Perspectiva de los servicios financieros: seguridad, privacidad y cumplimiento

En este documento del Google Cloud Well-Architected Framework: Perspectiva de servicios financieros (FS) se proporciona una descripción general de los principios y las recomendaciones para abordar los requisitos de seguridad, privacidad y cumplimiento de las cargas de trabajo de servicios financieros (FS) en Google Cloud. Las recomendaciones te ayudan a crear una infraestructura resiliente y compatible, proteger los datos sensibles, mantener la confianza de los clientes, navegar por el complejo panorama de los requisitos reglamentarios y administrar de manera eficaz las amenazas cibernéticas. Las recomendaciones de este documento se alinean con el pilar de seguridad del Well-Architected Framework.

La seguridad en la computación en la nube es una preocupación fundamental para las organizaciones de FS, que son muy atractivas para los ciberdelincuentes debido a las grandes cantidades de datos sensibles que administran, incluidos los detalles de los clientes y los registros financieros. Las consecuencias de una violación de la seguridad son excepcionalmente graves, incluidas pérdidas financieras significativas, daños a la reputación a largo plazo y multas reglamentarias significativas. Por lo tanto, las cargas de trabajo de FS necesitan controles de seguridad estrictos.

Para garantizar la seguridad y el cumplimiento integrales, debes comprender las responsabilidades compartidas entre tú (organizaciones de FS) y Google Cloud. Google Cloud es responsable de proteger la infraestructura subyacente, incluida la seguridad física y la seguridad de la red. Eres responsable de proteger los datos y las aplicaciones, configurar el control de acceso y configurar y administrar los servicios de seguridad. Para ayudarte en tus esfuerzos de seguridad, el Google Cloud ecosistema de socios ofrece integración de seguridad y servicios administrados.

Las recomendaciones de seguridad de este documento se asignan a los siguientes principios fundamentales:

• Implementa el diseño centrado en la seguridad
• Implementa la confianza cero
• Implementa la seguridad basada en pruebas tempranas
• Implementa la defensa cibernética preventiva
• Usa la IA de forma segura y responsable, y usa la IA para la seguridad
• Satisface las necesidades de cumplimiento, privacidad y normativas
• Prioriza las iniciativas de seguridad

Implementa el diseño centrado en la seguridad

Las reglamentaciones financieras, como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley Gramm-Leach-Bliley (GLBA) en Estados Unidos y varias leyes nacionales de protección de datos financieros, exigen que la seguridad se integre en los sistemas desde el principio. El principio de diseño centrado en la seguridad enfatiza la integración de la seguridad en todo el ciclo de vida del desarrollo para garantizar que las vulnerabilidades se minimicen desde el principio.

Para aplicar el principio de diseño centrado en la seguridad a tus cargas de trabajo de FS en Google Cloud, considera las siguientes recomendaciones:

• Asegúrate de que solo se otorguen los permisos necesarios aplicando el principio de privilegio mínimo a través del control de acceso basado en roles (RBAC) detallado en Identity and Access Management (IAM). El uso de RBAC es un requisito clave en muchas reglamentaciones financieras.
• Aplica perímetros de seguridad alrededor de tus servicios y datos sensibles dentro de Google Cloud usando los Controles del servicio de VPC. Los perímetros de seguridad ayudan a segmentar y proteger los datos y recursos sensibles, y a evitar el robo de datos y el acceso no autorizado, según lo exigen las reglamentaciones.
• Define las configuraciones de seguridad como código con herramientas de infraestructura como código (IaC), como Terraform. Este enfoque incorpora controles de seguridad desde la fase de implementación inicial, lo que ayuda a garantizar la coherencia y la auditabilidad.
• Analiza el código de tu aplicación integrando las pruebas de seguridad de aplicaciones estáticas (SAST) en la canalización de CI/CD con Cloud Build. Establece puertas de seguridad automatizadas para evitar la implementación de código no conforme.
• Proporciona una interfaz unificada para obtener estadísticas de seguridad con Security Command Center. El uso de Security Command Center permite la supervisión continua y la detección temprana de parámetros de configuración incorrectos o amenazas que podrían provocar incumplimientos reglamentarios. Para cumplir con los requisitos de estándares como ISO 27001 y NIST 800-53, puedes usar plantillas de administración de postura.
• Haz un seguimiento de la reducción de las vulnerabilidades que se identifican en las implementaciones de producción y del porcentaje de implementaciones de IaC que cumplen con las prácticas recomendadas de seguridad. Puedes detectar y ver vulnerabilidades, y obtener información sobre el cumplimiento de los estándares de seguridad con Security Command Center. Para obtener más información, consulta Hallazgos de vulnerabilidades.

Implementa la confianza cero

Las reglamentaciones financieras modernas enfatizan cada vez más la necesidad de controles de acceso estrictos y verificación continua. Estos requisitos reflejan el principio de confianza cero, cuyo objetivo es proteger las cargas de trabajo contra amenazas internas y externas, y actores maliciosos. El principio de confianza cero aboga por la verificación continua de cada usuario y dispositivo, lo que elimina la confianza implícita y mitiga el movimiento lateral.

Para implementar la confianza cero, considera las siguientes recomendaciones:

• Habilita el acceso adaptado al contexto en función de la identidad del usuario, la seguridad del dispositivo, la ubicación y otros factores combinando los controles de IAM con Chrome Enterprise Premium. Este enfoque garantiza la verificación continua antes de otorgar acceso a los datos y sistemas financieros.
• Proporciona una administración de identidades y accesos segura y escalable configurando Identity Platform (o tu proveedor de identidad externo si usas la federación de identidades de personal). Configura la autenticación de varios factores (MFA) y otros controles que son fundamentales para implementar la confianza cero y garantizar el cumplimiento de reglamentaciones.
• Implementa MFA para todas las cuentas de usuario, en especial para las cuentas con acceso a datos o sistemas sensibles.
• Apoya las auditorías y las investigaciones relacionadas con el cumplimiento de reglamentaciones estableciendo un registro y una supervisión integrales del acceso de los usuarios y la actividad de la red.
• Habilita la comunicación privada y segura entre los servicios dentro de Google Cloud y en los entornos locales sin exponer el tráfico a la Internet pública con Private Service Connect.
• Implementa controles de identidad detallados y autoriza el acceso a nivel de la aplicación con Identity-Aware Proxy (IAP) en lugar de depender de mecanismos de seguridad basados en la red, como los túneles de VPN. Este enfoque ayuda a reducir el movimiento lateral dentro del entorno.

Implementa la seguridad basada en pruebas tempranas

Los reguladores financieros fomentan las medidas de seguridad proactivas. Identificar y abordar las vulnerabilidades en las primeras etapas del ciclo de vida del desarrollo ayuda a reducir el riesgo de incidentes de seguridad y la posibilidad de sanciones por incumplimiento. El principio de seguridad basada en pruebas tempranas promueve las pruebas y la integración de seguridad tempranas, lo que ayuda a reducir el costo y la complejidad de la remediación.

Para implementar la seguridad basada en pruebas tempranas, considera las siguientes recomendaciones:

• Asegúrate de que se realicen verificaciones de seguridad automatizadas en las primeras etapas del proceso de desarrollo integrando herramientas de análisis de seguridad, como el análisis de vulnerabilidades de contenedores y el análisis de código estático, en la canalización de CI/CD con Cloud Build.

• Asegúrate de que solo se implementen artefactos seguros usando Artifact Registry para proporcionar un repositorio seguro y centralizado para paquetes de software e imágenes de contenedores con análisis de vulnerabilidades integrado. Usa repositorios virtuales para mitigar los ataques de confusión de dependencias priorizando tus artefactos privados sobre los repositorios remotos.

• Analiza automáticamente las aplicaciones web en busca de vulnerabilidades comunes integrando Web Security Scanner, que forma parte de Security Command Center, en tus canalizaciones de desarrollo.

• Implementa verificaciones de seguridad para el código fuente, el proceso de compilación y la procedencia del código con el framework de Niveles de cadena de suministro para artefactos de software (SLSA). Aplica la procedencia de las cargas de trabajo que se ejecutan en tus entornos con soluciones como la Autorización Binaria. Asegúrate de que tus cargas de trabajo usen solo bibliotecas de software de código abierto verificadas con Assured Open Source.

• Haz un seguimiento de la cantidad de vulnerabilidades que se identifican y se corrigen en tu ciclo de vida de desarrollo, el porcentaje de implementaciones de código que pasan los análisis de seguridad y la reducción de incidentes de seguridad causados por vulnerabilidades de software. Google Cloud proporciona herramientas para ayudar con este seguimiento para diferentes tipos de cargas de trabajo. Por ejemplo, para las cargas de trabajo alojadas en contenedores, usa la función de análisis de contenedores de Artifact Registry.

Implementa la defensa cibernética preventiva

Las instituciones financieras son objetivos principales de los ciberataques sofisticados. Las reglamentaciones suelen requerir inteligencia contra amenazas sólida y mecanismos de defensa proactivos. La ciberdefensa preventiva se centra en la detección y respuesta proactivas ante amenazas mediante el uso de análisis y automatización avanzados.

Ten en cuenta las siguientes recomendaciones:

• Identifica y mitiga de manera proactiva las posibles amenazas con los servicios de inteligencia contra amenazas, respuesta ante incidentes, y validación de seguridad de Mandiant.
• Protege las aplicaciones web y las APIs de los ataques DSD y las vulnerabilidades web en el perímetro de la red con Google Cloud Armor.
• Agrega y prioriza los hallazgos y las recomendaciones de seguridad con Security Command Center, que permite a los equipos de seguridad abordar de manera proactiva los posibles riesgos.
• Valida las defensas preventivas y los planes de respuesta ante incidentes realizando simulaciones de seguridad y pruebas de penetración periódicas.
• Mide el tiempo de detección y respuesta ante incidentes de seguridad, la eficacia de los esfuerzos de mitigación de DSD y la cantidad de ciberataques evitados. Puedes obtener las métricas y los datos necesarios de los paneles de Google Security Operations SOAR y SIEM.

Usa la IA de forma segura y responsable, y usa la IA para la seguridad

La IA y el AA se usan cada vez más para casos de uso de servicios financieros, como la detección de fraudes y el comercio algorítmico. Las reglamentaciones exigen que estas tecnologías se usen de forma ética, transparente y segura. La IA también puede ayudar a mejorar tus capacidades de seguridad. Ten en cuenta las siguientes recomendaciones para usar la IA:

• Desarrolla e implementa modelos de AA en un entorno seguro y administrado con Vertex AI . Las funciones como la explicabilidad del modelo y las métricas de equidad pueden ayudar a abordar las inquietudes relacionadas con la IA responsable.
• Aprovecha las capacidades de estadísticas y operaciones de seguridad de Google Security Operations, que usa la IA y el AA para analizar grandes volúmenes de datos de seguridad, detectar anomalías y automatizar la respuesta ante amenazas. Estas capacidades ayudan a mejorar tu postura de seguridad general y a supervisar el cumplimiento.
• Establece políticas de administración claras para el desarrollo y la implementación de la IA y el AA, incluidas las consideraciones relacionadas con la seguridad y la ética.
• Alinea con los elementos del Secure AI Framework (SAIF), que proporciona un enfoque práctico para abordar las inquietudes de seguridad y riesgo de los sistemas de IA.
• Haz un seguimiento de la precisión y la eficacia de los sistemas de detección de fraudes potenciados por IA, la reducción de falsos positivos en las alertas de seguridad y las ganancias de eficiencia de la automatización de seguridad impulsada por IA.

Satisface las necesidades de cumplimiento, privacidad y normativas

Los servicios financieros están sujetos a una amplia variedad de reglamentaciones, incluidos los requisitos de residencia de datos, los registros de auditoría específicos y los estándares de protección de datos. Para garantizar que los datos sensibles se identifiquen, protejan y administren de forma adecuada, las organizaciones de FS necesitan políticas de administración de datos sólidas y esquemas de clasificación de datos. Ten en cuenta las siguientes recomendaciones para cumplir con los requisitos reglamentarios:

• Configura límites de datos en Google Cloud para cargas de trabajo sensibles y reguladas con Assured Workloads. Esto te ayuda a cumplir con los requisitos de cumplimiento específicos del gobierno y la industria, como FedRAMP y CJIS.
• Identifica, clasifica y protege los datos sensibles, incluida la información financiera , implementando Cloud Data Loss Prevention (Cloud DLP). Esto te ayuda a cumplir con las reglamentaciones de privacidad de datos, como el RGPD y la CCPA.
• Haz un seguimiento de los detalles de las actividades administrativas y el acceso a los recursos con los registros de auditoría de Cloud. Estos registros son fundamentales para cumplir con los requisitos de auditoría que estipulan muchas reglamentaciones financieras.
• Cuando elijas Google Cloud regiones para tus cargas de trabajo y datos, ten en cuenta las reglamentaciones locales relacionadas con la residencia de datos. Google Cloud La infraestructura global te permite elegir regiones que pueden ayudarte a cumplir con tus requisitos de residencia de datos.
• Administra las claves que se usan para encriptar datos financieros sensibles en reposo y en tránsito con Cloud Key Management Service. Esta encriptación es un requisito fundamental de muchas reglamentaciones de seguridad y privacidad.
• Implementa los controles necesarios para abordar tus requisitos reglamentarios. Valida que los controles funcionen como se espera. Pídele a un auditor externo que vuelva a validar los controles para demostrarle al regulador que tus cargas de trabajo cumplen con las reglamentaciones.

Prioriza las iniciativas de seguridad

Dada la amplitud de los requisitos de seguridad, las instituciones financieras deben priorizar las iniciativas que se basan en la evaluación de riesgos y los mandatos reglamentarios. Te recomendamos el siguiente enfoque por etapas:

1. Establece una base de seguridad sólida: Enfócate en las áreas principales de seguridad, incluida la administración de identidades y accesos, la seguridad de la red y la protección de datos. Este enfoque ayuda a establecer una postura de seguridad sólida y a garantizar una defensa integral contra las amenazas en evolución.
2. Aborda las reglamentaciones fundamentales: Prioriza el cumplimiento de las reglamentaciones clave, como PCI DSS, el RGPD y las leyes nacionales pertinentes. Esto ayuda a garantizar la protección de datos, mitiga los riesgos legales y genera confianza con los clientes.
3. Implementa seguridad avanzada: Adopta gradualmente prácticas de seguridad avanzadas como la confianza cero, las soluciones de seguridad impulsadas por IA y la búsqueda de amenazas proactiva.