad > Acceso y control de datos > Acceso contextual > Niveles de acceso.
  • Puedes crear un nivel de acceso antes de crear una regla de DLP o durante la creación de reglas. Si vas a crearlo antes de la regla de DLP, consulta las instrucciones sobre cómo crear niveles de acceso. En los ejemplos siguientes, se crea el nivel de acceso durante la creación de reglas de DLP.
  • Puedes asignar un solo nivel de acceso a una regla de DLP. Para crear condiciones complejas con varios niveles de acceso, usa el modo avanzado.

Ejemplos de reglas de DLP y de acceso contextual

En los ejemplos siguientes se muestra cómo combinar reglas de DLP con niveles de acceso contextual para que la aplicación de reglas dependa de la dirección IP, la ubicación o el estado del dispositivo de los usuarios.

En estos ejemplos se incluyen los pasos necesarios para crear niveles de acceso durante la creación de reglas de DLP. Si ya has creado niveles de acceso, puedes omitir estos pasos al crear la regla.

Ejemplo 1: Bloquear la descarga de contenido sensible en dispositivos que no pertenezcan a la red corporativa (Chrome)
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Reglasy luegoCrear reglay luegoProtección de datos para obtener más información.
  3. Da un nombre a la regla y añade una descripción.
  4. En la sección Ámbito, selecciona Todos los de <nombre.de.dominio> o busca e incluye o excluye unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en relación con la inclusión o la exclusión, el grupo tendrá prioridad.
  5. Haz clic en Continuar.
  6. En Aplicaciones, ve a Chrome y marca Archivo descargado
  7. Haz clic en Continuar.
  8. En la sección Condiciones, haz clic en Añadir condición.
  9. En Tipo de contenido para escanear, selecciona Todo el contenido.
  10. En Qué se va a buscar en el análisis, elige un tipo de análisis de DLP y selecciona los atributos. Para obtener más información sobre los atributos disponibles, consulta el artículo Crear reglas de DLP.
  11. En la sección Condiciones de contexto, haz clic en Selecciona un nivel de acceso para mostrar tus niveles de acceso.
  12. Haz clic en Crear nivel de acceso.
  13. Introduce un nombre y una descripción para el nuevo nivel de acceso.
  14. En Condiciones de contexto, haz clic en Añadir condición.
  15. Selecciona No cumple uno o varios atributos.
  16. Haz clic en Seleccionar atributoy luegoSubred de direcciones IP y, a continuación, introduce la dirección IP de tu red corporativa. Es una dirección IPv4 o IPv6, o bien un prefijo de enrutamiento en la notación en bloques CIDR.
    • No se admiten direcciones IP privadas (incluidas las redes domésticas del usuario).
    • Se admiten direcciones IP estáticas.
    • Para utilizar una dirección IP dinámica, debes definir una subred IP estática para el nivel de acceso. Si conoces el intervalo de la dirección IP dinámica y la dirección IP estática definida en el nivel de acceso lo cubre, se cumple la condición del contexto. Si la dirección IP dinámica no se encuentra en la subred IP estática definida, no se cumple la condición del contexto.
  17. Haz clic en Crear. Volverás a la página Crear regla. El nuevo nivel de acceso se añadirá a la lista y los atributos se mostrarán a la derecha.
  18. Haz clic en Continuar.
  19. En la página Acciones, elige Bloquear para la acción de Chrome.

    Nota: La acción solo se aplica cuando se cumplen las condiciones de contenido y las condiciones de contexto.

  20. (Opcional) Elige el nivel de gravedad de la alerta (Baja, Media o Alta) y si quieres enviar alertas y notificaciones por correo electrónico.
  21. Haz clic en Continuar para revisar los detalles de la regla.
  22. Elige un estado para la regla:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ha aplicado. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Para activar la regla más tarde, ve a Seguridad y, a continuación, a Acceso y control de datos > Protección de datos > Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  23. Haz clic en Create (Crear).

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Ejemplo 2: Bloquear la descarga de contenido sensible para un usuario que inicia sesión desde países de riesgo específicos (Chrome)
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Reglasy luegoCrear reglay luegoProtección de datos para obtener más información.
  3. Da un nombre a la regla y añade una descripción.
  4. En la sección Ámbito, selecciona Todos los de <nombre.de.dominio> o busca e incluye o excluye unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en relación con la inclusión o la exclusión, el grupo tendrá prioridad.
  5. Haz clic en Continuar.
  6. En Aplicaciones, ve a Chrome y marca Archivo descargado
  7. Haz clic en Continuar.
  8. En la sección Condiciones, haz clic en Añadir condición.
  9. En Tipo de contenido para escanear, selecciona Todo el contenido.
  10. En Qué se va a buscar en el análisis, elige un tipo de análisis de DLP y selecciona los atributos. Para obtener más información sobre los atributos disponibles, consulta el artículo Crear reglas de DLP.
  11. En la sección Condiciones de contexto, haz clic en Selecciona un nivel de acceso para mostrar tus niveles de acceso.
  12. Haz clic en Crear nivel de acceso.
  13. Introduce un nombre y una descripción para el nuevo nivel de acceso.
  14. En Condiciones de contexto, haz clic en Añadir condición.
  15. Selecciona Cumple con todos los atributos
  16. Haz clic en Seleccionar atributoy luegoUbicación y, a continuación, elige un país de la lista desplegable.
  17. (Opcional) Para añadir más países, haz clic en Añadir condición y repite el paso 16.
  18. (Opcional) Si has seleccionado más de un país, selecciona O en la opción Unir varias condiciones con la función de activar, situada encima de Condiciones. Esto significa que la regla de DLP se aplicará si los usuarios inician sesión desde cualquiera de los países seleccionados.
  19. Haz clic en Create (Crear). Volverás a la página Crear regla. El nuevo nivel de acceso se añadirá a la lista y los atributos se mostrarán a la derecha.
  20. Haz clic en Continuar.
  21. En la página Acciones, elige Bloquear para la acción de Chrome.

    Nota: La acción solo se aplica cuando se cumplen las condiciones de contenido y las condiciones de contexto.

  22. (Opcional) Elige el nivel de gravedad de la alerta (Baja, Media o Alta) y si quieres enviar alertas y notificaciones por correo electrónico.
  23. Haz clic en Continuar para revisar los detalles de la regla.
  24. Elige un estado para la regla:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ha aplicado. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Para activar la regla más tarde, ve a Seguridad y, a continuación, a Acceso y control de datos > Protección de datos > Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  25. Haz clic en Create (Crear).

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Ejemplo 3: Bloquear la descarga de contenido sensible en un dispositivo que no esté aprobado por el administrador (Drive) (beta)
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Reglasy luegoCrear reglay luegoProtección de datos para obtener más información.
  3. Da un nombre a la regla y añade una descripción.
  4. En la sección Ámbito, selecciona Todos los de <nombre.de.dominio> o busca e incluye o excluye unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en relación con la inclusión o la exclusión, el grupo tendrá prioridad.
  5. Haz clic en Continuar.
  6. En Aplicaciones, ve a Google Drive y marca la opción Archivos de Drive
  7. Haz clic en Continuar.
  8. En la sección Condiciones, haz clic en Añadir condición.
  9. En Tipo de contenido para escanear, selecciona Todo el contenido.
  10. En Qué se va a buscar en el análisis, elige un tipo de análisis de DLP y selecciona los atributos. Para obtener más información sobre los atributos disponibles, consulta el artículo Crear reglas de DLP.
  11. En la sección Condiciones de contexto, haz clic en Selecciona un nivel de acceso para mostrar tus niveles de acceso.
  12. Haz clic en Crear nivel de acceso.
  13. Introduce un nombre y una descripción para el nuevo nivel de acceso.
  14. En Condiciones de contexto, haZ clic en Añadir condición.
  15. Selecciona No cumple uno o varios atributos.
  16. Haz clic en Seleccionar atributoy luegoDispositivo y, a continuación, elige Aprobado por el administrador en la lista desplegable.
  17. Haz clic en Create (Crear). Volverás a la página Crear regla. El nuevo nivel de acceso se añadirá a la lista y los atributos se mostrarán a la derecha.
  18. Haz clic en Continuar.
  19. En la página Acciones, en el caso de la acción de Google Drive, selecciona Inhabilitar las funciones de descarga, impresión y copia para comentadores y lectores.

    Nota: La acción solo se aplica cuando se cumplen las condiciones de contenido y las condiciones de contexto.

  20. (Opcional) Elige el nivel de gravedad de la alerta (Baja, Media o Alta) y si quieres enviar alertas y notificaciones por correo electrónico.
  21. Haz clic en Continuar para revisar los detalles de la regla.
  22. Elige un estado para la regla:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ha aplicado. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Para activar la regla más tarde, ve a Seguridad y, a continuación, a Acceso y control de datos > Protección de datos > Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  23. Haz clic en Create (Crear).

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información

Ejemplo 4: Bloquear las navegaciones de Chrome a "salesforce.com/admin" en dispositivos no gestionados (Chrome)

En este ejemplo, el usuario se bloquea si intenta navegar hasta la consola de administración de Salesforce (salesforce.com/admin) con un dispositivo no gestionado. Los usuarios seguirían teniendo acceso a otras partes de la aplicación Salesforce.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. Ve a Reglasy luegoCrear reglay luegoProtección de datos para obtener más información.
  3. Da un nombre a la regla y añade una descripción.
  4. En la sección Ámbito, selecciona Todos los de <nombre.de.dominio> o busca e incluye o excluye unidades organizativas o grupos a los que se aplique la regla. Si hay un conflicto entre las unidades organizativas y los grupos en relación con la inclusión o la exclusión, el grupo tendrá prioridad.
  5. Haz clic en Continuar.
  6. En Aplicaciones, ve a Chrome y marca la opción URL visitada
  7. Haz clic en Continuar.
  8. En la sección Condiciones, haz clic en Añadir condición y selecciona los siguientes valores:
    1. Tipo de contenido que se va a analizar: URL
    2. Lo que se debe buscar: contiene la cadena de texto.
    3. Contenido que debe coincidir: salesforce.com/admin
  9. En la sección Condiciones de contexto, haz clic en Selecciona un nivel de acceso para mostrar tus niveles de acceso.
  10. Haz clic en Crear nivel de acceso.
  11. Introduce un nombre y una descripción para el nuevo nivel de acceso.
  12. En Condiciones contextuales, haz clic en la pestaña Avanzada.
  13. En el cuadro de texto, introduce lo siguiente: 
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    Más información sobre el modo avanzado

  14. Haz clic en Crear. Volverás a la página Crear regla. El nuevo nivel de acceso se añadirá a la lista y los atributos se mostrarán a la derecha.
  15. Haz clic en Continuar.
  16. En la página Acciones, elige Bloquear para la acción de Chrome.

    Nota: La acción solo se aplica cuando se cumplen las condiciones de contenido y las condiciones de contexto.

  17. (Opcional) Elige el nivel de gravedad de la alerta (Baja, Media o Alta) y si quieres enviar alertas y notificaciones por correo electrónico.
  18. Haz clic en Continuar para revisar los detalles de la regla.
  19. Elige un estado para la regla:
    • Activa: la regla se ejecuta inmediatamente.
    • Inactiva: la regla existe, pero no se ha aplicado. Esta opción te permite revisar la regla y compartirla con otros miembros del equipo antes de implementarla. Para activar la regla más tarde, ve a Seguridad y, a continuación, a Acceso y control de datos > Protección de datos > Gestionar reglas. Haz clic en Inactiva y selecciona Activa para cambiar el estado de la regla. Una vez activada, la regla se ejecuta y DLP busca contenido sensible.
  20. Haz clic en Crear.

Nota: Si una URL que has filtrado se ha visitado recientemente, se almacenará en la caché durante varios minutos y es posible que no se filtre correctamente mediante una regla nueva (o modificada) hasta que la caché se borre de dicha URL. Espera aproximadamente cinco minutos antes de probar una regla nueva o modificada.

Preguntas frecuentes

¿Cómo se comportan las reglas de CAA + DLP en versiones anteriores de Chrome?

En versiones anteriores de Chrome, se ignoran las condiciones contextuales. Las reglas se comportan como si solo se hubieran establecido condiciones de contenido.

¿Las reglas del navegador gestionado funcionan en modo de incógnito?

No, las reglas no se aplican en modo Incógnito.Los administradores pueden impedir que se inicie sesión en las aplicaciones de Workspace o SaaS desde el modo de incógnito de Chrome aplicando de forma obligatoria el acceso contextual en el momento del inicio de sesión.

¿Es necesario que los navegadores gestionados y los usuarios gestionados estén en la misma empresa para que se aplique la regla?

Si el navegador gestionado y el usuario del perfil gestionado pertenecen a la misma empresa, se aplicarán las reglas de DLP a nivel de navegador y de usuario.

Si el navegador gestionado y el usuario del perfil gestionado pertenecen a empresas diferentes, solo se aplicarán las reglas de DLP a nivel de navegador. La condición del contexto siempre se considerará una coincidencia y se aplicará el resultado más estricto.No afecta a las condiciones basadas en IP o en regiones.

¿Son compatibles los mismos niveles de acceso en la consola de administración y en la consola de Google Cloud Platform?

En la consola de administración, no se admiten todos los atributos que admite la consola de GCP. Por lo tanto, cualquier nivel de acceso básico creado en la consola de GCP que incluya estos atributos se puede asignar en la consola de administración, pero no se puede editar desde ahí.

En la página Reglas de la consola de administración, puedes asignar niveles de acceso creados por GCP, pero no puedes ver los detalles de las condiciones de los niveles con atributos no admitidos.

¿Por qué no aparece la tarjeta de condiciones contextuales al crear una regla?
  • Asegúrate de tener el privilegio de administrador Servicios > Seguridad de los datos > Nivel de acceso, que es necesario para ver las condiciones del contexto durante la creación de reglas de DLP.
  • La tarjeta de condiciones contextuales solo se muestra cuando seleccionas activadores de Chrome durante la creación de reglas.
¿Qué ocurre si se elimina un nivel de acceso asignado?

Si se elimina un nivel de acceso asignado, las condiciones del contexto se establecen de forma predeterminada en "true" y la regla se comporta como una regla de solo contenido. Ten en cuenta que la regla se aplicará a más dispositivos o casos prácticos de los que tenías previsto inicialmente.

¿Debería habilitarse CAA para que las condiciones contextuales funcionen en las reglas?

No. La evaluación del nivel de acceso en las reglas es independiente de la configuración de CAA. La activación y la asignación de la autoridad de certificación no deben afectar a las reglas.

¿Qué ocurre si la condición de la regla está vacía?

De forma predeterminada, las condiciones vacías se evalúan como verdaderas. Esto significa que, para una regla de solo CAA, las condiciones de contenido se pueden dejar vacías. Ten en cuenta que si las condiciones de contenido y de contexto se dejan vacías, la regla siempre se activará.

¿Se activará una regla si solo se cumple una de las condiciones?

No, la regla solo se activa cuando se cumplen tanto el contenido como las condiciones contextuales.

¿Por qué veo eventos de registro en los que se indica que DLP no se ha aplicado?

DLP y CAA dependen de servicios en segundo plano que pueden interrumpirse periódicamente. Si se produce una interrupción en el servicio mientras se aplican las reglas, no se aplica ninguna. Cuando esto ocurre, se registra un evento en el registro de reglas y en el registro de Chrome.

¿Cómo funcionan las condiciones contextuales cuando la verificación de puntos finales no está instalada?

En el caso de los atributos basados en el dispositivo, las condiciones contextuales se considerarán una coincidencia y se aplicará el resultado más estricto. En el caso de los atributos que no están basados en dispositivos (como la dirección IP o la región), no hay ningún cambio.

¿Puedo ver la información de nivel de acceso de las reglas activadas en la herramienta de investigación de seguridad?

Sí. Para ver la información del nivel de acceso, busca Eventos de registro de reglas o Eventos de registro de Chrome en la columna Nivel de acceso de los resultados de búsqueda.

¿La solución del usuario final está disponible para las condiciones contextuales de las reglas?

No. La solución para usuarios finales aún no está disponible en estos flujos.

Temas relacionados

Usar DLP de Workspace para evitar la pérdida de datos

Acerca del acceso contextual

Usar Chrome Enterprise Premium para integrar DLP con Chrome

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
12769859986655684564
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false