# Implementación de la política de DLP para endpoints ## Tabla de contenido 1. [Detección de datos](#detección-de-datos) 2. [Prevención de fuga de datos](#prevención-de-fuga-de-datos) - [Acceso a archivos](#acceso-a-archivos) - [Cliente de correo electrónico](#cliente-de-correo-electrónico) - [Dispositivos de almacenamiento extraíbles](#dispositivos-de-almacenamiento-extraíbles) - [Impresoras](#impresoras) - [Carga de archivos](#carga-de-archivos) - [Captura de pantalla](#captura-de-pantalla) - [Restricciones del portapapeles](#restricciones-del-portapapeles) 3. [Falsos positivos y anulaciones](#falsos-positivos-y-anulaciones) 4. [Configuración de alertas por correo electrónico](#configuración-de-alertas-por-correo-electrónico) Después de crear una regla de datos, el siguiente paso crucial es implementarla. Implementar una política garantiza que las reglas de datos se apliquen en los endpoints, brindando protección en tiempo real para la información confidencial en toda la red. 1. Para implementar una política, vaya a **Implementación de políticas -> Asociar política**. 2. En la opción Seleccionar grupo personalizado, seleccione los grupos de equipos que se asociarán con la política. ## Detección de datos Seleccione las reglas de datos relevantes de la configuración de clasificación de datos realizada anteriormente para aplicarlas dentro de la política. Los archivos protegidos con contraseña pueden clasificarse como confidenciales, con compatibilidad para formatos como 7z, zip, tar, Bzip2, xz, Gzip, RAR, RAR4, RAR5, WIM, ISO, ARG e ISOUDF. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd1.png) ## Prevención de fuga de datos Para administrar los distintos controles de acceso para archivos confidenciales, vaya a **Implementación de políticas -> Prevención de pérdida de datos**. ## Configuración de acceso a application ### Acceso a archivos La función Acceso a archivos permite a los administradores especificar qué applications tienen permitido acceder y abrir archivos confidenciales. - **Sin configurar:** No se aplican restricciones ni supervisión. Todas las applications pueden acceder a archivos confidenciales y no se auditará ninguna actividad de acceso a archivos. - **Solo auditoría:** Todas las applications pueden acceder y leer los datos, pero toda la actividad se rastrea y registra, con información detallada disponible para su revisión. - **Permitir dentro de applications confiables:** Permite a los administradores designar una lista de applications confiables, garantizando que solo las aplicaciones aprobadas puedan acceder y abrir archivos clasificados como confidenciales. - Para mejorar la seguridad, se puede deshabilitar el panel de vista previa en el Explorador de archivos de Windows. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd2.png) ### Cliente de correo electrónico La función Cliente de correo electrónico permite a los administradores definir cómo Outlook maneja los archivos confidenciales, garantizando una gestión segura de archivos durante la comunicación por correo electrónico. 1. **Sin configurar:** Se permite compartir archivos sin restricciones y no se auditará ninguna actividad de correo electrónico. 2. **Solo auditoría:** Todos los archivos se pueden compartir, pero cualquier transferencia de archivos confidenciales se rastrea y audita. 3. **Permitir dentro de dominios confiables:** Restringe el uso compartido de archivos confidenciales solo a los dominios de correo electrónico configurados. Cualquier intento de transferir archivos confidenciales fuera de estos dominios se bloquea, lo que garantiza que los archivos permanezcan seguros mientras permite una colaboración interna fluida. 4. **Bloquear correos electrónicos con contenido/adjuntos confidenciales:** Impide por completo compartir archivos confidenciales a través del cliente de correo electrónico, garantizando que los datos confidenciales no puedan transmitirse por correo electrónico. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd4.png) ### Configuración de consentimiento Vaya a **Implementación de políticas -> Configurar ajustes de consentimiento**. Al habilitar este consentimiento, Endpoint DLP podrá supervisar la transferencia de correos electrónicos confidenciales mediante la instalación de complementos de Outlook. Sin este consentimiento, los complementos no se instalarán y las transferencias de correos electrónicos confidenciales no serán supervisadas. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd16.png) ## Configuración de dispositivos periféricos ### Dispositivos de almacenamiento extraíbles Los administradores pueden controlar cómo se manejan los archivos confidenciales al usar dispositivos de almacenamiento extraíbles, garantizando un manejo seguro y evitando transferencias de datos no autorizadas. 1. **Sin configurar:** No se aplican restricciones. Los archivos confidenciales pueden transferirse a dispositivos de almacenamiento extraíbles sin limitaciones y no se auditará ninguna actividad de transferencia. 2. **Solo auditoría:** Los archivos que contienen datos confidenciales pueden transferirse, pero todas esas transferencias se rastrean y auditan. 3. **Permitir dentro de dispositivos confiables:** Permite a los administradores definir una lista de dispositivos confiables. La transferencia de archivos confidenciales se permite solo entre estos dispositivos aprobados, mientras que las transferencias a todos los demás dispositivos se bloquean. 4. **Bloquear transferencias de archivos confidenciales:** Restringe por completo la transferencia de archivos que contienen datos confidenciales a dispositivos de almacenamiento extraíbles, garantizando que los datos confidenciales no puedan moverse ni copiarse. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd6.png) ### Impresoras Los administradores pueden gestionar el manejo de archivos confidenciales durante la impresión, garantizando un procesamiento seguro y evitando el acceso o la distribución no autorizados. 1. **Sin configurar:** No se aplican restricciones. Los archivos confidenciales pueden imprimirse sin limitaciones y no se auditará ninguna actividad de impresión. 2. **Solo auditoría:** Se permite la impresión de documentos confidenciales, pero todas las actividades de impresión se rastrean y auditan. 3. **Permitir dentro de dispositivos confiables:** La impresión de archivos confidenciales solo se permite en impresoras confiables, mientras que la impresión en todos los demás dispositivos se bloquea para garantizar la seguridad. 4. **Bloquear impresiones de archivos confidenciales:** La impresión de archivos confidenciales se restringe por completo, evitando cualquier impresión no autorizada. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd7.png) **Nota:** Actualmente, las restricciones de impresión no son compatibles con clasificaciones basadas en contexto, como la clasificación basada en extensiones de archivo. - Se pueden configurar marcas de agua personalizadas para imprimir en documentos desde fuentes confiables (application incluye Acceso a archivos y Outlook), agregando una capa adicional de identificación y seguridad. - Hay una opción disponible para permitir que los usuarios anulen las restricciones con motivos comerciales, lo que permite imprimir contenido confidencial en otras impresoras. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd8.png) ## Configuración de application web ### Carga de archivos Configure ajustes para evitar la carga de archivos confidenciales a la web, garantizando que los datos críticos permanezcan seguros. 1. **Sin configurar:** No se aplican restricciones. Los archivos confidenciales pueden cargarse sin limitaciones y no se auditará ninguna actividad de carga de archivos. 2. **Solo auditoría:** No hay restricciones en las cargas de datos. Sin embargo, cuando se cargan datos confidenciales a dominios no confiables, la actividad se audita. 3. **Permitir dentro de dominios confiables:** Permite la carga de datos confidenciales solo a dominios confiables, mientras que las cargas a dominios no confiables están restringidas. 4. **Bloquear cargas de archivos confidenciales:** Restringe por completo la carga de archivos confidenciales a cualquier dominio o destino. 5. Elija los navegadores web que se supervisarán para la carga de archivos. 6. Agregue una lista de dominios confiables donde las cargas de archivos confidenciales no deban rastrearse. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd5.png) ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd9.png) **Nota:** Las cargas de archivos se restringen mediante extensiones del navegador, por lo que la supervisión no se realiza en la navegación privada ni en el modo invitado. Se recomienda deshabilitar estos modos en los navegadores administrados para garantizar el seguimiento completo de las cargas de archivos. ### Configuración de consentimiento 1. Vaya a **Implementación de políticas -> Configurar ajustes de consentimiento**. 2. Otorgar el consentimiento instala el complemento del navegador, lo que permite a Endpoint DLP bloquear la carga de archivos confidenciales a la web. Sin consentimiento, el complemento no se instalará y la carga de archivos confidenciales no podrá restringirse. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd15.png) ### Descarga de archivos En la opción de configuración, puede habilitar la función para marcar automáticamente como confidenciales, de forma predeterminada, los archivos creados desde aplicaciones empresariales o descargados desde dominios web corporativos o correos electrónicos. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd10.png) ## Configuración del portapapeles ### Captura de pantalla La función Captura de pantalla permite a los administradores habilitar o restringir la captura de pantalla. 1. La opción **Permitir** permite a todos los usuarios tomar capturas de pantalla de datos confidenciales sin restricciones. 2. **Bloquear dentro de applications confiables** restringe las capturas de pantalla de datos confidenciales dentro de cualquier application confiable que figure en la configuración de Acceso a archivos, lo que garantiza una mayor seguridad de los datos. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd3.png) **Nota:** Las applications confiables se toman de la lista de application de [Acceso a archivos](#acceso-a-archivos). ### Restricciones del portapapeles La opción Restricción del portapapeles evita copiar información desde applications confiables a otras no confiables, mientras sigue permitiendo la copia de archivos dentro de las applications confiables enumeradas. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd11.png) **Escenario:** Cuando el contenido copiado desde una application confiable se pega en un navegador, el pegado se permite solo si el destino es un dominio confiable. El contenido de una application confiable no puede pegarse en dominios no confiables dentro del navegador. ## Falsos positivos y anulaciones ### Falsos positivos La función Anular automáticamente si es un falso positivo permite a los usuarios omitir un bloqueo si creen que un archivo no confidencial ha sido marcado incorrectamente como confidencial. Todas las anulaciones se registran en la auditoría para su revisión. Esta opción puede habilitarse temporalmente hasta que la política de DLP se ajuste con precisión, garantizando que la productividad de los empleados no se vea afectada. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd12.png) ## Configuración de alertas por correo electrónico La función Configuración de correo le permite configurar notificaciones por correo electrónico que se envían a los administradores cada vez que un usuario genera una anulación por motivos comerciales o reporta un falso positivo. Esto garantiza que los administradores sean alertados en tiempo real y puedan tomar medidas inmediatas para revisar y abordar el incidente. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd13.png) ### Configuración de notificaciones por correo 1. Vaya a **Configuración -> Configurar notificación por correo**. 2. Agregue la lista de direcciones de correo electrónico que deben recibir notificaciones cuando se informe una anulación. ![Implementación de políticas](https://www.manageengine.com/products/desktop-central/help/images/pd14.png)