Perspektif FSI: Keamanan, privasi, dan kepatuhan

Last reviewed 2025-07-28 UTC

Dokumen dalam Google Cloud Framework yang Dirancang dengan Baik: Perspektif FSI ini memberikan ringkasan prinsip dan rekomendasi untuk memenuhi persyaratan keamanan, privasi, dan kepatuhan workload industri jasa keuangan (FSI) di Google Cloud. Rekomendasi ini membantu Anda membangun infrastruktur yang tangguh dan sesuai, melindungi data sensitif, mempertahankan kepercayaan pelanggan, memahami lanskap kompleks persyaratan peraturan, dan mengelola ancaman siber secara efektif. Rekomendasi dalam dokumen ini selaras dengan pilar keamanan dari Framework yang Dirancang dengan Baik.

Keamanan dalam komputasi awan adalah masalah penting bagi organisasi FSI, yang sangat menarik bagi penjahat siber karena banyaknya data sensitif yang mereka kelola, termasuk detail pelanggan dan catatan keuangan. Konsekuensi pelanggaran keamanan sangat berat, termasuk kerugian finansial yang signifikan, kerusakan reputasi jangka panjang, dan denda peraturan yang signifikan. Oleh karena itu, workload FSI memerlukan kontrol keamanan yang ketat.

Untuk membantu memastikan keamanan dan kepatuhan yang komprehensif, Anda perlu memahami tanggung jawab bersama antara Anda (organisasi FSI) dan Google Cloud. Google Cloud bertanggung jawab untuk mengamankan infrastruktur dasar, termasuk keamanan fisik dan keamanan jaringan. Anda bertanggung jawab untuk mengamankan data dan aplikasi, mengonfigurasi kontrol akses, serta mengonfigurasi dan mengelola layanan keamanan. Untuk mendukung upaya keamanan Anda, Google Cloud ekosistem partner menawarkan integrasi keamanan dan layanan terkelola.

Rekomendasi keamanan dalam dokumen ini dipetakan ke prinsip inti berikut:

Menerapkan keamanan dari desain

Peraturan keuangan seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), Gramm-Leach-Bliley Act (GLBA) di Amerika Serikat, dan berbagai hukum perlindungan data keuangan nasional mewajibkan keamanan diintegrasikan ke dalam sistem sejak awal. Prinsip keamanan berdasarkan desain menekankan integrasi keamanan di seluruh siklus proses pengembangan untuk membantu memastikan bahwa kerentanan diminimalkan sejak awal.

Untuk menerapkan prinsip keamanan berdasarkan desain untuk workload FSI Anda di Google Cloud, pertimbangkan rekomendasi berikut:

  • Pastikan hanya izin yang diperlukan yang diberikan dengan menerapkan prinsip hak istimewa terendah melalui kontrol akses berbasis peran (RBAC) terperinci di Identity and Access Management (IAM). Penggunaan RBAC adalah persyaratan utama dalam banyak peraturan keuangan.
  • Terapkan perimeter keamanan di sekitar layanan dan data sensitif Anda dalam Google Cloud dengan menggunakan Kontrol Layanan VPC. Perimeter keamanan membantu menyegmentasikan dan melindungi data serta resource sensitif, serta membantu mencegah pemindahan data yang tidak sah dan akses yang tidak sah, sebagaimana diwajibkan oleh peraturan.
  • Tentukan konfigurasi keamanan sebagai kode dengan menggunakan alat infrastruktur sebagai kode (IaC) seperti Terraform. Pendekatan ini menyematkan kontrol keamanan sejak fase deployment awal, yang membantu memastikan konsistensi dan kemampuan audit.
  • Pindai kode aplikasi Anda dengan mengintegrasikan Pengujian Keamanan Aplikasi Statis (SAST) ke dalam pipeline CI/CD dengan Cloud Build. Buat gerbang keamanan otomatis untuk mencegah deployment kode yang tidak sesuai.
  • Menyediakan antarmuka terpadu untuk insight keamanan dengan menggunakan Security Command Center. Penggunaan Security Command Center memungkinkan pemantauan berkelanjutan dan deteksi dini kesalahan konfigurasi atau ancaman yang dapat menyebabkan pelanggaran peraturan. Untuk memenuhi persyaratan standar seperti ISO 27001 dan NIST 800-53, Anda dapat menggunakan template pengelolaan postur.
  • Lacak pengurangan kerentanan yang diidentifikasi dalam deployment produksi dan persentase deployment IaC yang mematuhi praktik terbaik keamanan. Anda dapat mendeteksi dan melihat kerentanan serta informasi tentang kepatuhan terhadap standar keamanan menggunakan Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Temuan kerentanan.

Menerapkan zero trust

Peraturan keuangan modern semakin menekankan perlunya kontrol akses yang ketat dan verifikasi berkelanjutan. Persyaratan ini mencerminkan prinsip zero trust, yang bertujuan untuk melindungi workload dari ancaman internal dan eksternal serta pelaku kejahatan. Prinsip zero-trust menganjurkan verifikasi berkelanjutan setiap pengguna dan perangkat, yang menghilangkan kepercayaan implisit dan memitigasi pergerakan lateral.

Untuk menerapkan zero trust, pertimbangkan rekomendasi berikut:

  • Aktifkan akses kontekstual berdasarkan identitas pengguna, keamanan perangkat, lokasi, dan faktor lainnya dengan menggabungkan kontrol IAM dengan Chrome Enterprise Premium. Pendekatan ini memastikan verifikasi berkelanjutan sebelum akses ke data dan sistem keuangan diberikan.
  • Menyediakan pengelolaan identitas dan akses yang aman dan skalabel dengan mengonfigurasi Identity Platform (atau penyedia identitas eksternal Anda jika Anda menggunakan Workforce Identity Federation). Siapkan autentikasi multi-faktor (MFA) dan kontrol lainnya yang sangat penting untuk menerapkan zero trust dan membantu memastikan kepatuhan terhadap peraturan.
  • Terapkan MFA untuk semua akun pengguna, terutama untuk akun yang memiliki akses ke data atau sistem sensitif.
  • Mendukung audit dan investigasi terkait kepatuhan terhadap peraturan dengan membuat logging dan pemantauan komprehensif terhadap akses pengguna dan aktivitas jaringan.
  • Aktifkan komunikasi pribadi dan aman antar-layanan dalam lingkunganGoogle Cloud dan lokal tanpa mengekspos traffic ke internet publik menggunakan Private Service Connect.
  • Terapkan kontrol identitas terperinci dan berikan otorisasi akses di tingkat aplikasi menggunakan Identity-Aware Proxy (IAP), bukan mengandalkan mekanisme keamanan berbasis jaringan seperti tunnel VPN. Pendekatan ini membantu mengurangi pergerakan lateral dalam lingkungan.

Menerapkan keamanan shift-left

Regulator keuangan mendorong tindakan keamanan proaktif. Mengidentifikasi dan mengatasi kerentanan di awal siklus proses pengembangan membantu mengurangi risiko insiden keamanan dan potensi penalti akibat ketidakpatuhan. Prinsip keamanan shift-left mendorong pengujian dan integrasi keamanan awal, yang membantu mengurangi biaya dan kompleksitas perbaikan.

Untuk menerapkan keamanan shift-left, pertimbangkan rekomendasi berikut:

  • Pastikan pemeriksaan keamanan otomatis di awal proses pengembangan dengan mengintegrasikan alat pemindaian keamanan, seperti pemindaian kerentanan container dan analisis kode statis, ke dalam pipeline CI/CD dengan Cloud Build.

  • Pastikan hanya artefak yang aman yang di-deploy dengan menggunakan Artifact Registry untuk menyediakan repositori yang aman dan terpusat untuk paket software dan image container dengan pemindaian kerentanan terintegrasi. Gunakan repositori virtual untuk memitigasi serangan kebingungan dependensi dengan memprioritaskan artefak pribadi Anda daripada repositori jarak jauh.

  • Memindai aplikasi web secara otomatis untuk mencari kerentanan umum dengan mengintegrasikan Web Security Scanner, yang merupakan bagian dari Security Command Center, ke dalam pipeline pengembangan Anda.

  • Terapkan pemeriksaan keamanan untuk kode sumber, proses build, dan asal kode dengan menggunakan framework Supply-chain Levels for Software Artifacts (SLSA). Terapkan asal-usul workload yang berjalan di lingkungan Anda dengan menggunakan solusi seperti Otorisasi Biner. Pastikan beban kerja Anda hanya menggunakan library software open source terverifikasi dengan menggunakan Assured Open Source.

  • Lacak jumlah kerentanan yang diidentifikasi dan diperbaiki dalam siklus proses pengembangan Anda, persentase deployment kode yang lulus pemindaian keamanan, dan pengurangan insiden keamanan yang disebabkan oleh kerentanan software. Google Cloud menyediakan alat untuk membantu pelacakan ini untuk berbagai jenis beban kerja. Misalnya, untuk beban kerja dalam container, gunakan fitur pemindaian container Artifact Registry.

Menerapkan pertahanan cyber preventif

Lembaga keuangan adalah target utama serangan cyber canggih. Peraturan sering kali memerlukan mekanisme pertahanan proaktif dan intelijen ancaman yang andal. Pertahanan siber preventif berfokus pada deteksi dan respons ancaman proaktif menggunakan analisis dan otomatisasi tingkat lanjut.

Pertimbangkan rekomendasi berikut:

  • Identifikasi dan mitigasi potensi ancaman secara proaktif, dengan menggunakan layanan kecerdasan ancaman, respons insiden, dan validasi keamanan dari Mandiant.
  • Lindungi aplikasi web dan API dari eksploitasi web dan serangan DDoS di edge jaringan dengan menggunakan Google Cloud Armor.
  • Gabungkan dan prioritaskan temuan dan rekomendasi keamanan menggunakan Security Command Center, yang memungkinkan tim keamanan mengatasi potensi risiko secara proaktif.
  • Validasi pertahanan preventif dan rencana respons insiden dengan melakukan simulasi keamanan dan uji penetrasi secara rutin.
  • Ukur waktu untuk mendeteksi dan merespons insiden keamanan, efektivitas upaya mitigasi DDoS, dan jumlah serangan siber yang berhasil dicegah. Anda bisa mendapatkan metrik dan data yang diperlukan dari dasbor SOAR dan SIEM Google Security Operations.

Menggunakan AI secara aman dan bertanggung jawab, serta menggunakan AI untuk keamanan

AI dan ML semakin banyak digunakan untuk kasus penggunaan layanan keuangan seperti deteksi penipuan dan perdagangan algoritma. Peraturan mewajibkan agar teknologi ini digunakan secara etis, transparan, dan aman. AI juga dapat membantu meningkatkan kemampuan keamanan Anda. Pertimbangkan rekomendasi berikut untuk menggunakan AI:

  • Kembangkan dan deploy model ML di lingkungan yang aman dan diatur dengan menggunakan Vertex AI. Fitur seperti penjelasan model dan metrik keadilan dapat membantu mengatasi masalah terkait AI bertanggung jawab.
  • Manfaatkan kemampuan analisis dan operasi keamanan Google Security Operations, yang menggunakan AI dan ML untuk menganalisis data keamanan dalam volume besar, mendeteksi anomali, dan mengotomatiskan respons ancaman. Kemampuan ini membantu meningkatkan kondisi keamanan Anda secara keseluruhan dan membantu pemantauan kepatuhan.
  • Tetapkan kebijakan tata kelola yang jelas untuk pengembangan dan deployment AI dan ML, termasuk pertimbangan terkait keamanan dan etika.
  • Selaras dengan elemen Secure AI Framework (SAIF), yang memberikan pendekatan praktis untuk mengatasi masalah keamanan dan risiko sistem AI.
  • Lacak akurasi dan efektivitas sistem deteksi penipuan berteknologi AI, pengurangan positif palsu dalam pemberitahuan keamanan, dan peningkatan efisiensi dari otomatisasi keamanan berbasis AI.

Memenuhi kebutuhan peraturan, kepatuhan, dan privasi

Layanan keuangan tunduk pada berbagai peraturan, termasuk persyaratan residensi data, jalur audit tertentu, dan standar perlindungan data. Untuk memastikan data sensitif diidentifikasi, dilindungi, dan dikelola dengan benar, organisasi FSI memerlukan kebijakan tata kelola data yang kuat dan skema klasifikasi data. Pertimbangkan rekomendasi berikut untuk membantu Anda memenuhi persyaratan peraturan:

  • Siapkan batas data di Google Cloud untuk workload sensitif dan teregulasi dengan menggunakan Assured Workloads. Dengan melakukannya, Anda dapat memenuhi persyaratan kepatuhan khusus pemerintah dan industri seperti FedRAMP dan CJIS.
  • Identifikasi, klasifikasikan, dan lindungi data sensitif, termasuk informasi keuangan, dengan menerapkan Cloud Data Loss Prevention (Cloud DLP). Tindakan ini membantu Anda mematuhi peraturan privasi data seperti GDPR dan CCPA.
  • Lacak detail aktivitas administratif dan akses ke resource dengan menggunakan Cloud Audit Logs. Log ini sangat penting untuk memenuhi persyaratan audit yang ditetapkan oleh banyak peraturan keuangan.
  • Saat Anda memilih Google Cloud region untuk workload dan data Anda, pertimbangkan peraturan lokal yang terkait dengan residensi data. Google Cloud Infrastruktur global memungkinkan Anda memilih region yang dapat membantu Anda memenuhi persyaratan residensi data.
  • Kelola kunci yang digunakan untuk mengenkripsi data keuangan sensitif dalam penyimpanan dan dalam pengiriman menggunakan Cloud Key Management Service. Enkripsi semacam ini adalah persyaratan mendasar dari banyak peraturan keamanan dan privasi.
  • Terapkan kontrol yang diperlukan untuk memenuhi persyaratan peraturan Anda. Validasi bahwa kontrol berfungsi seperti yang diharapkan. Dapatkan validasi ulang kontrol oleh auditor eksternal untuk membuktikan kepada badan pengatur bahwa beban kerja Anda mematuhi peraturan.

Memprioritaskan inisiatif keamanan

Mengingat luasnya persyaratan keamanan, lembaga keuangan harus memprioritaskan inisiatif yang didasarkan pada penilaian risiko dan mandat peraturan. Sebaiknya gunakan pendekatan bertahap berikut:

  1. Membangun fondasi keamanan yang kuat: Berfokus pada area inti keamanan, termasuk pengelolaan identitas dan akses, keamanan jaringan, serta perlindungan data. Fokus ini membantu membangun postur keamanan yang kuat dan membantu memastikan pertahanan yang komprehensif terhadap ancaman yang terus berkembang.
  2. Menangani peraturan penting: Prioritaskan kepatuhan terhadap peraturan utama seperti PCI DSS, GDPR, dan hukum nasional yang relevan. Tindakan ini membantu memastikan perlindungan data, mengurangi risiko hukum, dan membangun kepercayaan dengan pelanggan.
  3. Menerapkan keamanan tingkat lanjut: Secara bertahap terapkan praktik keamanan tingkat lanjut seperti zero trust, solusi keamanan berbasis AI, dan perburuan ancaman proaktif.
Sebelumnya
Keunggulan operasional
Berikutnya
Keandalan