Vulnerabilidad en el Scotiabank

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.428
De hecho, yo trabajo haciendo planes estrategicos para las mineras y entre las politicas que nos piden es:
no tener respaldos en la nube en el extranjero, salvo paises autorizados por ellos (suele ser donde está la casa matriz o el cliente, como puede ser Canada o Australia por ejemplo), no ejecutar nuestras optimizaciones en la nube (la herramienta que usamos ofrece correr los planes en AWS, lo tenemos prohibido).
Que lo tengan prohibido por xxx normativa no significa que sea lo "mas apropiado" basta ver cuantas normativas inutiles tenemos.
Para mi el ideal seria tener la data en 3 datacenter en el pais, 1 en el norte, la clasica de la RM y otro en el sur. Pero datacenters de calidad fuera de la RM practicamente no hay, por lo mismo tener una copia en el extranjero es una opcion REAL.
 

alex_xp

Gold Member
Se incorporó
12 Octubre 2004
Mensajes
2.615
El riesgo mayor para mi es "perder" la data. En tu escenario de una "ley" claramente hay tiempo para rescatarla y migrarla a otro lado. Ante una catrastofe natural mayor el tener toda la data en la Region Metropolitana es un riesgo no menor.
Cuanta data se perdió con el terremoto 8.1?
Estamos claros que hay que mejorar la infraestructura de los datacenters en Chile. El tema es que los bancos no lo van a hacer por sus propios medios y los políticos no están ni ahí con la protección de los datos, pero creo que es aún más riesgoso dejar esos datos en el extranjero a merced de cualquier cosa.
 

naarf

aaaasí no mas
Se incorporó
15 Diciembre 2011
Mensajes
691
Creo que le pusieron mucho, si al final fue un desarrollador que se le ocurrio subir su trabajo al git version gratis, las claves de acceso me imagino que no eran las mismas que en produccion. :|
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Creo que le pusieron mucho, si al final fue un desarrollador que se le ocurrio subir su trabajo al git version gratis, las claves de acceso me imagino que no eran las mismas que en produccion. :|
Narrador:
eran las de producción.
:zippyte
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
nop, Sonda esta tratando de tapar todo, de echo ahora la gente de sonda esta haciendo las auditorias a servibanca, y solo echaron a un JP que era el mas nuevito, todos los otros solo los movieron de puesto.

como te dije me "avisaron por interno" (osea alguien que esta viendo como llueven los pencasos en directo)

ahora me acorde, deja de defender a tus "patrones" jajajaj

Oh, entonces, rectifico y me río :risas
Hay harto gurú en Sonda, así como también gente que no te explicas cómo están allí :zippy
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.404
Se podría crear un tema de ciberseguridad, indicando alertas que se van produciendo en el mercado, o bien recomendar fuentes de información en las que se informan o explican las causas de estos cagazos.

Enviado desde mi SM-G930F mediante Tapatalk
la que puse más arriba pública temas relacionados y avisos de seguridad bastante seguido

Enviado desde mi moto g(7) plus mediante Tapatalk
 

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
Cuanta data se perdió con el terremoto 8.1?
Estamos claros que hay que mejorar la infraestructura de los datacenters en Chile. El tema es que los bancos no lo van a hacer por sus propios medios y los políticos no están ni ahí con la protección de los datos, pero creo que es aún más riesgoso dejar esos datos en el extranjero a merced de cualquier cosa.

No se trata solo de la data, también se tiene que tener en cuenta la continuidad operacional, y si, es normal que la data este en mas de un país, para eso existen los certificados (HSM) y el cifrado de datos, aunque estén en otro país con una buena estrategia no hay problemas de seguridad de la información (lo se porque certificamos tres países en ISO 8000 9000 y 27000 de un paraguaso), lo principal, para las empresas multinacionales es la operatividad del negocio y cuando tus estrategias de negocios están bien planificadas no hay problemas.
 

Tbon

Football total philosophy
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.675
Me parece mucho que eso no es nivel de Chile. Ahora si supieran como acá se trabaja y se manejan los códigos fuentes en los bancos a más de uno se le caería el pelo.
Por mi parte yo encuentro un peligro que los bancos estén mirando y mas aún se les permita guardar datos sensibles en la nube (en el extranjero) con el sólo fin de querer ahorrar en gastos.

Por normativa eso no es posible de hacer, al menos para las operaciones que se hacen en Chile (por eso la mayoria de los bancos en Chile que esta experimentando con la nube o lo estan haciendo con proveedores locales o se estan armando una nube privada), en caso de que Scotiabank haya tenido datos sensibles afuera se estan arriesgando a una multa cotota.

De todas formas tambien habria que saber a que nos referimos cuando hablamos de datos sensibles.
 

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.428
Según tengo entendido estaban revisando la normativa y es probable que si se permita la "nube", al menos la de los 3 grandes. Y vuelvo a repetir que sea "normativa" no significa que sea "bueno". Sino acordarse de la normativa de aguas y Osorno...

Edit, pillé esto https://www.sbif.cl/sbifweb/servlet/Noticia?indice=2.1&idContenido=11913

Alguien que pueda traducir desde idioma abogadoctm a vil y común español chileno?
 
Última modificación:

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
En el estado, con este gobierno, están hinchando harto con llevar los servicios a la nube. Creo que la idea es buena las instituciones chicas que son la mayoría, aunque tengo mis reparos con las instituciones con mucha carga transaccional.
 
Última modificación:

Tbon

Football total philosophy
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.675
Según tengo entendido estaban revisando la normativa y es probable que si se permita la "nube", al menos la de los 3 grandes. Y vuelvo a repetir que sea "normativa" no significa que sea "bueno". Sino acordarse de la normativa de aguas y Osorno...

Edit, pillé esto https://www.sbif.cl/sbifweb/servlet/Noticia?indice=2.1&idContenido=11913

Alguien que pueda traducir desde idioma abogadoctm a vil y común español chileno?

Lo que permite la SBIF, es tener un sitio de contingencia o respaldo que pueda operar desde la nube, pero es solo en caso de una catastrofe mayor que te impida operar desde tus sitios de contingencia "normales" en territorio nacional.
 

alex_xp

Gold Member
Se incorporó
12 Octubre 2004
Mensajes
2.615
No se trata solo de la data, también se tiene que tener en cuenta la continuidad operacional, y si, es normal que la data este en mas de un país, para eso existen los certificados (HSM) y el cifrado de datos, aunque estén en otro país con una buena estrategia no hay problemas de seguridad de la información (lo se porque certificamos tres países en ISO 8000 9000 y 27000 de un paraguaso), lo principal, para las empresas multinacionales es la operatividad del negocio y cuando tus estrategias de negocios están bien planificadas no hay problemas.

El pero es que todo eso no te va a proteger ante un cambio de legislación o cambios geo-políticos en territorio extranjero, al menos en Chile te protege la ley de protección de dato personales, sí vale yuyo pero al menos es una protección, y desde el año pasado ya por derecho constitucional.
Por ejemplo hay otro atentado en EEUU y el loco de turno saca un decreto que indica que todo dato almacenado en territorio de EEUU pasa a ser parte de US Government por lo tanto deben pasar la llaves de encriptación. Hasta ahí llegaste con tus datos personales y sensibles.

Y lamentablemente en este tipo de proyectos no veo por ninguna parte que se estén considerando las repercusiones legales que se debiesen tener para el tipo de datos que se quiere almacenar en la nube en pos de sólo mantener la continuidad operacional de la empresa a costo más bajo posible (me parece y no estoy seguro que las ISOS que nombras no tocan la parte legal alguna vez vi la NCh 17799 y la 9001), todo esto hablando siempre de datos privados y sensibles.

Por normativa eso no es posible de hacer, al menos para las operaciones que se hacen en Chile (por eso la mayoria de los bancos en Chile que esta experimentando con la nube o lo estan haciendo con proveedores locales o se estan armando una nube privada), en caso de que Scotiabank haya tenido datos sensibles afuera se estan arriesgando a una multa cotota.

De todas formas tambien habria que saber a que nos referimos cuando hablamos de datos sensibles.
Así es, (creo que) lamentablemente es sólo una normativa para los bancos, pero encuentro que esto también se debiera aplicar a Clínicas, Hospitales, empresas estratégicas para el estado ( Aquellas que por su naturaleza los trabajadores no tienen derecho a huelga por poder afectar negativamente al país) y toda empresa que guarde datos de carácter privado o datos sensibles.

Te dejo una pequeña definición de la ley acerca de estas 2 definiciones:

f) Datos de carácter personal o datos personales, los relativos a cualquier información concerniente a personas naturales, identificadas o identificables.
g) Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

Te dejo el link a la ley
 

Tbon

Football total philosophy
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.675
Te dejo una pequeña definición de la ley acerca de estas 2 definiciones:

f) Datos de carácter personal o datos personales, los relativos a cualquier información concerniente a personas naturales, identificadas o identificables.
g) Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

Te dejo el link a la ley

Lo comento porque la ley es bastante interpretable, existen un sin numero de condiciones en los datos que se generan cuando realizamos transacciones bancarias que bien podrian o no ser privados, dependiendo de la interpretacion de la ley, el tema es que frente a esto es posible llevar todo a la nube de manera de no estar cometiendo un ilicito?, ni la sbif lo tiene suficientemente claro aun.
 

Jotequila

Troll
Se incorporó
29 Mayo 2004
Mensajes
1.255
En el estado, con este gobierno, están hinchando harto con llevar los servicios a la nube. Creo que la idea es buena las instituciones chicas que son la mayoría, aunque tengo mis reparos con las instituciones con con mucha carga transaccional.

Ni me digas, hace poco me dijeron...

"Si no migran a la nube y cambian los sistemas que tienen, les cortamos el financiamiento"
 

Kez0

Miembro Activo
Nuevo
Se incorporó
30 Mayo 2009
Mensajes
18
No entiendo el recelo por tener info en la nube. El punto no es donde esté, sino como proteges la información, puedes tenerla en tu datacenter privado, pero si tus normas de seguridad son deficientes será similar a tenerlo en otro país, con normas similares

Hace rato que se vienen santo estos temas y estamos recién empezando a ponernos al día. Llevará un tiempo hasta que este tipo de episodios dejen de darse

Enviado desde mi H3123 mediante Tapatalk
 

doncoyote

The ignored one
Se incorporó
23 Mayo 2006
Mensajes
2.726
Nosotros teníamos 2 buenos datacenters, pero las mentes creativas se dieron cuenta que cada cierto tiempo se debían hacer grandes inversiones en infraestructura y además tener un gran equipo de personal idóneo para mantenerla.

Resultado: se externalizó datacenter y se despidió a toda esa gente.
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Nosotros teníamos 2 buenos datacenters, pero las mentes creativas se dieron cuenta que cada cierto tiempo se debían hacer grandes inversiones en infraestructura y además tener un gran equipo de personal idóneo para mantenerla.

Resultado: se externalizó datacenter y se despidió a toda esa gente.
Veo que llegó alguien al área de ti con el objetivo de reducir costos y "cortar" grasita

Enviado desde mi Redmi Note 4 mediante Tapatalk
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
Que lo tengan prohibido por xxx normativa no significa que sea lo "mas apropiado" basta ver cuantas normativas inutiles tenemos.
Para mi el ideal seria tener la data en 3 datacenter en el pais, 1 en el norte, la clasica de la RM y otro en el sur. Pero datacenters de calidad fuera de la RM practicamente no hay, por lo mismo tener una copia en el extranjero es una opcion REAL.
Estoy de acuerdo, pero si el cliente quiere que sus datos no salgan de Chile o que si salen sea al pais donde operan, nada que hacer con eso. Yo puedo manejar los datos mios (que no estén sujetos a NDA) como me plazca, pero es logico que adaptaré mi solución a lo que pide el cliente, para no duplicar esfuerzos.
 
Subir