Perspectiva de las FSI: seguridad, privacidad y cumplimiento

En este documento del Google Cloud Well-Architected Framework: perspectiva de las FSI, se proporciona una descripción general de los principios y las recomendaciones para abordar los requisitos de seguridad, privacidad y cumplimiento de las cargas de trabajo de la industria de servicios financieros (FSI) en Google Cloud. Las recomendaciones te ayudan a crear una infraestructura resiliente y que cumpla con las normas, proteger los datos sensibles, mantener la confianza de los clientes, navegar por el complejo panorama de los requisitos reglamentarios y administrar de manera eficaz las ciberamenazas. Las recomendaciones de este documento se alinean con el pilar de seguridad del Framework de Well-Architected.

La seguridad en la computación en la nube es una preocupación fundamental para las organizaciones de FSI, que son muy atractivas para los ciberdelincuentes debido a las grandes cantidades de datos sensibles que administran, incluidos los detalles de los clientes y los registros financieros. Las consecuencias de una violación de la seguridad son extremadamente graves, ya que incluyen pérdidas financieras significativas, daños a la reputación a largo plazo y multas reglamentarias importantes. Por lo tanto, las cargas de trabajo de FSI necesitan controles de seguridad estrictos.

Para garantizar la seguridad y el cumplimiento integrales, debes comprender las responsabilidades compartidas entre tú (organizaciones de FSI) y Google Cloud. Google Cloud es responsable de proteger la infraestructura subyacente, incluida la seguridad física y la seguridad de la red. Eres responsable de proteger los datos y las aplicaciones, configurar el control de acceso, y configurar y administrar los servicios de seguridad. Para ayudarte en tus esfuerzos de seguridad, el Google Cloud ecosistema de socios ofrece integración de seguridad y servicios administrados.

Las recomendaciones de seguridad de este documento se asignan a los siguientes principios fundamentales:

• Implementa la seguridad según el diseño
• Implementa la confianza cero
• Implementa la seguridad temprana
• Implementa defensa cibernética preventiva
• Usa la IA de forma segura y responsable, y úsala para la seguridad
• Satisface las necesidades de cumplimiento, privacidad y normativas
• Prioriza las iniciativas de seguridad

Implementa la seguridad según el diseño

Las reglamentaciones financieras, como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley Gramm-Leach-Bliley (GLBA) en Estados Unidos y varias leyes nacionales de protección de datos financieros, exigen que la seguridad se integre en los sistemas desde el principio. El principio de seguridad por diseño enfatiza la integración de la seguridad en todo el ciclo de vida del desarrollo para ayudar a garantizar que las vulnerabilidades se minimicen desde el principio.

Para aplicar el principio de seguridad por diseño a tus cargas de trabajo de FSI enGoogle Cloud, ten en cuenta las siguientes recomendaciones:

• Asegúrate de que solo se otorguen los permisos necesarios aplicando el principio de privilegio mínimo a través del control de acceso basado en roles (RBAC) detallado en Identity and Access Management (IAM). El uso de RBAC es un requisito clave en muchas reglamentaciones financieras.
• Aplica perímetros de seguridad alrededor de tus servicios y datos sensibles dentro de Google Cloud con los Controles del servicio de VPC. Los perímetros de seguridad ayudan a segmentar y proteger los datos y recursos sensibles, y a evitar el robo de datos y el acceso no autorizado, según lo exigen las reglamentaciones.
• Define parámetros de configuración de seguridad como código con herramientas de infraestructura como código (IaC) como Terraform. Este enfoque incorpora controles de seguridad desde la fase de implementación inicial, lo que ayuda a garantizar la coherencia y la capacidad de auditoría.
• Integra pruebas de seguridad de aplicaciones estáticas (SAST) en la canalización de CI/CD con Cloud Build para analizar el código de tu aplicación. Establece controles de seguridad automatizados para evitar la implementación de código que no cumpla con los requisitos.
• Proporciona una interfaz unificada para obtener estadísticas de seguridad con Security Command Center. El uso de Security Command Center permite la supervisión continua y la detección temprana de configuraciones incorrectas o amenazas que podrían provocar incumplimientos regulatorios. Para cumplir con los requisitos de estándares como ISO 27001 y NIST 800-53, puedes usar plantillas de administración de la postura.
• Realiza un seguimiento de la reducción de las vulnerabilidades que se identifican en las implementaciones de producción y el porcentaje de implementaciones de IaC que cumplen con las prácticas recomendadas de seguridad. Puedes detectar y ver vulnerabilidades, así como información sobre el cumplimiento de los estándares de seguridad, con Security Command Center. Para obtener más información, consulta Resultados de vulnerabilidades.

Implementa la confianza cero

Las reglamentaciones financieras modernas enfatizan cada vez más la necesidad de controles de acceso estrictos y verificación continua. Estos requisitos reflejan el principio de confianza cero, cuyo objetivo es proteger las cargas de trabajo contra amenazas internas y externas, y contra actores maliciosos. El principio de confianza cero aboga por la verificación continua de cada usuario y dispositivo, lo que elimina la confianza implícita y mitiga el movimiento lateral.

Para implementar el modelo de confianza cero, ten en cuenta las siguientes recomendaciones:

• Habilita el acceso adaptado al contexto en función de la identidad del usuario, la seguridad del dispositivo, la ubicación y otros factores combinando los controles de IAM con Chrome Enterprise Premium. Este enfoque garantiza la verificación continua antes de otorgar acceso a los datos y sistemas financieros.
• Configura Identity Platform (o tu proveedor de identidad externo si usas la federación de identidades de personal) para proporcionar una administración de identidades y accesos segura y escalable. Configura la autenticación de varios factores (MFA) y otros controles que son fundamentales para implementar la confianza cero y ayudar a garantizar el cumplimiento de las reglamentaciones.
• Implementa la MFA para todas las cuentas de usuario, en especial para las que tienen acceso a datos o sistemas sensibles.
• Apoyar las auditorías y las investigaciones relacionadas con el cumplimiento de las reglamentaciones a través del registro y la supervisión integrales del acceso de los usuarios y la actividad de la red
• Habilita la comunicación privada y segura entre los servicios dentro de los entornos locales y deGoogle Cloud sin exponer el tráfico a Internet pública con Private Service Connect.
• Implementa controles de identidad detallados y autoriza el acceso a nivel de la aplicación con Identity-Aware Proxy (IAP) en lugar de depender de mecanismos de seguridad basados en la red, como los túneles de VPN. Este enfoque ayuda a reducir el movimiento lateral dentro del entorno.

Implementa la seguridad temprana

Los reguladores financieros fomentan las medidas de seguridad proactivas. Identificar y abordar las vulnerabilidades en las primeras etapas del ciclo de vida del desarrollo ayuda a reducir el riesgo de incidentes de seguridad y la posibilidad de sanciones por incumplimiento. El principio de seguridad shift-left promueve las pruebas y la integración de seguridad tempranas, lo que ayuda a reducir el costo y la complejidad de la corrección.

Para implementar la seguridad shift-left, ten en cuenta las siguientes recomendaciones:

• Integra herramientas de análisis de seguridad, como el análisis de vulnerabilidades de contenedores y el análisis de código estático, en la canalización de CI/CD con Cloud Build para garantizar que se realicen verificaciones de seguridad automatizadas en una etapa temprana del proceso de desarrollo.

• Garantiza que solo se implementen artefactos seguros con Artifact Registry, que proporciona un repositorio seguro y centralizado para paquetes de software e imágenes de contenedores con análisis de vulnerabilidades integrado. Usa repositorios virtuales para mitigar los ataques de confusión de dependencias, ya que priorizan tus artefactos privados por sobre los repositorios remotos.

• Integra Web Security Scanner, que forma parte de Security Command Center, en tus canalizaciones de desarrollo para analizar automáticamente las aplicaciones web en busca de vulnerabilidades comunes.

• Implementa verificaciones de seguridad para el código fuente, el proceso de compilación y la procedencia del código con el framework de Supply-chain Levels for Software Artifacts (SLSA). Aplica la procedencia de las cargas de trabajo que se ejecutan en tus entornos con soluciones como la Autorización binaria. Asegúrate de que tus cargas de trabajo solo usen bibliotecas de software de código abierto verificadas con Assured Open Source.

• Realiza un seguimiento de la cantidad de vulnerabilidades que se identifican y corrigen en tu ciclo de vida de desarrollo, el porcentaje de implementaciones de código que pasan las verificaciones de seguridad y la reducción de incidentes de seguridad causados por vulnerabilidades de software. Google Cloud proporciona herramientas para ayudarte con este seguimiento en diferentes tipos de cargas de trabajo. Por ejemplo, para las cargas de trabajo en contenedores, usa la función de análisis de contenedores de Artifact Registry.

Implementa defensa cibernética preventiva

Las instituciones financieras son los principales objetivos de los ciberataques sofisticados. Las reglamentaciones suelen requerir inteligencia de amenazas sólida y mecanismos de defensa proactivos. La defensa cibernética preventiva se centra en la detección y respuesta proactivas ante amenazas a través de análisis y automatización avanzados.

Ten en cuenta las siguientes recomendaciones:

• Identifica y mitiga de forma proactiva las posibles amenazas con los servicios de inteligencia de amenazas, respuesta ante incidentes y validación de seguridad de Mandiant.
• Protege las aplicaciones web y las APIs de los ataques DSD y las vulnerabilidades web en el perímetro de la red con Google Cloud Armor.
• Agrupa y prioriza los resultados y las recomendaciones de seguridad con Security Command Center, que permite a los equipos de seguridad abordar de forma proactiva los posibles riesgos.
• Valida las defensas preventivas y los planes de respuesta ante incidentes realizando simulaciones de seguridad y pruebas de penetración periódicas.
• Mide el tiempo que se tarda en detectar y responder a los incidentes de seguridad, la eficacia de las medidas de mitigación de DSD y la cantidad de ciberataques que se evitaron. Puedes obtener las métricas y los datos necesarios en los paneles de SOAR y SIEM de Google Security Operations.

Usa la IA de forma segura y responsable, y úsala para la seguridad

La IA y el AA se utilizan cada vez más para casos de uso de servicios financieros, como la detección de fraudes y el comercio algorítmico. Las reglamentaciones exigen que estas tecnologías se usen de forma ética, transparente y segura. La IA también puede ayudarte a mejorar tus capacidades de seguridad. Ten en cuenta las siguientes recomendaciones para usar la IA:

• Desarrolla e implementa modelos de AA en un entorno seguro y controlado con Vertex AI. Las funciones, como la interpretabilidad del modelo y las métricas de equidad, pueden ayudar a abordar las inquietudes relacionadas con la IA responsable.
• Aprovecha las capacidades de análisis y operaciones de seguridad de Google Security Operations, que usa la IA y el AA para analizar grandes volúmenes de datos de seguridad, detectar anomalías y automatizar la respuesta ante amenazas. Estas funciones ayudan a mejorar tu postura de seguridad general y facilitan la supervisión del cumplimiento.
• Establece políticas de administración claras para el desarrollo y la implementación de la IA y el AA, incluidas las consideraciones relacionadas con la seguridad y la ética.
• Alinearse con los elementos del Secure AI Framework (SAIF), que proporciona un enfoque práctico para abordar las preocupaciones de seguridad y riesgo de los sistemas de IA
• Realiza un seguimiento de la precisión y la eficacia de los sistemas de detección de fraudes potenciados por IA, la reducción de falsos positivos en las alertas de seguridad y las ganancias de eficiencia de la automatización de seguridad impulsada por IA.

Satisface las necesidades de cumplimiento, privacidad y normativas

Los servicios financieros están sujetos a una amplia variedad de reglamentaciones, incluidos los requisitos de residencia de datos, los registros de auditoría específicos y los estándares de protección de datos. Para garantizar que los datos sensibles se identifiquen, protejan y administren de forma adecuada, las organizaciones de FSI necesitan políticas sólidas de administración de datos y esquemas de clasificación de datos. Ten en cuenta las siguientes recomendaciones para cumplir con los requisitos reglamentarios:

• Configura límites de datos en Google Cloud para cargas de trabajo sensibles y reguladas con Assured Workloads. Esto te ayuda a cumplir con los requisitos de cumplimiento específicos de la industria y el Gobierno, como FedRAMP y CJIS.
• Implementa Cloud Data Loss Prevention (Cloud DLP) para identificar, clasificar y proteger los datos sensibles, incluida la información financiera. De esta manera, podrás cumplir con las reglamentaciones de privacidad de los datos, como el RGPD y la CCPA.
• Realiza un seguimiento de los detalles de las actividades administrativas y el acceso a los recursos con los Registros de auditoría de Cloud. Estos registros son fundamentales para cumplir con los requisitos de auditoría que estipulan muchas reglamentaciones financieras.
• Cuando elijas regiones deGoogle Cloud para tus cargas de trabajo y datos, ten en cuenta las reglamentaciones locales relacionadas con la residencia de los datos.La infraestructura global de Google Cloud te permite elegir regiones que pueden ayudarte a cumplir con tus requisitos de residencia de datos.
• Administra las claves que se usan para encriptar datos financieros sensibles en reposo y en tránsito con Cloud Key Management Service. Esta encriptación es un requisito fundamental de muchas reglamentaciones de seguridad y privacidad.
• Implementa los controles necesarios para cumplir con tus requisitos reglamentarios. Valida que los controles funcionen según lo esperado. Un auditor externo debe validar nuevamente los controles para demostrarle al regulador que tus cargas de trabajo cumplen con las reglamentaciones.

Prioriza las iniciativas de seguridad

Dada la amplitud de los requisitos de seguridad, las instituciones financieras deben priorizar las iniciativas basadas en la evaluación de riesgos y los mandatos regulatorios. Te recomendamos el siguiente enfoque por fases:

1. Establece una base de seguridad sólida: Enfócate en las áreas principales de la seguridad, como la administración de identidades y accesos, la seguridad de redes y la protección de datos. Este enfoque ayuda a establecer una postura de seguridad sólida y garantiza una defensa integral contra las amenazas en constante evolución.
2. Aborda las reglamentaciones críticas: Prioriza el cumplimiento de las reglamentaciones clave, como PCI DSS, el RGPD y las leyes nacionales pertinentes. Esto ayuda a garantizar la protección de datos, mitiga los riesgos legales y genera confianza con los clientes.
3. Implementa seguridad avanzada: Adopta gradualmente prácticas de seguridad avanzadas, como la confianza cero, las soluciones de seguridad basadas en IA y la búsqueda proactiva de amenazas.