Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 2K vistas

    Caso TJX

    Cargado por

    Giancarlo Aprile
    1. TJX es una empresa minorista líder que sufrió el robo de datos de 94 millones de tarjetas de crédito y débito en 2006 debido a vulnerabilidades en su sistema inalámbrico en tiendas. 2. La empresa no contaba con encriptación adecuada de datos ni monitoreo de redes, lo que permitió que hackers accedieran fácilmente a información de tarjetas. 3. Para evitar futuros ataques, TJX debe fortalecer procesos como monitoreo de redes, cumplimiento de

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Caso TJX

    Cargado por

    Giancarlo Aprile
    2K vistas8 páginas
    1. TJX es una empresa minorista líder que sufrió el robo de datos de 94 millones de tarjetas de crédito y débito en 2006 debido a vulnerabilidades en su sistema inalámbrico en tiendas. 2. La empresa no contaba con encriptación adecuada de datos ni monitoreo de redes, lo que permitió que hackers accedieran fácilmente a información de tarjetas. 3. Para evitar futuros ataques, TJX debe fortalecer procesos como monitoreo de redes, cumplimiento de

    Descripción original:

    Caso TJX Security Breach

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    1. TJX es una empresa minorista líder que sufrió el robo de datos de 94 millones de tarjetas de crédito y débito en 2006 debido a vulnerabilidades en su sistema inalámbrico en tiendas. 2. La empresa no contaba con encriptación adecuada de datos ni monitoreo de redes, lo que permitió que hackers accedieran fácilmente a información de tarjetas. 3. Para evitar futuros ataques, TJX debe fortalecer procesos como monitoreo de redes, cumplimiento de

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    2K vistas8 páginas

    Caso TJX

    Cargado por

    Giancarlo Aprile
    1. TJX es una empresa minorista líder que sufrió el robo de datos de 94 millones de tarjetas de crédito y débito en 2006 debido a vulnerabilidades en su sistema inalámbrico en tiendas. 2. La empresa no contaba con encriptación adecuada de datos ni monitoreo de redes, lo que permitió que hackers accedieran fácilmente a información de tarjetas. 3. Para evitar futuros ataques, TJX debe fortalecer procesos como monitoreo de redes, cumplimiento de

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 8

    Caso de Estudio

    “Security Breach at TJX”


    1. Antecedentes de la empresa

    TJX es una empresa fundada en 1976 in Massachusetts USA, es un retail líder en


    ropa y moda para el hogar que ofrece productos a bajos precios en Estados Unidos.
    Esta empresa opera 8 unidades de negocios independientes:
    - USA: T.J. Maxx, Marshalls, Homegoods, A.J. Wright y Bob’s Stores
    - Canadá: Winners, Homesense
    - Europa: T.K. Maxx

    Ocupa el puesto 89 en el ranking de la lista Fortune y reportó ingresos de 30.9


    billones el 2015. Además cuenta con 3600 tiendas en 9 países, 3 sitios de e-
    commerce y 216,000 asociados.

    Sin embargo, esta empresa experimentó en el 2006 el robo de datos de hasta 94


    millones de tarjetahabientes (tarjetas de crédito y débito) los cuales fueron
    capturados principalmente a través del sistema inalámbrico que utilizan los
    controladores de tiendas para manejar los equipos POS (Point of Purchase).

    Este caso fue uno de los ataques de seguridad más grande de la historia.

    2. Estrategia de negocio

    Su estrategia de negocio es ofrecer una combinación de productos de marca y


    calidad pero a precios más bajos que las tiendas por departamento convencionales y
    las tiendas de especialidad (entre 20% a 70% menos). Así mismo en enfocarse en
    determinados segmentos del mercado.
    Para lograr esto se abastece directamente de los fabricantes a precios de menudeo
    durante todo el año (no compra en base a tendencias por temporada). A su vez
    brinda crucial importancia en la eficiencia operacional, relaciones con sus
    proveedores y ventas a escala masiva.

    A continuación mostramos a la empresa frente a la competencia en términos


    financieros.

    3. Problemática

    El problema de seguridad puntual en este caso fue que la empresa, a pesar de


    contar con un sistema y prácticas de encriptación de datos estándar, tenía ciertas
    debilidades en el sistema inalámbrico de los controladores de sus tiendas al
    momento de procesar transacciones (POS).
    Durante esos breves momentos los ladrones usaban una laptop con antena para
    acceder a la red inalámbrica y obtener la información (transacciones, cuentas de
    usuarios de la empresa, información de tarjetahabientes, etc.) ya decriptada.

    Otro punto de acceso débil al sistema corporativo era mediante el acceso físico a los
    Kioskos electrónicos en las mismas tiendas (introduciendo físicamente una memoria
    USB).

    Además, la empresa presentaba debilidades en tema de seguridad, siento altamente


    vulnerable a cualquier ataque cibernético. Posteriormente, invirtió más de 200
    millones para lidiar con el robo de sus datos.

    4. Principales causas del ataque

    Causas Descripción
    No contaba con tecnología TJX transmitía la información de los pagos y no
    integral de encriptación para la encriptaba los datos de las tarjetas de crédito, lo cual
    transferencia de datos del fue fácilmente interceptado por los hackers. Además
    sistema inalámbrico (POS). aplicaban inyecciones de SQL a las base de datos

    La ausencia de un monitoreo a TJX no contaba con programas de monitoreo en sus


    sus redes. redes por lo tanto no podía identificar ningún posible
    ataque.

    TJX no tenía ningún registro de procesamiento. Esto


    No contaba con registro de hubiera permitido realizar un análisis forense del
    procesamiento análisis de las transacciones del sistema y saber los
    accesos, que tipo de documento se agregaron
    cambiaron o borraron. Este log se debe tener cuando
    se manejan tal volumen de información.
    No contaba con un auditor TJX no realizaba auditorias regulares en el área de TI.
    externo que identificara los Esta podría haber sido la causa que no se hayan
    riesgos a los que estaba detectado a tiempo las vulnerabilidades en seguridad
    expuesto. informática. Además, no contaba con un plan de riesgos
    ni de mitigación del mismo.

    Según el estándar de PCI claramente indica que


    Violación de los códigos de PCI- después que la autorización de pago es recibida, los
    DSS datos no deberían ser almacenados como CVC, PIN
    asociados con las tarjetas de créditos.
    Sin embargo, TJX violo la política reteniendo dicha
    información sin encriptarla.

    TJX no contaba con una política de seguridad del


    Falta de seguridad en los assets inventario tecnológico en sus tiendas.
    de la tiendas Los empleados podían insertar un usb y de esta
    manera se podía cargar software en cualquiera de las
    terminales y conectarse a su red, volviéndola
    vulnerable.

    TJX adoptó un protocolo de seguridad WEP en sus


    Inadecuado uso del Wireless en tiendas. Cuando los códigos de barras de productos
    sus redes son escaneados a través de su punto de venta se emite
    transmisiones inalámbricas entre el escaneo y los
    receptores de datos en las tiendas y a través de red
    corporativa.
    Sin embargo estas podrían ser hackeadas en minutos
    ya que WEP no satisfacía los estándares de seguridad
    que requiere el uso de un protocolo más potente para
    los WAP (Wifi Protected Access). Ver gráfico:

    Falta de implementación de No contaba con firewalls suficientes en su red interna y


    firewalls. externa.

    Carencia de políticas y procesos No se contaban con políticas y procesos definidos de TI


    de seguridad informática para garantizar la seguridad informática dentro de la
    empresa.
    5. Interrogantes

    a) ¿Cómo se pudo haber evitado la brecha de seguridad y las intrusiones?

    El área de TI (en este caso el área de seguridad) debió haber realizado una auditoria
    y un análisis de vulnerabilidad respecto a los temas de seguridad de la compañía.

    Esto con la finalidad de poder identificar los riesgos y clasificarlos según su prioridad
    para tomar acciones inmediatas e implementar medidas de seguridad.

    Así mismo, el área de TI ha debió desarrollar e implementar una política de


    seguridad en la cual cubran los puntos más relevantes:
     Monitoreo en sus sistemas de redes
     Contar con la tecnología (hardware y software) actualizado
     Fortalecer su BD e implementar técnicas para evitar los ataques
     Contar con un plan de riesgos y seguridad con la finalidad de identificar a los
    responsables.

    Finalmente se debieron haber tomado las siguientes acciones:

    Wireless

     La empresa TJX debió haber hecho upgrade de su protocolo WEP hacia WPA.
     Se debió instalar un programa sniffer (detectan posibles comportamientos
    riesgosos).

    Política de seguridad respecto a los assets

     Se deben contar con lock con la finalidad de proteger los datos.


     Evitar el uso de USB, CD en computadoras o cualquier tipo de hardware.
     La infraestructura tecnológica debería estar localizada cerca de cámaras de
    seguridad y guardar los registros de los videos.
     Se debe establecer un único id para cada persona que quieres acceder a los
    sistemas de la empresa.

    Herramientas de monitoreo en sus redes

     Implementar alertas para los accesos no autorizado a la red.


     Evitar las fugas de información. Ejemplo concreto de esta herramienta?
     Se cumpliría con los requisitos de seguridad y se tendría el mantenimiento de los
    registros. Ejemplo concreto de esta herramienta?

    Encriptar la información

     Encriptar la información en todos los puntos donde se ejecuten transacciones.


     Si la empresa cuenta con Patrner y Vendor, y se comparte información sensible
    con ellos, la data debe estar totalmente encriptada y dichas empresa deberían
    contar con políticas de seguridad para manejar este tipo de información.
     Cambio regular de las contraseñas de acceso.
    Mejorar el Diseño de Base de datos y administración de Base de Datos

     Usar triggers con el fin de prevenir los ataques a las bases de datos.
     Implementar el control de acceso al BD, asignar roles y permisos a los equipos
    respectivos.
     Mejorar la arquitectura de TJX; la base de datos debe estar separada de las
    aplicaciones con la finalidad de no estar expuesto.

    Implementar Firewalls

     Implementar un firewall a nivel corporativo: contar con un firewall externo e


    interno.

    Establecer Governance en TI

    Definir un de Governace de TI que se enfoque en buscar en la administración el


    desempeño a largo plazo. Se definirá los alineamientos estratégicos, la
    administración de los riesgos y el valor que se está entregando.
    Establecer Procedimiento de Riesgos

    Tener plantillas con este tipo de formato donde se identifiquen los riesgos

    b) ¿Cuáles consideran que son los procesos que deberían fortalecerse para evitar
    nuevos ataques?

    Se debería fortalecer los procesos de TI relacionados a seguridad y administración.

    Proceso de monitoreo de redes:


     Trafico de monitoreo
     Monitoreo el acceso a software

    Proceso de revisión y verificación de cumplimiento de las normas de


    seguridad y de auditoria externa
     Cumplir con los requerimientos y estándares de PCI-DSS. Payment Card
    Industry (PCI)
     Revisión continúa de estos requerimientos.

    c) Si ustedes fueran Owen Richel, ¿qué acciones tomarían para superar la crisis?

    Si se fuera Owen Richel, primero trataríamos de tomar acciones rápidas como


    ejecutar 2 cambios importantes:

    Implementar la encriptación de la información y seguir los estándares de PCI, así


    como no guardar ningún tipo de información la cual no es requerida.

    Adicionalmente, asegurar la red con sistemas de monitoreo e implementar firewalls


    para evitar los accesos en los sistemas.

    Luego se buscaría que la empresa se alinee a 3 bases importantes: Estrategia de la


    Organización, Estrategia del Negocio y finalmente la Estrategia de TI.

    Por ello se recomienda la implementación de un Plan de Governance de TI, un Plan


    de Mitigación de Riesgos y una estrategia bien definida.

    Se deben tener procedimientos definidos en el Plan de riesgos para manejarlos ante


    un posible ataque cibernético y emplear una Matriz de Responsabilidades con la
    finalidad de establecer que funciones tiene cada responsable.

    Finalmente se debe comunicar cualquier ataque de seguridad a los empleados de la


    empresa y capacitarlos en temas de seguridad informática para evitar los posibles
    ataques o pérdida de información.
    6. Bibliografía

     http://www.tjx.com/about/tjx_company.html
     http://www.computerworld.com/article/2544306/security0/tjx-data-breach--at-45-
    6m-card-numbers--it-s-the-biggest-ever.html
     https://www.cnet.com/news/tjx-says-45-7-million-customer-records-were-
    compromised/

    También podría gustarte