Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usa Data Security Posture Management

En este documento, se describe cómo puedes habilitar y usar la Administración de la postura de seguridad de los datos (DSPM).

Si usas el nivel Standard de Security Command Center, hay funciones limitadas de DSPM disponibles.

Habilita DSPM

Puedes habilitar DSPM durante o después de la activación de Security Command Center.

Para habilitar DSPM a nivel de la organización, completa los siguientes pasos:

Para obtener los permisos que necesitas para habilitar DSPM, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
- Administrador de la organización (roles/resourcemanager.organizationAdmin)
- Administrador del centro de seguridad (roles/securitycenter.admin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Habilita DSPM con uno de los siguientes métodos:

Situación	Instrucciones
Eres nuevo en el nivel Standard de Security Command Center o estás migrando a él.	Para habilitar DSPM, activa Security Command Center Standard para una organización.
No activaste Security Command Center y quieres usar el nivel Premium de Security Command Center.	Para habilitar DSPM, activa Security Command Center Premium para una organización.
No activaste Security Command Center y quieres usar el nivel Security Command Center Enterprise.	Para habilitar DSPM, activa Security Command Center Enterprise.
Activaste el nivel Premium de Security Command Center anteriormente y quieres habilitar DSPM.	Habilita DSPM con la página Configuración. Ir a la página Configuración
Activaste el nivel Security Command Center Enterprise anteriormente y quieres habilitar DSPM.	Habilita DSPM con la página Activar DSPM. Ir a Activar DSPM

Para obtener más información sobre los niveles de Security Command Center, consulta Niveles de servicio de Security Command Center.

Habilita el descubrimiento de los recursos que quieres proteger con DSPM (solo niveles Premium y Enterprise).

Cuando habilitas DSPM, también se habilitan los siguientes servicios (solo niveles Premium y Enterprise):

Administrador de cumplimiento para crear, aplicar y administrar marcos de seguridad de los datos y controles de la nube
Sensitive Data Protection para usar indicadores de sensibilidad de datos para la evaluación de riesgos de datos predeterminada
Event Threat Detection (parte de Security Command Center) a nivel de la organización para usar el control de nube de administración de acceso a los datos y el control de nube de administración de flujo de datos.
AI Protection para ayudar a proteger el ciclo de vida de tus cargas de trabajo de IA (solo nivel Security Command Center Enterprise)

El framework de Data Security and Privacy Essentials se aplica automáticamente a la organización (solo niveles Premium y Enterprise).

(Solo niveles Premium y Enterprise) El agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com) se crea cuando habilitas DSPM.

Para obtener información sobre los roles de Identity and Access Management de DSPM, consulta Identity and Access Management para activaciones a nivel de la organización.

Cómo cambiar de los niveles Premium o Enterprise al nivel Standard

Cuando cambias del nivel Premium o Enterprise al nivel Standard tier, tus capacidades de DSPM se ven afectadas de la siguiente manera:

Se quitaron los frameworks: Se quitan los frameworks de DSPM implementados que dependen de las funciones Premium o Enterprise.
Se perdió el acceso a las funciones: Pierdes el acceso a los controles avanzados de seguridad de los datos y a los frameworks de datos personalizados.
Se revierte a lo básico: DSPM usa las verificaciones básicas de seguridad de los datos incluidas en el framework de Security Essentials.
Los hallazgos se vuelven inactivos: Todos los hallazgos generados anteriormente por los frameworks de los niveles Premium o Enterprise se vuelven inactivos. Los únicos hallazgos que permanecen disponibles son los del framework de Security Essentials.

Si vuelves a actualizar al nivel Premium o Enterprise después de cambiar al nivel Standard, las implementaciones de frameworks quitadas durante el cambio no se pueden recuperar automáticamente. Debes volver a implementar estos frameworks de forma manual y volver a compilar las configuraciones asociadas.

Compatibilidad de DSPM con los perímetros de los Controles del servicio de VPC

Cuando habilitas DSPM en una organización que incluye perímetros de los Controles del servicio de VPC, ten en cuenta lo siguiente:

Revisa las limitaciones de Security Command Center.
No puedes usar un perímetro para proteger los recursos de DSPM, ya que todos los recursos están a nivel de la organización. Para administrar los permisos de DSPM, usa IAM.
Debido a que DSPM está habilitado a nivel de la organización, no puede detectar riesgos ni incumplimientos de datos dentro de un perímetro de servicio. Para permitir el acceso, completa los siguientes pasos:
1. Asegúrate de tener los roles necesarios para configurar los Controles del servicio de VPC a nivel de la organización.
2. Configura la siguiente regla de entrada:
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
Reemplaza DSPM_SA_EMAIL_ADDRESS por la dirección de correo electrónico del agente de servicio de DSPM (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com).

Los roles de IAM necesarios para el agente de servicio se otorgan cuando habilitas DSPM y determinan qué operaciones puede realizar el agente de servicio.

Para obtener más información sobre las reglas de entrada, consulta Configura políticas de entrada y salida.

Usa el panel de DSPM

El contenido y las funciones del panel dependen del nivel de Security Command Center. Si usas el nivel Standard, consulta Administración de la postura de seguridad de los datos en la descripción general del nivel Standard para conocer qué capacidades están disponibles en el panel.

Consulta el panel de todos los riesgos para obtener más información sobre el panel en los niveles Premium y Enterprise de Security Command Center.

Completa las siguientes acciones para usar el panel y analizar tu postura de seguridad de los datos.

Para obtener los permisos que necesitas para usar el DSPM panel, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
- Administrador de la Administración de la postura de seguridad de los datos (roles/dspm.admin)
- Administrador del centro de seguridad (roles/securitycenter.admin)
- Para acceso de solo lectura:
  - Visualizador de la Administración de la postura de seguridad de los datos (roles/dspm.viewer)
  - Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Usa el panel de DSPM para el descubrimiento de datos y el análisis de riesgos. Cuando habilitas DSPM, puedes evaluar de inmediato cómo se alinea tu entorno con el framework de Data Security and Privacy Essentials.

En la Google Cloud consola, ve a la página Seguridad y cumplimiento de datos y, luego, selecciona tu Google Cloud organización. Después de seleccionar una organización, se te redireccionará a la pestaña Datos del panel Descripción general de riesgos.

Ir al panel Descripción general de riesgos

Está disponible la siguiente información:
- Explorador del mapa de datos
- Hallazgos de seguridad de los datos
- Estadísticas de seguridad de los datos
- (Versión preliminar) Estadísticas sobre los frameworks y controles de seguridad de los datos aplicados
Usa esta información para revisar y corregir los hallazgos de modo que tu entorno se alinee mejor con tus requisitos de seguridad y cumplimiento.

Cuando ves el panel desde el nivel de la organización y, luego, implementas aplicaciones en una carpeta configurada para la administración de aplicaciones, puedes seleccionar una aplicación para filtrar el panel y mostrar solo los hallazgos y las estadísticas que se aplican a la aplicación. Ten en cuenta las siguientes latencias de análisis cuando revises los datos:
- Es posible que el panel de hallazgos principales muestre datos de configuración de recursos desactualizados. Por ejemplo, el recurso principal de un hallazgo podría estar asociado con una aplicación desactualizada.
- Es posible que el selector de aplicaciones no muestre las aplicaciones y los registros de recursos que se crearon en las últimas 24 horas.
Es posible que el explorador del mapa de datos tarde 24 horas después de activar Security Command Center en propagar todos los datos de Security Command Center y Cloud Asset Inventory.

Crea frameworks de seguridad de los datos personalizados

Si es necesario, copia el framework de seguridad de los datos y privacidad esenciales y personalízalo para satisfacer tus requisitos de seguridad y cumplimiento de datos. Para obtener instrucciones, consulta Aplica un framework.

Implementa controles avanzados de seguridad de los datos en la nube

Si es necesario, agrega los controles avanzados de seguridad de los datos en la nube a los frameworks personalizados. Estos controles requieren configuración adicional antes de que puedas implementarlos. Para obtener instrucciones sobre la implementación de frameworks y controles de la nube, consulta Aplica un framework.

Puedes implementar frameworks que incluyan controles avanzados de seguridad de los datos en la nube en tu organización, carpetas, proyectos y aplicaciones de App Hub en carpetas configuradas para la administración de aplicaciones. Para implementar los controles avanzados de seguridad de los datos en la nube en las aplicaciones, el framework solo puede incluir estos controles. Debes seleccionar la carpeta habilitada para la app y la aplicación que quieres que supervisen los controles de la nube. No se admiten aplicaciones en proyectos host ni en un límite de un solo proyecto.

Ten en cuenta lo siguiente:

Revisa la información de cada control avanzado de seguridad de los datos en la nube para conocer las limitaciones.

Completa las tareas de cada regla, como se describe en la siguiente tabla.

Regla	Configuración adicional
Control de nube de administración de acceso a los datos	Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Agent Platform (cuando corresponda en tu entorno). Configura el tipo de permiso de acceso a los datos como `DATA_READ`. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos. Verifica que solo las principales autorizadas estén exentas del registro de auditoría. Las principales exentas del registro de auditoría también están exentas de DSPM. Agrega una o más principales permitidas (hasta un máximo de 200 principales) con uno de los siguientes formatos: Para un usuario, `principal://goog/subject/USER_EMAIL_ADDRESS` Ejemplo: `principal://goog/subject/alex@example.com` Para un grupo, `principalSet://goog/group/GROUP_EMAIL_ADDRESS` Ejemplo: `principalSet://goog/group/my-group@example.com`
Control de nube para la administración de flujos de datos	Habilita los registros de auditoría de acceso a los datos para Cloud Storage y Agent Platform (cuando corresponda en tu entorno). Configura el tipo de permiso de acceso a los datos como `DATA_READ`. Habilita los registros de acceso a los datos a nivel de la organización o del proyecto, según dónde apliques el control de nube de administración de acceso a los datos. Verifica que solo las principales autorizadas estén exentas del registro de auditoría. Las principales exentas del registro de auditoría también están exentas de DSPM. Especifica los países permitidos con los códigos de país definidos en el repositorio de datos de configuración regional común (CLDR) de Unicode.
Control de nube de protección de datos y administración de claves	Habilita CMEK en BigQuery y Agent Platform.
Controles de nube de eliminación de datos	Configura los períodos de retención. Por ejemplo, para configurar un período de retención de 90 días en segundos, configura el período de retención en `777600`.

¿Qué sigue?

Revisa los hallazgos relacionados con la seguridad de los datos.