Well-Architected Framework: perspectiva del sector de servicios financieros (FSI)

Last reviewed 2025-07-28 UTC

En este documento del Google Cloud Well-Architected Framework, se describen principios y recomendaciones para ayudarte a diseñar, compilar y administrar aplicaciones de la industria de servicios financieros (FSI) en Google Cloud que cumplan con tus objetivos operativos, de seguridad, confiabilidad, costo y rendimiento.

El público objetivo de este documento incluye a quienes toman decisiones, arquitectos, administradores, desarrolladores y operadores que diseñan, compilan, implementan y mantienen cargas de trabajo de FSI en Google Cloud. Entre los ejemplos de organizaciones de FSI que podrían beneficiarse de esta guía, se incluyen bancos, participantes de la infraestructura de pagos, proveedores de seguros y operadores del mercado de capitales.

Las organizaciones de FSI tienen consideraciones específicas, en especial para la arquitectura y la resiliencia. Estas consideraciones se basan principalmente en los requisitos reglamentarios, de riesgo y de rendimiento. En este documento, se proporciona orientación de alto nivel basada en consideraciones de diseño que observamos en una amplia variedad de clientes de FSI a nivel mundial. Ya sea que tus cargas de trabajo estén completamente en la nube o que estén en transición a implementaciones híbridas o de múltiples nubes, la orientación de este documento te ayuda a diseñar cargas de trabajo en Google Cloud para cumplir con tus requisitos reglamentarios y diversas perspectivas de riesgo. Es posible que la orientación no aborde los desafíos únicos de cada organización. Proporciona una base que aborda muchos de los principales requisitos reglamentarios de las organizaciones de FSI.

Uno de los principales desafíos a la hora de diseñar cargas de trabajo en la nube es alinear las implementaciones en la nube con los entornos locales, en especial cuando se busca aplicar enfoques coherentes en cuanto a seguridad, confiabilidad y capacidad de recuperación. Los servicios de nube crean oportunidades para repensar fundamentalmente tu arquitectura y, así, reducir la sobrecarga de administración, optimizar los costos, mejorar la seguridad y aumentar la confiabilidad y la capacidad de recuperación.

En las siguientes páginas, se describen los principios y las recomendaciones específicos para las cargas de trabajo de FSI en cada pilar del marco de Well-Architected:

Colaboradores

Autores:

Otros colaboradores:

Perspectiva de FSI: Excelencia operativa

En este documento del Google Cloud Framework de Well-Architected: perspectiva de la industria de servicios financieros (FSI), se proporciona una descripción general de los principios y las recomendaciones para compilar, implementar y operar cargas de trabajo sólidas de la industria de servicios financieros (FSI) en Google Cloud. Estas recomendaciones te ayudan a configurar elementos fundamentales, como la observabilidad, la automatización y la escalabilidad. Las recomendaciones de este documento se alinean con el pilar de excelencia operativa del Framework de Well-Architected.

La excelencia operativa es fundamental para las cargas de trabajo de FSI en Google Cloud debido a la naturaleza altamente regulada y sensible de dichas cargas de trabajo. La excelencia operativa garantiza que las soluciones de nube puedan adaptarse a las necesidades cambiantes y cumplir con tus requisitos de valor, rendimiento, seguridad y confiabilidad. Los errores en estas áreas podrían generar pérdidas financieras significativas, sanciones regulatorias y daños a la reputación.

La excelencia operativa proporciona los siguientes beneficios para las cargas de trabajo de las FSI:

  • Mantener la confianza y la reputación: Las instituciones financieras dependen en gran medida de la confianza de sus clientes. Las interrupciones operativas o las vulneraciones de seguridad pueden erosionar gravemente esta confianza y provocar la pérdida de clientes. La excelencia operativa ayuda a minimizar estos riesgos.
  • Cumple con requisitos estrictos de cumplimiento normativo: El FSI está sujeto a numerosas y complejas reglamentaciones, como las siguientes:

    Los procesos operativos, la supervisión y la administración de incidentes sólidos son fundamentales para demostrar el cumplimiento de las reglamentaciones y evitar sanciones.

  • Garantizar la continuidad y la resiliencia de la empresa: Los mercados y servicios financieros suelen operar de forma continua. Por lo tanto, la alta disponibilidad y la recuperación ante desastres eficaz son fundamentales. Los principios de excelencia operativa guían el diseño y la implementación de sistemas resilientes. El pilar de confiabilidad proporciona más orientación en esta área.

  • Protección de datos sensibles: Las instituciones financieras manejan grandes cantidades de datos financieros y de clientes altamente sensibles. Los controles operativos sólidos, la supervisión de la seguridad y la respuesta rápida ante incidentes son fundamentales para evitar las filtraciones de datos y mantener la privacidad. El pilar de seguridad proporciona más orientación en esta área.

  • Optimiza el rendimiento para las aplicaciones críticas: Muchas aplicaciones financieras, como las plataformas de trading y las estadísticas en tiempo real, exigen un alto rendimiento y una latencia baja. Para cumplir con estos requisitos de rendimiento, necesitas un diseño de procesamiento, redes y almacenamiento altamente optimizado. El pilar de optimización del rendimiento proporciona más orientación en esta área.

  • Administra los costos de manera eficaz: Además de la seguridad y la confiabilidad, las instituciones financieras también se preocupan por la eficiencia de los costos. La excelencia operativa incluye prácticas para optimizar el uso de recursos y administrar el gasto en la nube. El pilar de optimización de costos proporciona más orientación en esta área.

Las recomendaciones de excelencia operativa de este documento se correlacionan con los siguientes principios fundamentales:

Define los ANS y los SLO y SLI correspondientes

En muchas organizaciones de FSI, la disponibilidad de las aplicaciones suele clasificarse según las métricas del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO). Para las aplicaciones críticas para el negocio que atienden a clientes externos, también se puede definir un acuerdo de nivel de servicio (ANS).

Los ANS necesitan un marco de trabajo de métricas que represente el comportamiento del sistema desde la perspectiva de la satisfacción del usuario. Las prácticas de la ingeniería de confiabilidad de sitios (SRE) ofrecen una forma de alcanzar el nivel de confiabilidad del sistema que deseas. Crear un marco de métricas implica definir y supervisar indicadores numéricos clave para comprender el estado del sistema desde la perspectiva del usuario. Por ejemplo, las métricas como la latencia y las tasas de errores cuantifican el rendimiento de un servicio. Estas métricas se denominan indicadores de nivel de servicio (SLI). Desarrollar SLI eficaces es fundamental, ya que proporcionan los datos sin procesar necesarios para evaluar la confiabilidad de forma objetiva.

Para definir ANS, SLI y SLO significativos, ten en cuenta las siguientes recomendaciones:

  • Desarrolla y define SLIs para cada servicio crítico. Establece valores objetivo que definan los niveles de rendimiento aceptables.
  • Desarrolla y define los objetivos de nivel de servicio (SLO) que corresponden a los SLI. Por ejemplo, un SLO puede indicar que el 99.9% de las solicitudes deben tener una latencia inferior a 200 milisegundos.
  • Identifica las acciones correctivas internas que se deben tomar si un servicio no cumple con los SLO. Por ejemplo, para mejorar la resiliencia de la plataforma, es posible que debas enfocar los recursos de desarrollo en solucionar problemas.
  • Valida el requisito del ANS para cada servicio y reconoce el ANS como el contrato formal con los usuarios del servicio.

Ejemplos de niveles de servicio

En la siguiente tabla, se proporcionan ejemplos de SLI, SLO y ANS para una plataforma de pagos:

Métrica comercial SLI SLO ANS
Se realizó correctamente la transacción de pago

Es una medida cuantitativa del porcentaje de todas las transacciones de pago iniciadas que se procesan y confirman correctamente.

Ejemplo: (Cantidad de transacciones exitosas / Cantidad total de transacciones válidas) × 100, medido en un período continuo de 5 minutos.

Es un objetivo interno para mantener un alto porcentaje de transacciones de pago exitosas durante un período específico.

Ejemplo: Mantener un porcentaje de éxito del 99.98% en las transacciones de pago durante un período progresivo de 30 días, sin incluir las solicitudes no válidas ni el mantenimiento planificado.

Una garantía contractual para la tasa de éxito y la velocidad del procesamiento de transacciones de pago

Ejemplo: El proveedor de servicios garantiza que el 99.0% de las transacciones de pago iniciadas por el cliente se procesarán y confirmarán correctamente en un segundo.

Latencia del procesamiento de pagos

Es el tiempo promedio que tarda en procesarse una transacción de pago desde que el cliente la inicia hasta que se confirma.

Ejemplo: Tiempo de respuesta promedio en milisegundos para la confirmación de la transacción, medido en una ventana progresiva de 5 minutos.

Es un objetivo interno para la velocidad a la que se procesan las transacciones de pago.

Ejemplo: Asegúrate de que el 99.5% de las transacciones de pago se procesen en un plazo de 400 milisegundos durante un período progresivo de 30 días.

Compromiso contractual para resolver problemas críticos de procesamiento de pagos en un plazo específico.

Ejemplo: En el caso de problemas críticos con el procesamiento de pagos (definidos como una interrupción que afecta a más del 1% de las transacciones), el proveedor de servicios se compromete a resolver el problema en un plazo de dos horas a partir del momento en que se informa o detecta el problema.

Disponibilidad de la plataforma

Es el porcentaje de tiempo en el que la API principal de procesamiento de pagos y la interfaz de usuario están operativas y son accesibles para los clientes.

Ejemplo: (tiempo operativo total − tiempo de inactividad) ÷ tiempo operativo total × 100, medido por minuto.

Es un objetivo interno para el tiempo de actividad de la plataforma de pagos principal.

Ejemplo: Logra una disponibilidad de la plataforma del 99.995% por mes calendario, sin incluir los períodos de mantenimiento programado.

Compromiso formal y jurídicamente vinculante con los clientes en relación con el tiempo de actividad mínimo de la plataforma de pagos, incluidas las consecuencias por incumplimiento.

Ejemplo: La plataforma mantendrá una disponibilidad mínima del 99.9% por mes calendario, sin incluir los períodos de mantenimiento programado. Si la disponibilidad cae por debajo del nivel mínimo, el cliente recibirá un crédito de servicio del 5% de la tarifa de servicio mensual por cada caída del 0.1%.

Usar los datos de los SLI para supervisar si los sistemas se encuentran dentro de los SLO definidos y garantizar que se cumplan los ANS Con un conjunto de SLI bien definidos, los ingenieros y desarrolladores pueden supervisar las aplicaciones de la FSI en los siguientes niveles:

  • Directamente dentro del servicio en el que se implementan las aplicaciones, como GKE o Cloud Run
  • Usando registros proporcionados por componentes de infraestructura, como el balanceador de cargas.

OpenTelemetry proporciona un estándar de código abierto y un conjunto de tecnologías para capturar todo tipo de telemetría, incluidas las métricas, los registros y los seguimientos. Google Cloud Managed Service para Prometheus proporciona un backend completamente administrado y altamente escalable para las métricas y el funcionamiento de Prometheus a gran escala.

Para obtener más información sobre los SLI, los SLO y los porcentajes de errores aceptables, consulta el manual de SRE.

Para desarrollar paneles y mecanismos de supervisión y alertas eficaces, usa las herramientas de Google Cloud Observability junto con Google Cloud Monitoring. Para obtener información sobre las capacidades de supervisión y detección específicas de la seguridad, consulta el pilar de seguridad.

Definir y probar los procesos de administración de incidentes

Los procesos de administración de incidentes bien definidos y probados con regularidad contribuyen directamente al valor, el rendimiento, la seguridad y la confiabilidad de las cargas de trabajo de FSI en Google Cloud. Estos procesos ayudan a las instituciones financieras a cumplir con sus estrictos requisitos reglamentarios, proteger los datos sensibles, mantener la continuidad del negocio y conservar la confianza de los clientes.

Las pruebas periódicas de los procesos de administración de incidentes brindan los siguientes beneficios:

  • Mantener el rendimiento en condiciones de carga máxima: Las pruebas periódicas de rendimiento y carga ayudan a las instituciones financieras a garantizar que sus aplicaciones e infraestructura basadas en la nube puedan manejar volúmenes máximos de transacciones, volatilidad del mercado y otras situaciones de alta demanda sin degradación del rendimiento. Esta capacidad es fundamental para mantener una experiencia del usuario sin inconvenientes y satisfacer las demandas de los mercados financieros.
  • Identifica posibles cuellos de botella y limitaciones: Las pruebas de estrés llevan los sistemas al límite y permiten que las instituciones financieras identifiquen posibles cuellos de botella y limitaciones de rendimiento antes de que afecten las operaciones críticas. Este enfoque proactivo permite a las instituciones financieras ajustar su infraestructura y sus aplicaciones para lograr un rendimiento y una escalabilidad óptimos.
  • Valida la confiabilidad y la resiliencia: Las pruebas periódicas, incluida la ingeniería del caos o las fallas simuladas, ayudan a validar la confiabilidad y la resiliencia de los sistemas financieros. Estas pruebas garantizan que los sistemas puedan recuperarse de las fallas sin problemas y mantener una alta disponibilidad, lo que es esencial para la continuidad empresarial.
  • Realiza una planificación de capacidad eficaz: Las pruebas de rendimiento proporcionan datos valiosos sobre el uso de recursos en diferentes condiciones de carga, lo que es fundamental para una planificación de capacidad precisa. Las instituciones financieras pueden usar estos datos para anticipar de forma proactiva las necesidades de capacidad futuras y evitar problemas de rendimiento debido a limitaciones de recursos.
  • Implementa correctamente funciones nuevas y cambios de código: La integración de pruebas automatizadas en las canalizaciones de CI/CD ayuda a garantizar que los cambios y las implementaciones nuevas se validen minuciosamente antes de que se lancen en los entornos de producción. Este enfoque reduce significativamente el riesgo de errores y regresiones que podrían provocar interrupciones operativas.
  • Cumplir con los requisitos reglamentarios para la estabilidad del sistema: Las reglamentaciones financieras suelen exigir que las instituciones tengan prácticas de prueba sólidas para garantizar la estabilidad y la confiabilidad de sus sistemas críticos. Las pruebas periódicas ayudan a demostrar el cumplimiento de estos requisitos.

Para definir y probar tus procesos de administración de incidentes, ten en cuenta las siguientes recomendaciones.

Establece procedimientos claros de respuesta ante incidentes

Un conjunto bien establecido de procedimientos de respuesta ante incidentes incluye los siguientes elementos:

  • Roles y responsabilidades definidos para los responsables de incidentes, los investigadores, los comunicadores y los expertos técnicos para garantizar una respuesta eficaz y coordinada
  • Protocolos de comunicación y rutas de escalamiento definidos para garantizar que la información se comparta de manera oportuna y eficaz durante los incidentes
  • Procedimientos documentados en un manual de operaciones o una guía que describe los pasos para la comunicación, la clasificación, la investigación y la resolución.
  • Capacitación y preparación periódicas que les brindan a los equipos el conocimiento y las habilidades para responder de manera eficaz

Implementa pruebas de rendimiento y carga con regularidad

Las pruebas de rendimiento y carga periódicas ayudan a garantizar que las aplicaciones y la infraestructura basadas en la nube puedan controlar las cargas máximas y mantener un rendimiento óptimo. Las pruebas de carga simulan patrones de tráfico realistas. Las pruebas de estrés llevan el sistema a sus límites para identificar posibles cuellos de botella y limitaciones de rendimiento. Puedes usar productos como Cloud Load Balancing y servicios de pruebas de carga para simular el tráfico del mundo real. Según los resultados de las pruebas, puedes ajustar tu infraestructura y aplicaciones en la nube para obtener un rendimiento y una escalabilidad óptimos. Por ejemplo, puedes ajustar la asignación de recursos o configurar las aplicaciones.

Automatiza las pruebas en las canalizaciones de CI/CD

Incorporar pruebas automatizadas en tus canalizaciones de CI/CD ayuda a garantizar la calidad y la confiabilidad de las aplicaciones en la nube, ya que valida los cambios antes de la implementación. Este enfoque reduce significativamente el riesgo de errores y regresiones, y te ayuda a crear un sistema de software más estable y sólido. Puedes incorporar diferentes tipos de pruebas en tus canalizaciones de CI/CD, incluidas las prueba de unidades, las pruebas de integración y las pruebas de extremo a extremo. Usa productos como Cloud Build y Cloud Deploy para crear y administrar tus canalizaciones de CI/CD.

Innova y mejora de forma continua

En el caso de las cargas de trabajo de servicios financieros en la nube, la migración a la nube es solo el paso inicial. La mejora y la innovación continuas son fundamentales por los siguientes motivos:

  • Acelera la innovación: Aprovecha las nuevas tecnologías, como la IA, para mejorar tus servicios.
  • Reducir costos: Elimina las ineficiencias y optimiza el uso de los recursos.
  • Mejora la agilidad: Adáptate rápidamente a los cambios del mercado y las reglamentaciones.
  • Mejora la toma de decisiones: Usa productos de análisis de datos, como BigQuery y Looker, para tomar decisiones fundamentadas.

Para garantizar la innovación y la mejora continua, considera las siguientes recomendaciones.

Realiza retrospectivas periódicas

Las retrospectivas son fundamentales para mejorar continuamente los procedimientos de respuesta ante incidentes y para optimizar las estrategias de prueba en función de los resultados de las pruebas de rendimiento y carga periódicas. Para garantizar que las retrospectivas sean eficaces, haz lo siguiente:

  • Brindarles a los equipos la oportunidad de reflexionar sobre sus experiencias, identificar qué funcionó bien y señalar las áreas de mejora
  • Realiza retrospectivas después de los hitos del proyecto, los incidentes graves o los ciclos de pruebas importantes. Los equipos pueden aprender de los éxitos y los fracasos, y refinar continuamente sus procesos y prácticas.
  • Usa un enfoque estructurado, como el modelo comenzar-detener-continuar, para garantizar que las sesiones de retrospectiva sean productivas y generen pasos prácticos.
  • Usa retrospectivas para identificar áreas en las que se puede mejorar aún más la automatización de la administración de cambios para aumentar la confiabilidad y reducir los riesgos.

Fomenta una cultura de aprendizaje

Una cultura de aprendizaje facilita la exploración segura de nuevas tecnologías enGoogle Cloud, como las capacidades de IA y AA para mejorar servicios como la detección de fraudes y el asesoramiento financiero personalizado. Para promover una cultura de aprendizaje, haz lo siguiente:

  • Incentiva a los equipos a experimentar, compartir conocimientos y aprender de forma continua.
  • Adopta una cultura sin culpabilización, en la que los errores se consideren oportunidades de crecimiento y mejora.
  • Crea un entorno psicológicamente seguro que permita a los equipos asumir riesgos y considerar soluciones innovadoras. Los equipos aprenden de los éxitos y los fracasos, lo que lleva a una organización más resiliente y adaptable.
  • Desarrolla una cultura que facilite el intercambio de conocimientos obtenidos a partir de los procesos de administración de incidentes y los ejercicios de prueba.

Mantente al día con las tecnologías de la nube

El aprendizaje continuo es fundamental para comprender e implementar nuevas medidas de seguridad, aprovechar el análisis de datos avanzado para obtener mejores estadísticas y adoptar soluciones innovadoras que sean relevantes para la industria financiera.

  • Maximiza el potencial de los servicios de Google Cloud manteniéndote al tanto de los avances, las funciones y las prácticas recomendadas más recientes.
  • Cuando se introduzcan nuevas Google Cloud funciones y servicios, identifica oportunidades para automatizar aún más los procesos, mejorar la seguridad y optimizar el rendimiento y la escalabilidad de tus aplicaciones.
  • Participa en conferencias, seminarios en línea y sesiones de capacitación pertinentes para ampliar tus conocimientos y comprender las nuevas capacidades.
  • Alentar a los miembros del equipo a obtener certificaciones para garantizar que la organización tenga las habilidades necesarias para tener éxito en la nubeGoogle Cloud

Perspectiva de las FSI: seguridad, privacidad y cumplimiento

En este documento del Google Cloud framework de Well-Architected: perspectiva de la industria de servicios financieros, se proporciona una descripción general de los principios y las recomendaciones para abordar los requisitos de seguridad, privacidad y cumplimiento de las cargas de trabajo de la industria de servicios financieros (FSI) en Google Cloud. Las recomendaciones te ayudan a crear una infraestructura resiliente y que cumpla con las normas, proteger los datos sensibles, mantener la confianza de los clientes, navegar por el complejo panorama de los requisitos reglamentarios y administrar de manera eficaz las ciberamenazas. Las recomendaciones de este documento se alinean con el pilar de seguridad del Framework de Well-Architected.

La seguridad en la computación en la nube es una preocupación fundamental para las organizaciones de FSI, que son muy atractivas para los ciberdelincuentes debido a las grandes cantidades de datos sensibles que administran, incluidos los detalles de los clientes y los registros financieros. Las consecuencias de una violación de la seguridad son extremadamente graves, ya que incluyen pérdidas financieras significativas, daños a la reputación a largo plazo y multas reglamentarias importantes. Por lo tanto, las cargas de trabajo de FSI necesitan controles de seguridad estrictos.

Para garantizar la seguridad y el cumplimiento integrales, debes comprender las responsabilidades compartidas entre tú (organizaciones de FSI) y Google Cloud. Google Cloud es responsable de proteger la infraestructura subyacente, incluida la seguridad física y la seguridad de la red. Eres responsable de proteger los datos y las aplicaciones, configurar el control de acceso, y configurar y administrar los servicios de seguridad. Para ayudarte en tus esfuerzos de seguridad, el Google Cloud ecosistema de socios ofrece integración de seguridad y servicios administrados.

Las recomendaciones de seguridad de este documento se correlacionan con los siguientes principios fundamentales:

Implementa la seguridad según el diseño

Las reglamentaciones financieras, como las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley Gramm-Leach-Bliley (GLBA) en Estados Unidos y varias leyes nacionales de protección de datos financieros, exigen que la seguridad se integre en los sistemas desde el principio. El principio de seguridad por diseño enfatiza la integración de la seguridad en todo el ciclo de vida del desarrollo para ayudar a garantizar que las vulnerabilidades se minimicen desde el principio.

Para aplicar el principio de seguridad por diseño a tus cargas de trabajo de FSI enGoogle Cloud, ten en cuenta las siguientes recomendaciones:

  • Asegúrate de que solo se otorguen los permisos necesarios aplicando el principio de privilegio mínimo a través del control de acceso basado en roles (RBAC) detallado en Identity and Access Management (IAM). El uso de RBAC es un requisito clave en muchas reglamentaciones financieras.
  • Aplica perímetros de seguridad alrededor de tus servicios y datos sensibles dentro de Google Cloud con los Controles del servicio de VPC. Los perímetros de seguridad ayudan a segmentar y proteger los datos y recursos sensibles, y a evitar el robo de datos y el acceso no autorizado, según lo exigen las reglamentaciones.
  • Define parámetros de configuración de seguridad como código con herramientas de infraestructura como código (IaC) como Terraform. Este enfoque incorpora controles de seguridad desde la fase de implementación inicial, lo que ayuda a garantizar la coherencia y la capacidad de auditoría.
  • Integra las pruebas de seguridad de aplicaciones estáticas (SAST) en la canalización de CI/CD con Cloud Build para analizar el código de tu aplicación. Establece controles de seguridad automatizados para evitar la implementación de código que no cumpla con los requisitos.
  • Proporciona una interfaz unificada para obtener estadísticas de seguridad con Security Command Center. El uso de Security Command Center permite la supervisión continua y la detección temprana de configuraciones incorrectas o amenazas que podrían provocar incumplimientos regulatorios. Para cumplir con los requisitos de estándares como ISO 27001 y NIST 800-53, puedes usar plantillas de administración de la postura.
  • Realiza un seguimiento de la reducción de las vulnerabilidades que se identifican en las implementaciones de producción y el porcentaje de implementaciones de IaC que cumplen con las prácticas recomendadas de seguridad. Puedes detectar y ver vulnerabilidades, así como información sobre el cumplimiento de los estándares de seguridad con Security Command Center. Para obtener más información, consulta Resultados de vulnerabilidades.

Implementa la confianza cero

Las reglamentaciones financieras modernas enfatizan cada vez más la necesidad de controles de acceso estrictos y verificación continua. Estos requisitos reflejan el principio de confianza cero, cuyo objetivo es proteger las cargas de trabajo contra amenazas internas y externas, y contra actores maliciosos. El principio de confianza cero aboga por la verificación continua de cada usuario y dispositivo, lo que elimina la confianza implícita y mitiga el movimiento lateral.

Para implementar el modelo de confianza cero, ten en cuenta las siguientes recomendaciones:

  • Habilita el acceso adaptado al contexto en función de la identidad del usuario, la seguridad del dispositivo, la ubicación y otros factores combinando los controles de IAM con Chrome Enterprise Premium. Este enfoque garantiza la verificación continua antes de otorgar acceso a los datos y sistemas financieros.
  • Configura Identity Platform (o tu proveedor de identidad externo si usas la federación de identidades de personal) para proporcionar una administración de identidades y accesos segura y escalable. Configura la autenticación de varios factores (MFA) y otros controles que son fundamentales para implementar la confianza cero y garantizar el cumplimiento de las reglamentaciones.
  • Implementa la MFA para todas las cuentas de usuario, en especial para las que tienen acceso a datos o sistemas sensibles.
  • Apoyar las auditorías y las investigaciones relacionadas con el cumplimiento de las reglamentaciones a través del registro y la supervisión integrales del acceso de los usuarios y la actividad de la red
  • Habilita la comunicación privada y segura entre los servicios dentro de los entornos locales y deGoogle Cloud sin exponer el tráfico a Internet pública con Private Service Connect.
  • Implementa controles de identidad detallados y autoriza el acceso a nivel de la aplicación con Identity-Aware Proxy (IAP) en lugar de depender de mecanismos de seguridad basados en la red, como los túneles de VPN. Este enfoque ayuda a reducir el movimiento lateral dentro del entorno.

Implementa la seguridad temprana

Los reguladores financieros fomentan las medidas de seguridad proactivas. Identificar y abordar las vulnerabilidades en las primeras etapas del ciclo de vida del desarrollo ayuda a reducir el riesgo de incidentes de seguridad y la posibilidad de sanciones por incumplimiento. El principio de seguridad shift-left promueve las pruebas y la integración de seguridad tempranas, lo que ayuda a reducir el costo y la complejidad de la corrección.

Para implementar la seguridad de desplazamiento a la izquierda, ten en cuenta las siguientes recomendaciones:

  • Integra herramientas de análisis de seguridad, como el análisis de vulnerabilidades de contenedores y el análisis de código estático, en la canalización de CI/CD con Cloud Build para garantizar que se realicen verificaciones de seguridad automatizadas en una etapa temprana del proceso de desarrollo.

  • Garantiza que solo se implementen artefactos seguros con Artifact Registry para proporcionar un repositorio seguro y centralizado para paquetes de software e imágenes de contenedores con análisis de vulnerabilidades integrado. Usa repositorios virtuales para mitigar los ataques de confusión de dependencias. Para ello, prioriza tus artefactos privados sobre los repositorios remotos.

  • Integra Web Security Scanner, que forma parte de Security Command Center, en tus canalizaciones de desarrollo para analizar automáticamente las aplicaciones web en busca de vulnerabilidades comunes.

  • Implementa verificaciones de seguridad para el código fuente, el proceso de compilación y la procedencia del código con el framework de Supply-chain Levels for Software Artifacts (SLSA). Aplica la procedencia de las cargas de trabajo que se ejecutan en tus entornos con soluciones como la Autorización binaria. Asegúrate de que tus cargas de trabajo solo usen bibliotecas de software de código abierto verificadas con Assured Open Source.

  • Realiza un seguimiento de la cantidad de vulnerabilidades que se identifican y corrigen en tu ciclo de vida de desarrollo, el porcentaje de implementaciones de código que pasan las verificaciones de seguridad y la reducción de incidentes de seguridad causados por vulnerabilidades de software. Google Cloud proporciona herramientas para ayudarte con este seguimiento en diferentes tipos de cargas de trabajo. Por ejemplo, para las cargas de trabajo en contenedores, usa la función de análisis de contenedores de Artifact Registry.

Implementa defensa cibernética preventiva

Las instituciones financieras son los principales objetivos de los ciberataques sofisticados. Las reglamentaciones suelen requerir inteligencia de amenazas sólida y mecanismos de defensa proactivos. La defensa cibernética preventiva se centra en la detección y respuesta proactivas ante amenazas a través de análisis y automatización avanzados.

Ten en cuenta las siguientes recomendaciones:

  • Identifica y mitiga de forma proactiva las posibles amenazas con los servicios de inteligencia de amenazas, respuesta ante incidentes y validación de seguridad de Mandiant.
  • Protege las aplicaciones web y las APIs de los exploits web y los ataques DSD en el perímetro de la red con Google Cloud Armor.
  • Agrupa y prioriza los resultados y las recomendaciones de seguridad con Security Command Center, que permite a los equipos de seguridad abordar de forma proactiva los posibles riesgos.
  • Valida las defensas preventivas y los planes de respuesta ante incidentes realizando simulaciones de seguridad y pruebas de penetración periódicas.
  • Mide el tiempo que se tarda en detectar y responder a los incidentes de seguridad, la eficacia de las medidas de mitigación de DSD y la cantidad de ciberataques que se evitaron. Puedes obtener las métricas y los datos necesarios en los paneles de SOAR y SIEM de Google Security Operations.

Usa la IA de forma segura y responsable, y úsala para la seguridad

La IA y el AA se utilizan cada vez más para casos de uso de servicios financieros, como la detección de fraudes y el comercio algorítmico. Las reglamentaciones exigen que estas tecnologías se usen de forma ética, transparente y segura. La IA también puede ayudarte a mejorar tus capacidades de seguridad. Ten en cuenta las siguientes recomendaciones para usar la IA:

  • Desarrolla e implementa modelos de AA en un entorno seguro y controlado con Vertex AI. Las funciones, como la interpretabilidad del modelo y las métricas de equidad, pueden ayudar a abordar las inquietudes relacionadas con la IA responsable.
  • Aprovecha las capacidades de análisis y operaciones de seguridad de Google Security Operations, que usa la IA y el AA para analizar grandes volúmenes de datos de seguridad, detectar anomalías y automatizar la respuesta ante amenazas. Estas capacidades ayudan a mejorar tu postura de seguridad general y facilitan la supervisión del cumplimiento.
  • Establece políticas de administración claras para el desarrollo y la implementación de la IA y el AA, incluidas las consideraciones relacionadas con la seguridad y la ética.
  • Alinearse con los elementos del Secure AI Framework (SAIF), que proporciona un enfoque práctico para abordar las preocupaciones de seguridad y riesgo de los sistemas de IA
  • Realiza un seguimiento de la precisión y la eficacia de los sistemas de detección de fraudes potenciados por IA, la reducción de falsos positivos en las alertas de seguridad y las ganancias de eficiencia de la automatización de seguridad impulsada por IA.

Satisface las necesidades de cumplimiento, privacidad y normativas

Los servicios financieros están sujetos a una amplia variedad de reglamentaciones, incluidos los requisitos de residencia de datos, los registros de auditoría específicos y los estándares de protección de datos. Para garantizar que los datos sensibles se identifiquen, protejan y administren de forma adecuada, las organizaciones de FSI necesitan políticas de administración de datos y esquemas de clasificación de datos sólidos. Ten en cuenta las siguientes recomendaciones para cumplir con los requisitos reglamentarios:

  • Configura límites de datos en Google Cloud para cargas de trabajo sensibles y reguladas con Assured Workloads. Esto te ayuda a cumplir con los requisitos de cumplimiento específicos de la industria y el Gobierno, como FedRAMP y CJIS.
  • Implementa Cloud Data Loss Prevention (Cloud DLP) para identificar, clasificar y proteger los datos sensibles, incluida la información financiera. De esta manera, podrás cumplir con las reglamentaciones de privacidad de los datos, como el RGPD y la CCPA.
  • Realiza un seguimiento de los detalles de las actividades administrativas y el acceso a los recursos con los Registros de auditoría de Cloud. Estos registros son fundamentales para cumplir con los requisitos de auditoría que estipulan muchas reglamentaciones financieras.
  • Cuando elijas regiones deGoogle Cloud para tus cargas de trabajo y datos, ten en cuenta las reglamentaciones locales relacionadas con la residencia de los datos.La infraestructura global de Google Cloud te permite elegir regiones que pueden ayudarte a cumplir con tus requisitos de residencia de datos.
  • Administra las claves que se usan para encriptar datos financieros sensibles en reposo y en tránsito con Cloud Key Management Service. Esta encriptación es un requisito fundamental de muchas reglamentaciones de seguridad y privacidad.
  • Implementa los controles necesarios para cumplir con tus requisitos reglamentarios. Valida que los controles funcionen según lo esperado. Un auditor externo debe validar nuevamente los controles para demostrarle al regulador que tus cargas de trabajo cumplen con las reglamentaciones.

Prioriza las iniciativas de seguridad

Dada la amplitud de los requisitos de seguridad, las instituciones financieras deben priorizar las iniciativas basadas en la evaluación de riesgos y los mandatos regulatorios. Te recomendamos el siguiente enfoque por fases:

  1. Establece una base de seguridad sólida: Enfócate en las áreas centrales de la seguridad, como la administración de identidades y accesos, la seguridad de redes y la protección de datos. Este enfoque ayuda a establecer una postura de seguridad sólida y a garantizar una defensa integral contra las amenazas en constante evolución.
  2. Aborda las reglamentaciones críticas: Prioriza el cumplimiento de las reglamentaciones clave, como PCI DSS, el RGPD y las leyes nacionales pertinentes. Esto ayuda a garantizar la protección de datos, mitiga los riesgos legales y genera confianza con los clientes.
  3. Implementa seguridad avanzada: Adopta gradualmente prácticas de seguridad avanzadas, como la confianza cero, las soluciones de seguridad basadas en IA y la búsqueda proactiva de amenazas.

Perspectiva de FSI: Confiabilidad

En este documento del Google Cloud Framework de Well-Architected: perspectiva de la industria de servicios financieros (FSI), se proporciona una descripción general de los principios y las recomendaciones para diseñar, implementar y operar cargas de trabajo confiables de la industria de servicios financieros (FSI) enGoogle Cloud. En este documento, se explora cómo integrar prácticas avanzadas de confiabilidad y observabilidad en tus planos arquitectónicos. Las recomendaciones de este documento se alinean con el pilar de confiabilidad del Framework de Well-Architected.

Para las instituciones financieras, una infraestructura confiable y resiliente es tanto una necesidad comercial como un requisito reglamentario. Para garantizar que las cargas de trabajo de FSI enGoogle Cloud sean confiables, debes comprender y mitigar los posibles puntos de falla, implementar recursos de forma redundante y planificar la recuperación. La resiliencia operativa es un resultado de la confiabilidad. Es la capacidad de absorber, adaptarse y recuperarse de las interrupciones. La resiliencia operativa ayuda a las organizaciones de FSI a cumplir con los estrictos requisitos reglamentarios. También ayuda a evitar daños intolerables a los clientes.

Los componentes básicos de la confiabilidad en Google Cloud son las regiones, las zonas y los diversos alcances de ubicación de los recursos de la nube: zonales, regionales, multirregionales y globales. Puedes mejorar la disponibilidad con servicios administrados, distribuir recursos, implementar patrones de alta disponibilidad y automatizar procesos.

Requisitos reglamentarios

Las organizaciones de FSI operan bajo estrictos mandatos de confiabilidad de agencias regulatorias como el Sistema de la Reserva Federal en EE.UU., la Autoridad Bancaria Europea en la UE y la Autoridad de Regulación Prudencial en el Reino Unido. A nivel global, los reguladores enfatizan la resiliencia operativa, que es vital para la estabilidad financiera y la protección del consumidor. La resiliencia operativa es la capacidad de resistir interrupciones, recuperarse de manera eficaz y mantener servicios críticos. Esto requiere un enfoque armonizado para administrar los riesgos tecnológicos y las dependencias de terceros.

Los requisitos reglamentarios de la mayoría de las jurisdicciones tienen los siguientes temas en común:

  • Ciberseguridad y resiliencia tecnológica: Fortalecimiento de las defensas contra las ciberamenazas y garantía de la resiliencia de los sistemas de TI
  • Administración de riesgos de terceros: Administración de los riesgos asociados con la subcontratación de servicios a proveedores de tecnología de la información y la comunicación (TIC).
  • Continuidad empresarial y respuesta ante incidentes: Planificación sólida para mantener las operaciones críticas durante las interrupciones y recuperarse de manera eficaz.
  • Protección de la estabilidad financiera: Garantizar la solidez y la estabilidad del sistema financiero en general

Las recomendaciones de confiabilidad que se incluyen en este documento se correlacionan con los siguientes principios básicos:

Prioriza las implementaciones multizona y multirregionales

Para las aplicaciones de servicios financieros críticos, te recomendamos que uses una topología multirregional distribuida en al menos dos regiones y en tres zonas dentro de cada región. Este enfoque es importante para la resiliencia ante las interrupciones de zonas y regiones. Las reglamentaciones suelen prescribir este enfoque, ya que, si se produce una falla en una zona o región, la mayoría de las jurisdicciones consideran que una interrupción grave en una segunda zona es una consecuencia plausible. La razón es que, cuando falla una ubicación, la otra podría recibir una cantidad excepcionalmente alta de tráfico adicional.

Ten en cuenta las siguientes recomendaciones para generar resiliencia ante las interrupciones de zonas y regiones:

  • Prefiere los recursos que tengan un alcance de ubicación más amplio. Cuando sea posible, usa recursos regionales en lugar de zonales, y usa recursos multirregionales o globales en lugar de regionales. Este enfoque ayuda a evitar la necesidad de restablecer operaciones con copias de seguridad.
  • En cada región, aprovecha tres zonas en lugar de dos. Para controlar las conmutaciones por error, aprovisiona un tercio más de capacidad de la que se estima.
  • Minimiza los pasos de recuperación manual implementando implementaciones activo-activo, como en los siguientes ejemplos:
    • Las bases de datos distribuidas, como Spanner, proporcionan redundancia y sincronización integradas en todas las regiones.
    • La función de HA de Cloud SQL proporciona una topología casi activa-activa, con réplicas de lectura en todas las zonas. Proporciona un objetivo de punto de recuperación (RPO) entre regiones cercano a 0.
  • Distribuye el tráfico de usuarios en las regiones con Cloud DNS y, luego, implementa un balanceador de cargas regional en cada región. Un balanceador de cargas global es otra opción que puedes considerar según tus requisitos y la criticidad. Para obtener más información, consulta Beneficios y riesgos del balanceo de cargas global para implementaciones multirregionales.
  • Para almacenar datos, usa servicios multirregionales como Spanner y Cloud Storage.

Elimina los puntos únicos de fallo

Distribuye los recursos en diferentes ubicaciones y usa recursos redundantes para evitar que cualquier punto único de falla (SPOF) afecte toda la pila de aplicaciones.

Ten en cuenta las siguientes recomendaciones para evitar los SPOF:

Para obtener más información, consulta Diseña una infraestructura confiable para tus cargas de trabajo en Google Cloud.

Comprende y administra la disponibilidad agregada

Ten en cuenta que la disponibilidad general o agregada de un sistema se ve afectada por la disponibilidad de cada nivel o componente del sistema. La cantidad de niveles en una pila de aplicaciones tiene una relación inversa con la disponibilidad agregada de la pila. Ten en cuenta las siguientes recomendaciones para administrar la disponibilidad agregada:

  • Calcula la disponibilidad agregada de una pila de varios niveles con la fórmula disponibilidad_nivel1 × disponibilidad_nivel2 × … × disponibilidad_nivelN.

    En el siguiente diagrama, se muestra el cálculo de la disponibilidad agregada para un sistema de varios niveles que consta de cuatro servicios:

    Fórmula de disponibilidad agregada para un servicio de varios niveles que tiene cuatro servicios.

    En el diagrama anterior, el servicio de cada nivel proporciona una disponibilidad del 99.9%, pero la disponibilidad agregada del sistema es inferior, del 99.6% (0.999 × 0.999 × 0.999 × 0.999). En general, la disponibilidad agregada de una pila de varios niveles es menor que la disponibilidad del nivel que proporciona la menor disponibilidad.

  • Cuando sea posible, elige la paralelización en lugar del encadenamiento. Con los servicios paralelizados, la disponibilidad de extremo a extremo es mayor que la disponibilidad de cada servicio individual.

    En el siguiente diagrama, se muestran dos servicios, A y B, que se implementan con los enfoques de encadenamiento y paralelización:

    Las fórmulas de disponibilidad agregada para los servicios encadenados en comparación con los servicios paralelizados.

    En los ejemplos anteriores, ambos servicios tienen un ANS del 99%, lo que genera la siguiente disponibilidad agregada según el enfoque de implementación:

    • Los servicios encadenados generan una disponibilidad agregada de solo el 98% (0.99 × 0 .99).
    • Los servicios paralelizados generan una mayor disponibilidad agregada del 99.99% porque cada servicio se ejecuta de forma independiente y los servicios individuales no se ven afectados por la disponibilidad de los demás servicios. La fórmula para los servicios paralelos agregados es 1 − (1 − A) × (1 − B).
  • Elige Google Cloud servicios con ANS de tiempo de actividad que puedan ayudarte a cumplir con el nivel requerido de tiempo de actividad general para tu pila de aplicaciones.

  • Cuando diseñes tu arquitectura, considera las compensaciones entre la disponibilidad, la complejidad operativa, la latencia y el costo. Por lo general, aumentar la cantidad de nueves de disponibilidad cuesta más, pero hacerlo te ayuda a cumplir con los requisitos reglamentarios.

    Por ejemplo, una disponibilidad del 99.9% (tres nueves) significa un posible tiempo de inactividad de 86 segundos en un día de 24 horas. En cambio, el 99% (dos nueves) significa un tiempo de inactividad de 864 segundos durante el mismo período, que es 10 veces más tiempo de inactividad que con tres nueves de disponibilidad.

    En el caso de los servicios financieros críticos, las opciones de arquitectura pueden ser limitadas. Sin embargo, es fundamental identificar los requisitos de disponibilidad y calcularla con precisión. Realizar una evaluación de este tipo te ayuda a analizar las implicaciones de tus decisiones de diseño en tu arquitectura y presupuesto.

Implementa una estrategia de DR sólida

Crea planes bien definidos para diferentes situaciones de desastre, incluidas las interrupciones zonales y regionales. Una estrategia de recuperación ante desastres (DR) bien definida te permite recuperarte de una interrupción y reanudar las operaciones normales con un impacto mínimo.

La recuperación ante desastres (DR) y la alta disponibilidad (HA) son conceptos diferentes. En general, con las implementaciones en la nube, la DR se aplica a las implementaciones multirregionales y la alta disponibilidad a las implementaciones regionales. Estos arquetipos de implementación admiten diferentes mecanismos de replicación.

  • HA: Muchos servicios administrados proporcionan replicación síncrona entre zonas dentro de una sola región de forma predeterminada. Estos servicios admiten un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO) de cero o casi cero. Esta compatibilidad te permite crear una topología de implementación activa-activa que no tenga ningún SPOF.
  • DR: Para las cargas de trabajo que se implementan en dos o más regiones, si no usas servicios multirregionales o globales, debes definir una estrategia de replicación. Por lo general, la estrategia de replicación es asíncrona. Evalúa cuidadosamente cómo afecta la replicación al RTO y al RPO de las aplicaciones críticas. Identifica las operaciones manuales o semiautomáticas necesarias para la conmutación por error.

En el caso de las instituciones financieras, la elección de la región de conmutación por error puede estar limitada por las reglamentaciones sobre la soberanía y la residencia de los datos. Si necesitas una topología activo-activo en dos regiones, te recomendamos que elijas servicios multirregionales administrados, como Spanner y Cloud Storage, en especial cuando la replicación de datos es fundamental.

Ten en cuenta las siguientes recomendaciones:

  • Usa servicios de almacenamiento multirregionales administrados para los datos.
  • Toma instantáneas de los datos en discos persistentes y almacénalas en ubicaciones multirregionales.
  • Cuando uses recursos regionales o zonales, configura la replicación de datos en otras regiones.
  • Valida que tus planes de DR sean eficaces probándolos con regularidad.
  • Ten en cuenta el RTO y el RPO, y su correlación con la tolerancia al impacto que estipulan las reglamentaciones financieras de tu jurisdicción.

Para obtener más información, consulta Arquitectura de recuperación ante desastres para interrupciones de infraestructura de nube.

Aprovecha los servicios administrados

Siempre que sea posible, usa servicios administrados para aprovechar las funciones integradas de copias de seguridad, alta disponibilidad y escalabilidad. Ten en cuenta las siguientes recomendaciones para usar los servicios administrados:

  • Usa servicios administrados en Google Cloud. Proporcionan alta disponibilidad respaldada por ANS. También ofrecen mecanismos de copia de seguridad y funciones de resiliencia integrados.
  • Para la administración de datos, considera servicios como Cloud SQL, Cloud Storage y Spanner.
  • Para el alojamiento de aplicaciones y procesamiento, considera los grupos de instancias administrados (MIG) de Compute Engine y los clústeres de Google Kubernetes Engine (GKE). Los MIGs regionales y los clústeres regionales de GKE son resilientes a las interrupciones zonales.
  • Para mejorar la resiliencia ante las interrupciones regionales, usa servicios administrados multirregionales.
  • Identificar la necesidad de planes de salida para los servicios que tienen características únicas y definir los planes requeridos. Los reguladores financieros, como la FCA, la PRA y la EBA, exigen que las empresas tengan estrategias y planes de contingencia para la recuperación de datos y la continuidad operativa si finaliza la relación con un proveedor de servicios en la nube. Las empresas deben evaluar la viabilidad de la salida antes de celebrar contratos de servicios en la nube y deben mantener la capacidad de cambiar de proveedor sin interrupciones operativas.
  • Verifica que los servicios que elijas admitan la exportación de datos a un formato abierto, como CSV, Parquet y Avro. Verifica si los servicios se basan en tecnologías abiertas, como la compatibilidad de GKE con el formato de Open Container Initiative (OCI) o Cloud Composer compilado en Apache Airflow.

Automatiza los procesos de aprovisionamiento y recuperación de la infraestructura

La automatización ayuda a minimizar los errores humanos y a reducir el tiempo y los recursos necesarios para responder a los incidentes. El uso de la automatización puede ayudar a garantizar una recuperación más rápida de las fallas y resultados más coherentes. Ten en cuenta las siguientes recomendaciones para automatizar la forma en que aprovisionas y recuperas recursos:

  • Minimiza los errores humanos con herramientas de infraestructura como código (IaC) como Terraform.
  • Reducir la intervención manual automatizando los procesos de conmutación por error Las respuestas automatizadas también pueden ayudar a reducir el impacto de las fallas. Por ejemplo, puedes usar Eventarc o Workflows para activar automáticamente acciones correctivas en respuesta a los problemas observados a través de los registros de auditoría.
  • Aumenta la capacidad de tus recursos de nube durante la conmutación por error con el ajuste de escala automático.
  • Aplica automáticamente políticas y medidas de protección para los requisitos reglamentarios en toda tu topología de nube durante la implementación del servicio adoptando la ingeniería de plataformas.

Perspectiva de FSI: Optimización de costos

En este documento del Google Cloud Framework de Well-Architected: perspectiva de la industria de servicios financieros (FSI), se proporciona una descripción general de los principios y las recomendaciones para optimizar el costo de tus cargas de trabajo de la industria de servicios financieros (FSI) en Google Cloud. Las recomendaciones de este documento se alinean con el pilar de optimización de costos del Framework de Well-Architected.

La optimización sólida de los costos para las cargas de trabajo de servicios financieros requiere los siguientes elementos fundamentales:

  • La capacidad de identificar el uso de recursos que genera desperdicio en comparación con el que genera valor
  • Una cultura integrada de responsabilidad financiera

Para optimizar los costos, debes comprender de forma integral los factores que los determinan y las necesidades de recursos en toda tu organización. En algunas organizaciones grandes, en especial en aquellas que se encuentran en las primeras etapas del recorrido hacia la nube, un solo equipo suele ser responsable de optimizar la inversión en una gran cantidad de dominios. Este enfoque supone que un equipo central es el más adecuado para identificar oportunidades valiosas que permitan mejorar la eficiencia.

El enfoque centralizado puede tener cierto éxito durante las etapas iniciales de la adopción de la nube o para las cargas de trabajo no críticas. Sin embargo, un solo equipo no puede impulsar la optimización de costos en toda una organización. Cuando aumenta el uso de recursos o el nivel de supervisión reglamentaria, el enfoque centralizado no es sostenible. Los equipos centralizados enfrentan desafíos de escalabilidad, en especial cuando se trata de una gran cantidad de productos y servicios financieros. Es posible que los equipos de proyectos que son propietarios de los productos y servicios se resistan a los cambios que realiza un equipo externo.

Para lograr una optimización de costos eficaz, los datos relacionados con la inversión deben ser muy visibles, y los ingenieros y otros usuarios de la nube que estén cerca de las cargas de trabajo deben estar motivados para tomar medidas que optimicen los costos. Desde el punto de vista de la organización, el desafío de la optimización de costos es identificar qué áreas se deben optimizar, identificar a los ingenieros responsables de esas áreas y, luego, convencerlos de que tomen las medidas de optimización necesarias. En este documento, se proporcionan recomendaciones para abordar este desafío.

Las recomendaciones de optimización de costos que se incluyen en este documento se correlacionan con los siguientes principios fundamentales:

Identifica el desperdicio con las herramientas de Google Cloud

Google Cloud proporciona varios productos, herramientas y funciones para ayudarte a identificar el desperdicio. Ten en cuenta las siguientes recomendaciones.

Usa la automatización y la IA para identificar de forma sistemática qué optimizar

Active Assist proporciona recomendaciones inteligentes en todos los servicios que son fundamentales para las FSI, como Cloud Run para microservicios, BigQuery para análisis de datos, Compute Engine para aplicaciones principales y Cloud SQL para bases de datos relacionales. Las recomendaciones de Active Assist se proporcionan sin costo y sin que debas realizar ninguna configuración. Las recomendaciones te ayudan a identificar los recursos inactivos y los compromisos poco utilizados.

Centraliza la supervisión y el control de FinOps a través de una interfaz unificada

Los informes de Facturación de Cloud y el centro de FinOps te permiten implementar una supervisión integral de los costos. Esta vista integral es fundamental para los auditores financieros y los equipos internos de finanzas, ya que les permite hacer un seguimiento de la inversión en la nube, evaluar la situación financiera, evaluar la madurez de FinOps en las distintas unidades de negocios o centros de costos, y proporcionar una narrativa financiera coherente.

Identificar el valor analizando y enriqueciendo los datos de inversión

Active Assist es eficaz para identificar el desperdicio evidente. Sin embargo, identificar el valor puede ser más difícil, en especial cuando las cargas de trabajo se ejecutan en productos inadecuados o cuando no se alinean claramente con el valor comercial. En el caso de las cargas de trabajo de FSI, el valor comercial se extiende más allá de la reducción de costos. El valor incluye la mitigación de riesgos, el cumplimiento de las reglamentaciones y la obtención de ventajas competitivas.

Para comprender el gasto y el valor de la nube de forma integral, necesitas una comprensión completa en varios niveles: de dónde proviene el gasto, qué función comercial impulsa el gasto y la factibilidad técnica de refactorizar u optimizar la carga de trabajo en cuestión.

En el siguiente diagrama, se muestra cómo puedes aplicar la pirámide de datos, información, conocimiento y sabiduría (DIKW) y las herramientas de Google Cloud para obtener una comprensión integral de los costos y el valor de la nube.

La pirámide de datos, información, conocimiento y sabiduría (DIKW) muestra cómo usar los datos de inversión en la nube para tomar decisiones fundamentadas.

En el diagrama anterior, se muestra cómo puedes usar el enfoque DIKW para refinar los datos sin procesar del gasto en la nube y convertirlos en estadísticas y decisiones prácticas que impulsen el valor comercial.

  • Datos: En esta capa, recopilas flujos sin procesar de datos de uso y costos para tus recursos de la nube. Tu equipo central de FinOps usa herramientas como las facturas de la Facturación de Cloud, las exportaciones de facturación y Cloud Monitoring para obtener datos detallados y específicos. Por ejemplo, un punto de datos podría indicar que una VM llamada app1-test-vmA se ejecutó durante 730 horas en la región us-central1 y costó USD 70.
  • Información: En esta capa, tu equipo central de FinOps usa herramientas como los informes de Facturación de Cloud y el Centro de FinOps para estructurar los datos sin procesar y responder preguntas como "¿En qué categorías de recursos gastan dinero las personas?". Por ejemplo, es posible que descubras que se gastó un total de USD 1,050 en VMs del tipo de máquina n4-standard-2 en dos regiones de EE.UU.
  • Conocimiento: En esta capa, tu equipo central de FinOps enriquece la información con el contexto comercial adecuado sobre quién gastó dinero y con qué propósito. Usas mecanismos como el etiquetado, el etiquetado, la jerarquía de recursos, las cuentas de facturación y los paneles personalizados de Looker. Por ejemplo, podrías determinar que el equipo de pruebas de app1 en EE.UU. gastó USD 650 durante la segunda semana de julio como parte de un ejercicio de prueba de estrés.
  • Sabiduría: En esta capa, los equipos de productos y aplicaciones utilizan el conocimiento contextualizado para evaluar el valor comercial de la inversión en la nube y tomar decisiones estratégicas fundamentadas. Tus equipos podrían responder preguntas como las siguientes:
    • ¿Los USD 5,000 que se invirtieron en una canalización de análisis de datos generan valor empresarial?
    • ¿Podríamos rediseñar la canalización para que sea más eficiente sin reducir el rendimiento?

Ten en cuenta las siguientes recomendaciones para analizar los datos de inversión en la nube.

Analiza los datos de inversión proporcionados por Google Cloud

Comienza con los datos detallados de la Facturación de Cloud que se exportan a BigQuery y los datos disponibles en los registros de Monitoring. Para obtener estadísticas prácticas y tomar decisiones, debes estructurar estos datos y enriquecerlos con el contexto empresarial.

Visualiza los datos con las herramientas disponibles

Mejora los paneles Google Cloud integrados con informes personalizados usando herramientas como Looker Studio sobre las exportaciones a BigQuery. Los equipos de finanzas pueden crear paneles personalizados que contextualicen la inversión en la nube en función de las métricas financieras, los requisitos de informes regulatorios y la rentabilidad de la unidad de negocios. Luego, pueden proporcionar una narrativa financiera clara para el análisis y la toma de decisiones por parte de las partes interesadas ejecutivas.

Asigna la inversión para fomentar la responsabilidad

Después de comprender qué impulsa el gasto en la nube, debes identificar quién gasta dinero y por qué. Este nivel de comprensión requiere una práctica sólida de asignación de costos, que implica adjuntar metadatos relevantes para la empresa a los recursos de la nube. Por ejemplo, si el equipo de Banking-AppDev usa un recurso en particular, puedes adjuntar una etiqueta como team=banking_appdev al recurso para hacer un seguimiento del costo que el equipo incurre en ese recurso. Lo ideal es que asignes el 100% de tus costos de la nube a la fuente de la inversión. En la práctica, es posible que comiences con un objetivo más bajo, ya que crear una estructura de metadatos que admita la asignación del 100% de los costos es una tarea compleja.

Ten en cuenta las siguientes recomendaciones para desarrollar una estrategia de metadatos que respalde la asignación de costos:

  • Validez: Asegúrate de que las etiquetas ayuden a identificar los indicadores clave de rendimiento (KPIs) relacionados con la empresa y los requisitos reglamentarios. Esta asociación es fundamental para las devoluciones de cargos internas, los informes reglamentarios y la alineación de la inversión en la nube con los objetivos de las unidades de negocios. Por ejemplo, las siguientes etiquetas identifican claramente un equipo de inversión, su región y el producto en el que trabaja: team=banking_appdev, region=emea, product=frontend.
  • Automatización: Para lograr un alto nivel de cumplimiento del etiquetado, aplícalo a través de la automatización. El etiquetado manual es propenso a errores e incoherencias, lo que es inaceptable en los entornos de FSI, en los que la capacidad de auditoría y la precisión financiera son fundamentales. El etiquetado automático garantiza que los recursos se categoricen correctamente cuando se crean.
  • Simplicidad: Mide factores simples y no correlacionados. Los entornos de FSI son complejos. Para garantizar que las reglas de asignación de costos en ese entorno sean fáciles de comprender y aplicar, deben ser lo más simples posible. Evita diseñar en exceso las reglas para casos muy específicos (casos extremos). Las reglas complejas pueden generar confusión y resistencia por parte de los equipos operativos.

Después de definir una estrategia de asignación con etiquetas, debes decidir el nivel de detalle con el que se debe implementar la estrategia. La granularidad requerida depende de las necesidades de tu empresa. Por ejemplo, algunas organizaciones pueden necesitar hacer un seguimiento del costo a nivel del producto, otras pueden necesitar datos de costos para cada centro de costos y otras pueden necesitar datos de costos por entorno (desarrollo, etapa de pruebas y producción).

Considera los siguientes enfoques para lograr el nivel adecuado de detalle en la asignación de costos para tu organización:

  • Usa la jerarquía del proyecto en Google Cloud como punto de partida natural para la asignación de costos. Los proyectos representan puntos de aplicación de políticas en Google Cloud. De forma predeterminada, los permisos de IAM, las políticas de seguridad y los costos se atribuyen a los proyectos y las carpetas. Cuando revises los datos de costos que se exportan desde la Facturación de Cloud, podrás ver la jerarquía de carpetas y los proyectos asociados a los datos de costos. Si tu jerarquía de recursosGoogle Cloud refleja la estructura de responsabilidad de tu organización en relación con la inversión, esta es la forma más sencilla de implementar la asignación de costos.
  • Usa etiquetas y rótulos para obtener mayor detalle. Proporcionan formas flexibles de categorizar los recursos en las exportaciones de facturación. Las etiquetas facilitan los desgloses detallados de los costos por aplicación y entorno.

A menudo, es posible que debas usar la jerarquía del proyecto combinada con el etiquetado para lograr una asignación de costos eficaz. Independientemente del enfoque de asignación de costos que elijas, sigue las recomendaciones que se describieron anteriormente para desarrollar una estrategia de metadatos sólida: validación, automatización y simplicidad.

Mejora la rendición de cuentas y motiva a los ingenieros a tomar medidas

El equipo de FinOps de la nube es responsable de impulsar a una organización a ser consciente de los costos y el valor. Los equipos de productos y los equipos de ingeniería individuales deben tomar las medidas necesarias para optimizar los costos. Estos equipos también son responsables del comportamiento de los costos de las cargas de trabajo de servicios financieros y de garantizar que sus cargas de trabajo proporcionen el valor comercial requerido.

Considera las siguientes recomendaciones para fomentar la responsabilidad y motivar a los equipos a optimizar los costos.

Establece un equipo centralizado de FinOps para la administración

Las prácticas de Cloud FinOps no crecen de forma orgánica. Un equipo exclusivo de FinOps debe definir y establecer las prácticas de FinOps de la siguiente manera:

  • Crea los procesos, las herramientas y la orientación necesarios.
  • Crear, comunicar y aplicar las políticas necesarias, como el etiquetado obligatorio, las revisiones de presupuesto y los procesos de optimización
  • Alienta a los equipos de ingeniería a ser responsables de los costos.
  • Intervenir cuando los equipos de ingeniería no se hacen responsables de los costos

Obtén el patrocinio y los mandatos ejecutivos

El liderazgo sénior, incluidos el CTO, el CFO y el CIO, debe promover activamente un cambio en toda la organización hacia una cultura de FinOps. Su asistencia es fundamental para priorizar la responsabilidad de los costos, asignar recursos al programa de FinOps, garantizar la participación multifuncional y fomentar el cumplimiento de los requisitos de FinOps.

Incentiva a los equipos a optimizar los costos

Es posible que los ingenieros y los equipos de ingeniería no estén motivados para enfocarse en la optimización de costos. Es importante alinear los objetivos individuales y del equipo con la eficiencia en los costos implementando incentivos como los siguientes:

  • Reinvertir una parte de los ahorros obtenidos por la optimización de costos en los equipos que lograron la optimización
  • Reconoce y celebra públicamente los esfuerzos y los logros relacionados con la optimización de costos.
  • Usa técnicas de gamificación para recompensar a los equipos que optimizan los costos de manera eficaz.
  • Integra métricas de eficiencia en los objetivos de rendimiento.

Implementa técnicas de visibilidad completa de gastos y devolución de cargos

Asegúrate de que los equipos tengan una visibilidad clara de los recursos y costos de la nube que les pertenecen. Asigna la responsabilidad financiera a las personas adecuadas dentro de los equipos. Utiliza mecanismos formales para aplicar un etiquetado riguroso y reglas transparentes para asignar los costos compartidos.

Enfócate en el valor y el TCO en lugar del costo

Cuando evalúes soluciones en la nube, considera el costo total de propiedad (TCO) a largo plazo. Por ejemplo, alojar una base de datos por tu cuenta para una aplicación puede parecer más económico que usar un servicio de base de datos administrado como Cloud SQL. Sin embargo, para evaluar el valor a largo plazo y el TCO, debes tener en cuenta los costos ocultos asociados con las bases de datos autohospedadas. Estos costos incluyen el esfuerzo de ingeniería dedicado a la aplicación de parches, el escalamiento, el fortalecimiento de la seguridad y la recuperación ante desastres, que son requisitos fundamentales para las cargas de trabajo de las FSI. Los servicios administrados proporcionan un valor a largo plazo significativamente mayor, lo que compensa los costos de infraestructura. Los servicios administrados proporcionan sólidas capacidades de cumplimiento, tienen funciones de confiabilidad integradas y pueden ayudar a reducir la sobrecarga operativa.

Ten en cuenta las siguientes recomendaciones para enfocarte en el valor y el TCO.

Usar técnicas y herramientas específicas del producto para optimizar los recursos

Aprovecha las herramientas y funciones de optimización de costos que proporcionan los productos, como las siguientes: Google Cloud

Aprovechar los descuentos

Asegúrate de que la tarifa de facturación de tus recursos de Cloud sea lo más baja posible utilizando los descuentos que ofrece Google. Por lo general, los equipos individuales de ingeniería y productos administran la optimización de recursos. El equipo central de FinOps es responsable de optimizar las tarifas de facturación porque tiene visibilidad de los requisitos de recursos en toda la organización. Por lo tanto, pueden agregar los requisitos y maximizar los descuentos basados en compromisos.

Puedes aprovechar los siguientes tipos de descuentos para los recursos deGoogle Cloud :

  • Los descuentos empresariales son descuentos negociados en función del compromiso de tu organización con una inversión total mínima en Google Cloud a una tarifa de facturación reducida.
  • Los CUD basados en recursos se otorgan a cambio de un compromiso de usar una cantidad mínima de recursos de Compute Engine durante un período de uno o tres años. Los CUD basados en recursos se aplican a los recursos que se encuentran en un proyecto y una región específicos. Para compartir CUD en varios proyectos, puedes habilitar el uso compartido de descuentos.
  • Los CUD basados en la inversión se otorgan a cambio de un compromiso de invertir una cantidad mínima de dinero en un producto en particular durante un período de un año o tres años. Los descuentos basados en la inversión se aplican a nivel de la cuenta de facturación. Los descuentos se aplican a nivel regional o global, según el producto.

Puedes lograr ahorros significativos si usas CUD además de los descuentos empresariales.

Además de los CUD, usa los siguientes enfoques para reducir las tarifas de facturación:

  • Usa VMs Spot para cargas de trabajo flexibles y tolerantes a errores. Las VMs Spot son más de un 80% más económicas que las VMs normales.
  • BigQuery ofrece varios modelos de precios, incluidos los precios según demanda y los precios basados en la edición, que se basan en compromisos y requisitos de ajuste de escala automático. Si usas una cantidad significativa de recursos de BigQuery, elige una edición adecuada para reducir el costo por ranura de las cargas de trabajo analíticas.
  • Evalúa con cuidado las Google Cloud regiones disponibles para los servicios que necesitas usar. Elige regiones que se alineen con tus objetivos de costos y factores como la latencia y los requisitos de cumplimiento. Para comprender las compensaciones entre el costo, la sustentabilidad y la latencia, usa el Google Cloud Selector de regiones.

Perspectiva de FSI: Optimización del rendimiento

En este documento del Google Cloud Framework de Well-Architected: perspectiva de la industria de servicios financieros, se proporciona una descripción general de los principios y las recomendaciones para optimizar el rendimiento de tus cargas de trabajo de la industria de servicios financieros (FSI) en Google Cloud. Las recomendaciones de este documento se alinean con el pilar de optimización del rendimiento del Framework de Well-Architected.

La optimización del rendimiento tiene una larga historia en los servicios financieros. Ayudó a las organizaciones de FSI a superar los desafíos técnicos y casi siempre fue un factor que permitió o aceleró la creación de nuevos modelos de negocio. Por ejemplo, los cajeros automáticos (introducidos en 1967) automatizaron el proceso de dispensación de efectivo y ayudaron a los bancos a reducir el costo de su negocio principal. Las técnicas como la omisión del kernel del SO y la fijación de subprocesos de aplicaciones a núcleos de procesamiento ayudaron a lograr una latencia determinística y baja para las aplicaciones de trading. La reducción de la latencia facilitó una liquidez más alta y firme con diferenciales más ajustados en los mercados financieros.

La nube crea nuevas oportunidades para la optimización del rendimiento. También desafía algunos de los patrones de optimización históricamente aceptados. Específicamente, las siguientes compensaciones son más transparentes y controlables en la nube:

  • Tiempo de salida al mercado en comparación con el costo
  • Rendimiento integral a nivel del sistema en comparación con el rendimiento a nivel del nodo
  • Disponibilidad de talento en comparación con la agilidad de la toma de decisiones relacionadas con la tecnología

Por ejemplo, adaptar los recursos de hardware y de TI a los requisitos de habilidades específicos es una tarea trivial en la nube. Para admitir la programación de GPU, puedes crear fácilmente VMs basadas en GPU. Puedes ajustar la capacidad en la nube para satisfacer los picos de demanda sin aprovisionar recursos en exceso. Esta capacidad ayuda a garantizar que tus cargas de trabajo puedan controlar las cargas máximas, como en los días de nómina no agrícola y cuando los volúmenes de operaciones son significativamente mayores que los niveles históricos. En lugar de invertir en escribir código altamente optimizado a nivel de servidores individuales (como código altamente ajustado en el lenguaje C) o escribir código para entornos convencionales de computación de alto rendimiento (HPC), puedes realizar un escalamiento horizontal de manera óptima con un sistema distribuido basado en Kubernetes bien diseñado.

Las recomendaciones de optimización del rendimiento que se incluyen en este documento se correlacionan con los siguientes principios fundamentales:

Alinear las métricas de rendimiento de la tecnología con los indicadores comerciales clave

Puedes correlacionar la optimización del rendimiento con los resultados de valor comercial de varias maneras. Por ejemplo, en un departamento de investigación del lado de la compra, un objetivo comercial podría ser optimizar la producción por hora de investigación o priorizar los experimentos de los equipos que tienen un historial comprobado, como índices de Sharpe más altos. En el lado de las ventas, puedes usar la analítica para hacer un seguimiento del interés de los clientes y, en consecuencia, priorizar la capacidad de procesamiento de los modelos de IA que admiten la investigación más interesante.

También es importante conectar los objetivos de rendimiento con los indicadores clave de rendimiento (KPI) de la empresa para financiar las mejoras de rendimiento. Las iniciativas de innovación y transformación empresarial (a veces denominadas esfuerzos de cambio del banco) tienen diferentes presupuestos y, potencialmente, diferentes grados de acceso a los recursos en comparación con las operaciones habituales (BAU) o de ejecución del banco. Por ejemplo, Google Cloud ayudó a los equipos de tecnología y administración de riesgos de una IESI a colaborar con los analistas cuantitativos de la oficina principal en una solución para realizar cálculos de análisis de riesgos (como el XVA) en minutos en lugar de horas o días. Esta solución ayudó a la organización a cumplir con los requisitos de cumplimiento pertinentes. También permitió que los operadores tuvieran conversaciones de mayor calidad con sus clientes, lo que potencialmente ofrece diferenciales más ajustados, mayor liquidez y cobertura más rentable.

Cuando alinees tus métricas de rendimiento con los indicadores comerciales, ten en cuenta las siguientes recomendaciones:

  • Conecta cada iniciativa tecnológica con los objetivos y resultados clave (OKR) comerciales pertinentes, como aumentar los ingresos o las ganancias, reducir los costos y mitigar los riesgos de manera más eficiente o integral.
  • Enfócate en optimizar el rendimiento a nivel del sistema. Mira más allá de la separación convencional entre el cambio de banco y el funcionamiento del banco, y los silos de la oficina principal y la oficina secundaria.

Prioriza la seguridad sin sacrificar el rendimiento para los riesgos no comprobados

La seguridad y el cumplimiento de las reglamentaciones en las organizaciones de FSI deben ser, sin lugar a dudas, de un alto nivel. Mantener un estándar alto es fundamental para no perder clientes y evitar daños irreparables a la marca de una organización. A menudo, el mayor valor se deriva de las innovaciones tecnológicas, como la IA generativa y los servicios administrados únicos, como Spanner. No descartes automáticamente esas opciones tecnológicas debido a una idea errónea generalizada sobre el riesgo operativo prohibitivo o la postura inadecuada de cumplimiento normativo.

Google Cloud ha trabajado en estrecha colaboración con los G-SIFI para asegurarse de que se pueda usar un enfoque basado en la IA para el Lavado de dinero (LD) en todas las jurisdicciones en las que las instituciones atienden a los clientes. Por ejemplo, HSBC mejoró significativamente el rendimiento de su unidad de delitos financieros (Fincrime) con los siguientes resultados:

  • Casi dos o cuatro veces más actividad sospechosa confirmada
  • Reducción de los costos operativos gracias a la eliminación de más del 60% de los falsos positivos y el enfoque del tiempo de investigación solo en las alertas de alto riesgo sobre las que se pueden tomar medidas.
  • Resultados auditables y explicables para respaldar el cumplimiento de las reglamentaciones.

Ten en cuenta las siguientes recomendaciones:

  • Confirma que los productos que pretendes usar pueden ayudarte a cumplir con los requisitos de seguridad, resiliencia y cumplimiento de las jurisdicciones en las que operas. Para lograr este objetivo, trabaja con los equipos de cuentas, los equipos de riesgo y los equipos de productos. Google Cloud
  • Crea modelos más potentes y brinda transparencia a los clientes aprovechando la explicabilidad de la IA (por ejemplo, la atribución del valor de Shapley). Las técnicas como la atribución del valor de Shapley pueden atribuir las decisiones del modelo a atributos particulares a nivel de la entrada.
  • Logra transparencia en las cargas de trabajo de IA generativa con técnicas como las citas a fuentes, la fundamentación y la RAG.

  • Cuando la interpretabilidad no es suficiente, separa los pasos de toma de decisiones en tus flujos de valor y usa la IA para automatizar solo los pasos que no impliquen toma de decisiones. En algunos casos, la IA explicable podría no ser suficiente o un proceso podría requerir intervención humana debido a inquietudes reglamentarias (por ejemplo, el RGPD, Artículo 22). En esos casos, presenta toda la información que el agente humano necesita para tomar decisiones en un solo panel de control, pero automatiza las tareas de recopilación, transferencia, manipulación y resumen de datos.

Repensar tu arquitectura para adaptarte a nuevas oportunidades y requisitos

Mejorar tus arquitecturas actuales con capacidades basadas en la nube puede proporcionar un valor significativo. Para lograr resultados más transformadores, debes repensar periódicamente tu arquitectura con un enfoque centrado en la nube.

Considera las siguientes recomendaciones para repensar periódicamente la arquitectura de tus cargas de trabajo y optimizar aún más el rendimiento.

Usa alternativas basadas en la nube para los sistemas y programadores de HPC locales

Para aprovechar una mayor elasticidad, una mejor postura de seguridad y amplias capacidades de supervisión y administración, puedes ejecutar cargas de trabajo de HPC en la nube o transferir cargas de trabajo locales a la nube. Sin embargo, para ciertos casos de uso de modelado numérico, como la simulación de estrategias de inversión o el modelado de XVA, combinar Kubernetes con Kueue podría ofrecer una solución más potente.

Cambia a la programación basada en gráficos para las simulaciones

Las simulaciones de Monte Carlo pueden tener un rendimiento mucho mayor en un sistema de ejecución basado en grafos, como Dataflow. Por ejemplo, HSBC usa Dataflow para ejecutar cálculos de riesgo 16 veces más rápido en comparación con su enfoque anterior.

Ejecutar plataformas de intercambio y comercio basadas en la nube

Las conversaciones con los clientes revelan que el principio de Pareto del 80/20 se aplica a los requisitos de rendimiento de los mercados y las aplicaciones de comercio. Google Cloud

  • Más del 80% de las aplicaciones de comercio no necesitan una latencia extremadamente baja. Sin embargo, obtienen beneficios significativos de las capacidades de resiliencia, seguridad y elasticidad de la nube. Por ejemplo, BidFX, una plataforma de múltiples proveedores de divisas, usa la nube para lanzar nuevos productos rápidamente y aumentar significativamente su disponibilidad y alcance sin incrementar los recursos.
  • Las aplicaciones restantes (menos del 20%) necesitan baja latencia (menos de un milisegundo), determinismo y equidad en la entrega de mensajes. Por lo general, estos sistemas se ejecutan en instalaciones rígidas y costosas. Cada vez más, incluso esta categoría de aplicaciones se está migrando a la nube, ya sea en el borde o como aplicaciones centradas en la nube.

Prepara tu tecnología para el futuro y satisface las necesidades comerciales actuales y futuras

Históricamente, muchas organizaciones de FSI crearon tecnologías propietarias para obtener una ventaja competitiva. Por ejemplo, a principios de la década de 2000, los bancos de inversión y las empresas de comercio exitosos tenían sus propias implementaciones de tecnologías fundamentales, como los sistemas de publicación y suscripción y los intermediarios de mensajes. Con la evolución de las tecnologías de código abierto y la nube, estas tecnologías se han convertido en productos básicos y no ofrecen valor comercial incremental.

Ten en cuenta las siguientes recomendaciones para preparar tu tecnología para el futuro.

Adopta un enfoque de datos como servicio (DaaS) para acelerar el tiempo de lanzamiento al mercado y lograr transparencia en los costos

Las organizaciones de FSI suelen evolucionar a través de una combinación de crecimiento orgánico y fusiones y adquisiciones (M&A). Como resultado, las organizaciones deben integrar tecnologías dispares. También deben administrar los recursos duplicados, como los proveedores de datos, las licencias de datos y los puntos de integración. Google Cloud brinda oportunidades para crear valor diferenciado en las integraciones posteriores a la fusión.

Por ejemplo, puedes usar servicios como el uso compartido de BigQuery para crear una plataforma de datos como servicio (DaaS) lista para el análisis. La plataforma puede proporcionar datos de mercado y entradas de fuentes alternativas. Este enfoque elimina la necesidad de crear canalizaciones de datos redundantes y te permite enfocarte en iniciativas más valiosas. Además, las empresas fusionadas o adquiridas pueden racionalizar de forma rápida y eficiente sus necesidades de infraestructura y licencias de datos posteriores a la fusión. En lugar de dedicar esfuerzos a adaptar y combinar las operaciones y los patrimonios de datos heredados, la empresa combinada puede enfocarse en nuevas oportunidades comerciales.

Crea una capa de abstracción para aislar los sistemas existentes y abordar los modelos de negocio emergentes

Cada vez más, la ventaja competitiva de los bancos no es el sistema bancario principal, sino su capa de experiencia del cliente. Sin embargo, los sistemas bancarios heredados suelen usar aplicaciones monolíticas que se desarrollaron en lenguajes como Cobol y están integradas en toda la cadena de valor bancaria. Esta integración dificultó la separación de las capas de la cadena de valor, por lo que fue casi imposible actualizar y modernizar esos sistemas.

Una solución para abordar este desafío es usar una capa de aislamiento, como un sistema de administración de APIs o una capa de etapa de pruebas como Spanner, que duplica el libro de registros y facilita la modernización de los servicios con análisis avanzados y la IA. Por ejemplo, Deutsche Bank usó Spanner para aislar su sistema bancario central heredado y comenzar su recorrido de innovación.