TJX Security Breach

La seguridad de la informacin requiere una

tecnologa de proceso fuerte y eficaz - todos basados
en una slida comprensin de los negocios de la
organizacin es en y cmo que realiza negocios ".
TJX no se dio cuenta de esto y las consecuencias
resultantes y sufri de una severa infraccin de
Sistemas de Informacin.
Esta presentacin explora la brecha de seguridad en
TJX, presentando diversos resultados de los anlisis,
las posibles soluciones al problema que enfrentan los
TJX y solucin recomendada definido.

Introduccin
 Fue TJX traje les en 1976 y fue uno de los principales compaa
de ropa y moda para el hogar en los Estados Unidos.
negocios independientes TJX controlados ocho y ms de 2.400
tiendas y 125.000 socios aproximadamente.
Estas empresas estaban TJ Max, Marshalls, HomeGoods, AJ
Wright & Tiendas de Bob, ganadores, HomeSense, TK Maxx.
TJX Fue Opciones admin: Lista oficial de 138o en la lista
Fortune 500 Ranking 2006.
Dirty TJX HAD hasta 17.4 mil millones para el ao que termin
el 01 2007 y el triple del tamao de Rose Fue Stores Inc, hay
mayor competidor.

Acerca de TJX
 En diciembre 2006 la compaa ha fue alcanzado por los
piratas informticos.

18 de diciembre 2006 la empresa se enter de la piratera

con la presencia de software sospechoso.

21 de diciembre: confirm los sistemas informticos de la

compaa que ha-sido invadido.

21 de febrero 2007 anuncio pblico hecho TJX del

calendario y el alcance de la intrusin.

08 2007 TJX haba reservado un costo de $ 168 millones

para la violacin de los datos.

21 de septiembre 2007 La compaa haba entrado en un

acuerdo de liquidacin.

Summary Contd
 Abril de 2004, la empresa practica cifrado
para almacenar informacin.

Julio de 2005, el primer acceso no

autorizado, un hack inalmbrico en
Minnesota.

03 de abril 2006 el sistema de Framingham

enmascaraba PIN de tarjetas y Una parte de
la informacin de verificacin de transicin.

Resumen de Eventos
 Violacin masiva de seguridad TJX en
infraestructura de tecnologa de
informacin causada por el cifrado dbil
resultante y en la obtencin de los
usuarios no autorizados acceder a los
datos confidenciales de clientes

Planteamiento del problema

 Los datos sobre las transacciones que se remontan a 2002 fue robado de su
sistema.
Tecnologa de encriptacin dbil utilizado para la transferencia de datos.
Presencia de software sospechoso en el sistema (esp. Seccin de la red de
pago)
La violacin de los cdigos de PCI-DSS (9 de 12)
La falta de supervisin de la red.
La falta de registros.
El sistema fue empresas en infraccin de seis maneras diferentes.
El auditor no se percat de los problemas con tres teclas de sistemas de TJX.
Unidades USB contena un programa de utilidad que permiten al intruso o
intrusos toman el control de estos kioscos informticos.

Factores Claves
 PEST
Anlisis (Macro - Ambiental)
Fuerzas sociales ms amplias que
afectan el medio ambiente en todo el
micro
SWOT
Anlisis (Micro - Ambiental)
Los actores que estn cerca de la
empresa y afectar la capacidad de la
compaa para servir a los clientes de
las TIC

Analisis de Caso
 Instalar una Red de Monitoreo / Software de
Gestin por ejemplo NetMon
ventajas

Realizar investigaciones sobre abuso de los empleados

Recibe alertas sobre el acceso no autorizado a la red

Eliminar la filtracin de informacin confidencial

Frente o para exceder industria Federal, o los requisitos
de cumplimiento de la agencia para el mantenimiento de
registros de transacciones y comunicaciones

Solucion
 El uso de la mejor tecnologa disponible Dentro de
una categora especfica
-encryption, Kioscos, Wireless
ventajas

Excelentes resultados en la categora especfica

Eficientemente corri negocio

Desventajas

Contramedidas poderosos pueden daar debido al

sistema, por ejemplo TJX

Solucion
 Diseo y gestin de bases de datos utiliza
tcnicas.
(Sistema de Registro de disparadores)

ventajas

Validacin de Usuario
Prevencin del acceso a los objetos de la base

Desventajas

El anlisis forense lisiado Sistemas

 Mejor Solucin Alternativa

Fortalecimiento de la Seguridad en la Red

 Solucin recomendada

Desarrollar e implementar
una poltica de informacin
efectiva de seguridad que es
una combinacin de las
soluciones alternativas
enumerados.
Sistema de Monitoreo de
Redes

Mejor tecnologa disponible

Dentro de la categora
Diseo y Gestin de Base de
Datos Tcnicas

Solucin Recomendada

Sistema de Monitoreo
de Redes
Traffic Monitor
El acceso al software
del monitor
Cumplir con los
requisitos de PCI-DSS

Solucion Recomendada
 Mejor tecnologa Dentro de una categora especfica
Encryption

No utilice clave de descifrado de proveedor de software

Emplear cifrado en todos los puntos en las transacciones

Cambiar teclas Regularmente

Proteccin de hardware (cerraduras, etc.)

sin hilos
En lugar de WPA WEP