Well-Architected Framework: perspectiva del sector de servicios financieros

Last reviewed 2025-07-28 UTC

En este documento del Google Cloud framework Well-Architected se describen principios y recomendaciones para ayudarte a diseñar, crear y gestionar aplicaciones del sector de servicios financieros (FSI) en Google Cloud que cumplan tus objetivos operativos, de seguridad, fiabilidad, costes y rendimiento.

El público objetivo de este documento incluye a responsables de la toma de decisiones, arquitectos, administradores, desarrolladores y operadores que diseñan, crean, implementan y mantienen cargas de trabajo de IFIS en Google Cloud. Entre las organizaciones del sector de servicios financieros que pueden beneficiarse de estas directrices se incluyen bancos, empresas de infraestructuras de pagos, aseguradoras y operadores de mercados de capitales.

Las organizaciones de servicios financieros tienen consideraciones específicas, sobre todo en lo que respecta a la arquitectura y la resiliencia. Estas consideraciones se basan principalmente en requisitos normativos, de riesgo y de rendimiento. En este documento se ofrecen directrices generales basadas en consideraciones de diseño que hemos observado en una amplia gama de clientes de instituciones financieras de todo el mundo. Tanto si tus cargas de trabajo están completamente en la nube como si están pasando a despliegues híbridos o multinube, las directrices de este documento te ayudarán a diseñar cargas de trabajo en Google Cloud para cumplir tus requisitos normativos y tener en cuenta las diferentes perspectivas de riesgo. Es posible que las directrices no aborden los retos únicos de cada organización. Proporciona una base que cumple muchos de los principales requisitos normativos de las organizaciones de servicios financieros.

Uno de los principales retos a la hora de diseñar cargas de trabajo en la nube es alinear las implementaciones en la nube con los entornos on-premise, sobre todo si quieres que los enfoques de seguridad, fiabilidad y resiliencia sean coherentes. Los servicios en la nube ofrecen la oportunidad de replantearse la arquitectura para reducir los gastos de gestión, optimizar los costes, mejorar la seguridad y aumentar la fiabilidad y la resiliencia.

En las páginas siguientes se describen los principios y las recomendaciones específicos de las cargas de trabajo de las IFSs para cada pilar del marco de trabajo Well-Architected:

Colaboradores

Autores:

Otros colaboradores:

Perspectiva de las IFSs: excelencia operativa

Este documento del Google Cloud framework Well-Architected: perspectiva del sector de los servicios financieros ofrece una descripción general de los principios y las recomendaciones para crear, implementar y operar cargas de trabajo sólidas del sector de los servicios financieros en Google Cloud. Estas recomendaciones te ayudan a configurar elementos clave como la observabilidad, la automatización y la escalabilidad. Las recomendaciones de este documento se ajustan al pilar de excelencia operativa del framework Well-Architected.

La excelencia operativa es fundamental para las cargas de trabajo de las instituciones financieras en Google Cloud , debido a la naturaleza altamente regulada y sensible de dichas cargas de trabajo. La excelencia operativa asegura que las soluciones en la nube puedan adaptarse a las necesidades cambiantes y cumplir tus requisitos de valor, rendimiento, seguridad y fiabilidad. Los fallos en estas áreas pueden provocar pérdidas económicas significativas, sanciones regulatorias y daños en la reputación.

La excelencia operativa ofrece las siguientes ventajas para las cargas de trabajo de las instituciones financieras:

  • Mantener la confianza y la reputación: las entidades financieras dependen en gran medida de la confianza de sus clientes. Las interrupciones operativas o las brechas de seguridad pueden erosionar gravemente esta confianza y provocar la pérdida de clientes. La excelencia operativa ayuda a minimizar estos riesgos.

  • Cumplir requisitos normativos estrictos: el sector de las instituciones financieras está sujeto a numerosas normativas complejas, como las siguientes:

    Es fundamental contar con procesos operativos, monitorización y gestión de incidentes sólidos para demostrar el cumplimiento de las normativas y evitar sanciones.

  • Asegurar la continuidad y la resiliencia de las empresas: los mercados y los servicios financieros suelen operar de forma continua. Por lo tanto, la alta disponibilidad y la recuperación tras fallos eficaz son fundamentales. Los principios de excelencia operativa guían el diseño y la implementación de sistemas resilientes. El pilar de fiabilidad ofrece más información sobre este tema.

  • Protección de datos sensibles: las instituciones financieras gestionan grandes cantidades de datos financieros y de clientes altamente sensibles. Es fundamental contar con controles operativos sólidos, monitorización de la seguridad y una respuesta rápida ante incidentes para evitar las brechas de datos y mantener la privacidad. En el pilar de seguridad se ofrece más información sobre este tema.

  • Optimizar el rendimiento de las aplicaciones críticas: muchas aplicaciones financieras, como las plataformas de trading y las analíticas en tiempo real, requieren un alto rendimiento y una baja latencia. Para cumplir estos requisitos de rendimiento, necesitas un diseño de computación, redes y almacenamiento altamente optimizado. El pilar de optimización del rendimiento ofrece más información sobre este tema.

  • Gestionar los costes de forma eficaz: además de la seguridad y la fiabilidad, las entidades financieras también se preocupan por la rentabilidad. La excelencia operativa incluye prácticas para optimizar el uso de los recursos y gestionar los gastos en la nube. El pilar de optimización de costes ofrece más información sobre este tema.

Las recomendaciones de excelencia operativa de este documento se corresponden con los siguientes principios básicos:

Definir acuerdos de nivel de servicio y los objetivos e indicadores de nivel de servicio correspondientes

En muchas organizaciones de servicios financieros, la disponibilidad de las aplicaciones se clasifica normalmente en función de las métricas de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO). En el caso de las aplicaciones esenciales para la empresa que atienden a clientes externos, también se puede definir un acuerdo de nivel de servicio (SLA).

Los acuerdos de nivel de servicio necesitan un marco de métricas que represente el comportamiento del sistema desde la perspectiva de la satisfacción del usuario. Las prácticas de Site Reliability Engineering (SRE) ofrecen una forma de alcanzar el nivel de fiabilidad del sistema que quieras. Para crear un marco de métricas, se deben definir y monitorizar indicadores numéricos clave para conocer el estado del sistema desde el punto de vista del usuario. Por ejemplo, las métricas como la latencia y las tasas de error cuantifican el rendimiento de un servicio. Estas métricas se denominan indicadores de nivel de servicio (SLIs). Es fundamental desarrollar SLIs eficaces, ya que proporcionan los datos sin procesar necesarios para evaluar la fiabilidad de forma objetiva.

Para definir SLAs, SLIs y SLOs significativos, ten en cuenta las siguientes recomendaciones:

  • Desarrolla y define SLIs para cada servicio crítico. Define los valores objetivo que definen los niveles de rendimiento aceptables.
  • Desarrolla y define los objetivos de nivel de servicio que correspondan a los indicadores de nivel de servicio. Por ejemplo, un SLO puede indicar que el 99,9% de las solicitudes deben tener una latencia inferior a 200 milisegundos.
  • Identifica las medidas correctivas internas que deben tomarse si un servicio no cumple los SLOs. Por ejemplo, para mejorar la resiliencia de la plataforma, es posible que tengas que centrar los recursos de desarrollo en solucionar problemas.
  • Valida el requisito del ANS de cada servicio y reconoce el ANS como el contrato formal con los usuarios del servicio.

Ejemplos de niveles de servicio

En la siguiente tabla se muestran ejemplos de indicadores de nivel de servicio (SLIs), objetivos de nivel de servicio (SLOs) y acuerdos de nivel de servicio (SLAs) de una plataforma de pagos:

Métrica de negocio SLI SLO Acuerdo de nivel de servicio
Transacción de pago correcta

Medida cuantitativa del porcentaje de todas las transacciones de pago iniciadas que se han procesado y confirmado correctamente.

Ejemplo: (número de transacciones completadas ÷ número total de transacciones válidas) × 100, medido en un periodo de 5 minutos.

Un objetivo interno para mantener un porcentaje alto de transacciones de pago correctas durante un periodo específico.

Ejemplo: Mantener una tasa de éxito de las transacciones de pago del 99,98% durante un periodo de 30 días, sin incluir las solicitudes no válidas ni el mantenimiento programado.

Una garantía contractual de la tasa de éxito y la velocidad del procesamiento de las transacciones de pago.

Ejemplo: El proveedor de servicios garantiza que el 99 % de las transacciones de pago iniciadas por el cliente se procesarán y confirmarán correctamente en un segundo.
Latencia del procesamiento de pagos

El tiempo medio que tarda en procesarse una transacción de pago desde que el cliente la inicia hasta que se confirma.

Ejemplo: tiempo medio de respuesta en milisegundos para la confirmación de transacciones, medido en un periodo de 5 minutos.

Objetivo interno de la velocidad a la que se procesan las transacciones de pago.

Ejemplo: Asegúrate de que el 99,5% de las transacciones de pago se procesen en un plazo de 400 milisegundos en un periodo de 30 días.

Compromiso contractual para resolver problemas críticos de procesamiento de pagos en un plazo determinado.

Ejemplo: En caso de problemas críticos con el procesamiento de pagos (definidos como una interrupción que afecta a más del 1% de las transacciones), el proveedor de servicios se compromete a resolverlos en un plazo de dos horas a partir del momento en que se comuniquen o se detecten.
Disponibilidad de la plataforma

El porcentaje de tiempo en el que la API principal de procesamiento de pagos y la interfaz de usuario están operativas y los clientes pueden acceder a ellas.

Ejemplo: (tiempo total de funcionamiento − tiempo de inactividad) ÷ tiempo total de funcionamiento × 100, medido por minuto.

Objetivo interno del tiempo de actividad de la plataforma de pago principal.

Ejemplo: Consigue una disponibilidad de la plataforma del 99,995% por mes natural, sin incluir los periodos de mantenimiento programados.

Un compromiso formal y jurídicamente vinculante con los clientes en relación con el tiempo de actividad mínimo de la plataforma de pagos, incluidas las consecuencias en caso de incumplimiento.

Ejemplo: La plataforma mantendrá una disponibilidad mínima del 99,9% por mes natural, sin incluir las ventanas de mantenimiento programadas. Si la disponibilidad es inferior al nivel mínimo, el cliente recibirá un crédito de servicio del 5% de la cuota de servicio mensual por cada descenso del 0,1 %.

Usa los datos de SLI para monitorizar si los sistemas cumplen los SLOs definidos y para asegurarte de que se cumplen los SLAs. Mediante un conjunto de SLIs bien definidos, los ingenieros y los desarrolladores pueden monitorizar las aplicaciones de las instituciones financieras a los siguientes niveles:

  • Directamente en el servicio en el que se despliegan las aplicaciones, como GKE o Cloud Run.
  • Usando los registros proporcionados por los componentes de la infraestructura, como el balanceador de carga.

OpenTelemetry proporciona un estándar de código abierto y un conjunto de tecnologías para recoger todos los tipos de telemetría, incluidas las métricas, las trazas y los registros. Google Cloud Managed Service para Prometheus proporciona un backend totalmente gestionado y altamente escalable para las métricas y el funcionamiento de Prometheus a gran escala.

Para obtener más información sobre los SLI, los SLO y los presupuestos de errores, consulta el manual de SRE.

Para desarrollar paneles de control y mecanismos de monitorización y alertas eficaces, usa las herramientas de Google Cloud Observability junto con Google Cloud Monitoring. Para obtener información sobre las funciones de monitorización y detección específicas de seguridad, consulta el pilar de seguridad.

Definir y probar los procesos de gestión de incidentes

Los procesos de gestión de incidentes bien definidos y probados periódicamente contribuyen directamente al valor, el rendimiento, la seguridad y la fiabilidad de las cargas de trabajo de las entidades financieras en Google Cloud. Estos procesos ayudan a las instituciones financieras a cumplir sus estrictos requisitos normativos, proteger los datos sensibles, mantener la continuidad del negocio y ganarse la confianza de los clientes.

Las pruebas periódicas de los procesos de gestión de incidentes ofrecen las siguientes ventajas:

  • Mantener el rendimiento en momentos de máxima carga: las pruebas periódicas de rendimiento y carga ayudan a las entidades financieras a asegurarse de que sus aplicaciones e infraestructura basadas en la nube puedan gestionar volúmenes de transacciones máximos, la volatilidad del mercado y otras situaciones de alta demanda sin que se vea afectado el rendimiento. Esta función es fundamental para mantener una experiencia de usuario fluida y satisfacer las demandas de los mercados financieros.
  • Identificar posibles cuellos de botella y limitaciones: las pruebas de estrés llevan los sistemas al límite y permiten a las entidades financieras identificar posibles cuellos de botella y limitaciones de rendimiento antes de que afecten a las operaciones críticas. Este enfoque proactivo permite a las instituciones financieras ajustar su infraestructura y sus aplicaciones para optimizar el rendimiento y la escalabilidad.
  • Valida la fiabilidad y la resiliencia: las pruebas periódicas, incluidas las de ingeniería del caos o los fallos simulados, ayudan a validar la fiabilidad y la resiliencia de los sistemas financieros. Estas pruebas aseguran que los sistemas puedan recuperarse de los fallos sin problemas y mantener una alta disponibilidad, lo cual es esencial para la continuidad del negocio.
  • Realiza una planificación de la capacidad eficaz: las pruebas de rendimiento proporcionan datos valiosos sobre el uso de los recursos en diferentes condiciones de carga, lo que es fundamental para una planificación de la capacidad precisa. Las entidades financieras pueden usar estos datos para anticipar de forma proactiva las necesidades de capacidad futuras y evitar problemas de rendimiento debido a las limitaciones de recursos.
  • Despliega nuevas funciones y cambios de código correctamente: la integración de pruebas automatizadas en los flujos de trabajo de CI/CD ayuda a asegurar que los cambios y los nuevos despliegues se validen exhaustivamente antes de lanzarse en entornos de producción. Este enfoque reduce significativamente el riesgo de errores y regresiones que podrían provocar interrupciones operativas.
  • Cumplir los requisitos normativos de estabilidad del sistema: las normativas financieras suelen exigir que las instituciones tengan prácticas de pruebas sólidas para garantizar la estabilidad y la fiabilidad de sus sistemas críticos. Las pruebas periódicas ayudan a demostrar el cumplimiento de estos requisitos.

Para definir y probar tus procesos de gestión de incidentes, ten en cuenta las siguientes recomendaciones.

Establecer procedimientos claros de respuesta a incidentes

Un conjunto bien definido de procedimientos de respuesta ante incidentes incluye los siguientes elementos:

  • Funciones y responsabilidades definidas para los responsables de incidentes, los investigadores, los comunicadores y los expertos técnicos para asegurar una respuesta eficaz y coordinada.
  • Protocolos de comunicación y rutas de derivación definidos para asegurar que la información se comparte de forma rápida y eficaz durante los incidentes.
  • Procedimientos documentados en un manual de operaciones o de procedimientos que describa los pasos para la comunicación, la clasificación, la investigación y la resolución.
  • Formación y preparación periódicas que proporcionen a los equipos los conocimientos y las habilidades necesarios para responder de forma eficaz.

Implementar pruebas de rendimiento y de carga con regularidad

Las pruebas de rendimiento y carga periódicas ayudan a asegurar que las aplicaciones y la infraestructura basadas en la nube puedan gestionar las cargas máximas y mantener un rendimiento óptimo. Las pruebas de carga simulan patrones de tráfico realistas. Las pruebas de carga someten al sistema a sus límites para identificar posibles cuellos de botella y limitaciones de rendimiento. Puedes usar productos como Cloud Load Balancing y servicios de pruebas de carga para simular el tráfico real. En función de los resultados de las pruebas, puedes ajustar tu infraestructura y tus aplicaciones en la nube para conseguir un rendimiento y una escalabilidad óptimos. Por ejemplo, puede ajustar la asignación de recursos o configurar las aplicaciones.

Automatizar las pruebas en los flujos de procesamiento de CI/CD

Incorporar pruebas automatizadas en tus flujos de procesamiento de CI/CD te ayuda a asegurar la calidad y la fiabilidad de las aplicaciones en la nube validando los cambios antes de implementarlos. Este enfoque reduce significativamente el riesgo de errores y regresiones, y te ayuda a crear un sistema de software más estable y robusto. Puedes incorporar diferentes tipos de pruebas en tus pipelines de CI/CD, como pruebas unitarias, pruebas de integración y pruebas completas. Usa productos como Cloud Build y Cloud Deploy para crear y gestionar tus flujos de procesamiento de CI/CD.

Mejorar e innovar continuamente

En el caso de las cargas de trabajo de servicios financieros en la nube, la migración a la nube es solo el primer paso. Las mejoras y la innovación continuas son esenciales por los siguientes motivos:

  • Acelera la innovación: aprovecha las nuevas tecnologías, como la IA, para mejorar tus servicios.
  • Reducir costes: elimina las ineficiencias y optimiza el uso de los recursos.
  • Mejorar la agilidad: adaptarse rápidamente a los cambios del mercado y de la normativa.
  • Mejorar la toma de decisiones: usa productos de analíticas de datos como BigQuery y Looker para tomar decisiones fundamentadas.

Para asegurar la mejora continua y la innovación, tenga en cuenta las siguientes recomendaciones.

Realiza retrospectivas periódicas

Las retrospectivas son fundamentales para mejorar continuamente los procedimientos de respuesta a incidentes y para optimizar las estrategias de prueba en función de los resultados de las pruebas de rendimiento y de carga periódicas. Para que las retrospectivas sean eficaces, haz lo siguiente:

  • Ofrece a los equipos la oportunidad de reflexionar sobre sus experiencias, identificar qué ha ido bien y determinar las áreas de mejora.
  • Organiza retrospectivas después de alcanzar hitos de proyectos, incidentes importantes o ciclos de pruebas significativos. Los equipos pueden aprender tanto de los éxitos como de los fracasos y perfeccionar continuamente sus procesos y prácticas.
  • Usa un enfoque estructurado, como el modelo empezar-parar-continuar, para asegurarte de que las sesiones retrospectivas sean productivas y den lugar a medidas concretas.
  • Usa retrospectivas para identificar áreas en las que se pueda mejorar la automatización de la gestión de cambios para aumentar la fiabilidad y reducir los riesgos.

Fomentar una cultura de aprendizaje

Una cultura de aprendizaje facilita la exploración segura de nuevas tecnologías enGoogle Cloud, como las funciones de IA y aprendizaje automático, para mejorar servicios como la detección de fraudes y el asesoramiento financiero personalizado. Para fomentar una cultura de aprendizaje, haz lo siguiente:

  • Anima a los equipos a experimentar, compartir conocimientos y aprender continuamente.
  • Adopta una cultura en la que no se culpe a nadie y en la que los errores se vean como oportunidades de crecimiento y mejora.
  • Crea un entorno psicológicamente seguro que permita a los equipos asumir riesgos y plantear soluciones innovadoras. Los equipos aprenden tanto de los éxitos como de los fracasos, lo que lleva a una organización más resiliente y adaptable.
  • Desarrollar una cultura que facilite el intercambio de conocimientos adquiridos a partir de los procesos de gestión de incidentes y los ejercicios de prueba.

Mantenerse al día de las tecnologías de la nube

El aprendizaje continuo es esencial para entender e implementar nuevas medidas de seguridad, aprovechar las analíticas de datos avanzadas para obtener mejores estadísticas y adoptar soluciones innovadoras que sean relevantes para el sector financiero.

  • Maximiza el potencial de los servicios de Google Cloud manteniéndote al día de los últimos avances, funciones y prácticas recomendadas.
  • Cuando se introduzcan nuevas Google Cloud funciones y servicios, identifica oportunidades para automatizar aún más los procesos, mejorar la seguridad y optimizar el rendimiento y la escalabilidad de tus aplicaciones.
  • Participa en conferencias, seminarios web y sesiones de formación relevantes para ampliar tus conocimientos y descubrir nuevas funciones.
  • Anima a los miembros del equipo a obtener Google Cloud certificaciones para asegurarte de que la organización tiene las habilidades necesarias para triunfar en la nube.

Perspectiva de las IFSs: seguridad, privacidad y cumplimiento

Este documento del Google Cloud marco de trabajo bien diseñado: perspectiva del sector de servicios financieros proporciona una descripción general de los principios y las recomendaciones para abordar los requisitos de seguridad, privacidad y cumplimiento de las cargas de trabajo del sector de servicios financieros en Google Cloud. Las recomendaciones te ayudan a crear una infraestructura resiliente y conforme, proteger los datos sensibles, mantener la confianza de los clientes, moverte por el complejo panorama de los requisitos normativos y gestionar de forma eficaz las ciberamenazas. Las recomendaciones de este documento se ajustan al pilar de seguridad del framework Well-Architected.

La seguridad en la computación en la nube es un aspecto fundamental para las organizaciones de servicios financieros, que resultan muy atractivas para los ciberdelincuentes debido a las grandes cantidades de datos sensibles que gestionan, como los detalles de los clientes y los registros financieros. Las consecuencias de una brecha de seguridad son excepcionalmente graves, ya que pueden provocar pérdidas económicas significativas, daños a la reputación a largo plazo y multas importantes por incumplimiento de normativas. Por lo tanto, las cargas de trabajo de las IFIs necesitan controles de seguridad estrictos.

Para garantizar una seguridad y un cumplimiento integrales, debe comprender las responsabilidades compartidas entre usted (las entidades financieras) y Google Cloud. Google Cloud es responsable de proteger la infraestructura subyacente, incluida la seguridad física y la seguridad de la red. Eres responsable de proteger los datos y las aplicaciones, configurar el control de acceso, y configurar y gestionar los servicios de seguridad. Para ayudarte con tus esfuerzos de seguridad, el Google Cloud ecosistema de partners ofrece integración de seguridad y servicios gestionados.

Las recomendaciones de seguridad de este documento se corresponden con los siguientes principios básicos:

Implementar la seguridad desde el diseño

Las normativas financieras, como la normativa de seguridad de datos del sector de las tarjetas de pago (PCI DSS), la ley Gramm-Leach-Bliley (GLBA) de Estados Unidos y varias leyes nacionales de protección de datos financieros, exigen que la seguridad se integre en los sistemas desde el principio. El principio de seguridad desde el diseño hace hincapié en la integración de la seguridad a lo largo del ciclo de vida del desarrollo para ayudar a minimizar las vulnerabilidades desde el principio.

Para aplicar el principio de seguridad por diseño a tus cargas de trabajo de IFD enGoogle Cloud, ten en cuenta las siguientes recomendaciones:

  • Asegúrate de que solo se concedan los permisos necesarios aplicando el principio de mínimos accesos mediante el control de acceso basado en roles (RBAC) granular en Gestión de Identidades y Accesos (IAM). El uso del control de acceso basado en roles es un requisito clave en muchas normativas financieras.
  • Implementa perímetros de seguridad en torno a tus servicios y datos sensibles en Google Cloud con Controles de Servicio de VPC. Los perímetros de seguridad ayudan a segmentar y proteger los datos y recursos sensibles, así como a evitar la exfiltración de datos y el acceso no autorizado, tal como exigen las normativas.
  • Define las configuraciones de seguridad como código mediante herramientas de infraestructura como código (IaC), como Terraform. Este enfoque incorpora controles de seguridad desde la fase de implementación inicial, lo que ayuda a garantizar la coherencia y la auditabilidad.
  • Escanea el código de tu aplicación integrando pruebas de seguridad de aplicaciones estáticas (SAST) en el flujo de procesamiento de CI/CD con Cloud Build. Establece puertas de seguridad automatizadas para evitar que se despliegue código que no cumpla los requisitos.
  • Proporciona una interfaz unificada para obtener información valiosa sobre seguridad mediante Security Command Center. El uso de Security Command Center permite monitorizar de forma continua y detectar de forma temprana las configuraciones erróneas o las amenazas que podrían provocar incumplimientos de las normativas. Para cumplir los requisitos de estándares como ISO 27001 y NIST 800-53, puedes usar plantillas de gestión de la postura.
  • Monitoriza la reducción de las vulnerabilidades que se identifican en las implementaciones de producción y el porcentaje de implementaciones de IaC que cumplen las prácticas recomendadas de seguridad. Puedes detectar y ver vulnerabilidades e información sobre el cumplimiento de los estándares de seguridad mediante Security Command Center. Para obtener más información, consulta Resultados de vulnerabilidades.

Implementar la confianza cero

Las normativas financieras modernas enfatizan cada vez más la necesidad de contar con controles de acceso estrictos y una verificación continua. Estos requisitos reflejan el principio de confianza cero, cuyo objetivo es proteger las cargas de trabajo frente a amenazas y agentes malintencionados internos y externos. El principio de confianza cero aboga por la verificación continua de todos los usuarios y dispositivos, lo que elimina la confianza implícita y mitiga el movimiento lateral.

Para implementar la confianza cero, ten en cuenta las siguientes recomendaciones:

  • Habilita el acceso contextual en función de la identidad del usuario, la seguridad del dispositivo, la ubicación y otros factores combinando los controles de IAM con Chrome Enterprise Premium. De esta forma, se garantiza una verificación continua antes de conceder acceso a los datos y sistemas financieros.
  • Proporciona una gestión de identidades y accesos segura y escalable configurando Identity Platform (o tu proveedor de identidades externo si usas Federación de identidades de los trabajadores). Configura la autenticación multifactor (MFA) y otros controles que son cruciales para implementar la confianza cero y cumplir las normativas.
  • Implementa la MFA en todas las cuentas de usuario, especialmente en las que tengan acceso a datos o sistemas sensibles.
  • Admite auditorías e investigaciones relacionadas con el cumplimiento de normativas mediante el registro y la monitorización exhaustivos del acceso de los usuarios y la actividad de la red.
  • Habilita la comunicación privada y segura entre servicios en entornos on-premise yGoogle Cloud sin exponer el tráfico a Internet público mediante Private Service Connect.
  • Implementa controles de identidad detallados y autoriza el acceso a nivel de aplicación mediante Identity-Aware Proxy (IAP) en lugar de usar mecanismos de seguridad basados en la red, como los túneles VPN. Este enfoque ayuda a reducir el movimiento lateral en el entorno.

Implementar la seguridad de forma temprana

Los organismos reguladores financieros fomentan las medidas de seguridad proactivas. Identificar y abordar las vulnerabilidades al principio del ciclo de vida del desarrollo ayuda a reducir el riesgo de incidentes de seguridad y la posibilidad de recibir sanciones por incumplimiento. El principio de seguridad shift-left promueve las pruebas de seguridad y la integración tempranas, lo que ayuda a reducir el coste y la complejidad de la corrección.

Para implementar la seguridad shift-left, ten en cuenta las siguientes recomendaciones:

  • Asegúrate de que las comprobaciones de seguridad automatizadas se realicen al principio del proceso de desarrollo integrando herramientas de análisis de seguridad, como el análisis de vulnerabilidades de contenedores y el análisis estático de código, en el flujo de procesamiento de CI/CD con Cloud Build.

  • Asegúrate de que solo se desplieguen artefactos seguros usando Artifact Registry para proporcionar un repositorio seguro y centralizado de paquetes de software e imágenes de contenedor con análisis de vulnerabilidades integrado. Usa repositorios virtuales para mitigar los ataques de confusión de dependencias priorizando tus artefactos privados sobre los repositorios remotos.

  • Analiza automáticamente las aplicaciones web para detectar vulnerabilidades comunes integrando Web Security Scanner, que forma parte de Security Command Center, en tus flujos de desarrollo.

  • Implementa comprobaciones de seguridad para el código fuente, el proceso de compilación y la procedencia del código mediante el framework Niveles de la cadena de suministro para artefactos de software (SLSA). Aplica la procedencia de las cargas de trabajo que se ejecutan en tus entornos mediante soluciones como Autorización binaria. Asegúrate de que tus cargas de trabajo solo usen bibliotecas de software de código abierto verificadas con Assured Open Source.

  • Monitoriza el número de vulnerabilidades que se identifican y se solucionan en tu ciclo de vida de desarrollo, el porcentaje de implementaciones de código que superan los análisis de seguridad y la reducción de los incidentes de seguridad causados por vulnerabilidades de software. Google Cloud proporciona herramientas para ayudarte a hacer un seguimiento de los distintos tipos de cargas de trabajo. Por ejemplo, en el caso de las cargas de trabajo contenerizadas, usa la función de análisis de contenedores de Artifact Registry.

Implementar una ciberdefensa preventiva

Las instituciones financieras son los principales objetivos de los ciberataques sofisticados. Las normativas suelen exigir mecanismos de información sobre amenazas y defensa proactiva sólidos. La ciberdefensa preventiva se centra en la detección y la respuesta proactivas a las amenazas mediante analíticas avanzadas y automatización.

Ten en cuenta las siguientes recomendaciones:

  • Identifica y mitiga de forma proactiva las posibles amenazas mediante los servicios de inteligencia frente a amenazas, respuesta a incidentes y validación de seguridad de Mandiant.
  • Protege las aplicaciones web y las APIs frente a vulnerabilidades web y ataques DDoS en el perímetro de la red con Google Cloud Armor.
  • Agrega y prioriza los resultados y las recomendaciones de seguridad con Security Command Center, lo que permite a los equipos de seguridad abordar de forma proactiva los posibles riesgos.
  • Valida las defensas preventivas y los planes de respuesta ante incidentes realizando simulaciones de seguridad y pruebas de penetración periódicas.
  • Mide el tiempo que se tarda en detectar y responder a los incidentes de seguridad, la eficacia de las medidas de mitigación de DDoS y el número de ciberataques que se han evitado. Puedes obtener las métricas y los datos necesarios de los paneles de SOAR y SIEM de Google Security Operations.

Usar la IA de forma segura y responsable, y usar la IA para la seguridad

La IA y el aprendizaje automático se usan cada vez más en casos prácticos de servicios financieros, como la detección de fraudes y el trading algorítmico. Los reglamentos exigen que estas tecnologías se utilicen de forma ética, transparente y segura. La IA también puede ayudarte a mejorar tus funciones de seguridad. Ten en cuenta las siguientes recomendaciones para usar la IA:

  • Desarrolla y despliega modelos de aprendizaje automático en un entorno seguro y controlado con Vertex AI. Las funciones como la explicabilidad de los modelos y las métricas de equidad pueden ayudar a abordar los problemas relacionados con la IA responsable.
  • Aprovecha las funciones de análisis y operaciones de seguridad de Google Security Operations, que usa la IA y el aprendizaje automático para analizar grandes volúmenes de datos de seguridad, detectar anomalías y automatizar la respuesta ante amenazas. Estas funciones ayudan a mejorar tu estrategia de seguridad general y a monitorizar el cumplimiento.
  • Establece políticas de gobernanza claras para el desarrollo y la implementación de la IA y el aprendizaje automático, incluidas las consideraciones relacionadas con la seguridad y la ética.
  • Alinearse con los elementos del Marco para la IA Segura (SAIF), que ofrece un enfoque práctico para abordar las preocupaciones de seguridad y riesgo de los sistemas de IA.
  • Monitoriza la precisión y la eficacia de los sistemas de detección de fraudes basados en IA, la reducción de falsos positivos en las alertas de seguridad y las mejoras de eficiencia gracias a la automatización de la seguridad basada en IA.

Cumplir las normativas y las necesidades de cumplimiento y privacidad

Los servicios financieros están sujetos a una gran variedad de normativas, incluidos los requisitos de residencia de datos, los registros de auditoría específicos y los estándares de protección de datos. Para asegurarse de que los datos sensibles se identifican, protegen y gestionan correctamente, las instituciones financieras necesitan políticas de gobierno de datos y esquemas de clasificación de datos sólidos. Ten en cuenta las siguientes recomendaciones para cumplir los requisitos normativos:

  • Configura límites de datos en Google Cloud para cargas de trabajo sensibles y reguladas mediante Assured Workloads. De esta forma, puedes cumplir los requisitos de cumplimiento específicos de tu sector y de las administraciones públicas, como FedRAMP y CJIS.
  • Identifica, clasifica y protege los datos sensibles, incluida la información financiera, implementando Cloud Data Loss Prevention (Cloud DLP). De esta forma, puede cumplir normativas de privacidad de los datos como el RGPD y la CCPA.
  • Haz un seguimiento de los detalles de las actividades administrativas y del acceso a los recursos mediante Registros de auditoría de Cloud. Estos registros son fundamentales para cumplir los requisitos de auditoría estipulados por muchas normativas financieras.
  • Cuando elijas Google Cloud regiones para tus cargas de trabajo y datos, ten en cuenta las normativas locales relacionadas con la residencia de datos. Google Cloud La infraestructura global te permite elegir regiones que pueden ayudarte a cumplir tus requisitos de residencia de datos.
  • Gestiona las claves que se usan para cifrar datos financieros sensibles en reposo y en tránsito mediante Cloud Key Management Service. Este cifrado es un requisito fundamental de muchas normativas de seguridad y privacidad.
  • Implementa los controles necesarios para cumplir los requisitos normativos. Valida que los controles funcionan como se espera. Un auditor externo debe volver a validar los controles para demostrar a la autoridad competente que tus cargas de trabajo cumplen las normativas.

Priorizar las iniciativas de seguridad

Dada la amplitud de los requisitos de seguridad, las instituciones financieras deben priorizar las iniciativas que se basen en la evaluación de riesgos y los mandatos normativos. Te recomendamos que sigas estos pasos:

  1. Crea una base de seguridad sólida: céntrate en las áreas principales de la seguridad, como la gestión de identidades y accesos, la seguridad de la red y la protección de datos. Este enfoque ayuda a crear una postura de seguridad sólida y a garantizar una defensa integral frente a las amenazas en constante evolución.
  2. Cumplir las normativas críticas: prioriza el cumplimiento de las normativas clave, como PCI DSS, el RGPD y las leyes nacionales pertinentes. De esta forma, se protege la información, se mitigan los riesgos legales y se genera confianza entre los clientes.
  3. Implementa medidas de seguridad avanzadas: adopta gradualmente prácticas de seguridad avanzadas, como la confianza cero, las soluciones de seguridad basadas en IA y la búsqueda proactiva de amenazas.

Perspectiva de las IFSs: fiabilidad

Este documento del Google Cloud framework de arquitectura: perspectiva de las instituciones financieras proporciona una descripción general de los principios y las recomendaciones para diseñar, implementar y operar cargas de trabajo fiables del sector de los servicios financieros enGoogle Cloud. En este documento se explica cómo integrar prácticas de fiabilidad avanzadas y observabilidad en tus planos de arquitectura. Las recomendaciones de este documento se ajustan al pilar de fiabilidad del marco de trabajo Well-Architected.

Para las instituciones financieras, una infraestructura fiable y resiliente es tanto una necesidad empresarial como un imperativo normativo. Para asegurarte de que las cargas de trabajo de las instituciones financieras enGoogle Cloud sean fiables, debes identificar y mitigar los posibles puntos de fallo, desplegar recursos de forma redundante y planificar la recuperación. La resiliencia operativa es el resultado de la fiabilidad. Es la capacidad de absorber, adaptarse y recuperarse de las interrupciones. La resiliencia operativa ayuda a las organizaciones del sector financiero a cumplir requisitos normativos estrictos. También ayuda a evitar daños intolerables a los clientes.

Los componentes básicos de la fiabilidad en Google Cloud son las regiones, las zonas y los distintos ámbitos de ubicación de los recursos en la nube: de zona, regionales, multirregionales y globales. Puedes mejorar la disponibilidad usando servicios gestionados, distribuyendo recursos, implementando patrones de alta disponibilidad y automatizando procesos.

Requisitos normativos

Las organizaciones de servicios financieros operan bajo estrictos mandatos de fiabilidad de agencias reguladoras como el Sistema de la Reserva Federal de EE. UU., la Autoridad Bancaria Europea de la UE y la Autoridad de Regulación Prudencial del Reino Unido. A nivel mundial, los organismos reguladores hacen hincapié en la resiliencia operativa, que es fundamental para la estabilidad financiera y la protección de los consumidores. La resiliencia operativa es la capacidad de resistir las interrupciones, recuperarse de forma eficaz y mantener los servicios críticos. Esto requiere un enfoque armonizado para gestionar los riesgos tecnológicos y las dependencias de terceros.

Los requisitos normativos de la mayoría de las jurisdicciones tienen los siguientes temas en común:

  • Ciberseguridad y resiliencia tecnológica: reforzar las defensas contra las ciberamenazas y garantizar la resiliencia de los sistemas de TI.
  • Gestión de riesgos de terceros: gestión de los riesgos asociados a la externalización de servicios a proveedores de tecnologías de la información y la comunicación (TIC).
  • Continuidad de la actividad y respuesta a incidentes: planificación sólida para mantener las operaciones críticas durante las interrupciones y recuperarse de forma eficaz.
  • Proteger la estabilidad financiera: asegurar la solidez y la estabilidad del sistema financiero en general.

Las recomendaciones de fiabilidad de este documento se corresponden con los siguientes principios básicos:

Priorizar los despliegues multizona y multirregionales

En el caso de las aplicaciones de servicios financieros críticos, te recomendamos que uses una topología multirregión distribuida en al menos dos regiones y en tres zonas de cada región. Esta estrategia es importante para la resiliencia frente a las interrupciones de zonas y regiones. Las normativas suelen prescribir este enfoque, ya que, si se produce un fallo en una zona o región, la mayoría de las jurisdicciones consideran que una interrupción grave en una segunda zona es una consecuencia plausible. El motivo es que, si falla una ubicación, la otra puede recibir una cantidad excepcionalmente alta de tráfico adicional.

Para aumentar la resiliencia frente a las interrupciones de zonas y regiones, ten en cuenta las siguientes recomendaciones:

  • Prioriza los recursos que tengan un ámbito geográfico más amplio. Cuando sea posible, usa recursos regionales en lugar de recursos de zona, y recursos multirregionales o globales en lugar de recursos regionales. Este enfoque ayuda a evitar la necesidad de restaurar operaciones mediante copias de seguridad.
  • En cada región, utiliza tres zonas en lugar de dos. Para gestionar las conmutaciones por error, aprovisiona una capacidad un tercio superior a la estimada.
  • Minimiza los pasos de recuperación manual implementando implementaciones activo-activo, como en los siguientes ejemplos:
    • Las bases de datos distribuidas, como Spanner, ofrecen redundancia y sincronización integradas en todas las regiones.
    • La función de alta disponibilidad de Cloud SQL proporciona una topología casi activa-activa con réplicas de lectura en todas las zonas. Proporciona un objetivo de punto de recuperación (RPO) entre regiones cercano a 0.
  • Distribuye el tráfico de usuarios entre regiones mediante Cloud DNS y despliega un balanceador de carga regional en cada región. Un balanceador de carga global es otra opción que puedes tener en cuenta en función de tus requisitos y de la criticidad. Para obtener más información, consulta Ventajas y riesgos del balanceo de carga global en implementaciones multirregión.
  • Para almacenar datos, usa servicios multirregionales como Spanner y Cloud Storage.

Eliminar los puntos únicos de fallo

Distribuye los recursos en diferentes ubicaciones y usa recursos redundantes para evitar que un único punto de fallo afecte a toda la pila de aplicaciones.

Ten en cuenta las siguientes recomendaciones para evitar los SPOFs:

  • No implementes un solo servidor de aplicaciones o una sola base de datos.
  • Asegúrate de que las VMs con errores se vuelvan a crear automáticamente mediante grupos de instancias gestionados (MIGs).
  • Distribuye el tráfico de forma uniforme entre los recursos disponibles implementando el balanceo de carga.
  • Usa configuraciones de alta disponibilidad para bases de datos como Cloud SQL.
  • Mejora la disponibilidad de los datos usando discos persistentes regionales con replicación síncrona.

Para obtener más información, consulta Diseñar una infraestructura fiable para tus cargas de trabajo en Google Cloud.

Consultar y gestionar la disponibilidad agregada

Ten en cuenta que la disponibilidad general o agregada de un sistema se ve afectada por la disponibilidad de cada nivel o componente del sistema. El número de niveles de una pila de aplicaciones tiene una relación inversa con la disponibilidad agregada de la pila. Para gestionar la disponibilidad agregada, ten en cuenta las siguientes recomendaciones:

  • Para calcular la disponibilidad agregada de una pila multinivel, usa la fórmula disponibilidad_nivel1 × disponibilidad_nivel2 × disponibilidad_nivelN.

    En el siguiente diagrama se muestra el cálculo de la disponibilidad agregada de un sistema multinivel que consta de cuatro servicios:

    Fórmula de disponibilidad agregada de un servicio multinivel que tiene cuatro servicios.

    En el diagrama anterior, el servicio de cada nivel ofrece una disponibilidad del 99,9 %, pero la disponibilidad agregada del sistema es inferior, del 99,6% (0,999 × 0,999 × 0,999 × 0,999). Por lo general, la disponibilidad agregada de una pila multinivel es inferior a la disponibilidad del nivel que ofrece la menor disponibilidad.

  • Cuando sea posible, elige la paralelización en lugar del encadenamiento. Con los servicios paralelizados, la disponibilidad de extremo a extremo es mayor que la disponibilidad de cada servicio individual.

    En el siguiente diagrama se muestran dos servicios, A y B, que se implementan mediante los enfoques de encadenamiento y paralelización:

    Las fórmulas de disponibilidad agregada de los servicios encadenados en comparación con los servicios paralelizados.

    En los ejemplos anteriores, ambos servicios tienen un SLA del 99%, lo que da como resultado la siguiente disponibilidad agregada en función del enfoque de implementación:

    • Los servicios encadenados ofrecen una disponibilidad agregada de solo el 98% (0,99 × 0,99).
    • Los servicios paralelizados ofrecen una disponibilidad agregada mayor, del 99,99 %, porque cada servicio se ejecuta de forma independiente y los servicios individuales no se ven afectados por la disponibilidad de los demás servicios. La fórmula de los servicios paralelizados agregados es 1 − (1 − A) × (1 − B).

  • Elige Google Cloud servicios con acuerdos de nivel de servicio de tiempo de actividad que te ayuden a alcanzar el nivel de tiempo de actividad general requerido para tu pila de aplicaciones.

  • Al diseñar tu arquitectura, ten en cuenta las ventajas y desventajas de la disponibilidad, la complejidad operativa, la latencia y el coste. Aumentar el número de nueves de disponibilidad suele costar más, pero te ayuda a cumplir los requisitos normativos.

    Por ejemplo, una disponibilidad del 99,9 % (tres nueves) significa que el tiempo de inactividad potencial es de 86 segundos en un día de 24 horas. Por el contrario, el 99% (dos nueves) significa un tiempo de inactividad de 864 segundos durante el mismo periodo, que es 10 veces mayor que el tiempo de inactividad con tres nueves de disponibilidad.

    En el caso de los servicios financieros esenciales, las opciones de arquitectura pueden ser limitadas. Sin embargo, es fundamental identificar los requisitos de disponibilidad y calcularla con precisión. Realizar una evaluación de este tipo te ayuda a valorar las implicaciones de tus decisiones de diseño en tu arquitectura y presupuesto.

Implementar una estrategia de recuperación ante desastres sólida

Crea planes bien definidos para diferentes situaciones de desastre, incluidas las interrupciones zonales y regionales. Una estrategia de recuperación tras fallos bien definida te permite recuperarte de una interrupción y reanudar las operaciones normales con un impacto mínimo.

La recuperación ante desastres y la alta disponibilidad son conceptos diferentes. En los despliegues en la nube, la recuperación ante desastres se aplica a los despliegues multirregionales y la alta disponibilidad a los despliegues regionales. Estos arquetipos de implementación admiten diferentes mecanismos de replicación.

  • HA muchos servicios gestionados proporcionan de forma predeterminada la replicación síncrona entre zonas de una misma región. Estos servicios admiten un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO) de cero o casi cero. Este servicio te permite crear una topología de implementación activa-activa que no tenga ningún SPOF.
  • Recuperación ante desastres: en el caso de las cargas de trabajo que se despliegan en dos o más regiones, si no utilizas servicios multirregionales o globales, debes definir una estrategia de replicación. La estrategia de replicación suele ser asíncrona. Evalúa detenidamente cómo afecta esta replicación al tiempo de recuperación y al punto de recuperación de datos de las aplicaciones críticas. Identifica las operaciones manuales o semiautomáticas que sean necesarias para la conmutación por error.

En el caso de las entidades financieras, la elección de la región de conmutación por error puede estar limitada por las normativas sobre soberanía y residencia de los datos. Si necesitas una topología activo-activo en dos regiones, te recomendamos que elijas servicios multirregionales gestionados, como Spanner y Cloud Storage, sobre todo si la replicación de datos es fundamental.

Ten en cuenta las siguientes recomendaciones:

  • Utiliza servicios de almacenamiento multirregional gestionados para los datos.
  • Haz capturas de los datos de los discos persistentes y almacénalas en ubicaciones multirregionales.
  • Cuando uses recursos regionales o zonales, configura la replicación de datos en otras regiones.
  • Valida que tus planes de recuperación ante desastres sean eficaces probándolos con regularidad.
  • Ten en cuenta el tiempo de recuperación (RTO) y el punto de recuperación (RPO), así como su correlación con la tolerancia al impacto estipulada por las normativas financieras de tu jurisdicción.

Para obtener más información, consulta el artículo Diseñar la recuperación ante desastres en caso de interrupciones de la infraestructura en la nube.

Aprovechar los servicios gestionados

Siempre que sea posible, usa servicios gestionados para aprovechar las funciones integradas de copias de seguridad, alta disponibilidad y escalabilidad. Ten en cuenta las siguientes recomendaciones para usar servicios gestionados:

  • Usa servicios gestionados en Google Cloud. Ofrecen alta disponibilidad respaldada por acuerdos de nivel de servicio. También ofrecen mecanismos de copia de seguridad y funciones de resiliencia integrados.
  • Para gestionar los datos, puedes usar servicios como Cloud SQL, Cloud Storage y Spanner.
  • Para el alojamiento de aplicaciones y recursos de computación, puedes usar grupos de instancias gestionados (MIGs) de Compute Engine y clústeres de Google Kubernetes Engine (GKE). Los grupos regionales de instancias gestionados y los clústeres regionales de GKE son resistentes a las interrupciones de las zonas.
  • Para mejorar la resiliencia ante interrupciones en una región, usa servicios multirregionales gestionados.
  • Identifica la necesidad de planes de salida para los servicios que tengan características únicas y define los planes necesarios. Los organismos reguladores financieros, como la FCA, la PRA y la EBA, exigen que las empresas tengan estrategias y planes de contingencia para la recuperación de datos y la continuidad operativa si finaliza la relación con un proveedor de servicios en la nube. Las empresas deben evaluar la viabilidad de la salida antes de firmar contratos de nube y deben mantener la capacidad de cambiar de proveedor sin que se produzcan interrupciones operativas.
  • Comprueba que los servicios que elijas admitan la exportación de datos a un formato abierto, como CSV, Parquet y Avro. Verifica si los servicios se basan en tecnologías abiertas, como la compatibilidad de GKE con el formato de Open Container Initiative (OCI) o Cloud Composer, que se basa en Apache Airflow.

Automatizar los procesos de aprovisionamiento y recuperación de la infraestructura

La automatización ayuda a minimizar los errores humanos y a reducir el tiempo y los recursos necesarios para responder a los incidentes. El uso de la automatización puede ayudar a garantizar una recuperación más rápida de los fallos y resultados más coherentes. Ten en cuenta las siguientes recomendaciones para automatizar la forma en que aprovisionas y recuperas recursos:

  • Minimiza los errores humanos usando herramientas de infraestructura como código (IaC) como Terraform.
  • Reduce la intervención manual automatizando los procesos de conmutación por error. Las respuestas automáticas también pueden ayudar a reducir el impacto de los fallos. Por ejemplo, puedes usar Eventarc u Workflows para activar automáticamente acciones correctivas en respuesta a los problemas observados en los registros de auditoría.
  • Aumenta la capacidad de tus recursos en la nube durante la conmutación por error mediante el escalado automático.
  • Aplica automáticamente políticas y barreras de protección para cumplir los requisitos normativos en toda tu topología de nube durante el despliegue de servicios adoptando la ingeniería de plataformas.

Perspectiva de las IFIs: optimización de costes

Este documento del Google Cloud marco de trabajo Well-Architected: perspectiva del sector de servicios financieros proporciona una descripción general de los principios y las recomendaciones para optimizar el coste de las cargas de trabajo del sector de servicios financieros en Google Cloud. Las recomendaciones de este documento se ajustan al pilar de optimización de costes del marco de trabajo Well-Architected.

Para optimizar los costes de las cargas de trabajo de servicios financieros, se necesitan los siguientes elementos fundamentales:

  • La capacidad de identificar el uso de recursos que no aporta valor frente al que sí.
  • Una cultura de responsabilidad financiera integrada.

Para optimizar los costes, debes conocer a fondo los factores que influyen en ellos y las necesidades de recursos de tu organización. En algunas organizaciones grandes, sobre todo en las que están en las primeras fases de la transición a la nube, suele haber un solo equipo responsable de optimizar el gasto en un gran número de dominios. Este enfoque parte de la premisa de que un equipo central es el más adecuado para identificar oportunidades de alto valor para mejorar la eficiencia.

El enfoque centralizado puede dar buenos resultados durante las fases iniciales de la adopción de la nube o en cargas de trabajo no críticas. Sin embargo, un solo equipo no puede optimizar los costes de toda una organización. Cuando aumenta el uso de recursos o el nivel de supervisión normativa, el enfoque centralizado no es sostenible. Los equipos centralizados se enfrentan a problemas de escalabilidad, sobre todo cuando gestionan un gran número de productos y servicios financieros. Los equipos de proyecto que son propietarios de los productos y servicios pueden oponerse a los cambios que realice un equipo externo.

Para optimizar los costes de forma eficaz, los datos relacionados con el gasto deben ser muy visibles, y los ingenieros y otros usuarios de la nube que estén cerca de las cargas de trabajo deben estar motivados para tomar medidas que optimicen los costes. Desde el punto de vista de la organización, el reto de la optimización de costes consiste en identificar qué áreas se deben optimizar, identificar a los ingenieros responsables de esas áreas y, a continuación, convencerlos de que tomen las medidas de optimización necesarias. En este documento se ofrecen recomendaciones para afrontar este reto.

Las recomendaciones de optimización de costes de este documento se corresponden con los siguientes principios básicos:

Identificar los residuos con Google Cloud herramientas

Google Cloud ofrece varios productos, herramientas y funciones para ayudarte a identificar el desperdicio. Ten en cuenta las siguientes recomendaciones.

Usar la automatización y la IA para identificar sistemáticamente qué optimizar

Active Assist proporciona recomendaciones inteligentes en servicios que son fundamentales para las instituciones financieras, como Cloud Run para microservicios, BigQuery para analíticas de datos, Compute Engine para aplicaciones principales y Cloud SQL para bases de datos relacionales. Las recomendaciones de Active Assist se ofrecen sin coste adicional y sin que tengas que hacer ninguna configuración. Las recomendaciones te ayudan a identificar recursos inactivos y compromisos infrautilizados.

Centraliza la monitorización y el control de FinOps a través de una interfaz unificada

Los informes de facturación de Cloud y el centro de FinOps te permiten implementar una monitorización de costes completa. Esta vista completa es fundamental para que los auditores financieros y los equipos de finanzas internos puedan monitorizar el gasto en la nube, evaluar la situación financiera, evaluar el nivel de madurez de FinOps en las distintas unidades de negocio o centros de costes y ofrecer una perspectiva financiera coherente.

Identificar el valor analizando y enriqueciendo los datos de gasto

Active Assist es eficaz a la hora de identificar el desperdicio evidente. Sin embargo, identificar el valor puede ser más difícil, sobre todo cuando las cargas de trabajo se encuentran en productos inadecuados o cuando no están claramente alineadas con el valor empresarial. En el caso de las cargas de trabajo de las IFIs, el valor empresarial va más allá de la reducción de costes. El valor incluye la mitigación de riesgos, el cumplimiento de las normativas y la obtención de ventajas competitivas.

Para entender el gasto y el valor de la nube de forma integral, debes tener una visión completa a varios niveles: de dónde procede el gasto, qué función empresarial impulsa y la viabilidad técnica de refactorizar u optimizar la carga de trabajo en cuestión.

En el siguiente diagrama se muestra cómo puedes aplicar la pirámide de datos, información, conocimiento y sabiduría (DIKW) y las Google Cloud herramientas para obtener una visión integral de los costes y el valor de la nube.

La pirámide de datos, información, conocimiento y sabiduría (DIKW) muestra cómo usar los datos de gasto en la nube para tomar decisiones.

En el diagrama anterior se muestra cómo puedes usar el enfoque DIKW para convertir los datos brutos de gasto en la nube en estadísticas útiles y decisiones que aporten valor a la empresa.

  • Datos: en esta capa, se recogen flujos de datos de uso y costes sin procesar de los recursos en la nube. Tu equipo central de FinOps usa herramientas como las facturas de Facturación de Cloud, las exportaciones de facturación y Cloud Monitoring para obtener datos detallados y específicos. Por ejemplo, un punto de datos podría ser que una máquina virtual llamada app1-test-vmA se ejecutó durante 730 horas en la región us-central1 y costó 70 USD.
  • Información: en esta capa, tu equipo central de FinOps usa herramientas como los informes de facturación de Cloud y el centro de FinOps para estructurar los datos brutos y responder a preguntas como "¿En qué categorías de recursos gastan dinero los usuarios?". Por ejemplo, puede que descubras que se han gastado 1050 USD en total en máquinas virtuales del tipo de máquina n4-standard-2 en dos regiones de EE. UU.
  • Conocimientos: en esta capa, tu equipo central de Operaciones Financieras enriquece la información con el contexto empresarial adecuado sobre quién ha gastado dinero y con qué finalidad. Utilizas mecanismos como el etiquetado, el etiquetado, la jerarquía de recursos, las cuentas de facturación y los paneles de Looker personalizados. Por ejemplo, puede determinar que el app1equipo de pruebas de EE. UU. gastó 650 USD durante la segunda semana de julio como parte de una prueba de estrés.
  • Conocimiento: en esta capa, tus equipos de productos y aplicaciones usan el conocimiento contextualizado para evaluar el valor empresarial de la inversión en la nube y tomar decisiones estratégicas fundamentadas. Tus equipos pueden responder a preguntas como las siguientes:
    • ¿Los 5000 USD que se invirtieron en una canalización de analíticas de datos están generando valor empresarial?
    • ¿Podríamos rediseñar la canalización para que sea más eficiente sin reducir el rendimiento?

Ten en cuenta las siguientes recomendaciones para analizar los datos de gasto en la nube.

Analizar los datos de gasto proporcionados por Google Cloud

Empieza con los datos detallados de Cloud Billing que se exportan a BigQuery y los datos que están disponibles en los registros de Monitoring. Para obtener información valiosa y tomar decisiones, debe estructurar estos datos y enriquecerlos con el contexto empresarial.

Visualizar datos con las herramientas disponibles

Amplía los Google Cloud paneles de control integrados con informes personalizados mediante herramientas como Looker Studio con las exportaciones de BigQuery. Los equipos de Finanzas pueden crear paneles de control personalizados que contextualicen el gasto en la nube en función de las métricas financieras, los requisitos de los informes normativos y la rentabilidad de la unidad de negocio. De esta forma, pueden ofrecer una visión financiera clara para que los directivos puedan analizar la situación y tomar decisiones.

Asigna gastos para fomentar la responsabilidad

Una vez que sepas qué está impulsando el gasto en la nube, debes identificar quién está gastando dinero y por qué. Para alcanzar este nivel de comprensión, es necesario aplicar un método de asignación de costes sólido, que consiste en asociar metadatos relevantes para la empresa a los recursos en la nube. Por ejemplo, si el equipo de desarrollo de aplicaciones bancarias usa un recurso concreto, puedes adjuntar una etiqueta como team=banking_appdev al recurso para hacer un seguimiento del coste que supone para el equipo. Lo ideal es que asignes el 100% de los costes de la nube a la fuente del gasto. En la práctica, puede que empiece con un objetivo más bajo, ya que crear una estructura de metadatos que admita una asignación de costes del 100% es una tarea compleja.

Para desarrollar una estrategia de metadatos que te ayude a asignar costes, ten en cuenta las siguientes recomendaciones:

  • Validez: asegúrate de que las etiquetas ayuden a identificar los indicadores clave del rendimiento (KPIs) relacionados con la empresa y los requisitos normativos. Esta asociación es fundamental para las refacturaciones internas, los informes normativos y la alineación del gasto en la nube con los objetivos de las unidades de negocio. Por ejemplo, las siguientes etiquetas identifican claramente un equipo de gasto, su región y el producto en el que trabaja: team=banking_appdev, region=emea y product=frontend.
  • Automatización: para conseguir un alto nivel de cumplimiento del etiquetado, aplícalo mediante la automatización. El etiquetado manual es propenso a errores e incoherencias, lo que resulta inaceptable en entornos de servicios financieros, seguros e inversiones, donde la auditabilidad y la precisión financiera son fundamentales. El etiquetado automático asegura que los recursos se categoricen correctamente cuando se creen.
  • Sencillez: mide factores sencillos y no correlacionados. Los entornos de las instituciones financieras son complejos. Para que las reglas de asignación de costes en este entorno sean fáciles de entender y aplicar, deben ser lo más sencillas posible. No compliques demasiado las reglas para casos muy específicos (extremos). Las reglas complejas pueden generar confusión y resistencia por parte de los equipos operativos.

Una vez que hayas definido una estrategia de asignación mediante etiquetas, debes decidir el nivel de granularidad con el que se debe implementar la estrategia. La granularidad necesaria depende de las necesidades de tu empresa. Por ejemplo, algunas organizaciones pueden necesitar hacer un seguimiento de los costes a nivel de producto, otras pueden necesitar datos de costes de cada centro de costes y otras pueden necesitar datos de costes por entorno (desarrollo, preproducción y producción).

Para conseguir el nivel de granularidad de asignación de costes adecuado para tu organización, puedes adoptar los siguientes enfoques:

  • Usa la jerarquía de proyectos de Google Cloud como punto de partida natural para la asignación de costes. Los proyectos representan puntos de implementación de políticas en Google Cloud. De forma predeterminada, los permisos de gestión de identidades y accesos, las políticas de seguridad y los costes se atribuyen a proyectos y carpetas. Cuando revisas los datos de costes exportados de Facturación de Cloud, puedes ver la jerarquía de carpetas y los proyectos asociados a esos datos. Si laGoogle Cloud jerarquía de recursos refleja la estructura de rendición de cuentas de tu organización en cuanto a los gastos, esta es la forma más sencilla de implementar la asignación de costes.
  • Usa etiquetas y nombres para obtener más detalles. Ofrecen formas flexibles de categorizar los recursos en las exportaciones de facturación. Las etiquetas permiten desglosar los costes por aplicación y entorno.

A menudo, es posible que tengas que usar la jerarquía de proyectos junto con el etiquetado para asignar los costes de forma eficaz. Independientemente del enfoque de asignación de costes que elijas, sigue las recomendaciones que se han descrito anteriormente para desarrollar una estrategia de metadatos sólida: validación, automatización y simplicidad.

Fomentar la responsabilidad y motivar a los ingenieros para que tomen medidas

El equipo de Cloud FinOps es responsable de que una organización sea consciente de los costes y del valor. Los equipos de producto y de ingeniería deben tomar las medidas necesarias para optimizar los costes. Estos equipos también son responsables del comportamiento de los costes de las cargas de trabajo de servicios financieros y de asegurarse de que sus cargas de trabajo proporcionen el valor empresarial necesario.

Ten en cuenta las siguientes recomendaciones para fomentar la responsabilidad y motivar a los equipos a optimizar los costes.

Crea un equipo de FinOps centralizado para la gobernanza

Las prácticas de Cloud FinOps no crecen de forma orgánica. Un equipo de FinOps específico debe definir y establecer prácticas de FinOps haciendo lo siguiente:

  • Desarrollar los procesos, las herramientas y las directrices necesarios.
  • Crea, comunica y aplica las políticas necesarias, como el etiquetado obligatorio, las revisiones de presupuesto y los procesos de optimización.
  • Anima a los equipos de ingeniería a responsabilizarse de los costes.
  • Intervenir cuando los equipos de ingeniería no asuman la responsabilidad de los costes.

Obtener el patrocinio y los mandatos de los directivos

Los directivos, incluidos el director de tecnología, el director financiero y el director de información, deben promover activamente un cambio en toda la organización hacia una cultura de FinOps. Su apoyo es fundamental para priorizar la responsabilidad de los costes, asignar recursos al programa de FinOps, asegurar la participación multifuncional y cumplir los requisitos de FinOps.

Incentivar a los equipos para que optimicen los costes

Es posible que los ingenieros y los equipos de ingeniería no tengan la motivación suficiente para centrarse en la optimización de costes. Es importante alinear los objetivos de los equipos y de los empleados con la eficiencia de los costes implementando incentivos como los siguientes:

  • Reinvertir una parte de los ahorros derivados de la optimización de costes en los equipos que han logrado la optimización.
  • Reconoce públicamente y celebra los esfuerzos y los logros de optimización de costes.
  • Usa técnicas de gamificación para recompensar a los equipos que optimicen los costes de forma eficaz.
  • Integra las métricas de eficiencia en los objetivos de rendimiento.

Implementar técnicas de showback y chargeback

Asegúrate de que los equipos tengan una visibilidad clara de los recursos y los costes de la nube que les pertenecen. Asigna la responsabilidad financiera a las personas adecuadas de los equipos. Utiliza mecanismos formales para aplicar un etiquetado riguroso e implementar reglas transparentes para asignar los costes compartidos.

Céntrate en el valor y el coste total de propiedad en lugar de en el coste

Cuando evalúes soluciones en la nube, ten en cuenta el coste total de propiedad (CTP) a largo plazo. Por ejemplo, alojar una base de datos por tu cuenta para una aplicación puede parecer más barato que usar un servicio de base de datos gestionado como Cloud SQL. Sin embargo, para evaluar el valor a largo plazo y el coste total de propiedad, debe tener en cuenta los costes ocultos asociados a las bases de datos autohospedadas. Estos costes incluyen el esfuerzo de ingeniería dedicado a aplicar parches, escalar, reforzar la seguridad y recuperarse tras un desastre, que son requisitos fundamentales para las cargas de trabajo de las instituciones financieras. Los servicios gestionados ofrecen un valor a largo plazo significativamente mayor, lo que compensa los costes de infraestructura. Los servicios gestionados ofrecen sólidas funciones de cumplimiento, tienen funciones de fiabilidad integradas y pueden ayudarte a reducir la sobrecarga operativa.

Ten en cuenta las siguientes recomendaciones para centrarte en el valor y el coste total de propiedad.

Usar técnicas y herramientas específicas de los productos para optimizar los recursos

Aprovecha las herramientas y funciones de optimización de costes que ofrecen los productos de Google Cloud, como las siguientes:

Aprovecha los descuentos

Asegúrate de que la tarifa de facturación de tus recursos de nube sea lo más baja posible usando los descuentos que ofrece Google. Normalmente, los equipos de producto e ingeniería se encargan de optimizar los recursos. El equipo central de FinOps es el responsable de optimizar las tarifas de facturación, ya que tiene visibilidad de los requisitos de recursos de toda la organización. Por lo tanto, pueden agregar los requisitos y maximizar los descuentos por compromiso.

Puedes aprovechar los siguientes tipos de descuentos para recursos deGoogle Cloud :

  • Los descuentos para empresas son descuentos negociados que se basan en el compromiso de tu organización de alcanzar un gasto total mínimo en Google Cloud a un tipo de facturación reducido.
  • Los CUDs basados en recursos se ofrecen a cambio de un compromiso de usar una cantidad mínima de recursos de Compute Engine durante un periodo de uno o tres años. Los descuentos por compromiso de uso basados en recursos se aplican a los recursos que se encuentran en un proyecto y una región específicos. Para compartir los DUCs entre varios proyectos, puedes habilitar la opción de compartir descuentos.
  • Las CUDs basadas en el gasto se ofrecen a cambio de un compromiso de gastar un importe mínimo en un producto concreto durante un periodo de uno o tres años. Los descuentos basados en el gasto se aplican a nivel de cuenta de facturación. Los descuentos se aplican a nivel regional o global, en función del producto.

Puedes conseguir un ahorro considerable si usas los CUDs junto con los descuentos para empresas.

Además de los DUCs, puedes usar los siguientes métodos para reducir las tarifas de facturación:

  • Usa máquinas virtuales de acceso puntual para cargas de trabajo flexibles y tolerantes a fallos. Las máquinas virtuales de acceso puntual son más de un 80% más baratas que las máquinas virtuales normales.
  • BigQuery ofrece varios modelos de precios, entre los que se incluyen los precios bajo demanda y los precios basados en ediciones, que se basan en los compromisos y los requisitos de autoescalado. Si usas un volumen significativo de recursos de BigQuery, elige una edición adecuada para reducir el coste por ranura de las cargas de trabajo de analíticas.
  • Evalúa detenidamente las Google Cloud regiones disponibles para los servicios que necesites usar. Elige regiones que se ajusten a tus objetivos de costes y a factores como la latencia y los requisitos de cumplimiento. Para entender las ventajas y desventajas de los costes, la sostenibilidad y la latencia, usa la Google Cloud herramienta para seleccionar la región.

Perspectiva de las instituciones financieras: optimización del rendimiento

Este documento del Google Cloud framework Well-Architected: perspectiva del sector de servicios financieros proporciona una descripción general de los principios y las recomendaciones para optimizar el rendimiento de tus cargas de trabajo del sector de servicios financieros en Google Cloud. Las recomendaciones de este documento se ajustan al pilar de optimización del rendimiento del marco de trabajo Well-Architected.

La optimización del rendimiento tiene una larga trayectoria en el sector de los servicios financieros. Ha ayudado a las organizaciones de servicios financieros a superar los retos técnicos y casi siempre ha sido un factor que ha facilitado o acelerado la creación de nuevos modelos de negocio. Por ejemplo, los cajeros automáticos (introducidos en 1967) automatizaron el proceso de dispensación de efectivo y ayudaron a los bancos a reducir el coste de su actividad principal. Las técnicas como la omisión del kernel del SO y la fijación de los hilos de las aplicaciones a los núcleos de computación ayudaron a conseguir una latencia baja y determinista para las aplicaciones de trading. La reducción de la latencia facilitó una liquidez mayor y más firme con diferenciales más ajustados en los mercados financieros.

La nube ofrece nuevas oportunidades para optimizar el rendimiento. También cuestiona algunos de los patrones de optimización aceptados históricamente. En concreto, las siguientes compensaciones son más transparentes y controlables en la nube:

  • Tiempo de lanzamiento frente a coste.
  • Rendimiento integral a nivel del sistema frente al rendimiento a nivel del nodo.
  • Disponibilidad de talento frente a la agilidad de la toma de decisiones relacionadas con la tecnología.

Por ejemplo, adaptar el hardware y los recursos de TI a los requisitos de habilidades específicos es una tarea trivial en la nube. Para admitir la programación de GPU, puedes crear fácilmente VMs basadas en GPU. Puedes escalar la capacidad en la nube para adaptarte a los picos de demanda sin aprovisionar recursos en exceso. Esta función ayuda a asegurar que tus cargas de trabajo puedan gestionar picos de carga, como los días de nóminas no agrícolas y cuando los volúmenes de operaciones sean significativamente mayores que los niveles históricos. En lugar de invertir en escribir código altamente optimizado a nivel de servidores individuales (como código muy optimizado en el lenguaje C) o escribir código para entornos de computación de alto rendimiento (HPC) convencionales, puedes escalar de forma óptima mediante un sistema distribuido basado en Kubernetes bien diseñado.

Las recomendaciones de optimización del rendimiento de este documento se basan en los siguientes principios fundamentales:

Alinear las métricas de rendimiento de la tecnología con los indicadores empresariales clave

Puede asignar la optimización del rendimiento a los resultados de valor empresarial de varias formas. Por ejemplo, en una mesa de investigación de compradores, un objetivo empresarial podría ser optimizar la producción por hora de investigación o dar prioridad a los experimentos de los equipos que tengan un historial probado, como ratios de Sharpe más altos. En el lado de las ventas, puede usar las analíticas para monitorizar el interés de los clientes y, en consecuencia, priorizar el rendimiento de los modelos de IA que admiten las investigaciones más interesantes.

También es importante vincular los objetivos de rendimiento con los indicadores clave de rendimiento de la empresa para financiar las mejoras de rendimiento. Las iniciativas de innovación y transformación empresarial (a veces denominadas cambio de banco) tienen presupuestos diferentes y pueden tener distintos grados de acceso a los recursos en comparación con las operaciones habituales o de gestión del banco. Por ejemplo, Google Cloud ayudó a los equipos de gestión de riesgos y tecnología de una entidad financiera sistémica de importancia mundial a colaborar con los analistas cuantitativos de la oficina principal en una solución para realizar cálculos de analíticas de riesgos (como XVA) en minutos en lugar de horas o días. Esta solución ayudó a la organización a cumplir los requisitos pertinentes. También permitió a los traders mantener conversaciones de mayor calidad con sus clientes, lo que les ofreció spreads más ajustados, una liquidez más firme y una cobertura más rentable.

Cuando alinee sus métricas de rendimiento con los indicadores empresariales, tenga en cuenta las siguientes recomendaciones:

  • Conecta cada iniciativa tecnológica con los objetivos y resultados clave (OKRs) de la empresa que correspondan, como aumentar los ingresos o los beneficios, reducir los costes y mitigar los riesgos de forma más eficiente o integral.
  • Centrarse en optimizar el rendimiento a nivel del sistema. Ve más allá de la separación convencional entre la transformación y la gestión de la banca, así como de los silos entre la oficina y la retaguardia.

Prioriza la seguridad sin sacrificar el rendimiento por riesgos no probados

La seguridad y el cumplimiento de las normativas en las organizaciones de servicios financieros deben ser de un nivel alto. Mantener un nivel alto es fundamental para no perder clientes y evitar daños irreparables en la marca de una organización. A menudo, el mayor valor se obtiene a través de innovaciones tecnológicas como la IA generativa y servicios gestionados únicos como Spanner. No descartes automáticamente estas opciones tecnológicas debido a una idea errónea generalizada sobre el riesgo operativo prohibitivo o una postura de cumplimiento normativo inadecuada.

Google Cloud ha colaborado estrechamente con las entidades financieras sistémicas de importancia mundial (EFSI-M) para asegurarse de que se pueda usar un enfoque basado en la IA para luchar contra el blanqueo de dinero en las jurisdicciones en las que las instituciones prestan servicios a los clientes. Por ejemplo, HSBC mejoró significativamente el rendimiento de su unidad de delitos financieros (Fincrime) con los siguientes resultados:

  • Entre dos y cuatro veces más actividad sospechosa confirmada.
  • Reducción de los costes operativos gracias a la eliminación de más del 60% de los falsos positivos y a la dedicación del tiempo de investigación solo a las alertas de alto riesgo que requieren acciones.
  • Resultados auditables y explicables para respaldar el cumplimiento normativo.

Ten en cuenta las siguientes recomendaciones:

  • Confirma que los productos que tienes intención de usar pueden ayudarte a cumplir los requisitos de seguridad, resiliencia y cumplimiento de las jurisdicciones en las que operas. Para lograr este objetivo, colabora con los equipos de cuentas, de riesgos y de producto. Google Cloud
  • Crea modelos más potentes y ofrece transparencia a los clientes aprovechando la explicabilidad de la IA (por ejemplo, la atribución de valor de Shapley). Las técnicas como la atribución de valor de Shapley pueden atribuir las decisiones del modelo a funciones concretas a nivel de entrada.

  • Consigue transparencia en las cargas de trabajo de IA generativa usando técnicas como las citas de fuentes, la fundamentación y la RAG.

  • Cuando la explicabilidad no sea suficiente, separa los pasos de toma de decisiones de tus flujos de valor y usa la IA para automatizar solo los pasos que no impliquen tomar decisiones. En algunos casos, la IA explicable puede no ser suficiente o un proceso puede requerir la intervención humana debido a problemas normativos (por ejemplo, el artículo 22 del RGPD). En estos casos, presenta toda la información que el agente humano necesita para tomar decisiones en un único panel de control, pero automatiza las tareas de recogida, ingestión, manipulación y resumen de datos.

Replantear tu arquitectura para adaptarte a nuevas oportunidades y requisitos

Mejorar tus arquitecturas actuales con funciones basadas en la nube puede aportarte un valor significativo. Para conseguir resultados más transformadores, debes replantearte periódicamente tu arquitectura con un enfoque cloud-first.

Tenga en cuenta las siguientes recomendaciones para replantearse periódicamente la arquitectura de sus cargas de trabajo y optimizar aún más el rendimiento.

Usar alternativas basadas en la nube a los sistemas y programadores de HPC on-premise

Para aprovechar una mayor elasticidad, una postura de seguridad mejorada y amplias funciones de monitorización y gobernanza, puedes ejecutar cargas de trabajo de HPC en la nube o transferir cargas de trabajo on-premise a la nube. Sin embargo, en algunos casos de uso de modelización numérica, como la simulación de estrategias de inversión o la modelización de XVA, combinar Kubernetes con Kueue puede ofrecer una solución más potente.

Cambiar a la programación basada en gráficos para simulaciones

Las simulaciones de Montecarlo pueden ser mucho más eficientes en un sistema de ejecución basado en gráficos, como Dataflow. Por ejemplo, HSBC usa Dataflow para realizar cálculos de riesgo 16 veces más rápido que con su método anterior.

Ejecutar bolsas y plataformas de trading basadas en la nube

Las conversaciones con clientes de Google Cloud revelan que el principio de Pareto del 80/20 se aplica a los requisitos de rendimiento de los mercados y las aplicaciones de trading.

  • Más del 80% de las aplicaciones de trading no necesitan una latencia extremadamente baja. Sin embargo, se benefician de las funciones de resiliencia, seguridad y elasticidad de la nube. Por ejemplo, BidFX, una plataforma de cambio de divisas con varios proveedores, usa la nube para lanzar nuevos productos rápidamente y aumentar significativamente su disponibilidad y su presencia sin aumentar los recursos.
  • Las aplicaciones restantes (menos del 20%) necesitan una latencia baja (menos de un milisegundo), determinismo y equidad en la entrega de mensajes. Tradicionalmente, estos sistemas se ejecutan en instalaciones de colocación rígidas y costosas. Cada vez más, incluso esta categoría de aplicaciones se está replataformando en la nube, ya sea en el perímetro o como aplicaciones cloud-first.

Prepara tu tecnología para el futuro y satisface las necesidades empresariales actuales y futuras

Históricamente, muchas organizaciones de servicios financieros han desarrollado tecnologías propias para obtener una ventaja competitiva. Por ejemplo, a principios de los 2000, los bancos de inversión y las empresas de trading de éxito tenían sus propias implementaciones de tecnologías fundamentales, como los sistemas de publicación-suscripción y los intermediarios de mensajes. Con la evolución de las tecnologías de código abierto y la nube, estas tecnologías se han convertido en productos básicos y no ofrecen un valor empresarial incremental.

Ten en cuenta las siguientes recomendaciones para que tu tecnología esté preparada para el futuro.

Adopta un enfoque de datos como servicio (DaaS) para reducir el tiempo de lanzamiento y aumentar la transparencia de los costes

Las entidades financieras suelen evolucionar mediante una combinación de crecimiento orgánico y fusiones y adquisiciones. Por lo tanto, las organizaciones deben integrar tecnologías dispares. También deben gestionar los recursos duplicados, como los proveedores de datos, las licencias de datos y los puntos de integración. Google Cloud ofrece oportunidades para crear valor diferenciado en las integraciones posteriores a la fusión.

Por ejemplo, puedes usar servicios como Compartir de BigQuery para crear una plataforma de datos como servicio (DaaS) lista para el análisis. La plataforma puede proporcionar datos de mercado e información de fuentes alternativas. Este enfoque elimina la necesidad de crear canalizaciones de datos redundantes y te permite centrarte en iniciativas más valiosas. Además, las empresas fusionadas o adquiridas pueden racionalizar de forma rápida y eficiente sus necesidades de licencias de datos e infraestructura tras la fusión. En lugar de dedicar tiempo a adaptar y combinar los datos y las operaciones antiguos, la empresa combinada puede centrarse en nuevas oportunidades de negocio.

Crea una capa de abstracción para aislar los sistemas actuales y abordar los modelos de negocio emergentes

Cada vez más, la ventaja competitiva de los bancos no es el sistema bancario principal, sino la capa de experiencia de cliente. Sin embargo, los sistemas bancarios antiguos suelen usar aplicaciones monolíticas que se desarrollaron en lenguajes como Cobol y que están integradas en toda la cadena de valor bancaria. Esta integración dificultaba la separación de las capas de la cadena de valor, por lo que era casi imposible actualizar y modernizar estos sistemas.

Una solución para afrontar este reto es usar una capa de aislamiento, como un sistema de gestión de APIs o una capa de staging como Spanner, que duplica el registro oficial y facilita la modernización de los servicios con analíticas avanzadas e IA. Por ejemplo, Deutsche Bank usó Spanner para aislar su sistema bancario central antiguo y empezar su proceso de innovación.