“Año de la Unidad, La Paz y el Desarrollo”

AC-S14) Semana 14 - Tema 01: Tarea - Caso 3

Incumplimiento de seguridad en TJX

Curso: SEGURIDAD INFORMATICA

Docente: ENZO RUBEN HEREDIA

Integrantes: Atoche Lopez Rony U22102002

Gonzalo Valdivia Iriarte U19207191

Maricielo Coaquira Mendoza U21320523

Mario Ronald Quispe Layme U20222228

2013
¿Qué aspecto(s) consideras clave(s) de la falla en la seguridad de TJX que
requieren atención? 
Cuando Richel aceptó la oferta de TJX dos meses antes, estaba seguro de que estaba
haciendo una inteligente carrera. Como director de información (CIO) de un pequeño
minorista canadiense, Richel conocía a TJX como un mego minorista y líder de mercado
en una categoría de nicho en América del Norte. También era consciente de que la
compañía había sido atacada por piratas informáticos en diciembre del 2006. La
administración había minimizado el ataque durante la entrevista de trabajo, en la que
Richel no podía obtener información más allá de lo que estaba disponible en el dominio
público. Richel se había movido para firmar con la compañía porque el panel había
expresado confianza en su experiencia en la industria minorista y su capacidad para
gestionar la seguridad de la tecnología de la información (TI). La posición también se
estaba creando para él. Richel estaba impresionado. En cuanto a la piratería, sabía por
experiencia que todos los minoristas, grandes y pequeños, eran vulnerables a los
ataques y que una de las mejores garantías era el compromiso de alto nivel con la
seguridad de TI. Cuando comenzó a rastrear el desarrollo en detalle durante el período
interino, Richel se dio cuenta de que la escala de intrusión había aumentado. Si bien
TJX había dicho que los datos de aproximadamente 46 millones de titulares de tarjetas
de crédito y débito se habían visto afectados, una demanda colectiva presentada por las
instituciones financieras interesadas, a fines de octubre de 2007, había colocado el
número en unos 94 millones. The Boston Globe, al llamarlo la mayor violación de datos
personales que se haya reportado en la historia de la seguridad de TI, citó a un
profesional de Gartner Inc. diciendo: "Este es el mayor robo de tarjetas de todos los
tiempos. Ha hecho un daño considerable”3 . Las demandas de los clientes afectados y
las instituciones financieras avanzaban rápidamente. La Oficina Federal de
Investigaciones (FBI) del gobierno de los Estados Unidos ya formaba parte de la
investigación interna de la compañía. Ahora, sentado en su automóvil en el tráfico, a
minutos de comenzar su posición en TJX, Richel estaba reflexionando sobre los
problemas, varios nuevos para él, con los que tendría que lidiar de manera simultánea
y rápida
¿CÓMO DEBERÍA MEJORAR Y FORTALECERSE LA SEGURIDAD INFORMÁTICA
DE LA EMPRESA? (PROPONER TOPOLOGÍA DE IMPLEMENTACIÓN) ¿CUÁLES
SON SUS PRIORIDADES A CORTO PLAZO Y SUS PLANES A LARGO PLAZO?  

Tomando en cuenta que el problema de la intrusión en la empresa de una persona no

autorizada se anunció en febrero del 2021, la empresa debería de contar con un IPS es
decir con un Sistema de Prevención de Intrusos para que este aumente la seguridad en
la red identificando y bloqueando actividades sospechosas, para así poder evitar futuras
intrusiones. También se puede emplear Firewalls ya que estos previenen que algún
usuario sin autorización no ingrese a los servidores.
Para poder mejorar y fortalecer la seguridad, se puede implementar la Norma 27032, la
cual identifica los riesgos, implementando controles de seguridad, protección de
servidores y de sus usuarios finales. Entre estos tenemos:

➢ Evaluación de riesgos: Realizar una evaluación completa de los riesgos de

seguridad del ciberespacio en su empresa. Identificación de vulnerabilidad y
amenazas específicas relacionadas con la seguridad cibernética.
➢ Política de seguridad: Establezca una política de seguridad clara y clara del
ciberespacio. Asegurándonos que todos los empleados conozcan esta política y
sigan en cualquier momento. Implementar IDS/IPS de modo que se identifiquen y
bloqueen los accesos sospechosos.
➢ Dentro de la organización: Se debe de definir la responsabilidad en la empresa en
relación con la seguridad cibernética. Esto incluye nombrar equipos de seguridad
del ciberespacio responsables de implementar y supervisar los pasos de seguridad.
➢ Segmentación de red: implementación de topologías de red que dividen diferentes
sistemas y servicios en segmentos separados. Use un firewall y un enrutador para
controlar el tráfico entre estos segmentos y reducir el impacto de posibles ataques.
➢ Protección de datos: aplique pasos adecuados de protección de datos, como cifrado
de datos confidenciales, tanto en REST como en tránsito. Esto establece políticas
de gestión de datos. Implementar soluciones para la prevención de perdida de datos
(DLP) para que no haya fugas de información importante.
➢ Control de acceso: Se deberá de implementar el sistema de identidad y la gestión
del acceso (AMI) para controlar y administrar el acceso al sistema y los datos,
haciendo uso de sistemas de identificación (usuario, contraseña).
➢ Gestión de incidentes y vulnerabilidades: Establecer un plan de gestión de
incidentes que define los pasos que deben seguirse si hay una violación de la
seguridad cibernética. Además, se debe de realizar evaluaciones regulares.
➢ Educación y conciencia: Se debe de realizar programas de capacitación y
conciencia en seguridad cibernética para todos los empleados.
➢ Evaluación y mejora sostenible: Se debe de realizar evaluaciones periódicas de la
seguridad cibernética de la compañía y establecer medidas para continuar
mejorando los controles de seguridad, debe ser actualizado sobre las últimas
amenazas y soluciones de seguridad.
En cuanto las prioridades a corto plazo, se puede implementar lo siguiente:

➢ Políticas de seguridad cibernética

➢ Segmentación de red
➢ Protección de datos
 ➢ Control de acceso
Estos aspectos serán la base para poder realizar una implementación mas amplia sobre
controles de seguridad.

Por otro lado, a largo plazo es importante el mantener un enfoque continuo sin
descuidar lo anterior mencionado, asegurando que los sistemas y procesos de
seguridad se mantengan actualizados y a su vez estos se ajusten a las necesidades
que requiera la empresa en un futuro esto enfocado a que en un futuro pueda haber
amenazas nuevas. Además de que en un futuro los planes puedan incluir inversiones
en tecnologías para seguridad cibernética, como sistemas de detección y respuestas
de amenazas, como también análisis en el comportamiento de los usuarios. Se debe
de emplear una cultura de ciberseguridad, en donde todos los colaboradores de la
empresa se encuentren capacitados para prevenir accesos no autorizados.

¿TJX fue víctima de ingeniosos delincuentes cibernéticos o creó sus propios

riesgos?

➢ TJX fue víctima de una serie de ataques cibernéticos sofisticados llevados a cabo por
delincuentes cibernéticos. Los hackers utilizaron tácticas avanzadas para infiltrarse en
los sistemas informáticos de TJX y robar información confidencial, incluyendo números
de tarjetas de crédito y datos personales. A pesar de que la compañía había
implementado medidas básicas para protegerse contra el robo electrónico, los
delincuentes consiguieron burlar estas medidas. Esto demuestra que los delincuentes
cibernéticos pueden ser muy astutos y sofisticados, lo que significa que es importante
adoptar un enfoque proactivo a la seguridad de la información para minimizar el riesgo
de sufrir un ataque cibernético exitoso.

¿Cómo organizaciones inteligentes y confiables se involucran en este tipo de

situación?

Se involucraron en esta situación porque la empresa se conformó con tener un sistema

y prácticas de encriptación de datos de nivel estándar. Y no invirtió en un sistema
personalizado que cubriera todas las vulnerabilidades de sus redes inalámbricas.

Estas organizaciones pueden evaluar el daño causado por la violación y ayudar a las
empresas a tomar las medidas necesarias para mitigar el riesgo de una futura violación
de seguridad. Esto incluye incluir un cifrado avanzado, implementar controles de
seguridad más estrictos y el monitoreo de las transacciones para detectar actividades
sospechosas. También pueden proporcionar formación a los empleados para aumentar
su conciencia de seguridad y ayudar a mejorar la seguridad general de la organización.
Estas organizaciones también pueden ayudar al equipo de TI a diseñar y gestionar un
plan de seguridad incorporado para ayudar a las empresas a minimizar el riesgo de
futuras violaciones de seguridad.

¿Qué lecciones me llevo de este caso? 

De acuerdo con el caso presentado, primeramente, es importante destacar la

importancia del uso de la gestión de riesgos para la empresa. Como director de
seguridad, Richel tuvo que enfrentarse a las consecuencias de violación de datos
masivos. Mediante la implementación de la gestión de riesgos, la empresa puede
identificar y comprender las vulnerabilidades existentes permitiendo minimizar la
probabilidad de posibles ataques. El Anexo A en ISO 27001 nos permite entender sobre
el fortalecimiento de la seguridad informática de la empresa, abordando aspectos como
la gestión de riesgos, políticas de seguridad, organización, gestión de recursos y gestión
de incidentes. Implementar estos controles y seguir las recomendaciones del Anexo A
permitirá que la empresa pueda identificar y mitigar los riesgos de seguridad, mejorar la
protección de los activos de información y responder de manera adecuada ante
incidentes de seguridad.
Por segunda lección, nos llevamos sobre el control de la seguridad para la protección
de los activos en TJX. Debido a la falta de controles adecuados, los piratas informáticos
pudieron acceder y robar los datos de millones de titulares de tarjetas. El anexo A del
estándar ISO/IEC 27001 nos da recomendaciones para implementar controles de
seguridad para proteger la información en empresas. Estos controles abarcan diferentes
áreas, como el control de acceso, la criptografía, la seguridad física y ambiental, la
seguridad de las comunicaciones, entre otros.
Otra lección aprendida del caso es el compromiso de alto nivel con la seguridad de TI,
el cual es fundamental para garantizar la protección de los activos de la empresa. En el
caso de Richel, decidió unirse a TJX debido a su confianza de la administración en su
experiencia en la industria minorista y su capacidad para gestionar la seguridad de TI.
Sin embargo, posteriormente se dio cuenta de que la empresa había minimizado la
magnitud del ataque durante el proceso de contratación. Esto resalta la importancia de
la comunicación abierta y transparente sobre incidentes que hayan ocurrido
anteriormente en la empresa. Es fundamental que las organizaciones sean honestas
sobre los desafíos y riesgos de seguridad a los que se enfrentan. El compromiso de alto
nivel con la seguridad de TI y la comunicación abierta sobre incidentes son elementos
esenciales para garantizar una gestión efectiva de la seguridad en una organización.
Una lección adicional que se desprende de este caso es la importancia de mantenerse
actualizado y realizar un seguimiento constante de las amenazas y vulnerabilidades en
el entorno de ciberseguridad. Richel se dio cuenta de un aumento en la escala de la
intrusión en TJX después de asumir su cargo. Por lo tanto, es crucial realizar una
monitorización continua para detectar posibles amenazas y prevenir vulnerabilidades
ante ataques. Esto implica estar al tanto de las últimas tendencias en seguridad,
mantenerse informado sobre los nuevos métodos de ataque y técnicas utilizados por los
ciberdelincuentes. La monitorización continua como la implementación de medidas de
seguridad adecuadas ayudan a proteger los activos de información manteniendo un
entorno seguro para la organización.
Por último, es crucial contar con una respuesta rápida y efectiva ante incidentes de
seguridad, ya que nos permite minimizar el impacto de una posible violación de datos.
En el caso, se representó un desafío, ya que tuvo que abordar los problemas de manera
simultánea y rápida. En este contexto, es importante destacar la importancia de seguir
las pautas establecidas en la norma NCH ISO/IEC 27032 capítulo 12, que se centra en
la gestión de incidentes de seguridad de la información. Esta norma proporciona
directrices valiosas para establecer un marco de respuesta más eficiente ante incidentes
de seguridad. Una respuesta rápida y efectiva ante incidentes de seguridad es
fundamental para minimizar el impacto de violaciones de datos.