El pilar Seguridad, privacidad y cumplimiento del Google Cloud framework Well-Architected proporciona recomendaciones para ayudarte a diseñar, desplegar y operar cargas de trabajo en la nube que cumplan tus requisitos de seguridad, privacidad y cumplimiento.

Este documento se ha diseñado para ofrecer información valiosa y satisfacer las necesidades de una amplia gama de profesionales e ingenieros de seguridad. En la siguiente tabla se describen las audiencias a las que va dirigido este documento:

Audiencia	Qué ofrece este documento
Directores de seguridad de la información (CISOs), responsables de unidades de negocio y directores de TI	Un marco general para establecer y mantener la excelencia en seguridad en la nube, así como para obtener una visión completa de las áreas de seguridad y tomar decisiones fundamentadas sobre las inversiones en seguridad.
Arquitectos e ingenieros de seguridad	Prácticas de seguridad clave para las fases de diseño y operativas que ayudan a asegurar que las soluciones se diseñan para ofrecer seguridad, eficiencia y escalabilidad.
Equipos de DevSecOps	Orientación para incorporar controles de seguridad generales con el fin de planificar la automatización que permita una infraestructura segura y fiable.
Responsables de cumplimiento y gestores de riesgos	Recomendaciones de seguridad clave para seguir un enfoque estructurado de la gestión de riesgos con medidas de protección que ayuden a cumplir las obligaciones.

Para asegurarte de que tus cargas de trabajo de Google Cloud cumplan los requisitos de seguridad, privacidad y cumplimiento, todos los participantes de tu organización deben adoptar un enfoque colaborativo. Además, debes tener en cuenta que la seguridad en la nube es una responsabilidad compartida entre tú y Google. Para obtener más información, consulta el artículo Responsabilidades y destino compartidos en Google Cloud.

Las recomendaciones de este pilar se agrupan en principios de seguridad básicos. Cada recomendación basada en principios se asigna a una o varias de las áreas de enfoque de la seguridad en la nube que pueden ser críticas para tu organización. Cada recomendación destaca directrices sobre el uso y la configuración de productos y funciones deGoogle Cloud para ayudar a mejorar la estrategia de seguridad de tu organización.

Principios básicos

Las recomendaciones de este pilar se agrupan en los siguientes principios básicos de seguridad. Todos los principios de este pilar son importantes. En función de los requisitos de tu organización y de tu carga de trabajo, puedes priorizar determinados principios.

• Implementa la seguridad desde el diseño: integra las consideraciones de seguridad en la nube y de seguridad de la red desde la fase de diseño inicial de tus aplicaciones e infraestructura. Google Cloud proporciona planos de arquitectura y recomendaciones para ayudarte a aplicar este principio.
• Implementa la confianza cero: adopta un enfoque de no fiarse de nada y verificarlo todo siempre, en el que el acceso a los recursos se concede en función de la verificación continua de la confianza. Google Cloud apoya este principio a través de productos como Chrome Enterprise Premium e Identity-Aware Proxy (IAP).
• Implementa la seguridad "shift left": implementa controles de seguridad al principio del ciclo de vida del desarrollo de software. Evita los defectos de seguridad antes de que se hagan cambios en el sistema. Detecta y corrige errores de seguridad de forma rápida, fiable y temprana después de que se hayan confirmado los cambios en el sistema. Google Cloud apoya este principio a través de productos como Cloud Build, la autorización binaria y Artifact Registry.
• Implementa una ciberdefensa preventiva: adopta un enfoque proactivo de la seguridad implementando medidas fundamentales sólidas, como la inteligencia de amenazas. Este enfoque te ayuda a sentar las bases para detectar y responder a las amenazas de forma más eficaz. El enfoque deGoogle Cloudsobre los controles de seguridad por capas se ajusta a este principio.
• Usa la IA de forma segura y responsable: desarrolla e implementa sistemas de IA de forma responsable y segura. Las recomendaciones de este principio se ajustan a las directrices de la perspectiva de IA y aprendizaje automático del framework Well-Architected y del Marco para la IA Segura (SAIF) de Google.
• Usar la IA para mejorar la seguridad: Utiliza las funciones de IA para mejorar tus sistemas y procesos de seguridad actuales con Gemini en Security y las funciones de seguridad de la plataforma en general. Usa la IA como herramienta para aumentar la automatización de las tareas de corrección y garantizar la higiene de la seguridad para que otros sistemas sean más seguros.
• Cumple los requisitos normativos, de cumplimiento y de privacidad: cumple los reglamentos, los estándares y los requisitos de privacidad específicos del sector. Google Cloud te ayuda a cumplir estas obligaciones con productos como Assured Workloads, Organization Policy Service y nuestro centro de recursos de cumplimiento.

Mentalidad de seguridad de la organización

Una mentalidad organizativa centrada en la seguridad es fundamental para adoptar y operar en la nube con éxito. Esta mentalidad debe estar profundamente arraigada en la cultura de tu organización y reflejarse en sus prácticas, que se rigen por los principios de seguridad básicos que se han descrito anteriormente.

Una mentalidad de seguridad organizativa implica pensar en la seguridad durante el diseño del sistema, asumir la confianza cero e integrar funciones de seguridad en todo el proceso de desarrollo. Con esta mentalidad, también piensas de forma proactiva en las medidas de ciberdefensa, usas la IA de forma segura y para mejorar la seguridad, y tienes en cuenta tus requisitos de cumplimiento, privacidad y normativas. Si tu organización adopta estos principios, podrá fomentar una cultura de seguridad que aborde las amenazas de forma proactiva, proteja los recursos valiosos y contribuya a garantizar un uso responsable de la tecnología.

Áreas de enfoque de la seguridad en la nube

En esta sección se describen las áreas en las que debes centrarte al planificar, implementar y gestionar la seguridad de tus aplicaciones, sistemas y datos. Las recomendaciones de cada principio de este pilar están relacionadas con una o varias de estas áreas de enfoque. En el resto de este documento, las recomendaciones especifican las áreas de enfoque de seguridad correspondientes para ofrecer más claridad y contexto.

Área de enfoque	Actividades y componentes	Productos, funciones y soluciones Google Cloud relacionados
Seguridad de la infraestructura	Infraestructura de red segura. Cifra los datos en tránsito y en reposo. Controlar el flujo de tráfico. Protege los servicios IaaS y PaaS. Protegerse contra accesos no autorizados.	Políticas de cortafuegos Controles de Servicio de VPC Google Cloud Armor Cloud Next Generation Firewall Proxy web seguro
Gestión de identidades y accesos	Usa la autenticación, la autorización y los controles de acceso. Gestionar identidades en la nube. Gestiona las políticas de gestión de identidades y accesos.	Cloud Identity Servicio de gestión de identidades y accesos (IAM) de Google Federación de identidades para los trabajadores Federación de identidades de cargas de trabajo
Seguridad de los datos	Almacena datos de forma Google Cloud segura. Controlar el acceso a los datos. Descubre y clasifica los datos. Diseña los controles necesarios, como el cifrado, los controles de acceso y la prevención de la pérdida de datos. Protege los datos en reposo, en tránsito y en uso.	Servicio de gestión de identidades y accesos de Google Protección de Datos Sensibles Controles de Servicio de VPC Cloud KMS Confidential Computing
Seguridad de la IA y el aprendizaje automático	Aplica controles de seguridad en diferentes capas de la infraestructura y la canalización de la IA y el aprendizaje automático. Asegúrate de que el modelo sea seguro.	SAIF de Google Model Armor
Operaciones de seguridad (SecOps)	Adopta una plataforma de SecOps moderna y un conjunto de prácticas para gestionar los incidentes, detectar las amenazas y responder a ellas de forma eficaz. Monitoriza continuamente los sistemas y las aplicaciones para detectar eventos de seguridad.	Google Security Operations
Seguridad para aplicaciones	Protege las aplicaciones frente a vulnerabilidades y ataques de software.	Artifact Registry Artifact Analysis Autorización binaria Assured Open Source Software Google Cloud Armor Web Security Scanner
Gobernanza, riesgos y cumplimiento en la nube	Establece políticas, procedimientos y controles para gestionar los recursos en la nube de forma eficaz y segura.	Servicio de política de organización Inventario de Recursos de Cloud Security Command Center Enterprise Resource Manager
Registro, auditoría y monitorización	Analiza los registros para identificar posibles amenazas. Monitorizar y registrar las actividades del sistema para cumplir los requisitos y analizar la seguridad.	Cloud Logging Cloud Monitoring Registros de auditoría de Cloud Registros de flujo de VPC

Colaboradores

Autores:

• Wade Holmes | Director de Soluciones Globales
• Héctor Díaz | Arquitecto de Seguridad en la Nube
• Carlos Leonardo Rosario | Especialista en seguridad de Google Cloud
• John Bacon | Arquitecto de soluciones de partners
• Sachin Kalra | Gestor de soluciones de seguridad global

Otros colaboradores:

• Anton Chuvakin | Asesor de seguridad, Oficina del director de Seguridad de la Información
• Daniel Lees | Arquitecto de seguridad en la nube
• Filipe Gracio, doctor | Ingeniero de clientes y especialista en IA y aprendizaje automático
• Gary Harmson | Arquitecto principal
• Gino Pelliccia | Arquitecto principal
• Jose Andrade | Ingeniero de clientes, especialista en SRE
• Kumar Dhanagopal | Desarrollador de soluciones entre productos
• Laura Hyatt | Ingeniera de clientes, FSI
• Marwan Al Shawi | Ingeniero de clientes de partners
• Nicolas Pintaux | Ingeniero de clientes, especialista en modernización de aplicaciones
• Noah McDonald | Asesor de seguridad en la nube
• Osvaldo Costa | Ingeniero de clientes especializado en redes
• Radhika Kanakam | Responsable del programa Google Cloud Well-Architected Framework
• Samantha He | Redactora técnica
• Susan Wu | Responsable de producto

Implementar la seguridad desde el diseño

Este principio del pilar de seguridad del Google Cloud framework de arquitectura proporciona recomendaciones para incorporar funciones, controles y prácticas de seguridad sólidos al diseño de tus aplicaciones, servicios y plataformas en la nube. Desde la fase de ideación hasta la de operaciones, la seguridad es más eficaz cuando se integra como parte fundamental de cada etapa del proceso de diseño.

Descripción general de los principios

Tal como se explica en el artículo Descripción general del compromiso de Google con la seguridad desde el diseño, seguridad integrada y seguridad desde el diseño se suelen usar indistintamente, pero representan enfoques distintos para crear sistemas seguros. Ambos enfoques tienen como objetivo minimizar las vulnerabilidades y mejorar la seguridad, pero se diferencian en el alcance y la implementación:

• Seguro de forma predeterminada: se centra en asegurarse de que los ajustes predeterminados de un sistema estén configurados en un modo seguro, lo que minimiza la necesidad de que los usuarios o los administradores tomen medidas para proteger el sistema. El objetivo de este enfoque es proporcionar un nivel de seguridad básico a todos los usuarios.
• Seguridad desde el diseño: se centra en incorporar de forma proactiva consideraciones de seguridad a lo largo del ciclo de vida del desarrollo de un sistema. Este enfoque consiste en anticipar posibles amenazas y vulnerabilidades en una fase temprana y tomar decisiones de diseño que mitiguen los riesgos. Este enfoque implica usar prácticas de codificación seguras, realizar revisiones de seguridad e integrar la seguridad en todo el proceso de diseño. El enfoque de seguridad desde el diseño es una filosofía general que guía el proceso de desarrollo y ayuda a garantizar que la seguridad no sea algo que se piense después, sino que forme parte integral del diseño de un sistema.

Recomendaciones

Para implementar el principio de seguridad desde el diseño en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Elegir componentes del sistema que ayuden a proteger tus cargas de trabajo
• Crea una estrategia de seguridad por capas
• Usar infraestructura y servicios protegidos y certificados
• Cifrar datos en reposo y en tránsito

Elige componentes del sistema que te ayuden a proteger tus cargas de trabajo

Esta recomendación es pertinente para todas las áreas de interés.

Una decisión fundamental para que la seguridad sea eficaz es la selección de componentes de sistema sólidos, tanto de hardware como de software, que constituyan tu plataforma, solución o servicio. Para reducir la superficie de ataque de seguridad y limitar los posibles daños, también debes tener en cuenta los patrones de despliegue de estos componentes y sus configuraciones.

En el código de tu aplicación, te recomendamos que uses bibliotecas, abstracciones y frameworks de aplicaciones sencillos, seguros y fiables para eliminar clases de vulnerabilidades. Para buscar vulnerabilidades en bibliotecas de software, puedes usar herramientas de terceros. También puedes usar Assured Open Source Software, que te ayuda a reducir los riesgos de tu cadena de suministro de software mediante el uso de paquetes de software libre que Google utiliza y protege.

Tu infraestructura debe usar opciones de redes, almacenamiento y computación que permitan un funcionamiento seguro y se ajusten a tus requisitos de seguridad y niveles de aceptación de riesgos. La seguridad de la infraestructura es importante tanto para las cargas de trabajo internas como para las que están expuestas a Internet.

Para obtener información sobre otras soluciones de Google que admiten esta recomendación, consulta Implementar la seguridad shift-left.

Crea una estrategia de seguridad por capas

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de la IA y el aprendizaje automático
• Seguridad de la infraestructura
• Gestión de identidades y accesos
• Seguridad de los datos

Te recomendamos que implementes medidas de seguridad en cada capa de tu aplicación y de tu pila de infraestructura aplicando un enfoque de protección reforzada.

Usa las funciones de seguridad de cada componente de tu plataforma. Para limitar el acceso e identificar los límites del posible impacto (es decir, el radio de explosión) en caso de que se produzca un incidente de seguridad, haz lo siguiente:

• Simplifica el diseño de tu sistema para que sea flexible siempre que sea posible.
• Documenta los requisitos de seguridad de cada componente.
• Incorpora un mecanismo seguro y sólido para cumplir los requisitos de resiliencia y recuperación.

Cuando diseñes las capas de seguridad, haz una evaluación de riesgos para determinar las funciones de seguridad que necesitas para cumplir los requisitos de seguridad internos y los requisitos normativos externos. Te recomendamos que utilices un framework de evaluación de riesgos estándar del sector que se aplique a entornos de la nube y que sea pertinente para tus requisitos normativos. Por ejemplo, Cloud Security Alliance (CSA) proporciona la matriz de controles de la nube (CCM). La evaluación de riesgos te proporciona un catálogo de riesgos y los controles de seguridad correspondientes para mitigarlos.

Cuando realices la evaluación de riesgos, recuerda que tienes un acuerdo de responsabilidad compartida con tu proveedor de servicios en la nube. Por lo tanto, los riesgos en un entorno de nube son diferentes a los riesgos en un entorno local. Por ejemplo, en un entorno local, debes mitigar las vulnerabilidades de tu pila de hardware. Por el contrario, en un entorno de nube, el proveedor de servicios en la nube asume estos riesgos. Además, recuerda que los límites de las responsabilidades compartidas varían entre los servicios IaaS, PaaS y SaaS de cada proveedor de servicios en la nube.

Una vez que hayas identificado los riesgos potenciales, debes diseñar y crear un plan de mitigación que utilice controles técnicos, administrativos y operativos, así como protecciones contractuales y certificaciones de terceros. Además, un método de modelado de amenazas, como el método de modelado de amenazas de aplicaciones de OWASP, te ayuda a identificar posibles lagunas y sugiere acciones para subsanarlas.

Usar infraestructura y servicios protegidos y certificados

Esta recomendación es pertinente para todas las áreas de interés.

Un programa de seguridad consolidado mitiga las nuevas vulnerabilidades, tal como se describe en los boletines de seguridad. El programa de seguridad también debe proporcionar soluciones para corregir las vulnerabilidades de las implementaciones actuales y proteger las imágenes de las máquinas virtuales y los contenedores. Puedes usar guías de protección específicas para el SO y la aplicación de tus imágenes, así como comparativas como la que ofrece el Center of Internet Security (CIS).

Si usas imágenes personalizadas para tus VMs de Compute Engine, debes aplicarles los parches tú mismo. También puedes usar imágenes de SO seleccionadas proporcionadas por Google, que se parchean periódicamente. Para ejecutar contenedores en máquinas virtuales de Compute Engine, usa imágenes de Container-Optimized OS seleccionadas por Google. Google parchea y actualiza estas imágenes periódicamente.

Si usas GKE, te recomendamos que habilites las actualizaciones automáticas de nodos para que Google actualice los nodos de tu clúster con los parches más recientes. Google gestiona los planos de control de GKE, que se actualizan y se les aplican parches automáticamente. Para reducir aún más la superficie de ataque de tus contenedores, puedes usar imágenes sin distribución. Las imágenes sin distribución son ideales para aplicaciones sensibles a la seguridad, microservicios y situaciones en las que es fundamental minimizar el tamaño de la imagen y la superficie de ataque.

En el caso de las cargas de trabajo sensibles, usa VM blindada, que impide que se cargue código malicioso durante el ciclo de arranque de la VM. Las instancias de VM blindadas proporcionan seguridad de arranque, monitorizan la integridad y usan el módulo de plataforma segura virtual (vTPM).

Para proteger el acceso SSH, OS Login permite que tus empleados se conecten a tus VMs mediante permisos de gestión de identidades y accesos (IAM) como fuente de información fiable, en lugar de usar claves SSH. Por lo tanto, no es necesario que gestiones las claves SSH en toda tu organización. Inicio de sesión del SO vincula el acceso de un administrador al ciclo de vida de sus empleados, de modo que, cuando los empleados cambian de rol o dejan tu organización, su acceso se revoca junto con su cuenta. El inicio de sesión del SO también admite la autenticación de dos factores de Google, que añade una capa adicional de seguridad contra los ataques de apropiación de cuentas.

En GKE, las instancias de aplicaciones se ejecutan en contenedores Docker. Para habilitar un perfil de riesgo definido y evitar que los empleados hagan cambios en los contenedores, asegúrate de que estos no tengan estado y sean inmutables. El principio de inmutabilidad implica que tus empleados no pueden modificar el contenedor ni acceder a él de forma interactiva. Si es necesario cambiar el contenedor, crea una imagen nueva y vuelve a desplegarla. Habilita el acceso SSH a los contenedores subyacentes solo en casos de depuración específicos.

Para proteger las configuraciones de todo tu entorno, puedes usar políticas de organización para definir restricciones o barreras de protección en los recursos que afecten al comportamiento de tus activos en la nube. Por ejemplo, puedes definir las siguientes políticas de organización y aplicarlas de forma global en una Google Cloud organización o de forma selectiva a nivel de carpeta o proyecto:

• Inhabilita la asignación de direcciones IP externas a las VMs.
• Restringir la creación de recursos a ubicaciones geográficas específicas.
• Inhabilitar la creación de cuentas de servicio o de sus claves.

Cifrar datos en reposo y en tránsito

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de la infraestructura
• Seguridad de los datos

El cifrado de datos es un control fundamental para proteger la información sensible y una parte clave de la gobernanza de datos. Una estrategia de protección de datos eficaz incluye el control de acceso, la segmentación de datos y la residencia geográfica, la auditoría y la implementación del cifrado y, que se basa en una evaluación minuciosa de los requisitos.

De forma predeterminada, Google Cloud cifra los datos de los clientes que se almacenan en reposo, sin que tengas que hacer nada. Además del cifrado predeterminado,Google Cloud ofrece opciones de cifrado envolvente y gestión de claves de cifrado. Debes identificar las soluciones que mejor se adapten a tus requisitos de generación, almacenamiento y rotación de claves, en función de si buscas claves para tu almacenamiento, para recursos de computación o para cargas de trabajo de Big Data. Por ejemplo, las claves de cifrado gestionadas por el cliente (CMEKs) se pueden crear en Cloud Key Management Service (Cloud KMS). Las CMEKs pueden ser de software o estar protegidas por HSM para cumplir los requisitos normativos o de cumplimiento, como la necesidad de rotar las claves de encriptado periódicamente. Autokey de Cloud KMS te permite automatizar el aprovisionamiento y la asignación de CMEKs. Además, puedes usar tus propias claves procedentes de un sistema de gestión de claves de terceros mediante Cloud External Key Manager (Cloud EKM).

Recomendamos encarecidamente que los datos se cifren en tránsito. Google encripta y autentica los datos en tránsito en una o más capas de la red cuando estos salen de los límites físicos no controlados por Google o en su nombre. Todo el tráfico entre máquinas virtuales de una red de VPC y entre redes de VPC emparejadas se encripta. Puedes usar MACsec para cifrar el tráfico a través de conexiones de Cloud Interconnect. IPsec proporciona cifrado para el tráfico a través de conexiones de Cloud VPN. Puedes proteger el tráfico de aplicación a aplicación en la nube mediante funciones de seguridad como las configuraciones de TLS y mTLS en Apigee y Cloud Service Mesh para aplicaciones en contenedores.

De forma predeterminada, Google Cloud cifra los datos en reposo y los datos en tránsito en la red. Sin embargo, los datos no se cifran de forma predeterminada mientras se usan en la memoria. Si tu organización trata datos confidenciales, debes mitigar cualquier amenaza que ponga en peligro la confidencialidad y la integridad de la aplicación o de los datos en la memoria del sistema. Para mitigar estas amenazas, puedes usar la computación confidencial, que proporciona un entorno de ejecución de confianza para tus cargas de trabajo de computación. Para obtener más información, consulta la descripción general de las VMs confidenciales.

Implementar la confianza cero

Este principio del pilar de seguridad del Google Cloud framework Well-Architected te ayuda a garantizar una seguridad integral en tus cargas de trabajo en la nube. El principio de confianza cero hace hincapié en las siguientes prácticas:

• Eliminar la confianza implícita
• Aplicar el principio de mínimos accesos al control de acceso
• Exigir la validación explícita de todas las solicitudes de acceso
• Adopta una mentalidad de asunción de brecha para habilitar la verificación continua y la monitorización de la postura de seguridad

Descripción general de los principios

El modelo de confianza cero cambia el enfoque de la seguridad, que pasa de estar basada en el perímetro a un enfoque en el que no se considera que ningún usuario ni dispositivo sea intrínsecamente de confianza. En su lugar, cada solicitud de acceso debe verificarse, independientemente de su origen. Este enfoque implica autenticar y autorizar a cada usuario y dispositivo, validar su contexto (ubicación y postura del dispositivo) y conceder acceso con los privilegios mínimos solo a los recursos necesarios.

Implementar el modelo de confianza cero ayuda a tu organización a mejorar su nivel de seguridad minimizando el impacto de las posibles brechas y protegiendo los datos y las aplicaciones sensibles frente a accesos no autorizados. El modelo de confianza cero te ayuda a garantizar la confidencialidad, la integridad y la disponibilidad de los datos y los recursos en la nube.

Recomendaciones

Para implementar el modelo de confianza cero en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Protege tu red
• Verificar explícitamente cada intento de acceso
• Monitorizar y mantener tu red

Protege tu red

Esta recomendación se aplica a la siguiente área de interés: seguridad de la infraestructura.

La transición de un modelo de seguridad convencional basado en perímetros a un modelo de confianza cero requiere varios pasos. Es posible que tu organización ya haya integrado determinados controles de confianza cero en su postura de seguridad. Sin embargo, un modelo de confianza cero no es un producto ni una solución únicos. En su lugar, se trata de una integración integral de varias capas de seguridad y prácticas recomendadas. En esta sección se describen recomendaciones y técnicas para implementar la confianza cero en la seguridad de la red.

• Control de acceso: implementa controles de acceso basados en la identidad y el contexto de los usuarios mediante soluciones como Chrome Enterprise Premium y Identity-Aware Proxy (IAP). De esta forma, la seguridad pasa del perímetro de la red a usuarios y dispositivos concretos. Este enfoque permite un control de acceso granular y reduce la superficie de ataque.
• Seguridad de redes: protege las conexiones de red entre tus entornos on-premise, Google Cloudy multinube.
  • Usa los métodos de conectividad privada de Cloud Interconnect y VPNs IPsec.
  • Para proteger el acceso a los Google Cloud servicios y las APIs, usa Private Service Connect.
  • Para proteger el acceso saliente de las cargas de trabajo implementadas en GKE Enterprise, usa pasarelas de salida de Cloud Service Mesh.
• Diseño de red: evita posibles riesgos de seguridad eliminando las redes predeterminadas de los proyectos actuales e inhabilitando la creación de redes predeterminadas en los proyectos nuevos.
  • Para evitar conflictos, planifica cuidadosamente la asignación de tu red y de las direcciones IP.
  • Para aplicar un control de acceso eficaz, limita el número de redes de nube privada virtual (VPC) por proyecto.
• Segmentación: aísla las cargas de trabajo, pero mantiene la gestión de la red centralizada.
  • Para segmentar tu red, usa VPC compartida.
  • Define políticas y reglas de cortafuegos a nivel de organización, carpeta y red de VPC.
  • Para evitar la filtración externa de datos, establece perímetros seguros en torno a los datos y servicios sensibles mediante Controles de Servicio de VPC.
• Seguridad perimetral: protege frente a ataques DDoS y amenazas de aplicaciones web.
  • Para protegerte frente a las amenazas, usa Google Cloud Armor.
  • Configura políticas de seguridad para permitir, denegar o redirigir el tráfico en elGoogle Cloud borde.
• Automatización: automatiza el aprovisionamiento de la infraestructura adoptando los principios de la infraestructura como código (IaC) y usando herramientas como Terraform, Jenkins y Cloud Build. La IaC ayuda a garantizar configuraciones de seguridad coherentes, despliegues simplificados y reversiones rápidas en caso de problemas.
• Base segura: crea un entorno de aplicaciones seguro con el plano de aspectos básicos de las empresas. Este plano técnico proporciona directrices prescriptivas y secuencias de comandos de automatización para ayudarte a implementar las prácticas recomendadas de seguridad y configurar tus recursos deGoogle Cloud de forma segura.

Verificar explícitamente cada intento de acceso

Esta recomendación está relacionada con las siguientes áreas de interés:

• Gestión de identidades y accesos
• Operaciones de seguridad (SecOps)
• Registro, auditoría y monitorización

Implementa mecanismos de autenticación y autorización sólidos para cualquier usuario, dispositivo o servicio que intente acceder a tus recursos en la nube. No confíes en el perímetro de la ubicación o de la red como control de seguridad. No confíes automáticamente en ningún usuario, dispositivo o servicio, aunque ya estén dentro de la red. Por tanto, cada intento de acceder a los recursos debe autenticarse y autorizarse rigurosamente. Debes implementar medidas de verificación de identidad sólidas, como la autenticación multifactor (MFA). También debes asegurarte de que las decisiones de acceso se basen en políticas detalladas que tengan en cuenta varios factores contextuales, como el rol del usuario, la postura del dispositivo y la ubicación.

Para implementar esta recomendación, utiliza los siguientes métodos, herramientas y tecnologías:

• Gestión de identidades unificada: asegúrate de que la gestión de identidades sea coherente en toda tu organización usando un único proveedor de identidades (IdP).
  • Google Cloud admite la federación con la mayoría de los IdPs, incluido Active Directory local. La federación te permite ampliar tu infraestructura de gestión de identidades a Google Cloud y habilitar el inicio de sesión único (SSO) para los usuarios.
  • Si no tienes ningún IdP, te recomendamos que uses Cloud Identity Premium o Google Workspace.
• Permisos de cuenta de servicio limitados: usa las cuentas de servicio con cuidado y sigue el principio de mínimos privilegios.
  • Concede solo los permisos necesarios para que cada cuenta de servicio pueda llevar a cabo las tareas que tiene asignadas.
  • Usa federación de identidades de carga de trabajo para las aplicaciones que se ejecutan en Google Kubernetes Engine (GKE) o fuera deGoogle Cloud para acceder a los recursos de forma segura.
• Procesos sólidos: actualiza tus procesos de identidad para que se ajusten a las prácticas recomendadas de seguridad en la nube.
  • Para ayudar a garantizar el cumplimiento de los requisitos normativos, implementa la gobernanza de identidades para monitorizar el acceso, los riesgos y las infracciones de las políticas.
  • Revisa y actualiza los procesos que ya tengas para conceder y auditar roles y permisos de control de acceso.
• Autenticación reforzada: implementa el SSO para la autenticación de usuarios y la MFA para las cuentas con privilegios.
  • Google Cloud admite varios métodos de autenticación multifactor, incluidas las llaves de seguridad Titan, para mejorar la seguridad.
  • Para la autenticación de cargas de trabajo, usa OAuth 2.0 o JSON Web Tokens (JWTs) firmados.
• Mínimos accesos: minimiza el riesgo de que se produzcan accesos no autorizados y brechas de seguridad de datos aplicando los principios de mínimos accesos y separación de obligaciones.
  • Evita conceder acceso a los usuarios en exceso.
  • Plantéate implementar el acceso privilegiado justo a tiempo para operaciones sensibles.
• Registro: habilita el registro de auditoría para las actividades de administrador y de acceso a datos.
  • Para analizar y detectar amenazas, escanea los registros con Security Command Center Enterprise o Google Security Operations.
  • Configura las políticas de conservación de registros adecuadas para equilibrar las necesidades de seguridad con los costes de almacenamiento.

Monitorizar y mantener tu red

Esta recomendación está relacionada con las siguientes áreas de interés:

• Registro, auditoría y monitorización
• Seguridad para aplicaciones
• Operaciones de seguridad (SecOps)
• Seguridad de la infraestructura

Cuando planifiques e implementes medidas de seguridad, da por hecho que un atacante ya está dentro de tu entorno. Este enfoque proactivo implica el uso de las siguientes herramientas y técnicas para proporcionar visibilidad de tu red:

• Registro y monitorización centralizados: recoge y analiza los registros de seguridad de todos tus recursos en la nube mediante registro y monitorización centralizados.

  • Establecer valores de referencia del comportamiento normal de la red, detectar anomalías e identificar posibles amenazas.
  • Analiza continuamente los flujos de tráfico de red para identificar patrones sospechosos y posibles ataques.

• Estadísticas sobre el rendimiento y la seguridad de la red: usa herramientas como Network Analyzer. Monitoriza el tráfico para detectar protocolos inusuales, conexiones inesperadas o picos repentinos en la transferencia de datos, que podrían indicar actividad maliciosa.

• Análisis y corrección de vulnerabilidades: analiza periódicamente tu red y tus aplicaciones en busca de vulnerabilidades.

  • Usa Web Security Scanner, que puede identificar automáticamente las vulnerabilidades de tus instancias de Compute Engine, contenedores y clústeres de GKE.
  • Prioriza las correcciones en función de la gravedad de las vulnerabilidades y su posible impacto en tus sistemas.

• Detección de intrusiones: monitoriza el tráfico de red para detectar actividades maliciosas y bloquea automáticamente los eventos sospechosos o recibe alertas sobre ellos mediante Cloud IDS y el servicio de prevención de intrusiones de Cloud NGFW.

• Análisis de seguridad: considera la posibilidad de implementar Google SecOps para correlacionar eventos de seguridad de varias fuentes, proporcionar análisis en tiempo real de alertas de seguridad y facilitar la respuesta a incidentes.

• Configuraciones coherentes: asegúrate de tener configuraciones de seguridad coherentes en toda tu red usando herramientas de gestión de la configuración.

Implementar la seguridad de forma temprana

Este principio del pilar de seguridad del Google Cloud framework Well-Architected te ayuda a identificar controles prácticos que puedes implementar al principio del ciclo de vida del desarrollo de software para mejorar tu postura de seguridad. Proporciona recomendaciones que te ayudan a implementar barreras de control de seguridad preventivas y controles de seguridad posteriores a la implementación.

Descripción general de los principios

La seguridad "shift left" consiste en adoptar prácticas de seguridad en las primeras fases del ciclo de vida del desarrollo de software. Este principio tiene los siguientes objetivos:

• Evita los defectos de seguridad antes de que se hagan cambios en el sistema. Implementa barreras de protección de seguridad preventivas y adopta prácticas como la infraestructura como código (IaC), la política como código y las comprobaciones de seguridad en la canalización de CI/CD. También puedes usar otras funciones específicas de la plataforma, como el servicio de políticas de la organización y los clústeres de GKE reforzados en Google Cloud.
• Detecta y corrige errores de seguridad de forma rápida, fiable y en las primeras fases después de confirmar cualquier cambio en el sistema. Adopta prácticas como las revisiones de código, el análisis de vulnerabilidades posterior a la implementación y las pruebas de seguridad.

Los principios de implementar la seguridad desde el diseño y de seguridad shift-left están relacionados, pero difieren en cuanto al alcance. El principio de seguridad desde el diseño te ayuda a evitar errores de diseño fundamentales que requerirían cambiar la arquitectura de todo el sistema. Por ejemplo, un ejercicio de modelado de amenazas revela que el diseño actual no incluye una política de autorización y que todos los usuarios tendrían el mismo nivel de acceso sin ella. La seguridad de desplazamiento hacia la izquierda te ayuda a evitar defectos de implementación (errores y configuraciones incorrectas) antes de que se apliquen los cambios, y permite realizar correcciones rápidas y fiables después de la implementación.

Recomendaciones

Para implementar el principio de seguridad "shift left" en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Adopta controles de seguridad preventivos
• Automatizar el aprovisionamiento y la gestión de recursos en la nube
• Automatizar lanzamientos de aplicaciones seguras
• Asegúrate de que los despliegues de aplicaciones siguen los procesos aprobados.
• Analizar las vulnerabilidades conocidas antes de implementar la aplicación
• Monitoriza el código de tu aplicación para detectar vulnerabilidades conocidas

Adopta controles de seguridad preventivos

Esta recomendación está relacionada con las siguientes áreas de interés:

• Gestión de identidades y accesos
• Gobernanza, riesgos y cumplimiento en la nube

Los controles de seguridad preventivos son fundamentales para mantener una postura de seguridad sólida en la nube. Estos controles te ayudan a mitigar los riesgos de forma proactiva. Puedes evitar errores de configuración y accesos no autorizados a los recursos, permitir que los desarrolladores trabajen de forma eficiente y asegurarte de que se cumplen los estándares del sector y las políticas internas.

Los controles de seguridad preventivos son más eficaces cuando se implementan mediante la infraestructura como código (IaC). Con IaC, los controles de seguridad preventivos pueden incluir comprobaciones más personalizadas en el código de la infraestructura antes de que se implementen los cambios. Si se combinan con la automatización, los controles de seguridad preventivos pueden ejecutarse como parte de las comprobaciones automáticas de tu flujo de procesamiento de CI/CD.

Los siguientes productos y funciones pueden ayudarte a implementar controles preventivos en tu entorno: Google Cloud

• Restricciones del servicio de política de organización: configura restricciones predefinidas y personalizadas con un control centralizado.
• Controles de Servicio de VPC: crea perímetros alrededor de tus servicios de Google Cloud .
• Gestión de Identidades y Accesos (IAM), Gestor de Accesos Privilegiados y políticas de límite de acceso de principales: restringen el acceso a los recursos.
• Policy Controller y Open Policy Agent (OPA): aplica restricciones de IaC en tu flujo de procesamiento de CI/CD y evita errores de configuración en la nube.

Gestión de Identidades y Accesos te permite autorizar quién puede actuar en recursos específicos en función de los permisos. Para obtener más información, consulta Control de acceso a recursos de la organización con IAM.

El servicio de políticas de la organización te permite definir restricciones en los recursos para especificar cómo se pueden configurar. Por ejemplo, puede usar una política de la organización para hacer lo siguiente:

• Limitar el uso compartido de recursos en función del dominio.
• Limita el uso de las cuentas de servicio.
• Restringir la ubicación física de los recursos recién creados.

Además de usar políticas de la organización, puedes restringir el acceso a los recursos mediante los siguientes métodos:

• Etiquetas con gestión de identidades y accesos: asigna una etiqueta a un conjunto de recursos y, a continuación, define la definición de acceso de la etiqueta en sí, en lugar de definir los permisos de acceso de cada recurso.
• Condiciones de IAM: definen el control de acceso condicional basado en atributos para los recursos.
• Defensa en profundidad: usa Controles de Servicio de VPC para restringir aún más el acceso a los recursos.

Para obtener más información sobre la gestión de recursos, consulta el artículo Decidir una jerarquía de recursos para tu Google Cloud zona de aterrizaje.

Automatizar el aprovisionamiento y la gestión de recursos en la nube

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad para aplicaciones
• Gobernanza, riesgos y cumplimiento en la nube

Automatizar el aprovisionamiento y la gestión de recursos y cargas de trabajo en la nube es más eficaz si también adoptas IaC declarativo, en lugar de secuencias de comandos imperativas. IaC no es una herramienta ni una práctica de seguridad por sí sola, pero te ayuda a mejorar la seguridad de tu plataforma. Adoptar IaC te permite crear una infraestructura repetible y proporciona a tu equipo de operaciones un estado correcto conocido. La IaC también mejora la eficiencia de las reversiones, los cambios de auditoría y la resolución de problemas.

Si se combina con las automatizaciones y las pipelines de CI/CD, IaC también te permite adoptar prácticas como la política como código con herramientas como OPA. Puedes auditar los cambios en la infraestructura a lo largo del tiempo y ejecutar comprobaciones automáticas en el código de la infraestructura antes de que se implementen los cambios.

Para automatizar el despliegue de la infraestructura, puedes usar herramientas como Config Controller, Terraform, Jenkins y Cloud Build. Para ayudarte a crear un entorno de aplicaciones seguro mediante IaC y automatización,Google Cloud proporciona el plano técnico de las bases de la empresa. Este diseño es la opinión de Google y sigue todas nuestras prácticas y configuraciones recomendadas. El plano proporciona instrucciones paso a paso para configurar y desplegar tu Google Cloud topología con Terraform y Cloud Build.

Puedes modificar las secuencias de comandos del plano de las bases de la empresa para configurar un entorno que siga las recomendaciones de Google y cumpla tus requisitos de seguridad. Puedes seguir desarrollando el plano con otros planos o diseñar tu propia automatización. El Google Cloud Architecture Center ofrece otros planos que se pueden implementar sobre el plano de aspectos básicos de las empresas. A continuación, se muestran algunos ejemplos de estos planos:

• Desplegar una plataforma para desarrolladores empresarial en Google Cloud
• Desplegar una arquitectura sin servidor segura con Cloud Run
• Crear y desplegar modelos de IA generativa y aprendizaje automático en una empresa
• Importar datos de Google Cloud a un almacén de datos de BigQuery seguro

Automatizar lanzamientos seguros de aplicaciones

Esta recomendación está relacionada con la siguiente área de interés: seguridad de las aplicaciones.

Sin herramientas automatizadas, puede ser difícil implementar, actualizar y parchear entornos de aplicaciones complejos para cumplir requisitos de seguridad coherentes. Te recomendamos que crees flujos de procesamiento de CI/CD automatizados para el ciclo de vida de desarrollo de software (SDLC). Los flujos de procesamiento de CI/CD automatizados te ayudan a eliminar los errores manuales, a proporcionar bucles de retroalimentación de desarrollo estandarizados y a habilitar iteraciones de productos eficientes. La entrega continua es una de las prácticas recomendadas del marco de DORA.

Automatizar las versiones de aplicaciones mediante las canalizaciones de CI/CD ayuda a mejorar tu capacidad para detectar y corregir errores de seguridad de forma rápida, fiable y en las primeras fases. Por ejemplo, puedes analizar automáticamente los artefactos en busca de vulnerabilidades de seguridad cuando se creen, reducir el alcance de las revisiones de seguridad y volver a una versión segura y conocida. También puedes definir políticas para distintos entornos (como entornos de desarrollo, prueba o producción) de forma que solo se desplieguen los artefactos verificados.

Para ayudarte a automatizar las versiones de aplicaciones e integrar comprobaciones de seguridad en tu flujo de procesamiento de CI/CD, Google Cloud proporciona varias herramientas, como Cloud Build, Cloud Deploy, Web Security Scanner y Autorización binaria.

Para establecer un proceso que verifique varios requisitos de seguridad en tu ciclo de vida del desarrollo de software (SDLC), usa el framework Niveles de la cadena de suministro para artefactos de software (SLSA), que ha definido Google. SLSA requiere comprobaciones de seguridad para el código fuente, el proceso de compilación y la procedencia del código. Muchos de estos requisitos se pueden incluir en un flujo de procesamiento de CI/CD automatizado. Para saber cómo aplica Google estas prácticas internamente, consulta el Google Cloudenfoque de Google ante los cambios.

Asegúrate de que los despliegues de aplicaciones siguen los procesos aprobados.

Esta recomendación está relacionada con la siguiente área de interés: seguridad de las aplicaciones.

Si un atacante pone en riesgo tu canalización de CI/CD, se puede ver afectada toda tu pila de aplicaciones. Para proteger la canalización, debes implementar un proceso de aprobación consolidado antes de desplegar el código en el entorno de producción.

Si usas Google Kubernetes Engine (GKE), GKE Enterprise o Cloud Run, puedes establecer un proceso de aprobación mediante la autorización binaria. La autorización binaria adjunta firmas configurables a las imágenes de contenedor. Estas firmas (también llamadas atestaciones) ayudan a validar la imagen. En el momento del despliegue, la autorización binaria usa estas atestaciones para determinar si se ha completado un proceso. Por ejemplo, puedes usar la autorización binaria para hacer lo siguiente:

• Verifica que un sistema de compilación o una canalización de CI específicos hayan creado una imagen de contenedor.
• Valida que una imagen de contenedor cumpla una política de firma de vulnerabilidades.
• Verifica que una imagen de contenedor cumple los criterios para pasar al siguiente entorno de implementación, por ejemplo, del desarrollo al control de calidad.

Con la autorización binaria, puedes asegurarte de que solo se ejecute código de confianza en tus plataformas de destino.

Analizar las vulnerabilidades conocidas antes de implementar la aplicación

Esta recomendación está relacionada con la siguiente área de interés: seguridad de las aplicaciones.

Te recomendamos que utilices herramientas automatizadas que puedan realizar análisis de vulnerabilidades de forma continua en los artefactos de las aplicaciones antes de que se implementen en producción.

En el caso de las aplicaciones en contenedores, usa Artifact Analysis para ejecutar automáticamente análisis de vulnerabilidades en imágenes de contenedor. Artifact Analysis analiza las imágenes nuevas cuando se suben a Artifact Registry. El análisis extrae información sobre los paquetes del sistema del contenedor. Después del análisis inicial, Artifact Analysis monitoriza continuamente los metadatos de las imágenes analizadas en Artifact Registry para detectar nuevas vulnerabilidades. Cuando el análisis de artefactos recibe información nueva y actualizada sobre vulnerabilidades de fuentes de vulnerabilidades, hace lo siguiente:

• Actualiza los metadatos de las imágenes escaneadas para que estén al día.
• Crea nuevas ocurrencias de vulnerabilidades para las notas nuevas.
• Elimina las ocurrencias de vulnerabilidades que ya no son válidas.

Monitoriza el código de tu aplicación para detectar vulnerabilidades conocidas.

Esta recomendación está relacionada con la siguiente área de interés: seguridad de las aplicaciones.

Usa herramientas automatizadas para monitorizar constantemente el código de tu aplicación en busca de vulnerabilidades conocidas, como las 10 principales de OWASP. Para obtener más información sobre los Google Cloud productos y las funciones que admiten técnicas de mitigación de los diez riesgos principales según el proyecto OWASP, consulta las opciones de mitigación de los diez riesgos principales según el proyecto OWASP en Google Cloud.

Usa Web Security Scanner para identificar las vulnerabilidades de seguridad de tus aplicaciones web de App Engine, Compute Engine y GKE. El escáner rastrea tu aplicación, sigue todos los enlaces dentro del alcance de las URLs de inicio e intenta ejecutar la máxima cantidad posible de acciones de usuario y de gestores de eventos. Puede analizar y detectar automáticamente vulnerabilidades habituales, como cross-site scripting, inyección de código, contenido mixto y bibliotecas obsoletas o no seguras. Web Security Scanner identifica estos tipos de vulnerabilidades de forma temprana sin distraerte con falsos positivos.

Además, si usas GKE Enterprise para gestionar flotas de clústeres de Kubernetes, el panel de control de la postura de seguridad muestra recomendaciones prácticas y basadas en opiniones para ayudarte a mejorar la postura de seguridad de tu flota.

Implementar una ciberdefensa preventiva

Este principio del pilar de seguridad del Google Cloud framework de arquitectura óptima proporciona recomendaciones para crear programas de ciberdefensa sólidos como parte de tu estrategia de seguridad general.

Este principio destaca el uso de la inteligencia de amenazas para guiar de forma proactiva tus esfuerzos en las funciones de ciberdefensa principales, tal como se definen en The Defender's Advantage: A guide to activating cyber defense.

Descripción general de los principios

Cuando proteges tu sistema frente a ciberataques, tienes una ventaja significativa y poco utilizada frente a los atacantes. Como afirma el fundador de Mandiant, "Debes conocer tu empresa, tus sistemas, tu topología y tu infraestructura mejor que cualquier atacante. Si lo haces, tendrás una ventaja increíble a tu disposición". Para ayudarte a aprovechar esta ventaja inherente, en este documento se ofrecen recomendaciones sobre prácticas de ciberdefensa proactivas y estratégicas que se corresponden con el marco de The Defender's Advantage.

Recomendaciones

Para implementar una ciberdefensa preventiva en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Integra las funciones de ciberdefensa
• Usa la función de inteligencia en todos los aspectos de la ciberdefensa
• Aprovecha al máximo tu sistema de defensa
• Valida y mejora tus defensas continuamente
• Gestionar y coordinar las medidas de ciberdefensa

Integrar las funciones de ciberdefensa

Esta recomendación es pertinente para todas las áreas de interés.

El framework The Defender's Advantage identifica seis funciones críticas de la ciberdefensa: inteligencia, detección, respuesta, validación, búsqueda y control de misiones. Cada función se centra en una parte única de la misión de ciberdefensa, pero estas funciones deben estar bien coordinadas y trabajar conjuntamente para proporcionar una defensa eficaz. Céntrate en crear un sistema sólido e integrado en el que cada función complemente a las demás. Si necesitas un enfoque gradual para la adopción, te recomendamos que sigas el orden que se indica a continuación. En función de tu nivel de madurez en la nube, la topología de los recursos y el panorama de amenazas específico, puede que quieras priorizar determinadas funciones.

1. Inteligencia: la función de inteligencia guía a todas las demás funciones. Conocer el panorama de amenazas (incluidos los atacantes más probables, sus tácticas, técnicas y procedimientos, y el impacto potencial) es fundamental para priorizar las acciones en todo el programa. La función de inteligencia se encarga de identificar a las partes interesadas, definir los requisitos de inteligencia, recoger, analizar y difundir datos, automatizar procesos y crear un perfil de ciberamenaza.
2. Detectar y responder: estas funciones constituyen el núcleo de la defensa activa, que consiste en identificar y abordar la actividad maliciosa. Estas funciones son necesarias para actuar en función de la información que recoge la función de inteligencia. La función Detect requiere un enfoque metódico que alinee las detecciones con las TTPs de los atacantes y asegure un registro sólido. La función de respuesta debe centrarse en la clasificación inicial, la recogida de datos y la resolución de incidentes.
3. Validar: la función Validar es un proceso continuo que asegura que tu ecosistema de control de seguridad está actualizado y funciona según lo previsto. Esta función asegura que tu organización comprenda la superficie de ataque, sepa dónde hay vulnerabilidades y mida la eficacia de los controles. La validación de seguridad también es un componente importante del ciclo de vida del diseño de procesos de detección y debe usarse para identificar las carencias de detección y crear nuevas detecciones.
4. Búsqueda: la función de búsqueda implica buscar de forma proactiva amenazas activas en un entorno. Esta función debe implementarse cuando tu organización tenga un nivel de madurez básico en las funciones de detección y respuesta. La función de búsqueda amplía las capacidades de detección y ayuda a identificar las carencias y los puntos débiles de los controles. La función de búsqueda debe basarse en amenazas específicas. Esta función avanzada se beneficia de una base de sólidas capacidades de inteligencia, detección y respuesta.
5. Mission Control: esta función actúa como centro de control que conecta todas las demás funciones. Esta función se encarga de la estrategia, la comunicación y las acciones decisivas en tu programa de ciberdefensa. De esta forma, te aseguras de que todas las funciones trabajen juntas y de que estén alineadas con los objetivos de negocio de tu organización. Debes centrarte en comprender claramente el propósito de la función de control de misión antes de usarla para conectar las demás funciones.

Usa la función de inteligencia en todos los aspectos de la ciberdefensa

Esta recomendación es pertinente para todas las áreas de interés.

Esta recomendación destaca la función de inteligencia como parte fundamental de un sólido programa de ciberdefensa. La inteligencia frente a amenazas proporciona información sobre los agentes de riesgo, sus TTPs y los indicadores de compromiso (IOCs). Este conocimiento debe informar y priorizar las acciones en todas las funciones de ciberdefensa. Un enfoque basado en la inteligencia te ayuda a alinear las defensas para hacer frente a las amenazas que tienen más probabilidades de afectar a tu organización. Este enfoque también ayuda a asignar y priorizar los recursos de forma eficiente.

Los siguientes productos y funciones te ayudan a aprovechar la inteligencia de amenazas para guiar tus operaciones de seguridad. Google Cloud Usa estas funciones para identificar y priorizar posibles amenazas, vulnerabilidades y riesgos, y, a continuación, planificar e implementar las acciones adecuadas.

• Google Security Operations (Google SecOps) te ayuda a almacenar y analizar datos de seguridad de forma centralizada. Usa Google SecOps para asignar registros a un modelo común, enriquecer los registros y vincularlos a cronologías para obtener una vista completa de los ataques. También puedes crear reglas de detección, configurar la coincidencia de IoCs y realizar actividades de búsqueda de amenazas. La plataforma también ofrece detecciones seleccionadas, que son reglas predefinidas y gestionadas para ayudar a identificar amenazas. Google SecOps también se puede integrar con la inteligencia de primera línea de Mandiant. Google SecOps integra de forma única la IA líder del sector, junto con la inteligencia sobre amenazas de Mandiant y Google VirusTotal. Esta integración es fundamental para evaluar las amenazas y saber quién está atacando a tu organización y cuál es el impacto potencial.

• Security Command Center Enterprise, que se basa en la IA de Google, permite a los profesionales de la seguridad evaluar, investigar y responder de forma eficiente a los problemas de seguridad en varios entornos de nube. Los profesionales de seguridad que pueden beneficiarse de Security Command Center son los analistas del centro de operaciones de seguridad (SOC), los analistas de vulnerabilidades y postura, y los responsables de cumplimiento. Security Command Center Enterprise enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades. Esta solución proporciona a los equipos la información que necesitan para abordar las vulnerabilidades de alto riesgo y corregir las amenazas activas.

• Chrome Enterprise Premium ofrece protección de datos y contra amenazas, lo que ayuda a proteger a los usuarios frente a los riesgos de exfiltración y evita que el malware llegue a los dispositivos gestionados por la empresa. Chrome Enterprise Premium también ofrece visibilidad de la actividad insegura o potencialmente insegura que puede producirse en el navegador.

• La monitorización de la red, mediante herramientas como Network Intelligence Center, te permite ver el rendimiento de la red. La monitorización de la red también puede ayudarte a detectar patrones de tráfico inusuales o cantidades de transferencia de datos que podrían indicar un ataque o un intento de filtración de datos.

Aprovechar al máximo tu sistema de defensa

Esta recomendación es pertinente para todas las áreas de interés.

Como hemos mencionado anteriormente, tienes ventaja sobre los atacantes si conoces a fondo tu empresa, tus sistemas, tu topología y tu infraestructura. Para sacar partido de esta ventaja, utiliza los datos sobre tus entornos durante la planificación de la ciberdefensa.

Google Cloud ofrece las siguientes funciones para ayudarte a obtener visibilidad de forma proactiva, identificar amenazas, comprender los riesgos y responder a tiempo para mitigar los posibles daños:

• Chrome Enterprise Premium te ayuda a mejorar la seguridad de los dispositivos de tu empresa protegiendo a los usuarios frente a los riesgos de exfiltración. Extiende los servicios de Protección de Datos Sensibles al navegador y evita el malware. También ofrece funciones como la protección contra malware y phishing para evitar la exposición a contenido no seguro. Además, te permite controlar la instalación de extensiones para evitar que se instalen extensiones no seguras o no verificadas. Estas funciones te ayudan a establecer una base segura para tus operaciones.

• Security Command Center Enterprise proporciona un motor de riesgo continuo que ofrece un análisis y una gestión de riesgos completos y permanentes. La función de motor de riesgos enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades para ayudarte a solucionar los problemas rápidamente. Security Command Center permite a tu organización identificar de forma proactiva las vulnerabilidades e implementar medidas de mitigación.

• Google SecOps centraliza los datos de seguridad y proporciona registros enriquecidos con cronologías. De esta forma, los defensores pueden identificar de forma proactiva las vulneraciones activas y adaptar las defensas en función del comportamiento de los atacantes.

• La monitorización de la red ayuda a identificar la actividad de red irregular que podría indicar un ataque y proporciona indicadores tempranos que puedes usar para tomar medidas. Para proteger tus datos de forma proactiva contra robos, monitoriza continuamente las filtraciones de datos y usa las herramientas proporcionadas.

Valida y mejora tus defensas continuamente

Esta recomendación es pertinente para todas las áreas de interés.

Esta recomendación destaca la importancia de realizar pruebas específicas y validar los controles de forma continua para conocer los puntos fuertes y débiles de toda la superficie de ataque. Esto incluye la validación de la eficacia de los controles, las operaciones y el personal mediante métodos como los siguientes:

• Pruebas de penetración
• Ejercicios de equipo rojo y azul y equipo morado
• Ejercicios de simulación

También debes buscar activamente amenazas y usar los resultados para mejorar la detección y la visibilidad. Utiliza las siguientes herramientas para probar y validar continuamente tus defensas frente a amenazas reales:

• Security Command Center Enterprise proporciona un motor de riesgo continuo para evaluar las vulnerabilidades y priorizar la corrección, lo que permite evaluar continuamente tu postura de seguridad general. Al priorizar los problemas, Security Command Center Enterprise te ayuda a asegurarte de que los recursos se utilicen de forma eficaz.

• Google SecOps ofrece detecciones seleccionadas y de búsqueda de amenazas que te permiten identificar de forma proactiva las vulnerabilidades de tus controles. Esta función permite probar y mejorar continuamente tu capacidad para detectar amenazas.

• Chrome Enterprise Premium ofrece funciones de protección de datos y contra amenazas que pueden ayudarte a hacer frente a las amenazas nuevas y cambiantes, y a actualizar continuamente tus defensas contra los riesgos de exfiltración y el malware.

• Cloud Next Generation Firewall (Cloud NGFW) ofrece monitorización de redes y de exfiltración de datos. Estas funciones pueden ayudarte a validar la eficacia de tu postura de seguridad actual e identificar posibles puntos débiles. La monitorización de la exfiltración de datos te ayuda a validar la solidez de los mecanismos de protección de datos de tu organización y a hacer ajustes proactivos cuando sea necesario. Si integras los resultados de amenazas de Cloud NGFW con Security Command Center y Google SecOps, puedes optimizar la detección de amenazas basadas en la red, optimizar la respuesta ante amenazas y automatizar las guías de respuesta. Para obtener más información sobre esta integración, consulta el artículo Unificar las defensas en la nube: Security Command Center y Cloud NGFW Enterprise.

Gestionar y coordinar las iniciativas de ciberdefensa

Esta recomendación es pertinente para todas las áreas de interés.

Como se ha descrito anteriormente en Integrar las funciones de ciberdefensa, la función de control de la misión interconecta las demás funciones del programa de ciberdefensa. Esta función permite coordinar y gestionar de forma unificada todo el programa. También te ayuda a coordinarte con otros equipos que no se dedican a la ciberseguridad. La función de control de misiones fomenta la autonomía y la rendición de cuentas, facilita la agilidad y la experiencia, e impulsa la responsabilidad y la transparencia.

Los siguientes productos y funciones pueden ayudarte a implementar la función de control de misión:

• Security Command Center Enterprise actúa como centro de coordinación y gestión de tus operaciones de ciberdefensa. Reúne herramientas, equipos y datos, así como las funciones de respuesta integradas de Google SecOps. Security Command Center ofrece una visibilidad clara del estado de seguridad de tu organización y permite identificar errores de configuración de seguridad en diferentes recursos.
• Google SecOps proporciona una plataforma para que los equipos respondan a las amenazas mediante la asignación de registros y la creación de cronologías. También puedes definir reglas de detección y buscar amenazas.
• Google Workspace y Chrome Enterprise Premium te ayudan a gestionar y controlar el acceso de los usuarios finales a recursos sensibles. Puedes definir controles de acceso granulares basados en la identidad del usuario y el contexto de una solicitud.
• La monitorización de la red proporciona información valiosa sobre el rendimiento de los recursos de la red. Puedes importar las estadísticas de monitorización de la red a Security Command Center y Google SecOps para centralizar la monitorización y la correlación con otros puntos de datos basados en la cronología. Esta integración te ayuda a detectar y responder a posibles cambios en el uso de la red causados por actividades maliciosas.
• La monitorización de la filtración externa de datos ayuda a identificar posibles incidentes de pérdida de datos. Con esta función, puede movilizar de forma eficiente un equipo de respuesta ante incidentes, evaluar los daños y limitar la filtración de datos. También puedes mejorar las políticas y los controles actuales para garantizar la protección de datos.

Resumen del producto

En la siguiente tabla se enumeran los productos y las funciones que se describen en este documento y se relacionan con las recomendaciones y las funciones de seguridad asociadas.

Google Cloud product	Recomendaciones aplicables
Google SecOps	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: permite la búsqueda de amenazas y la coincidencia de IoCs, y se integra con Mandiant para ofrecer una evaluación de amenazas completa. Aprovecha la ventaja de tu defensor: proporciona detecciones seleccionadas y centraliza los datos de seguridad para identificar las vulneraciones de forma proactiva. Valida y mejora tus defensas continuamente: permite probar y mejorar continuamente las capacidades de detección de amenazas. Gestionar y coordinar las medidas de ciberdefensa a través de Mission Control: proporciona una plataforma para la respuesta a amenazas, el análisis de registros y la creación de cronologías.
Security Command Center Enterprise	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: utiliza la IA para evaluar los riesgos, priorizar las vulnerabilidades y proporcionar estadísticas útiles para la corrección. Conoce y aprovecha las ventajas de tu sistema de defensa: ofrece un análisis de riesgos completo, priorización de vulnerabilidades e identificación proactiva de puntos débiles. Valida y mejora tus defensas continuamente: ofrece una evaluación continua de la estrategia de seguridad y la priorización de recursos. Gestionar y coordinar las iniciativas de ciberdefensa a través de Mission Control: actúa como centro de gestión y coordinación de las operaciones de ciberdefensa.
Chrome Enterprise Premium	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: protege a los usuarios frente a los riesgos de exfiltración, evita el malware y proporciona visibilidad sobre la actividad del navegador que no es segura. Aprovecha las ventajas de tu defensor: mejora la seguridad de los dispositivos de la empresa mediante la protección de datos, la prevención de malware y el control de las extensiones. Valida y mejora tus defensas continuamente: aborda las amenazas nuevas y en constante evolución mediante actualizaciones continuas de las defensas contra los riesgos de exfiltración y malware. Gestionar y coordinar las medidas de ciberdefensa a través de Mission Control: gestiona y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Google Workspace	Gestionar y coordinar las medidas de ciberdefensa a través de Mission Control: gestiona y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Network Intelligence Center	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: proporciona visibilidad del rendimiento de la red y detecta patrones de tráfico o transferencias de datos inusuales.
Cloud NGFW	Valida y mejora tus defensas continuamente: optimiza la detección y la respuesta ante amenazas basadas en la red mediante la integración con Security Command Center y Google SecOps.

Usar la IA de forma segura y responsable

Este principio del pilar de seguridad del Google Cloud framework Well-Architected ofrece recomendaciones para ayudarte a proteger tus sistemas de IA. Estas recomendaciones se ajustan al Marco para la IA Segura (SAIF) de Google, que ofrece un enfoque práctico para abordar las preocupaciones sobre la seguridad y los riesgos de los sistemas de IA. El SAIF es un marco conceptual que tiene como objetivo proporcionar estándares en todo el sector para desarrollar e implementar la IA de forma responsable.

Descripción general de los principios

Para asegurarte de que tus sistemas de IA cumplen tus requisitos de seguridad, privacidad y cumplimiento, debes adoptar una estrategia integral que empiece con el diseño inicial y se extienda a la implementación y las operaciones. Puedes implementar esta estrategia integral aplicando los seis elementos clave del SAIF.

Google usa la IA para mejorar las medidas de seguridad, como identificar amenazas, automatizar tareas de seguridad y mejorar las funciones de detección, sin dejar de contar con la intervención humana en las decisiones críticas.

Google hace hincapié en un enfoque colaborativo para mejorar la seguridad de la IA. Este enfoque implica colaborar con clientes, sectores y gobiernos para mejorar las directrices del SAIF y ofrecer recursos prácticos y útiles.

Las recomendaciones para implementar este principio se agrupan en las siguientes secciones:

• Recomendaciones para usar la IA de forma segura
• Recomendaciones para la gobernanza de la IA

Recomendaciones para usar la IA de forma segura

Para usar la IA de forma segura, necesitas controles de seguridad básicos y controles de seguridad específicos para la IA. En esta sección se ofrece una descripción general de las recomendaciones para asegurarse de que las implementaciones de IA y aprendizaje automático cumplen los requisitos de seguridad, privacidad y cumplimiento de su organización. Para obtener una descripción general de los principios y las recomendaciones de arquitectura específicos de las cargas de trabajo de IA y aprendizaje automático en Google Cloud, consulta la sección Perspectiva de IA y aprendizaje automático del framework Well-Architected.

Define objetivos y requisitos claros para el uso de la IA

Esta recomendación está relacionada con las siguientes áreas de interés:

• Gobernanza, riesgos y cumplimiento en la nube
• Seguridad de la IA y el aprendizaje automático

Esta recomendación se ajusta al elemento del SAIF sobre la contextualización de los riesgos de los sistemas de IA en los procesos empresariales del entorno. Cuando diseñes y desarrolles sistemas de IA, es importante que conozcas tus objetivos de negocio, riesgos y requisitos de cumplimiento específicos.

Mantener los datos protegidos y evitar que se pierdan o se traten de forma inadecuada

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de la infraestructura
• Gestión de identidades y accesos
• Seguridad de los datos
• Seguridad para aplicaciones
• Seguridad de la IA y el aprendizaje automático

Esta recomendación se ajusta a los siguientes elementos de la guía de información de seguridad de aplicaciones:

• Ampliar cimientos de seguridad sólidos al ecosistema de la IA. Este elemento incluye la recogida, el almacenamiento y el control de acceso a los datos, así como la protección frente a la contaminación de datos.
• Contextualiza los riesgos de los sistemas de IA. Destaca la seguridad de los datos para alcanzar los objetivos empresariales y cumplir las normativas.

Mantener protegidos los flujos de trabajo de IA y evitar que se manipulen

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de la infraestructura
• Gestión de identidades y accesos
• Seguridad de los datos
• Seguridad para aplicaciones
• Seguridad de la IA y el aprendizaje automático

Esta recomendación se ajusta a los siguientes elementos de la guía de información de seguridad de aplicaciones:

• Ampliar cimientos de seguridad sólidos al ecosistema de la IA. Como elemento clave para establecer un sistema de IA seguro, protege tu código y tus artefactos de modelo.
• Adapta los controles para crear ciclos de retroalimentación más rápidos. Es importante para la mitigación y la respuesta a incidentes, así que haz un seguimiento de tus recursos y ejecuciones de la canalización.

Desplegar aplicaciones en sistemas seguros con herramientas y artefactos seguros

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de la infraestructura
• Gestión de identidades y accesos
• Seguridad de los datos
• Seguridad para aplicaciones
• Seguridad de la IA y el aprendizaje automático

Usar sistemas seguros y herramientas y artefactos validados en aplicaciones basadas en IA se ajusta al elemento del SAIF sobre la ampliación de cimientos de seguridad sólidos al ecosistema y la cadena de suministro de la IA. Para solucionar este problema, sigue estos pasos:

• Implementar un entorno seguro para el entrenamiento y el despliegue de aprendizaje automático
• Usar imágenes de contenedor validadas
• Aplicar las directrices de Niveles de la cadena de suministro para artefactos de software (SLSA)

Proteger y monitorizar las entradas

Esta recomendación está relacionada con las siguientes áreas de interés:

• Registro, auditoría y monitorización
• Operaciones de seguridad
• Seguridad de la IA y el aprendizaje automático

Esta recomendación se ajusta al elemento de SAIF sobre la ampliación de la detección y la respuesta para introducir la IA en el universo de amenazas de las empresas. Para evitar problemas, es fundamental gestionar las peticiones de los sistemas de IA generativa, monitorizar las entradas y controlar el acceso de los usuarios.

Recomendaciones para la gobernanza de la IA

Todas las recomendaciones de esta sección están relacionadas con la siguiente área de enfoque: control, riesgos y cumplimiento en la nube.

Google Cloud ofrece un conjunto de herramientas y servicios que puedes usar para crear sistemas de IA responsables y éticos. También ofrecemos un marco de políticas, procedimientos y consideraciones éticas que pueden guiar el desarrollo, la implementación y el uso de sistemas de IA.

Tal como se refleja en nuestras recomendaciones, el enfoque de Google para la gobernanza de la IA se rige por los siguientes principios:

• Imparcialidad
• Transparencia
• Responsabilidad
• Privacidad
• Seguridad

Usar indicadores de equidad

Vertex AI puede detectar sesgos durante el proceso de recogida de datos o de evaluación posterior al entrenamiento. Vertex AI proporciona métricas de evaluación de modelos, como sesgos en los datos y sesgos en los modelos, para ayudarte a evaluar los sesgos de tu modelo.

Estas métricas están relacionadas con la equidad entre diferentes categorías, como raza, sexo y clase. Sin embargo, interpretar las desviaciones estadísticas no es una tarea sencilla, ya que las diferencias entre categorías pueden no deberse a sesgos ni ser una señal de daño.

Usar Vertex Explainable AI

Para saber cómo toman decisiones los modelos de IA, usa Vertex Explainable AI. Esta función te ayuda a identificar posibles sesgos que puedan estar ocultos en la lógica del modelo.

Esta función de interpretabilidad se integra con BigQuery ML y Vertex AI, que proporcionan explicaciones basadas en las características. Puedes realizar la interpretabilidad en BigQuery ML o registrar tu modelo en Vertex AI y realizar la interpretabilidad en Vertex AI.

Monitorizar el linaje de datos

Monitoriza el origen y la transformación de los datos que se usan en tus sistemas de IA. Este seguimiento te ayuda a comprender el recorrido de los datos e identificar posibles fuentes de sesgo o error.

El linaje de datos es una función de Dataplex Universal Catalog que te permite hacer un seguimiento de cómo se mueven los datos por tus sistemas: de dónde proceden, a dónde se transfieren y qué transformaciones se les aplican.

Establecer responsabilidades

Establece responsabilidades claras en cuanto al desarrollo, la implementación y los resultados de tus sistemas de IA.

Usa Cloud Logging para registrar los eventos clave y las decisiones que tomen tus sistemas de IA. Los registros proporcionan un historial de auditoría que te ayuda a entender el rendimiento del sistema e identificar áreas de mejora.

Usa Error Reporting para analizar sistemáticamente los errores cometidos por los sistemas de IA. Este análisis puede revelar patrones que indiquen sesgos subyacentes o áreas en las que el modelo necesite más ajustes.

Implementar la privacidad diferencial

Durante el entrenamiento del modelo, se añade ruido a los datos para que sea difícil identificar puntos de datos concretos, pero se permite que el modelo aprenda de forma eficaz. Con SQL en BigQuery, puedes transformar los resultados de una consulta con agregaciones con privacidad diferencial.

Usar la IA para la seguridad

Este principio del pilar de seguridad del Google Cloud framework Well-Architected proporciona recomendaciones para usar la IA y mejorar la seguridad de tus cargas de trabajo en la nube.

Debido al creciente número y sofisticación de los ciberataques, es importante aprovechar el potencial de la IA para mejorar la seguridad. La IA puede ayudar a reducir el número de amenazas y el esfuerzo manual que deben realizar los profesionales de seguridad, así como a compensar la escasez de expertos en el ámbito de la ciberseguridad.

Descripción general de los principios

Usa las funciones de IA para mejorar tus sistemas y procesos de seguridad. Puedes usar Gemini en Seguridad, así como las funciones de IA intrínsecas que están integradas en los Google Cloud servicios.

Estas funciones de IA pueden transformar la seguridad al proporcionar asistencia en todas las fases del ciclo de vida de la seguridad. Por ejemplo, puedes usar la IA para hacer lo siguiente:

• Analiza y explica código potencialmente malicioso sin aplicar ingeniería inversa.
• Reduce el trabajo repetitivo de los profesionales de la ciberseguridad.
• Usa el lenguaje natural para generar consultas e interactuar con datos de eventos de seguridad.
• Muestra información contextual.
• Ofrecer recomendaciones para responder rápidamente.
• Ayuda a corregir los eventos.
• Resumir las alertas de alta prioridad sobre vulnerabilidades de configuración erróneas, destacar su posible impacto y recomendar medidas de mitigación.

Niveles de autonomía de seguridad

La IA y la automatización pueden ayudarte a mejorar la seguridad cuando te enfrentas a amenazas de ciberseguridad en constante evolución. Al usar la IA para la seguridad, puedes alcanzar mayores niveles de autonomía para detectar y prevenir amenazas, así como mejorar tu postura de seguridad general. Google define cuatro niveles de autonomía cuando se usa la IA para la seguridad, y describe el papel cada vez mayor de la IA a la hora de ayudar y, finalmente, dirigir las tareas de seguridad:

1. Manual: los humanos ejecutan todas las tareas de seguridad (prevención, detección, priorización y respuesta) a lo largo de todo el ciclo de vida de la seguridad.
2. Asistida: las herramientas de IA, como Gemini, aumentan la productividad de los humanos resumiendo información, generando estadísticas y haciendo recomendaciones.
3. Semiautónoma: la IA asume la responsabilidad principal de muchas tareas de seguridad y solo delega en personas cuando es necesario.
4. Autónoma: la IA actúa como un asistente de confianza que impulsa el ciclo de vida de la seguridad en función de los objetivos y las preferencias de tu organización, con una intervención humana mínima.

Recomendaciones

En las siguientes secciones se describen las recomendaciones para usar la IA en la seguridad. En las secciones también se indica cómo se ajustan las recomendaciones a los elementos clave del Marco para la IA Segura (SAIF) de Google y cómo se relacionan con los niveles de autonomía de seguridad.

• Mejora la detección y la respuesta ante amenazas con la IA
• Simplifica la seguridad tanto para expertos como para usuarios que no lo son
• Automatizar tareas de seguridad que consumen mucho tiempo con la IA
• Incorporar la IA en los procesos de gestión de riesgos y control
• Implementar prácticas de desarrollo seguras para sistemas de IA

Mejorar la detección y la respuesta ante amenazas con la IA

Esta recomendación está relacionada con las siguientes áreas de interés:

• Operaciones de seguridad (SecOps)
• Registro, auditoría y monitorización

La IA puede analizar grandes volúmenes de datos de seguridad, ofrecer información valiosa sobre el comportamiento de los agentes de amenazas y automatizar el análisis de código potencialmente malicioso. Esta recomendación se ajusta a los siguientes elementos de la SAIF:

• Amplía la detección y la respuesta para introducir la IA en el universo de amenazas de tu organización.
• Automatiza las defensas para hacer frente a las amenazas actuales y futuras.

En función de tu implementación, esta recomendación puede ser relevante para los siguientes niveles de autonomía:

• Asistida: la IA ayuda a analizar y detectar amenazas.
• Semiautónoma: la IA asume más responsabilidad en la tarea de seguridad.

Inteligencia de amenazas de Google, que usa la IA para analizar el comportamiento de los autores de las amenazas y el código malicioso, puede ayudarte a implementar esta recomendación.

Simplifica la seguridad tanto para expertos como para usuarios que no lo son

Esta recomendación está relacionada con las siguientes áreas de interés:

• Operaciones de seguridad (SecOps)
• Gobernanza, riesgos y cumplimiento en la nube

Las herramientas basadas en IA pueden resumir las alertas y recomendar medidas de mitigación, y estas funciones pueden hacer que la seguridad sea más accesible para un mayor número de personas. Esta recomendación se ajusta a los siguientes elementos de la guía de implementación de SAIF:

• Automatiza las defensas para hacer frente a las amenazas actuales y futuras.
• Unifica los controles a nivel de plataforma para garantizar una seguridad uniforme en toda la organización.

En función de tu implementación, esta recomendación puede ser relevante para los siguientes niveles de autonomía:

• Asistida: la IA te ayuda a mejorar la accesibilidad de la información de seguridad.
• Semiautónoma: la IA ayuda a que las prácticas de seguridad sean más eficaces para todos los usuarios.

Gemini en Security Command Center puede proporcionar resúmenes de alertas sobre vulnerabilidades y errores de configuración.

Automatizar tareas de seguridad que consumen mucho tiempo con la IA

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de la infraestructura
• Operaciones de seguridad (SecOps)
• Seguridad para aplicaciones

La IA puede automatizar tareas como analizar malware, generar reglas de seguridad e identificar errores de configuración. Estas funciones pueden ayudar a reducir la carga de trabajo de los equipos de seguridad y acelerar los tiempos de respuesta. Esta recomendación se ajusta al elemento del SAIF sobre la automatización de las defensas para hacer frente a las amenazas actuales y futuras.

En función de tu implementación, esta recomendación puede ser relevante para los siguientes niveles de autonomía:

• Asistida: la IA te ayuda a automatizar tareas.
• Semiautónoma: la IA asume la responsabilidad principal de las tareas de seguridad y solo solicita la intervención humana cuando es necesario.

Gemini en Google SecOps puede ayudar a automatizar tareas repetitivas asistiendo a los analistas, recuperando contexto relevante y haciendo recomendaciones sobre los pasos que deben seguir.

Incorporar la IA a los procesos de gestión de riesgos y gobernanza

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

Puedes usar la IA para crear un inventario de modelos y perfiles de riesgo. También puedes usar la IA para implementar políticas de privacidad de datos, riesgos cibernéticos y riesgos de terceros. Esta recomendación se ajusta al elemento del SAIF sobre la contextualización de los riesgos de los sistemas de IA en los procesos empresariales del entorno.

En función de tu implementación, esta recomendación puede ser relevante para el nivel de autonomía semiautónomo. En este nivel, la IA puede coordinar agentes de seguridad que ejecutan procesos para alcanzar tus objetivos de seguridad personalizados.

Implementar prácticas de desarrollo seguras para sistemas de IA

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad para aplicaciones
• Seguridad de la IA y el aprendizaje automático

Puedes usar la IA para programar de forma segura, limpiar datos de entrenamiento y validar herramientas y artefactos. Esta recomendación se ajusta al elemento del SAIF sobre la ampliación de cimientos de seguridad sólidos al ecosistema de la IA.

Esta recomendación puede ser pertinente para todos los niveles de autonomía de seguridad, ya que es necesario contar con un sistema de IA seguro para que la IA se pueda usar de forma eficaz en el ámbito de la seguridad. La recomendación es más pertinente para el nivel asistido, en el que las prácticas de seguridad se mejoran con la IA.

Para implementar esta recomendación, sigue las directrices de Niveles de la cadena de suministro para artefactos de software (SLSA) para artefactos de IA y usa imágenes de contenedor validadas.

Cumplir las normativas y las necesidades de cumplimiento y privacidad

Este principio del pilar de seguridad del Google Cloud marco de trabajo Well-Architected te ayuda a identificar y cumplir los requisitos normativos, de cumplimiento y de privacidad de las implementaciones en la nube. Estos requisitos influyen en muchas de las decisiones que debes tomar sobre los controles de seguridad que se deben usar en tus cargas de trabajo deGoogle Cloud.

Descripción general de los principios

Cumplir las normativas, los requisitos y las necesidades de privacidad es un reto inevitable para todas las empresas. Los requisitos normativos de la nube dependen de varios factores, entre los que se incluyen los siguientes:

• Las leyes y los reglamentos que se aplican a las ubicaciones físicas de tu organización
• Las leyes y los reglamentos que se aplican a las ubicaciones físicas de sus clientes
• Los requisitos normativos de tu sector

Las normativas de privacidad definen cómo puedes obtener, tratar, almacenar y gestionar los datos de tus usuarios. Tus datos te pertenecen, incluidos los que recibes de tus usuarios. Por lo tanto, muchos controles de privacidad son responsabilidad suya, incluidos los controles de cookies, la gestión de sesiones y la obtención del permiso de los usuarios.

Las recomendaciones para implementar este principio se agrupan en las siguientes secciones:

• Recomendaciones para abordar los riesgos organizativos
• Recomendaciones para cumplir las obligaciones normativas y de cumplimiento
• Recomendaciones para gestionar la soberanía de tus datos
• Recomendaciones para cumplir los requisitos de privacidad

Recomendaciones para abordar los riesgos de la organización

En esta sección se ofrecen recomendaciones para ayudarle a identificar y abordar los riesgos de su organización.

Identificar los riesgos para tu organización

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

Antes de crear e implementar recursos en Google Cloud, completa una evaluación de riesgos. En esta evaluación se deben determinar las funciones de seguridad que necesitas para cumplir los requisitos de seguridad internos y los requisitos normativos externos.

La evaluación de riesgos te proporciona un catálogo de riesgos específicos de la organización y te informa sobre la capacidad de tu organización para detectar y contrarrestar las amenazas de seguridad. Debes realizar un análisis de riesgos inmediatamente después de la implementación y siempre que haya cambios en las necesidades de tu empresa, los requisitos normativos o las amenazas a tu organización.

Como se menciona en el principio Implementar la seguridad desde el diseño, los riesgos de seguridad en un entorno de nube son diferentes de los riesgos locales. Esta diferencia se debe al modelo de responsabilidad compartida en la nube, que varía según el servicio (IaaS, PaaS o SaaS) y el uso que hagas. Utiliza un framework de evaluación de riesgos específico para la nube, como la matriz de controles en la nube (CCM). Usa la modelización de amenazas, como la modelización de amenazas de aplicaciones de OWASP, para identificar y abordar las vulnerabilidades. Si necesitas ayuda de expertos con las evaluaciones de riesgos, ponte en contacto con tu representante de la cuenta de Google o consulta el directorio de partners de Google Cloud.

Una vez que hayas catalogado los riesgos, debes decidir cómo hacerles frente, es decir, si quieres aceptarlos, evitarlos, transferirlos o mitigarlos. Para ver los controles de mitigación que puedes implementar, consulta la siguiente sección sobre cómo mitigar los riesgos.

Mitiga los riesgos

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

Cuando adoptas nuevos servicios de nube pública, puedes mitigar los riesgos mediante controles técnicos, protecciones contractuales y verificaciones o certificaciones de terceros.

Los controles técnicos son funciones y tecnologías que se usan para proteger tu entorno. Entre ellos, se incluyen controles de seguridad en la nube integrados, como cortafuegos y registros. Los controles técnicos también pueden incluir el uso de herramientas de terceros para reforzar o apoyar tu estrategia de seguridad. Hay dos categorías de controles técnicos:

• Puedes implementar los controles de seguridad de Google Cloudpara mitigar los riesgos que se aplican a tu entorno. Por ejemplo, puedes proteger la conexión entre tus redes on-premise y tus redes en la nube mediante Cloud VPN y Cloud Interconnect.
• En Google aplicamos unos férreos controles internos y un sólido proceso de auditoría para impedir el acceso de insiders a los datos de los clientes. Nuestros registros de auditoría te proporcionan registros casi en tiempo real del acceso de los administradores de Google a Google Cloud.

Las protecciones contractuales hacen referencia a los compromisos legales que asumimos en relación con losGoogle Cloud servicios. En Google nos comprometemos a mantener y ampliar nuestra cartera de cumplimiento. La Adenda sobre Tratamiento de Datos de Cloud (CDPA) describe nuestros compromisos en relación con el tratamiento y la seguridad de tus datos. La CDPA también describe los controles de acceso que limitan el acceso de los ingenieros de asistencia de Google a los entornos de los clientes, así como nuestro riguroso proceso de registro y aprobación. Le recomendamos que revise los controles contractuales de Google Cloudcon sus expertos legales y en normativa, y que verifique que cumplen sus requisitos. Si necesitas más información, ponte en contacto con tu representante técnico de cuenta.

Las verificaciones o atestaciones de terceros hacen referencia a la auditoría del proveedor de servicios en la nube por parte de un proveedor externo para asegurarse de que cumple los requisitos. Por ejemplo, para obtener información sobre las Google Cloud atestaciones relativas a las directrices de ISO/IEC 27017, consulta Cumplimiento de ISO/IEC 27017. Para ver las certificaciones y las cartas de certificación actuales, consulta el Google Cloud Centro de recursos para el cumplimiento.

Recomendaciones para cumplir las obligaciones normativas y de cumplimiento

Para alcanzar los objetivos de cumplimiento, normalmente hay que pasar por tres etapas: evaluación, corrección de carencias y monitorización continua. En esta sección se ofrecen recomendaciones que puedes usar en cada una de estas fases.

Evalúa tus necesidades de cumplimiento

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

La evaluación del cumplimiento empieza con una revisión exhaustiva de todas tus obligaciones legales y de cómo las está implementando tu empresa. Para ayudarte a evaluar los servicios de Google Cloud , usa el Centro de recursos para el cumplimiento. Este sitio proporciona información sobre lo siguiente:

• Servicio de asistencia para cumplir varias normativas
• Google Cloud certificaciones y atestaciones

Para entender mejor el ciclo de vida del cumplimiento en Google y cómo puedes cumplir tus requisitos, puedes ponerte en contacto con el equipo de Ventas para solicitar ayuda a un especialista en cumplimiento de Google. También puede ponerse en contacto con su gestor de cuentas para solicitar un taller sobre cumplimiento.Google Cloud

Para obtener más información sobre las herramientas y los recursos que puedes usar para gestionar la seguridad y el cumplimiento de las cargas de trabajo de Google Cloud , consulta el artículo Asegurar el cumplimiento en la nube.

Automatizar la implementación de los requisitos de cumplimiento

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

Para ayudarte a cumplir las normativas cambiantes, determina si puedes automatizar la forma en que implementas los requisitos de cumplimiento. Puedes usar tanto las funciones centradas en el cumplimiento que ofrece Google Cloud como los planos técnicos que usan configuraciones recomendadas para un régimen de cumplimiento concreto.

Assured Workloads se basa en los controles de Google Cloud para ayudarte a cumplir tus obligaciones de cumplimiento. Assured Workloads te permite hacer lo siguiente:

• Selecciona tu régimen de cumplimiento. A continuación, la herramienta establece automáticamente los controles de acceso del personal de referencia para el régimen seleccionado.
• Define la ubicación de tus datos mediante políticas de la organización para que tus datos en reposo y tus recursos permanezcan solo en esa región.
• Selecciona la opción de gestión de claves (como el periodo de rotación de claves) que mejor se adapte a tus requisitos de seguridad y cumplimiento.
• Selecciona los criterios de acceso para que el personal de Asistencia de Google cumpla determinados requisitos normativos, como el nivel moderado de FedRAMP. Por ejemplo, puede seleccionar si el personal de Asistencia de Google ha completado las comprobaciones de antecedentes pertinentes.
• Usar Google-owned and Google-managed encryption keys que cumplan el estándar FIPS 140-2 y admitan el cumplimiento del nivel moderado de FedRAMP. Para añadir una capa de control y separar las tareas, puedes usar claves de cifrado gestionadas por el cliente (CMEK). Para obtener más información sobre las claves, consulta el artículo Encriptar datos en reposo y en tránsito.

Además de Assured Workloads, puedes usar Google Cloudplanos Google Cloudque sean relevantes para tu régimen de cumplimiento. Puedes modificar estos planos para incorporar tus políticas de seguridad en los despliegues de tu infraestructura.

Para ayudarte a crear un entorno que cumpla tus requisitos de cumplimiento, los planos y las guías de soluciones de Google incluyen configuraciones recomendadas y proporcionan módulos de Terraform. En la siguiente tabla se enumeran los planos que abordan la seguridad y la alineación con los requisitos de cumplimiento.

Requisito	Planos y guías de soluciones
FedRAMP	Google Cloud Guía de implementación de FedRAMP Configurar una carga de trabajo de tres niveles que cumpla los requisitos de FedRAMP en Google Cloud
HIPAA	Protección de datos sanitarios en Google Cloud Configurar una carga de trabajo conforme a la HIPAA mediante el kit de herramientas de protección de datos

Monitorizar el cumplimiento

Esta recomendación está relacionada con las siguientes áreas de interés:

• Gobernanza, riesgos y cumplimiento en la nube
• Registro, monitorización y auditoría

La mayoría de las normativas te obligan a monitorizar actividades concretas, incluidas las relacionadas con el acceso. Para ayudarte con la monitorización, puedes usar lo siguiente:

• Transparencia de acceso: consulta registros casi en tiempo real cuando los administradores Google Cloud accedan a tu contenido.
• Registro de reglas de cortafuegos: registra las conexiones TCP y UDP dentro de una red de VPC para las reglas que crees. Estos registros pueden ser útiles para auditar el acceso a la red o para generar alertas tempranas si la red se usa de una forma no aprobada.
• Registros de flujo de VPCs: registra los flujos de tráfico de red que envían o reciben las instancias de VM.
• Security Command Center Premium: monitoriza el cumplimiento de varios estándares.
• OSSEC (u otra herramienta de código abierto): registra la actividad de las personas que tienen acceso de administrador a tu entorno.
• Justificaciones de Acceso a Claves: consulta los motivos de una solicitud de acceso a claves.
• Notificaciones de Security Command Center: recibe alertas cuando se produzcan problemas de incumplimiento. Por ejemplo, recibe alertas cuando los usuarios inhabiliten la verificación en dos pasos o cuando las cuentas de servicio tengan demasiados privilegios. También puedes configurar la corrección automática para notificaciones específicas.

Recomendaciones para gestionar la soberanía de tus datos

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

La soberanía de los datos te proporciona un mecanismo para impedir que Google acceda a tus datos. Solo aprueba el acceso a los comportamientos del proveedor que considere necesarios. Por ejemplo, puedes gestionar la soberanía de tus datos de las siguientes formas:

• Almacena y gestiona claves de cifrado fuera de la nube.
• Concede acceso a estas claves en función de justificaciones de acceso detalladas.
• Protege los datos en uso con la computación confidencial.

Gestionar tu soberanía operativa

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

La soberanía operativa te garantiza que el personal de Google no puede poner en riesgo tus cargas de trabajo. Por ejemplo, puedes gestionar la soberanía operativa de las siguientes formas:

• Restringe el despliegue de nuevos recursos a regiones específicas del proveedor.
• Limita el acceso del personal de Google en función de atributos predefinidos, como la nacionalidad o la ubicación geográfica.

Gestionar la soberanía del software

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

La soberanía del software te garantiza que puedes controlar la disponibilidad de tus cargas de trabajo y ejecutarlas desde donde quieras. Además, puedes tener este control sin depender de un solo proveedor de servicios en la nube. La soberanía del software incluye la capacidad de hacer frente a eventos que requieran cambiar rápidamente dónde se despliegan tus cargas de trabajo y qué nivel de conexión exterior se permite.

Por ejemplo, para ayudarte a gestionar la soberanía de tu software, Google Cloud admite despliegues híbridos y multinube. Además, GKE Enterprise te permite gestionar y desplegar tus aplicaciones tanto en entornos en la nube como on-premise. Si eliges implementaciones on-premise por motivos de soberanía de los datos, Google Distributed Cloud es una combinación de hardware y software que integra Google Cloud en tu centro de datos.

Recomendaciones para cumplir los requisitos de privacidad

Google Cloud incluye los siguientes controles para proteger la privacidad:

• Cifrado predeterminado de todos los datos en reposo, en tránsito y mientras se procesan.
• Protección contra el acceso interno.
• Compatibilidad con numerosas normativas de privacidad.

Las siguientes recomendaciones hacen referencia a controles adicionales que puedes implementar. Para obtener más información, consulta el Centro de recursos de privacidad.

Controlar la residencia de datos

Esta recomendación está relacionada con la siguiente área de enfoque: Gobernanza, riesgos y cumplimiento en la nube.

La residencia de datos define dónde se almacenan tus datos en reposo. Los requisitos de residencia de datos varían en función de los objetivos de diseño del sistema, las normativas del sector, la legislación nacional, las implicaciones fiscales e incluso la cultura.

Para controlar la residencia de los datos, primero debes hacer lo siguiente:

• Conoce el tipo de datos y su ubicación.
• Determina qué riesgos corren tus datos y qué leyes y normativas se aplican.
• Controla dónde se almacenan tus datos o dónde van.

Para ayudarte a cumplir los requisitos de residencia de datos, Google Cloud te permite controlar dónde se almacenan tus datos, cómo se accede a ellos y cómo se procesan. Puedes usar políticas de ubicación de recursos para restringir dónde se crean los recursos y limitar dónde se replican datos entre regiones. Puedes usar la propiedad de ubicación de un recurso para identificar dónde se ha implementado el servicio y quién lo mantiene. Para obtener más información, consulta Servicios admitidos en las ubicaciones de recursos.

Clasificar los datos confidenciales

Esta recomendación está relacionada con la siguiente área de interés: seguridad de los datos.

Debes definir qué datos son confidenciales y luego asegurar que estos estén protegidos adecuadamente. Los datos confidenciales incluyen números de tarjetas de crédito, direcciones, números de teléfono y otra información personal identificable (IPI). Con Protección de Datos Sensibles, puedes configurar clasificaciones apropiadas. Luego, puedes etiquetar y tokenizar tus datos antes de guardarlos en Google Cloud. Además, Dataplex Universal Catalog ofrece un servicio de catálogo que proporciona una plataforma para almacenar, gestionar y acceder a tus metadatos. Para obtener más información y un ejemplo de clasificación y desidentificación de datos, consulta Desidentificación y reidentificación de IPI con Protección de Datos Sensibles.

Restringir el acceso a datos sensibles

Esta recomendación está relacionada con las siguientes áreas de interés:

• Seguridad de los datos
• Gestión de identidades y accesos

Coloca los datos sensibles en su propio perímetro de servicio mediante Controles de Servicio de VPC. Controles de Servicio de VPC te permite mitigar el riesgo de que se copien o transfieran datos sin autorización (filtración externa de datos) desde servicios gestionados por Google. Con Controles de Servicio de VPC, puedes configurar perímetros de seguridad alrededor de los recursos de tus servicios gestionados por Google para controlar el movimiento de datos a través del perímetro. Configura los controles de acceso de Gestión de Identidades y Accesos (IAM) de Google para esos datos. Configura la autenticación multifactor (MFA) para todos los usuarios que necesiten acceder a datos sensibles.

Responsabilidades y destino compartidos en Google Cloud

En este documento se describen las diferencias entre el modelo de responsabilidad compartida y el destino común en Google Cloud. En él se abordan los retos y los matices del modelo de responsabilidad compartida. En este documento se describe qué es el destino común y cómo colaboramos con nuestros clientes para abordar los retos de seguridad en la nube.

Es importante conocer el modelo de responsabilidad compartida para determinar la mejor forma de proteger tus datos y cargas de trabajo en Google Cloud. El modelo de responsabilidad compartida describe las tareas que tienes que llevar a cabo en lo que respecta a la seguridad en la nube y cómo varían estas tareas en función de los proveedores de servicios en la nube.

Sin embargo, comprender la responsabilidad compartida puede ser complicado. El modelo requiere un conocimiento profundo de cada servicio que utilices, las opciones de configuración que ofrece cada servicio y lo que hace Google Cloudpara proteger el servicio. Cada servicio tiene un perfil de configuración diferente, y puede ser difícil determinar la mejor configuración de seguridad. Google cree que el modelo de responsabilidad compartida no es suficiente para ayudar a los clientes de la nube a conseguir mejores resultados de seguridad. En lugar de la responsabilidad compartida, apostamos por el destino común.

El destino compartido implica que nosotros creamos y operamos una plataforma de nube de confianza para tus cargas de trabajo. Ofrecemos directrices sobre las prácticas recomendadas y código de infraestructura seguro y certificado que puedes usar para desplegar tus cargas de trabajo de forma segura. Lanzamos soluciones que combinan varios Google Cloud servicios para resolver problemas de seguridad complejos y ofrecemos opciones de seguros innovadoras para ayudarte a medir y mitigar los riesgos que debes aceptar. El destino común implica que interactuemos más estrechamente contigo mientras proteges tus recursos enGoogle Cloud.

Responsabilidad compartida

Usted es quien mejor conoce los requisitos de seguridad y normativos de su empresa, así como los requisitos para proteger sus datos y recursos confidenciales. Cuando ejecutes tus cargas de trabajo en Google Cloud, debes identificar los controles de seguridad que tienes que configurar en Google Cloud para proteger tus datos confidenciales y cada carga de trabajo. Para decidir qué controles de seguridad implementar, debes tener en cuenta los siguientes factores:

• Tus obligaciones de cumplimiento normativo
• Los estándares de seguridad y el plan de gestión de riesgos de tu organización
• Requisitos de seguridad de tus clientes y proveedores

Definido por las cargas de trabajo

Tradicionalmente, las responsabilidades se definen en función del tipo de carga de trabajo que ejecutes y de los servicios en la nube que necesites. Los servicios en la nube se dividen en las siguientes categorías:

Servicio en la nube	Descripción
Infraestructura como servicio (IaaS)	Los servicios de IaaS incluyen Compute Engine, Cloud Storage y servicios de redes, como Cloud VPN, Cloud Load Balancing y Cloud DNS. IaaS proporciona servicios de computación, almacenamiento y redes bajo demanda con precios de pago por uso. Puedes usar IaaS si tienes previsto migrar una carga de trabajo local a la nube mediante la técnica de lift-and-shift o si quieres ejecutar tu aplicación en máquinas virtuales concretas, usando bases de datos o configuraciones de red específicas. En IaaS, la mayor parte de las responsabilidades de seguridad son tuyas, y las nuestras se centran en la infraestructura subyacente y la seguridad física.
Plataforma como servicio (PaaS)	Los servicios de PaaS incluyen App Engine, Google Kubernetes Engine (GKE) y BigQuery. PaaS proporciona el entorno de ejecución en el que puedes desarrollar y ejecutar tus aplicaciones. Puedes usar PaaS si estás creando una aplicación (como un sitio web) y quieres centrarte en el desarrollo, no en la infraestructura subyacente. En PaaS, somos responsables de más controles que en IaaS. Normalmente, esto variará en función de los servicios y las funciones que utilices. Compartes con nosotros la responsabilidad de los controles a nivel de aplicación y la gestión de identidades y accesos. Sigues siendo responsable de la seguridad de tus datos y de la protección de los clientes.
Software como servicio (SaaS)	Las aplicaciones de SaaS incluyen Google Workspace, Google Security Operations y aplicaciones de SaaS de terceros disponibles en Google Cloud Marketplace. El SaaS proporciona aplicaciones online a las que puedes suscribirte o pagar de alguna forma. Puedes usar aplicaciones SaaS cuando tu empresa no tenga la experiencia interna o los requisitos empresariales para crear la aplicación por sí misma, pero sí necesite procesar cargas de trabajo. En el SaaS, la mayor parte de las responsabilidades de seguridad son nuestras. Sigues siendo responsable de tus controles de acceso y de los datos que decidas almacenar en la aplicación.
Función como servicio (FaaS) o sin servidor	FaaS proporciona a los desarrolladores la plataforma para ejecutar código pequeño de un solo propósito (llamado funciones) que se ejecuta en respuesta a eventos concretos. Usarías FaaS cuando quieras que ocurran cosas concretas en función de un evento concreto. Por ejemplo, puedes crear una función que se ejecute cada vez que se suban datos a Cloud Storage para que se puedan clasificar. FaaS tiene una lista de responsabilidades compartidas similar a la de SaaS. Cloud Run Functions es una aplicación FaaS.

En el siguiente diagrama se muestran los servicios en la nube y se define cómo se comparten las responsabilidades entre el proveedor de servicios en la nube y el cliente.

Como se muestra en el diagrama, el proveedor de la nube siempre es responsable de la red y la infraestructura subyacentes, mientras que los clientes siempre son responsables de sus políticas de acceso y sus datos.

Definido por el sector y el marco normativo

En varios sectores hay marcos normativos que definen los controles de seguridad que deben implementarse. Cuando traslades tus cargas de trabajo a la nube, debes tener en cuenta lo siguiente:

• Qué controles de seguridad son tu responsabilidad
• Qué controles de seguridad están disponibles como parte de la oferta en la nube
• Qué controles de seguridad predeterminados se heredan

Los controles de seguridad heredados (como nuestro cifrado predeterminado y los controles de infraestructura) son controles que puedes proporcionar como parte de las pruebas de tu postura de seguridad a auditores y organismos reguladores. Por ejemplo, la normativa de seguridad de datos de la industria de tarjetas de pago (PCI DSS) define las normas para los procesadores de pagos. Cuando trasladas tu empresa a la nube, estas normativas se comparten entre tú y tu CSP. Para saber cómo se comparten las responsabilidades del PCI DSS entre usted yGoogle Cloud, consulte Google Cloud: matriz de responsabilidades compartidas del PCI DSS.

Otro ejemplo es la ley de transferencia y responsabilidad de los seguros médicos de EE. UU. (HIPAA), que ha establecido estándares para el tratamiento de la información médica personal electrónica. Estas responsabilidades también se comparten entre el CSP y usted. Para obtener más información sobre cómo cumple Google Cloud sus responsabilidades en virtud de la HIPAA, consulta el artículo Cumplimiento de la HIPAA.

Otros sectores (por ejemplo, el financiero o el manufacturero) también tienen normativas que definen cómo se pueden recoger, procesar y almacenar los datos. Para obtener más información sobre la responsabilidad compartida en relación con estos aspectos y sobre cómoGoogle Cloud cumple sus responsabilidades, consulta el Centro de recursos para el cumplimiento.

Definido por la ubicación

En función de tu situación empresarial, puede que tengas que tener en cuenta tus responsabilidades según la ubicación de tus oficinas, tus clientes y tus datos. En distintos países y regiones se han creado normativas que informan sobre cómo puedes tratar y almacenar los datos de tus clientes. Por ejemplo, si tu empresa tiene clientes que residen en la Unión Europea, es posible que deba cumplir los requisitos que se describen en el Reglamento General de Protección de Datos (RGPD) y que esté obligada a conservar los datos de sus clientes en la propia UE. En ese caso, eres responsable de asegurarte de que los datos que recojas permanezcan en las Google Cloud regiones de la UE. Para obtener más información sobre cómo cumplimos nuestras obligaciones del RGPD, consulte RGPD y Google Cloud.

Para obtener información sobre los requisitos relacionados con tu región, consulta Ofertas de cumplimiento. Si tu situación es especialmente complicada, te recomendamos que hables con nuestro equipo de ventas o con uno de nuestros partners para que te ayuden a evaluar tus responsabilidades en materia de seguridad.

Retos de la responsabilidad compartida

Aunque la responsabilidad compartida ayuda a definir los roles de seguridad que tienen el proveedor de servicios en la nube o tú, depender de ella puede generar problemas. Veamos los siguientes casos:

• La mayoría de las brechas de seguridad en la nube son el resultado directo de una configuración incorrecta (que ocupa el tercer puesto en el informe Pandemic 11 de Cloud Security Alliance) y se espera que esta tendencia aumente. Los productos de la nube cambian constantemente y se lanzan nuevos productos con frecuencia. Mantenerse al día de los cambios constantes puede parecer abrumador. Los clientes necesitan que los proveedores de servicios en la nube les proporcionen prácticas recomendadas para estar al día de los cambios, empezando por las prácticas recomendadas predeterminadas y una configuración de seguridad básica.
• Aunque dividir los elementos por servicios en la nube es útil, muchas empresas tienen cargas de trabajo que requieren varios tipos de servicios en la nube. En este caso, debe tener en cuenta cómo interactúan los distintos controles de seguridad de estos servicios, incluido si se solapan entre servicios. Por ejemplo, puede que tengas una aplicación local que estés migrando a Compute Engine, uses Google Workspace para el correo corporativo y también ejecutes BigQuery para analizar datos y mejorar tus productos.
• Tu empresa y tus mercados cambian constantemente, ya sea porque se modifican las normativas, porque entras en nuevos mercados o porque adquieres otras empresas. Es posible que tus nuevos mercados tengan requisitos diferentes y que tu nueva adquisición aloje sus cargas de trabajo en otra nube. Para gestionar los cambios constantes, debes volver a evaluar tu perfil de riesgo continuamente y poder implementar nuevos controles rápidamente.
• La forma y el lugar en los que gestionas tus claves de cifrado de datos es una decisión importante que está relacionada con tus responsabilidades de proteger tus datos. La opción que elijas dependerá de tus requisitos normativos, de si utilizas un entorno de nube híbrida o un entorno local, y de la confidencialidad de los datos que trates y almacenes.
• La gestión de incidentes es un área importante que a menudo se pasa por alto y en la que no se definen fácilmente las responsabilidades del cliente y del proveedor de servicios en la nube. Muchos incidentes requieren una estrecha colaboración y asistencia del proveedor de la nube para investigarlos y mitigarlos. Otros incidentes pueden deberse a recursos en la nube mal configurados o a credenciales robadas, por lo que puede ser bastante difícil cumplir las prácticas recomendadas para proteger tus recursos y cuentas.
• Las amenazas persistentes avanzadas y las nuevas vulnerabilidades pueden afectar a tus cargas de trabajo de formas que quizás no tengas en cuenta al iniciar tu transformación a la nube. Es difícil mantenerse al día de los cambios en el panorama y saber quién es responsable de mitigar las amenazas, sobre todo si tu empresa no tiene un equipo de seguridad grande.

Destino común

Hemos desarrollado el destino común en Google Cloud para empezar a abordar los retos que no se contemplan en el modelo de responsabilidad compartida. El destino compartido se centra en cómo pueden interactuar mejor todas las partes para mejorar continuamente la seguridad. El modelo de destino común se basa en el de responsabilidad compartida, ya que considera que la relación entre el proveedor de la nube y el cliente es una colaboración continua para mejorar la seguridad.

El destino compartido consiste en que asumamos la responsabilidad de hacer que Google Cloud sea más seguro. El destino común incluye ayudarte a empezar con una zona de aterrizaje segura y ser claros, directos y transparentes en cuanto a los controles, la configuración y las prácticas recomendadas de seguridad asociadas. Esto incluye ayudarte a cuantificar y gestionar mejor tus riesgos con un ciberseguro mediante nuestro programa de Protección frente a Riesgos. Con el modelo de destino compartido, queremos pasar del marco de responsabilidad compartida estándar a un modelo mejor que te ayude a proteger tu empresa y a generar confianza en Google Cloud.

En las siguientes secciones se describen varios componentes del destino compartido.

Ayuda para empezar

Un componente clave de la responsabilidad compartida son los recursos que proporcionamos para ayudarte a empezar con una configuración segura en Google Cloud. Empezar con una configuración segura ayuda a reducir el problema de las configuraciones incorrectas, que es la causa principal de la mayoría de las brechas de seguridad.

Estos son algunos de los recursos que ofrecemos:

• Plan de fundamentos de Enterprise que aborda los principales problemas de seguridad y ofrece nuestras mejores recomendaciones.

• Modelos seguros que te permiten desplegar y mantener soluciones seguras mediante la infraestructura como código (IaC). Los planos tienen habilitadas nuestras recomendaciones de seguridad de forma predeterminada. Muchos planos se crean por los equipos de seguridad de Google y se gestionan como productos. Esto significa que se actualizan periódicamente, se someten a un proceso de prueba riguroso y reciben atestaciones de grupos de pruebas externos. Los planos incluyen el plano de las bases de la empresa y el plano del almacén de datos seguro.

• Google Cloud Prácticas recomendadas del framework Well-Architected que abordan las principales recomendaciones para integrar la seguridad en tus diseños. El framework Well-Architected incluye una sección de seguridad y una zona de la comunidad que puedes usar para conectar con expertos y compañeros.

• Guías de navegación por zonas de destino que te explican paso a paso las decisiones más importantes que debes tomar para crear una base segura para tus cargas de trabajo, como la jerarquía de recursos, la incorporación de identidades, la seguridad y la gestión de claves, y la estructura de la red.

Programa de Protección frente a Riesgos

El modelo de destino compartido también incluye el programa de Protección frente a Riesgos (actualmente en versión preliminar), que te ayuda a aprovechar la potencia de Google Cloud como plataforma para gestionar los riesgos, en lugar de ver las cargas de trabajo en la nube como otra fuente de riesgos que debes gestionar. El programa Protección frente a Riesgos es una colaboración entre Google Cloud y dos empresas líderes de ciberseguros: Munich Re y Allianz Global & Corporate Speciality.

El programa de Protección frente a Riesgos incluye Cyber Insurance Hub, que proporciona estadísticas basadas en datos que puedes usar para comprender mejor tu estrategia de seguridad en la nube. Si buscas una cobertura de ciberseguro, puedes compartir estas estadísticas de Cyber Insurance Hub directamente con nuestros partners de seguros para obtener una cotización. Para obtener más información, consulta Google Cloud El programa de Protección frente a Riesgos ya está disponible en versión preliminar.

Ayuda con la implementación y la gobernanza

El destino compartido también te ayuda a controlar tu entorno de forma continua. Por ejemplo, centramos nuestros esfuerzos en productos como los siguientes:

• Assured Workloads, que te ayuda a cumplir tus obligaciones de cumplimiento.
• Security Command Center Premium, que usa la inteligencia frente a amenazas, la detección de amenazas, el análisis web y otros métodos avanzados para monitorizar y detectar amenazas. También ofrece una forma de resolver muchas de estas amenazas de forma rápida y automática.
• Políticas de organización y configuración de recursos que te permiten configurar políticas en toda tu jerarquía de carpetas y proyectos.
• Herramientas de Policy Intelligence que te proporcionan información valiosa sobre el acceso a las cuentas y los recursos.
• Confidential Computing, que te permite cifrar los datos en uso.
• Controles de soberanía de partners, que está disponible en determinados países y ayuda a cumplir los requisitos de residencia de datos.

Poner en práctica la responsabilidad compartida y el destino común

Durante el proceso de planificación, ten en cuenta las siguientes acciones para ayudarte a comprender e implementar los controles de seguridad adecuados:

• Crea una lista de los tipos de cargas de trabajo que alojarás enGoogle Cloudy si requieren servicios de IaaS, PaaS y SaaS. Puedes usar el diagrama de responsabilidad compartida como lista de comprobación para asegurarte de que conoces los controles de seguridad que debes tener en cuenta.
• Crea una lista de los requisitos normativos que debes cumplir y accede a los recursos del Centro de recursos para el cumplimiento que estén relacionados con esos requisitos.
• Consulta la lista de planos y arquitecturas disponibles en el Centro de Arquitectura para ver los controles de seguridad que necesitas para tus cargas de trabajo concretas. Los modelos proporcionan una lista de controles recomendados y el código de IaC que necesitas para desplegar esa arquitectura.
• Consulta la documentación de la zona de aterrizaje y las recomendaciones de la guía de bases empresariales para diseñar una jerarquía de recursos y una arquitectura de red que cumplan tus requisitos. Puedes usar los planos de cargas de trabajo con opiniones, como el almacén de datos seguro, para acelerar el proceso de desarrollo.
• Después de implementar tus cargas de trabajo, verifica que cumples tus responsabilidades de seguridad con servicios como el centro de seguros cibernéticos, Assured Workloads, las herramientas de información valiosa sobre políticas y Security Command Center Premium.

Para obtener más información, consulta el documento de la guía para directores de Seguridad de la Información (CISOs) sobre la transformación en la nube.

Siguientes pasos

• Consulta los principios de seguridad básicos.
• Mantente al día con los recursos de destino compartido.
• Familiarízate con los planos disponibles, incluido el plano de las bases de seguridad y ejemplos de cargas de trabajo, como el almacén de datos seguro.
• Más información sobre el destino común
• Consulta información sobre nuestra infraestructura segura subyacente en la descripción general del diseño de seguridad de la infraestructura de Google.
• Consulta cómo implementar las prácticas recomendadas del marco de ciberseguridad del NIST Google Cloud (PDF).