Seguridad En A Informacion

SECURITY BREACH AT TJX (ROMPIENDO LA SEGURIDAD EN AT TJX)

INTRODUCCION

"La compañía recopilo demasiada información personal , la mantuvo demasiado tiempo y se apoyó en una encriptación débil de tecnologia para protegerlo - poniendo la privacidad de millones de sus clientes en riesgo " .

- Jennifer Stoddar ! Comisionado de Privacidad , Gobierno de Canada en septiembre , 26,2007 , en Montreal2

Noviembre 12, 2007 . fue el primer día de Owen Richel como el oficial jefe de seguridad en el Framingham, Massachusetts, EE.UU. , sede de The TJX Companies Inc. ( TJX ) . Mientras conducía al trabajo, Rich.i tenía sentimientos encontrados . Estaba muy entusiasmado con su nuevo papel -,pero también aprensivo. Hasta antes del amanecer , él estaba revisando algunas de las declaraciones que había destacado en la reporte el Comisionado de privacidad del Gobierno de Canada incluyendo el comentario de Stoddart , sobre , que había sido informado ampliamente . Estas declaraciones se referían a deficiencias en la seguridad de los sistemas de la compañía. Los tiempos que se venian , el sabia cuales serian los problemas

Cuando Richel había aceptado la oferta de TIX dos meses antes , el estaba seguro de que estaba tomando una decision inteligente de moverse de director de información ( CIO ) de un minorista smallCanadian , Richel era consciente de TJX como un mega distribuidor y líder del mercado en una categoría de nicho en América del Norte . También era consciente de que la empresa había sido golpeado por los hackers en diciembre de 2006 . La dirección había minimizado el ataque durante la entrevista de trabajo, por lo cualRichel no podía deducir ninguna información más allá de lo que estaba disponible en al dominio publico . Richel había sido trasladado a firmar con la empresa ya que el panel había expresado su confianza en

" El caso se ha escrito sobre él / ella basado de fuentes publicadas. Consecuentemente, la interpretación y perspectivas presentadas en este caso no son necesarimente los de TJX Companies lnc . o cualquiera de sus empleados. Los individuos presentados son de ficción pero sus representanciones como tomadores de decisiones y son los típicamente comunes que existen en las situaciones presentadas

su experiencia en la industria de retail y de su capacidad para gestionar la información de seguridad en la tecnologica ( IT) . la posición fue también estar recién creado para él. Richel quedó impresionado . Como lo que respecta a la piratería, que sabían por experiencia que todos los minoristas , grandes y pequeños, eran vulnerables a los ataques , y que uno de los mejores salvaguardias fue el compromiso de nivel superior a las TI securitv .

Cuando comenzó el seguimiento de la evolución en detalle durante el período provisional, Richel dio cuenta de la escala de intrusión se había intensificado . Mientras TJX había dicho que los datos de unos 46 millones de titulares de tarjetas de crédito y débito

habían sido afectados , una demanda colectiva presentada por las instituciones financieras interesadas , a finales de Oc , tubre de 2007, mal coloca el número en alrededor de 94 millones. Llamarlo la mayor violación de los datos personales de las recogidas en la historia de la seguridad de TI , The Boston Globe citó a un profesional de Gartner Inc. como diciendo: " Es la más grande

robo hecho a una tarjeta . Se ha hecho un daño considerable . ' R Las demandas por los clientes afectados e instituciones financiera avanzaban rápidamente. La Oficina Federal de Investigaciones ( FBI ) de los EE.UU había empezado ya una investigación interna de la empresa.

Ahora, sentado en su coche en el tráfico , a pocos minutos de iniciar su posición en TJX . Richel estaba dándole vueltas a los temas , varios nuevos para él , que iba a tener que lidiar con simultaneidad y rápidamente .

ANTECEDENTES COMPATIY

TJX fue el mayor minorista de ropa y las modas de casas en los Estados Unidos en el segmento off- precio. TJX estaba clasificado en el puesto 138 th en la lista Fortune 500 Ranking 2006. Con EE.UU. $ I7.4 billones en ventas para el año que terminó en Enero de 2007, la compañía fue más del triple del tamaño de Ross Stores lnc . , Su competidor más cercano .

Fundada en 1976 , TIX opero ocho empresas independientes bajo un paraguas común - TJ Ma & x ,Marshalls , HomeGoods , A. J. Wright y Bob tiendas en los Estados Unidos ; Ganadores y HomeSense en Canadá; y T.K. Maxx en Europa. La grupo tenia más de 2.400 tiendas , y cerca de 125,000 asociados.

Como minorista off-prie, TJX ocupaba el espacio entre las tiendas de descuento de profundidad que venden los productos sin marca a cuestas precios y almacenes o tiendas especializadas de venta de productos de marca a precios elevados . TJX vendió la marca prendas de vestir y del hogar modas a precios de entre 20 y 70 por ciento por debajo de almacenes o tiendas especializadas . Compró mercancía directamente de los fabricantes a precios al por mayor al año en contraste con almacenes o tiendas especializadas , cuya compra fue impulsado por las tendencias actuales y era de carácter estacional . También adquirió la mercancía de Tiendas de Autoservicio themseves, quienes a menudo se quedaban con un exceso de mercancías cada estación del año como consecuencia de la cancelación de pedidos tardíos, incumplimiento de plazos de producción y los cambios en la programación

La eficiencia operativa , relaciones con los proveedores y la escala son fundamentales para una tienda fuera de precio, mientras que la moda fue la variable más importante para los grandes almacenes y de la especialidad . Para las tiendas de descuento en los precios , la calidad de sistemas internos de información era fundamental para mantener los márgenes , entre los más bajos en el comercio minorista , para mantenerse competitivos . Los Sistemas informáticos ayudaron grandes minoristas TiX a conectar a las personas , lugares e información a lo largo de la cadena de la valor de la empresa. Permitieron la entrega rápida de los datos , lo que facilita decisiones rápidas en diferentes niveles.

Los vendedores, compradores , mayoristas , tiendas de socios , clientes e instituciones financieras estaban interconectados

a través de redes de TI , aumentando así la productividad del minorista ( rendimiento de producto de la fabricación a través de ventas ) . Dentro de la tienda de tecnologías (como quioscos con precio deetiqueta / inventario por código d barras) ayudaron a los minoristas mejorar el servicio al cliente y diferenciar sus tiendas de sus competidores. Muchos minoristas invertidos en la gestión de relaciones con clientes (CRM) tecnologías para incrementar ingresos dirigido a los clientes más rentables .

TJX había sido testigo de un cambio de posicion en la gestión a nivel superior en el otoño de 2005 . Un enfoque en "El crecimiento de la rentabilidad de la empresa " ha dado lugar a un repunte en los resultados financieros para el y, oreja terminando enero 200:7 . En un negocio en el que los márgenes eran bajos , la utilidad neta como porcentaje de ventas se había movido hacia arriba(vers anexo 1).

LA INTRUSION INFORMATICA

Era el 18 de diciembre de 2006, que la empresa tuvo conocimiento de la piratería ( véase el Apéndice I para un glosario de términos utilizado en intrusión informática y las investigaciones de detección ) . La presencia de software sospechoso , altero archivos de computadora y datos mixtos en marcha, estos fueron de los primeros indicios de la intrusión. Implico del segmento de la red de ordenadores de manejo de pago por tarjetas, (tanto tarjetas de crédito y tarjetas de débito), cheques, transacciones de devolución de mercancía para los clientes, que parecían afectar a las ocho empresas de la compañía y todas las tiendas en los Estados Unidos, Puerto Rico , Canadá y el Reino Unido . El empresa rapidamento inicio una investigación interna y llamó a consultores de seguridad - General Dynamics Corporación International Business Machines (LBM ) Corporation - al día siguiente. Este último confirmó , el December 21 , de que los sistemas informáticos de la empresa se habían " inmiscuido en " y que el intruso todavía estaba en el sistema . Mientras la planificación para contener la intrusión y proteger los datos de los clientes , la compañía llamo a los funcionarios encargados de hacer cumplir la ley . El Servicio Secreto de los EE.UU. sugirió que la divulgación de la intrusión podria impedir la investigación criminal en curso y que TJX debería mantener la confidencialidad hasta que fuese aconsejado por el Servicio Secreto de lo contrario. La empresa sólo permitio la notificación a bancos , compañías de tarjetas de crédito y débito y compañías de procesamiento de cheques

En febrero 21,2007 , TJX hizo un anuncio público del desarrollo y alcance de la intrusión. Dijo que sus sistemas informáticos se accedió por primera vez por un intruso no autorizado en julio de 2005 , en fechas posteriores en 2005 y de nuevo desde mediados de mayo de 2006 hasta mediados de enero 2007. Declaró que la información de sus cliente no habia sido robado después Decenrber 18,2006 . La compañía dijo que al tratar de identificar la naturaleza de los datos que se robaba por el intruso , TJX había enfrentado a tres obstáculos. En primer lugar, antes de haber descubierto la intrusion este habia eliminado, en el curso ordinario de los negocios , el contenido de muchos archivos que habían sido robados . Los archivos tenía que ver con los registros que se remonta tan lejos como 2002 . En segundo lugar, la tecnología utilizada por el intruso había dejado

...