Prospettiva dei servizi finanziari: sicurezza, privacy e conformità

Questo documento della Google Cloud prospettiva dei servizi finanziari (FS) del Well-Architected Framework fornisce una panoramica dei principi e dei suggerimenti per soddisfare i requisiti di sicurezza, privacy e conformità dei servizi finanziari (FS) carichi di lavoro in Google Cloud. I suggerimenti ti aiutano a creare un'infrastruttura resiliente e conforme, a proteggere i dati sensibili, a mantenere la fiducia dei clienti, a orientarti nel complesso panorama dei requisiti normativi e a gestire in modo efficace le minacce informatiche. I suggerimenti contenuti in questo documento sono in linea con il pilastro della sicurezza del Well-Architected Framework.

La sicurezza nel cloud computing è una preoccupazione fondamentale per le organizzazioni di servizi finanziari, che sono molto attraenti per i criminali informatici a causa della grande quantità di dati sensibili che gestiscono, inclusi i dettagli dei clienti e i registri finanziari. Le conseguenze di una violazione della sicurezza sono estremamente gravi, tra cui perdite finanziarie significative, danni alla reputazione a lungo termine e sanzioni normative significative. Pertanto, i carichi di lavoro dei servizi finanziari richiedono controlli di sicurezza rigorosi.

Per garantire una sicurezza e una conformità complete, devi comprendere le responsabilità condivise tra te (organizzazioni di servizi finanziari) e Google Cloud. Google Cloud è responsabile della protezione dell'infrastruttura sottostante, inclusa la sicurezza fisica e la sicurezza della rete. Tu sei responsabile della protezione dei dati e delle applicazioni, della configurazione del controllo dell'accesso e della configurazione e gestione dei servizi di sicurezza. Per supportarti nei tuoi sforzi di sicurezza, l' Google Cloud ecosistema di partner offre servizi di integrazione e gestione della sicurezza.

I suggerimenti per la sicurezza contenuti in questo documento sono mappati ai seguenti principi fondamentali:

• Implementa la sicurezza by design
• Implementa Zero Trust
• Implementa la sicurezza shift left
• Implementa la cyberdifesa preventiva
• Usa l'AI in modo sicuro e responsabile e usa l'AI per la sicurezza
• Soddisfa le esigenze normative, di conformità e di privacy
• Dai la priorità alle iniziative di sicurezza

Implementa la sicurezza by design

Le normative finanziarie come il Payment Card Industry Data Security Standard (PCI DSS), il Gramm-Leach-Bliley Act (GLBA) negli Stati Uniti e varie leggi nazionali sulla protezione dei dati finanziari impongono che la sicurezza sia integrata nei sistemi fin dall'inizio. Il principio della sicurezza by design enfatizza l'integrazione della sicurezza durante il ciclo di vita dello sviluppo per contribuire a garantire che le vulnerabilità siano ridotte al minimo fin dall'inizio.

Per applicare il principio della sicurezza by design ai carichi di lavoro dei servizi finanziari in Google Cloud, prendi in considerazione i seguenti suggerimenti:

• Assicurati che vengano concesse solo le autorizzazioni necessarie applicando il principio del privilegio minimo tramite il controllo dell'accesso basato sui ruoli (RBAC) granulare in Identity and Access Management (IAM). L'utilizzo di RBAC è un requisito fondamentale in molte normative finanziarie.
• Applica i perimetri di sicurezza attorno ai servizi e ai dati sensibili all'interno Google Cloud di utilizzando i Controlli di servizio VPC. I perimetri di sicurezza aiutano a segmentare e proteggere i dati e le risorse sensibili e a prevenire l'esfiltrazione di dati e l'accesso non autorizzato, come richiesto dalle normative.
• Definisci le configurazioni di sicurezza come codice utilizzando strumenti Infrastructure as Code (IaC) come Terraform. Questo approccio incorpora i controlli di sicurezza dalla fase di deployment iniziale, il che contribuisce a garantire coerenza e auditabilità.
• Scansiona il codice dell'applicazione integrando Static Application Security Testing (SAST) nella pipeline CI/CD con Cloud Build. Stabilisci gate di sicurezza automatici per impedire il deployment di codice non conforme.
• Fornisci un'interfaccia unificata per gli insight sulla sicurezza utilizzando Security Command Center. L'utilizzo di Security Command Center consente il monitoraggio continuo e il rilevamento precoce di configurazioni errate o minacce che potrebbero portare a violazioni normative. Per soddisfare i requisiti di standard come ISO 27001 e NIST 800-53, puoi utilizzare i modelli di gestione della posture.
• Monitora la riduzione delle vulnerabilità identificate nei deployment di produzione e la percentuale di deployment IaC che rispettano le best practice di sicurezza. Puoi rilevare e visualizzare le vulnerabilità e le informazioni sulla conformità agli standard di sicurezza utilizzando Security Command Center. Per ulteriori informazioni, consulta Risultati delle vulnerabilità.

Implementa Zero Trust

Le normative finanziarie moderne enfatizzano sempre più la necessità di controlli dell'accesso rigorosi e di una verifica continua. Questi requisiti riflettono il principio di Zero Trust, che mira a proteggere i carichi di lavoro da minacce e attori malintenzionati interni ed esterni. Il principio di Zero Trust prevede la verifica continua di ogni utente e dispositivo, il che elimina la fiducia implicita e mitiga il movimento laterale.

Per implementare Zero Trust, prendi in considerazione i seguenti suggerimenti:

• Abilita l'accesso sensibile al contesto in base all'identità dell'utente, alla sicurezza del dispositivo, alla località e ad altri fattori combinando i controlli IAM con Chrome Enterprise Premium. Questo approccio garantisce una verifica continua prima di concedere l'accesso ai dati e ai sistemi finanziari.
• Fornisci una gestione delle identità e degli accessi sicura e scalabile configurando Identity Platform (o il tuo provider di identità esterno se utilizzi la federazione delle identità per la forza lavoro). Configura l'autenticazione a più fattori (MFA) e altri controlli fondamentali per implementare Zero Trust e contribuire a garantire la conformità legale.
• Implementa l'autenticazione a più fattori per tutti gli account utente, in particolare per gli account con accesso a dati o sistemi sensibili.
• Supporta audit e indagini relativi alla conformità legale stabilendo una registrazione e un monitoraggio completi dell'accesso utente e dell'attività di rete.
• Abilita la comunicazione privata e sicura tra i servizi all'interno Google Cloud e negli ambienti on-premise senza esporre il traffico alla rete internet pubblica utilizzando Private Service Connect.
• Implementa controlli granulari delle identità e autorizza l'accesso a livello di applicazione utilizzando Identity-Aware Proxy (IAP) anziché affidarti a meccanismi di sicurezza basati sulla rete come i tunnel VPN. Questo approccio contribuisce a ridurre il movimento laterale all'interno dell'ambiente.

Implementa la sicurezza shift left

Le autorità di regolamentazione finanziaria incoraggiano misure di sicurezza proattive. L'identificazione e la risoluzione delle vulnerabilità nelle fasi iniziali del ciclo di vita dello sviluppo contribuiscono a ridurre il rischio di incidenti di sicurezza e la possibilità di sanzioni per mancata conformità. Il principio della sicurezza shift left promuove i test e l'integrazione della sicurezza nelle fasi iniziali, il che contribuisce a ridurre il costo e la complessità della correzione.

Per implementare la sicurezza shift left, prendi in considerazione i seguenti suggerimenti:

• Assicurati che i controlli di sicurezza automatici vengano eseguiti nelle fasi iniziali del processo di sviluppo integrando strumenti di scansione della sicurezza, come la scansione delle vulnerabilità dei container e l'analisi statica del codice, nella pipeline CI/CD con Cloud Build.

• Assicurati che vengano implementati solo artefatti sicuri utilizzando Artifact Registry per fornire un repository sicuro e centralizzato per i pacchetti software e le immagini container con analisi delle vulnerabilità integrata. Utilizza i repository virtuali per mitigare gli attacchi di confusione delle dipendenze dando la priorità agli artefatti privati rispetto ai repository remoti.

• Scansiona automaticamente le applicazioni web per rilevare le vulnerabilità comuni integrando Web Security Scanner, che fa parte di Security Command Center, nelle pipeline di sviluppo.

• Implementa i controlli di sicurezza per il codice sorgente, processo di compilazione e la provenienza del codice utilizzando il framework Supply-chain Levels for Software Artifacts (SLSA). Applica la provenienza dei carichi di lavoro eseguiti nei tuoi ambienti utilizzando soluzioni come Autorizzazione binaria. Assicurati che i tuoi carichi di lavoro utilizzino solo librerie software open source verificate utilizzando Assured Open Source.

• Monitora il numero di vulnerabilità identificate e corrette nel ciclo di vita dello sviluppo, la percentuale di deployment di codice che superano le scansioni di sicurezza e la riduzione degli incidenti di sicurezza causati da vulnerabilità software. Google Cloud fornisce strumenti per facilitare questo monitoraggio per diversi tipi di carichi di lavoro. Ad esempio, per i carichi di lavoro containerizzati, utilizza la funzionalità di scansione dei container di Artifact Registry.

Implementa la cyberdifesa preventiva

Le istituzioni finanziarie sono i principali obiettivi di attacchi informatici sofisticati. Le normative spesso richiedono una threat intelligence solida e meccanismi di difesa proattivi. La cyberdifesa preventiva si concentra sul rilevamento e sulla risposta proattivi alle minacce utilizzando analisi avanzate e automazione.

Prendi in considerazione i seguenti suggerimenti:

• Identifica e mitiga in modo proattivo le potenziali minacce utilizzando i servizi di threat intelligence, risposta agli incidenti, e convalida della sicurezza di Mandiant.
• Proteggi le applicazioni web e le API da exploit web e attacchi DDoS all' edge della rete utilizzando Google Cloud Armor.
• Aggrega e assegna la priorità ai risultati e ai suggerimenti sulla sicurezza utilizzando Security Command Center, che consente ai team di sicurezza di affrontare in modo proattivo i potenziali rischi.
• Convalida le difese preventive e i piani di risposta agli incidenti eseguendo regolarmente simulazioni di sicurezza e penetration test.
• Misura il tempo necessario per rilevare e rispondere agli incidenti di sicurezza, l'efficacia degli sforzi di mitigazione degli attacchi DDoS e il numero di attacchi informatici prevenuti. Puoi ottenere le metriche e i dati richiesti da Google Security Operations SOAR e SIEM dashboards.

Usa l'AI in modo sicuro e responsabile e usa l'AI per la sicurezza

L'AI e l'ML vengono sempre più utilizzati per i casi d'uso dei servizi finanziari, come il rilevamento delle frodi e il trading algoritmico. Le normative richiedono che queste tecnologie vengano utilizzate in modo etico, trasparente e sicuro. L'AI può anche contribuire a migliorare le tue capacità di sicurezza. Prendi in considerazione i seguenti suggerimenti per l'utilizzo dell'AI:

• Sviluppa ed esegui il deployment di modelli ML in un ambiente sicuro e regolamentato utilizzando Vertex AI. Funzionalità come la spiegabilità del modello e le metriche di equità possono contribuire a risolvere i problemi di AI responsabile.
• Sfrutta le funzionalità di analisi e operazioni di sicurezza di Google Security Operations, che utilizza l'AI e l'ML per analizzare grandi volumi di dati di sicurezza, rilevare anomalie e automatizzare la risposta alle minacce. Queste funzionalità contribuiscono a migliorare il livello di sicurezza generale e a facilitare il monitoraggio della conformità.
• Stabilisci policy di governance chiare per lo sviluppo e il deployment di AI e ML, incluse le considerazioni relative alla sicurezza e all'etica.
• Allineati agli elementi del Secure AI Framework (SAIF), che fornisce un approccio pratico per affrontare i problemi di sicurezza e rischio dei sistemi di AI.
• Monitora l'accuratezza e l'efficacia dei sistemi di rilevamento delle frodi basati sull'AI, la riduzione dei falsi positivi negli avvisi di sicurezza e i miglioramenti dell'efficienza derivanti dall'automazione della sicurezza basata sull'AI.

Soddisfa le esigenze normative, di conformità e di privacy

I servizi finanziari sono soggetti a una vasta gamma di normative, inclusi i requisiti di residenza dei dati, audit trail specifici e standard di protezione dei dati. Per garantire che i dati sensibili vengano identificati, protetti e gestiti correttamente, le organizzazioni di servizi finanziari hanno bisogno di policy di governance dei dati e schemi di classificazione dei dati solidi. Prendi in considerazione i seguenti suggerimenti per soddisfare i requisiti normativi:

• Configura i limiti dei dati in Google Cloud per i carichi di lavoro sensibili e regolamentati utilizzando Assured Workloads. In questo modo puoi soddisfare i requisiti di conformità specifici del governo e del settore, come FedRAMP e CJIS.
• Identifica, classifica e proteggi i dati sensibili, incluse le informazioni finanziarie , implementando Cloud Data Loss Prevention (Cloud DLP). In questo modo puoi soddisfare le normative sulla privacy dei dati come GDPR e CCPA.
• Monitora i dettagli delle attività amministrative e l'accesso alle risorse by using Cloud Audit Logs. Questi log sono fondamentali per soddisfare i requisiti di audit previsti da molte normative finanziarie.
• Quando scegli Google Cloud regioni per i carichi di lavoro e i dati, tieni conto delle normative locali relative alla residenza dei dati. Google Cloud l'infrastruttura globale ti consente di scegliere regioni che possono aiutarti a soddisfare i requisiti di residenza dei dati.
• Gestisci le chiavi utilizzate per criptare i dati finanziari sensibili at rest e in transito utilizzando Cloud Key Management Service. Questa crittografia è un requisito fondamentale di molte normative sulla sicurezza e sulla privacy.
• Implementa i controlli necessari per soddisfare i requisiti normativi. Verifica che i controlli funzionino come previsto. Fai convalidare nuovamente i controlli da un revisore esterno per dimostrare all'autorità di regolamentazione che i tuoi carichi di lavoro sono conformi alle normative.

Dai la priorità alle iniziative di sicurezza

Data l'ampiezza dei requisiti di sicurezza, le istituzioni finanziarie devono dare la priorità alle iniziative basate sulla valutazione dei rischi e sui mandati normativi. Ti consigliamo di seguire questo approccio graduale:

1. Stabilisci una base di sicurezza solida: concentrati sulle aree principali della sicurezza, tra cui la gestione delle identità e degli accessi, la sicurezza della rete e la protezione dei dati. Questo focus contribuisce a creare un livello di sicurezza solido e a garantire una difesa completa contro le minacce in evoluzione.
2. Affronta le normative critiche: dai la priorità alla conformità alle normative chiave come PCI DSS, GDPR e le leggi nazionali pertinenti. In questo modo puoi garantire la protezione dei dati, mitigare i rischi legali e creare fiducia con i clienti.
3. Implementa la sicurezza avanzata: adotta gradualmente pratiche di sicurezza avanzate come Zero Trust, soluzioni di sicurezza basate sull'AI e ricerca attiva delle minacce proattiva.