Perspectiva de las IFSs: seguridad, privacidad y cumplimiento

Este documento del Google Cloud marco de trabajo bien diseñado: perspectiva del sector de servicios financieros proporciona una descripción general de los principios y las recomendaciones para abordar los requisitos de seguridad, privacidad y cumplimiento de las cargas de trabajo del sector de servicios financieros en Google Cloud. Las recomendaciones te ayudan a crear una infraestructura resiliente y conforme, proteger los datos sensibles, mantener la confianza de los clientes, moverte por el complejo panorama de los requisitos normativos y gestionar de forma eficaz las ciberamenazas. Las recomendaciones de este documento se ajustan al pilar de seguridad del framework Well-Architected.

La seguridad en la computación en la nube es un aspecto fundamental para las organizaciones de servicios financieros, que resultan muy atractivas para los ciberdelincuentes debido a las grandes cantidades de datos sensibles que gestionan, como los detalles de los clientes y los registros financieros. Las consecuencias de una brecha de seguridad son excepcionalmente graves, ya que pueden provocar pérdidas económicas significativas, daños a la reputación a largo plazo y multas importantes por incumplimiento de normativas. Por lo tanto, las cargas de trabajo de las IFIs necesitan controles de seguridad estrictos.

Para garantizar una seguridad y un cumplimiento integrales, debe comprender las responsabilidades compartidas entre usted (las entidades financieras) y Google Cloud. Google Cloud es responsable de proteger la infraestructura subyacente, incluida la seguridad física y la seguridad de la red. Eres responsable de proteger los datos y las aplicaciones, configurar el control de acceso, y configurar y gestionar los servicios de seguridad. Para ayudarte con tus esfuerzos de seguridad, el Google Cloud ecosistema de partners ofrece integración de seguridad y servicios gestionados.

Las recomendaciones de seguridad de este documento se corresponden con los siguientes principios básicos:

• Implementar la seguridad desde el diseño
• Implementar la confianza cero
• Implementar la seguridad de la izquierda
• Implementar una ciberdefensa preventiva
• Usar la IA de forma segura y responsable, y usar la IA para la seguridad
• Cumplir las normativas y las necesidades de cumplimiento y privacidad
• Priorizar las iniciativas de seguridad

Implementar la seguridad desde el diseño

Las normativas financieras, como la normativa de seguridad de datos del sector de las tarjetas de pago (PCI DSS), la ley Gramm-Leach-Bliley (GLBA) de Estados Unidos y varias leyes nacionales de protección de datos financieros, exigen que la seguridad se integre en los sistemas desde el principio. El principio de seguridad desde el diseño hace hincapié en la integración de la seguridad a lo largo del ciclo de vida del desarrollo para ayudar a minimizar las vulnerabilidades desde el principio.

Para aplicar el principio de seguridad por diseño a tus cargas de trabajo de IFD enGoogle Cloud, ten en cuenta las siguientes recomendaciones:

• Asegúrate de que solo se concedan los permisos necesarios aplicando el principio de mínimos accesos mediante el control de acceso basado en roles (RBAC) granular en Gestión de Identidades y Accesos (IAM). El uso del control de acceso basado en roles es un requisito clave en muchas normativas financieras.
• Implementa perímetros de seguridad en torno a tus servicios y datos sensibles en Google Cloud con Controles de Servicio de VPC. Los perímetros de seguridad ayudan a segmentar y proteger los datos y recursos sensibles, así como a evitar la exfiltración de datos y el acceso no autorizado, tal como exigen las normativas.
• Define las configuraciones de seguridad como código mediante herramientas de infraestructura como código (IaC), como Terraform. Este enfoque incorpora controles de seguridad desde la fase de implementación inicial, lo que ayuda a garantizar la coherencia y la auditabilidad.
• Escanea el código de tu aplicación integrando pruebas de seguridad de aplicaciones estáticas (SAST) en el flujo de procesamiento de CI/CD con Cloud Build. Establece puertas de seguridad automatizadas para evitar que se despliegue código que no cumpla los requisitos.
• Proporciona una interfaz unificada para obtener información valiosa sobre seguridad mediante Security Command Center. El uso de Security Command Center permite monitorizar de forma continua y detectar de forma temprana las configuraciones erróneas o las amenazas que podrían provocar incumplimientos de las normativas. Para cumplir los requisitos de estándares como ISO 27001 y NIST 800-53, puedes usar plantillas de gestión de la postura.
• Monitoriza la reducción de las vulnerabilidades que se identifican en las implementaciones de producción y el porcentaje de implementaciones de IaC que cumplen las prácticas recomendadas de seguridad. Puedes detectar y ver vulnerabilidades e información sobre el cumplimiento de los estándares de seguridad mediante Security Command Center. Para obtener más información, consulta Resultados de vulnerabilidades.

Implementar la confianza cero

Las normativas financieras modernas enfatizan cada vez más la necesidad de contar con controles de acceso estrictos y una verificación continua. Estos requisitos reflejan el principio de confianza cero, cuyo objetivo es proteger las cargas de trabajo frente a amenazas y agentes malintencionados internos y externos. El principio de confianza cero aboga por la verificación continua de todos los usuarios y dispositivos, lo que elimina la confianza implícita y mitiga el movimiento lateral.

Para implementar la confianza cero, ten en cuenta las siguientes recomendaciones:

• Habilita el acceso contextual en función de la identidad del usuario, la seguridad del dispositivo, la ubicación y otros factores combinando los controles de IAM con Chrome Enterprise Premium. De esta forma, se garantiza una verificación continua antes de conceder acceso a los datos y sistemas financieros.
• Proporciona una gestión de identidades y accesos segura y escalable configurando Identity Platform (o tu proveedor de identidades externo si usas Federación de identidades de los trabajadores). Configura la autenticación multifactor (MFA) y otros controles que son cruciales para implementar la confianza cero y cumplir las normativas.
• Implementa la MFA en todas las cuentas de usuario, especialmente en las que tengan acceso a datos o sistemas sensibles.
• Admite auditorías e investigaciones relacionadas con el cumplimiento de normativas mediante el registro y la monitorización exhaustivos del acceso de los usuarios y la actividad de la red.
• Habilita la comunicación privada y segura entre servicios en entornos on-premise yGoogle Cloud sin exponer el tráfico a Internet público mediante Private Service Connect.
• Implementa controles de identidad detallados y autoriza el acceso a nivel de aplicación mediante Identity-Aware Proxy (IAP) en lugar de usar mecanismos de seguridad basados en la red, como los túneles VPN. Este enfoque ayuda a reducir el movimiento lateral en el entorno.

Implementar la seguridad de forma temprana

Los organismos reguladores financieros fomentan las medidas de seguridad proactivas. Identificar y abordar las vulnerabilidades al principio del ciclo de vida del desarrollo ayuda a reducir el riesgo de incidentes de seguridad y la posibilidad de recibir sanciones por incumplimiento. El principio de seguridad shift-left promueve las pruebas de seguridad y la integración tempranas, lo que ayuda a reducir el coste y la complejidad de la corrección.

Para implementar la seguridad shift-left, ten en cuenta las siguientes recomendaciones:

• Asegúrate de que las comprobaciones de seguridad automatizadas se realicen al principio del proceso de desarrollo integrando herramientas de análisis de seguridad, como el análisis de vulnerabilidades de contenedores y el análisis estático de código, en el flujo de procesamiento de CI/CD con Cloud Build.

• Asegúrate de que solo se desplieguen artefactos seguros usando Artifact Registry para proporcionar un repositorio seguro y centralizado de paquetes de software e imágenes de contenedor con análisis de vulnerabilidades integrado. Usa repositorios virtuales para mitigar los ataques de confusión de dependencias priorizando tus artefactos privados sobre los repositorios remotos.

• Analiza automáticamente las aplicaciones web para detectar vulnerabilidades comunes integrando Web Security Scanner, que forma parte de Security Command Center, en tus flujos de desarrollo.

• Implementa comprobaciones de seguridad para el código fuente, el proceso de compilación y la procedencia del código mediante el framework Niveles de la cadena de suministro para artefactos de software (SLSA). Aplica la procedencia de las cargas de trabajo que se ejecutan en tus entornos mediante soluciones como Autorización binaria. Asegúrate de que tus cargas de trabajo solo usen bibliotecas de software de código abierto verificadas con Assured Open Source.

• Monitoriza el número de vulnerabilidades que se identifican y se solucionan en tu ciclo de vida de desarrollo, el porcentaje de implementaciones de código que superan los análisis de seguridad y la reducción de los incidentes de seguridad causados por vulnerabilidades de software. Google Cloud proporciona herramientas para ayudarte a hacer un seguimiento de los distintos tipos de cargas de trabajo. Por ejemplo, en el caso de las cargas de trabajo contenerizadas, usa la función de análisis de contenedores de Artifact Registry.

Implementar una ciberdefensa preventiva

Las instituciones financieras son los principales objetivos de los ciberataques sofisticados. Las normativas suelen exigir mecanismos de información sobre amenazas y defensa proactiva sólidos. La ciberdefensa preventiva se centra en la detección y la respuesta proactivas a las amenazas mediante analíticas avanzadas y automatización.

Ten en cuenta las siguientes recomendaciones:

• Identifica y mitiga de forma proactiva las posibles amenazas mediante los servicios de inteligencia frente a amenazas, respuesta a incidentes y validación de seguridad de Mandiant.
• Protege las aplicaciones web y las APIs frente a vulnerabilidades web y ataques DDoS en el perímetro de la red con Google Cloud Armor.
• Agrega y prioriza los resultados y las recomendaciones de seguridad con Security Command Center, lo que permite a los equipos de seguridad abordar de forma proactiva los posibles riesgos.
• Valida las defensas preventivas y los planes de respuesta ante incidentes realizando simulaciones de seguridad y pruebas de penetración periódicas.
• Mide el tiempo que se tarda en detectar y responder a los incidentes de seguridad, la eficacia de las medidas de mitigación de DDoS y el número de ciberataques que se han evitado. Puedes obtener las métricas y los datos necesarios de los paneles de SOAR y SIEM de Google Security Operations.

Usar la IA de forma segura y responsable, y usar la IA para la seguridad

La IA y el aprendizaje automático se usan cada vez más en casos prácticos de servicios financieros, como la detección de fraudes y el trading algorítmico. Los reglamentos exigen que estas tecnologías se utilicen de forma ética, transparente y segura. La IA también puede ayudarte a mejorar tus funciones de seguridad. Ten en cuenta las siguientes recomendaciones para usar la IA:

• Desarrolla y despliega modelos de aprendizaje automático en un entorno seguro y controlado con Vertex AI. Las funciones como la explicabilidad de los modelos y las métricas de equidad pueden ayudar a abordar los problemas relacionados con la IA responsable.
• Aprovecha las funciones de análisis y operaciones de seguridad de Google Security Operations, que usa la IA y el aprendizaje automático para analizar grandes volúmenes de datos de seguridad, detectar anomalías y automatizar la respuesta ante amenazas. Estas funciones ayudan a mejorar tu estrategia de seguridad general y a monitorizar el cumplimiento.
• Establece políticas de gobernanza claras para el desarrollo y la implementación de la IA y el aprendizaje automático, incluidas las consideraciones relacionadas con la seguridad y la ética.
• Alinearse con los elementos del Marco para la IA Segura (SAIF), que ofrece un enfoque práctico para abordar las preocupaciones de seguridad y riesgo de los sistemas de IA.
• Monitoriza la precisión y la eficacia de los sistemas de detección de fraudes basados en IA, la reducción de falsos positivos en las alertas de seguridad y las mejoras de eficiencia gracias a la automatización de la seguridad basada en IA.

Cumplir las normativas y las necesidades de cumplimiento y privacidad

Los servicios financieros están sujetos a una gran variedad de normativas, incluidos los requisitos de residencia de datos, los registros de auditoría específicos y los estándares de protección de datos. Para asegurarse de que los datos sensibles se identifican, protegen y gestionan correctamente, las instituciones financieras necesitan políticas de gobierno de datos y esquemas de clasificación de datos sólidos. Ten en cuenta las siguientes recomendaciones para cumplir los requisitos normativos:

• Configura límites de datos en Google Cloud para cargas de trabajo sensibles y reguladas mediante Assured Workloads. De esta forma, puedes cumplir los requisitos de cumplimiento específicos de tu sector y de las administraciones públicas, como FedRAMP y CJIS.
• Identifica, clasifica y protege los datos sensibles, incluida la información financiera, implementando Cloud Data Loss Prevention (Cloud DLP). De esta forma, puede cumplir normativas de privacidad de los datos como el RGPD y la CCPA.
• Haz un seguimiento de los detalles de las actividades administrativas y del acceso a los recursos mediante Registros de auditoría de Cloud. Estos registros son fundamentales para cumplir los requisitos de auditoría estipulados por muchas normativas financieras.
• Cuando elijas Google Cloud regiones para tus cargas de trabajo y datos, ten en cuenta las normativas locales relacionadas con la residencia de datos. Google Cloud La infraestructura global te permite elegir regiones que pueden ayudarte a cumplir tus requisitos de residencia de datos.
• Gestiona las claves que se usan para cifrar datos financieros sensibles en reposo y en tránsito mediante Cloud Key Management Service. Este cifrado es un requisito fundamental de muchas normativas de seguridad y privacidad.
• Implementa los controles necesarios para cumplir los requisitos normativos. Valida que los controles funcionan como se espera. Un auditor externo debe volver a validar los controles para demostrar a la autoridad competente que tus cargas de trabajo cumplen las normativas.

Priorizar las iniciativas de seguridad

Dada la amplitud de los requisitos de seguridad, las instituciones financieras deben priorizar las iniciativas que se basen en la evaluación de riesgos y los mandatos normativos. Te recomendamos que sigas estos pasos:

1. Crea una base de seguridad sólida: céntrate en las áreas principales de la seguridad, como la gestión de identidades y accesos, la seguridad de la red y la protección de datos. Este enfoque ayuda a crear una postura de seguridad sólida y a garantizar una defensa integral frente a las amenazas en constante evolución.
2. Cumplir las normativas críticas: prioriza el cumplimiento de las normativas clave, como PCI DSS, el RGPD y las leyes nacionales pertinentes. De esta forma, se protege la información, se mitigan los riesgos legales y se genera confianza entre los clientes.
3. Implementa medidas de seguridad avanzadas: adopta gradualmente prácticas de seguridad avanzadas, como la confianza cero, las soluciones de seguridad basadas en IA y la búsqueda proactiva de amenazas.