Harvard Business Review: Análisis de caso - Incumplimiento de seguridad en TJX (908E03-PDF-

ENG) desde la perspectiva del rol estratégico de TI

Presentación de un análisis del caso HBR Violación de seguridad en TJX (908E03-PDF-ENG)
desde la perspectiva del rol estratégico de TI. Enlace al caso http://hbr.org/product/a/an/908E03-
PDF-ENG?cm_sp=doi-_-case-_-908E03-PDF-ENG&referral=00103
Antecedentes del caso: El director de seguridad de TJX Companies Inc. (TJX) se enfrenta a un dilema en su primer día de
trabajo. La compañía descubrió en diciembre de 2006, una intrusión en la computadora que se remonta a 2005. Hay una
investigación en curso, que involucra a la Oficina Federal de Investigaciones (FBI) sobre los ataques. La compañía también
se encuentra en medio de varias demandas colectivas por las pérdidas sufridas por las instituciones financieras debido a
violaciones de la privacidad de los clientes. El jefe de seguridad tiene que concentrarse en tapar las lagunas en la seguridad de
la tecnología de la información (TI) de la compañía, a corto plazo, y tomar medidas para garantizar a largo plazo que el
ataque no se repita. También tuvo que obtener la administración de TJX para comenzar a considerar la seguridad de TI no
como un problema de tecnología sino como un problema de negocios.

Introducción. 3
I. Descripción del negocio. 3
A. Antecedentes de la empresa. 3
B. Segmento de mercado, Productos y Canales. 3
C. Estrategia empresarial. 3
D. Posición financiera. 4
II. Modelo de las cinco fuerzas competitivas de Porter: 4
III. Rol de la TI y la grilla estratégica. 6
IV. Descripción y breve discusión del tema. 6
A. Seguridad de red inalámbrica inadecuada. 7
B. Falta de seguridad física de los activos en la tienda. 7
C. Falta de cortafuegos. 7
D. Falta de cifrado de datos durante la transmisión. 8
E. Violación de las normas PCI. 8
F. Falta de auditorias regulares. 8
G. Falta de procesamiento de logs. 9
V. MOT triángulo. 9
VI. Recomendaciones

Introducción
TJX es uno de los minoristas de ropa y artículos para el hogar más grande de los Estados Unidos en el
segmento fuera de precio. Los sistemas de TI desempeñan un papel fundamental en la cadena de valor
de los grandes minoristas al permitirles conectarse con sus proveedores y clientes. Este caso analiza la
violación de la seguridad que tuvo lugar en TJX en los años 2005-2006, sus causas e impacto, y las
recomendaciones estratégicas.

I. Descripción del negocio

A. Antecedentes de la empresa
TJX fue fundada en 1976 y operaba ocho negocios independientes en el segmento fuera de precio: T.J.
Maxx, Marshalls, Homegoods, A.J. Tiendas de Wright y Bob en Estados Unidos, Ganadores y
Homesense en Canadá y T.K. Maxx en Europa. En 2006, TJX fue el líder del mercado y el mayor
minorista de ropa y artículos para el hogar fuera de precio en los EE. UU. TJX ocupó el puesto 138 en la
clasificación Fortune 500 para 2006. TJX vendió prendas de vestir de marca y modas para el hogar a
precios entre 20 y 70% más bajos que las tiendas departamentales o especializadas.
B. Segmento de mercado, productos y canales.
TJX opera en el segmento minorista fuera de precio y compró mercadería directamente de los
fabricantes a precios mayoristas, así como también productos en exceso de tiendas departamentales y
especializadas. TJX vende ropa de marca y modas para el hogar a los consumidores a través de sus 2400
tiendas en los EE. UU., Canadá y Europa. Las compañías fuera de precio sirven en un nicho especial en
la industria minorista, aprovechando la volatilidad en la demanda de los consumidores y los errores
cometidos por los diseñadores y puntos de venta minoristas de precio completo para mantener sus
tiendas llenas de nuevos productos de bajo precio. Es el exceso de pedidos y los pedidos cancelados
debido a la imprevisibilidad del mercado, y la incapacidad de los diseñadores y las tiendas minoristas de
precio completo para predecir perfectamente la demanda del consumidor, lo que crea inventarios
excesivos para el consumo fuera de precio.
C. estrategia de negocios
TJX se enfoca en la estrategia de "bajo costo" en el segmento de nicho de venta fuera del precio,
operando entre grandes descuentos que venden productos sin marca y tiendas especializadas que venden
productos de marca y premium. En términos de los posibles tipos de estrategia de negocios de Porter
para lograr una ventaja competitiva, TJX ocupa el espacio de la esquina derecha, ya que opera en un
segmento de nicho con liderazgo en costos. Esta estrategia comercial depende en gran medida del logro
de la eficiencia operativa, las relaciones con los proveedores y la escala.
D. posición financiera
Al revisar los estados financieros de TJX para el año que terminó en enero de 2007, TJX tenía una
sólida posición financiera con ventas netas de $ 17.4 mil millones y una utilidad neta de $ 738
millones. A pesar de su estrategia de bajo precio, TJX genera un ROIC increíblemente alto con un
promedio del 30% durante la última década. Estos altos rendimientos se deben a la estructura de
bajo costo de la compañía y al sólido crecimiento de los ingresos.
II. Modelo de las cinco fuerzas competitivas de Porter:

1. Competidores existentes
Dentro del segmento fuera de precio, TJX está compitiendo con Ross, Big Lots, Target, Kohl's, Sears y DSW.
Mientras TJX domina en el mercado de la costa este de los Estados Unidos, Ross, su competidor más cercano, se
centra en los mercados de la costa oeste. Big Lots (BIG) tiene una cuota de mercado similar a la de las tiendas
Ross y opera 1400 tiendas en 47 estados. Existe una alta rivalidad entre las empresas existentes en la industria
fuera de precio. TJX también se enfrenta a la competencia de minoristas en línea, como Overstock y Bluefly, que
también ofrecen productos de marca de diseñador a precios reducidos y tienen costos operativos más bajos en
comparación con TJX.
2. Amenaza de productos sustitutos
Dado que TJX no tiene un valor de marca propio, sino que se basa en otros productos de marca, existe
una gran amenaza de productos sustitutos, en términos de liquidación o ventas de punto de venta por
parte de los grandes almacenes de marca, que también ofrecen grandes descuentos y atraen a los
clientes. Marca y consumidores conscientes de los precios que TJX apunta. También existe la amenaza
de productos sustitutos de sus competidores como Ross, Target, Sears, Overstock, Bluefly, etc. ya que
prácticamente no hay costo de cambiar a sustitutos.
3. Poder de negociación de los compradores
Dado que TJX tiene una gran base de clientes y no depende de un solo comprador a granel para su
negocio, el poder de negociación de los compradores es bajo.
4. Poder de negociación de los proveedores.
TJX no se basa en una única fuente de proveedores, sino que obtiene sus productos a granel de
diferentes fabricantes y grandes almacenes de marcas. Además, los productos que TJX compra a sus
proveedores son un exceso de inventario que los proveedores están buscando eliminar. Por lo tanto, el
poder de negociación de los proveedores es bajo.
5. Amenaza de nuevos entrantes.
La alta tasa de crecimiento de la industria minorista fuera de precio puede atraer nuevos participantes,
sin embargo, para operar con éxito en la industria minorista fuera de precio, una compañía requiere una
gran inversión de capital para compras a granel de grandes cantidades de inventario de sus proveedores.
, buenas relaciones con los proveedores para asegurar que los proveedores vendan sus productos en
exceso a un precio que sea rentable para el minorista, una red de distribución sólida y un alcance
geográfico con sus clientes y sistemas de TI que faciliten estas conexiones en toda la cadena de
suministro. Todos estos requisitos sirven como barreras importantes para la entrada de nuevos
participantes y, por lo tanto, existe una baja amenaza de nuevos participantes.
III. Rol de TI y Grid Estratégico
La TI juega un papel importante como facilitador de negocios en la estrategia de bajo costo de TJX para
lograr la efectividad operativa, mantener el bajo costo y seguir siendo competitivo. Los sistemas y redes
de TI permiten la transmisión rápida de datos entre proveedores, compradores, comerciantes, asociados
de tiendas, clientes e instituciones financieras, como bancos y otras pasarelas de pago. Las tecnologías
en la tienda, como los quioscos y los escáneres de códigos de barras, aceleran las operaciones y mejoran
el servicio al cliente. Los sistemas de gestión de relaciones con los clientes permiten a TJX identificar y
dirigirse a clientes rentables. Sobre esta base, la tecnología de la información se ubicaría en el cuadrante
"Fábrica" de la red estratégica, ya que proporciona aplicaciones que son fundamentales para sustentar el
negocio existente en las operaciones diarias, pero que no tendrían un gran impacto en su estrategia
principal de venta de productos a precios reducidos.

IV. Descripción y breve discusión de la cuestión

El 18 de diciembre de 2006, TJX se enteró de una violación e intrusión de seguridad en su sistema
informático. Los sistemas que se rompieron se basaron en Framingham y procesaron y almacenaron
información relacionada con tarjetas de pago, cheques y mercancía devuelta sin recibos. TJX comenzó la
investigación interna de inmediato y contrató consultores de seguridad: General Dynamics corporation e IBM.
Luego, TJX notificó a los funcionarios encargados de hacer cumplir la ley e instituciones financieras, tales como
bancos contratantes, compañías de tarjetas de crédito y débito y compañías de procesamiento de cheques sobre la
intrusión. Según el consejo del Servicio Secreto de EE. UU., TJX no reveló la violación de seguridad al público
hasta el 21 de febrero de 2007. La violación de datos afectó a sus clientes en EE. UU. Y Puerto Rico, Canadá y el
Reino Unido, pero TJX no pudo especificar la cantidad de datos que tenía. ha sido violado La brecha de seguridad
expuso múltiples vulnerabilidades en las redes, sistemas y procesos de TI en TJX que se describen a continuación:
A. Seguridad de red inalámbrica inadecuada
TJX estaba usando un débil protocolo de seguridad WEP (Privacidad Equivalente Inalámbrica) para sus
redes inalámbricas dentro de las tiendas, que se puede descifrar en menos de un minuto. WEP no cumple
con los estándares de la industria que requieren el uso del protocolo WPA (acceso protegido a Wi-Fi)
mucho más sólido. Los piratas informáticos habían explotado la red inalámbrica en una tienda de
Marshall para obtener acceso a la base de datos central.
B. Falta de seguridad física de los activos en la tienda
De acuerdo con la semana de información, los piratas informáticos abrieron los quioscos de la tienda y
utilizaron unidades USB para cargar el software en esos terminales y los convirtieron en terminales
remotos que se conectaban a las redes de TJX. Esto plantea el problema de la negligencia, la falta de
supervisión y la protección de los activos físicos de TI en la tienda.
C. falta de cortafuegos
El hecho de que los piratas informáticos pudieron obtener acceso a la red principal de TJX a través de
quioscos manipulados en tiendas falsas, plantea el problema de la falta de cortafuegos para defenderse
contra el tráfico que proviene de los quioscos.
D. Falta de cifrado de datos durante la transmisión
TJX estaba transmitiendo datos a sus emisores de tarjetas de pago sin cifrado, lo cual fue fácil de
interceptar. Además, TJX había declarado en su declaración pública que los piratas informáticos tenían
acceso a la herramienta de descifrado para el software de cifrado utilizado por TJX.

E. Violación de las normas PCI

PCI Data Security Standard 3.2 establece claramente que después de recibir la autorización de pago, un
comerciante no debe almacenar datos confidenciales, como el CVC, el PIN o la información de
seguimiento completo. Los registros de clientes de TJX parecen haber incluido el número del código de
validación de la tarjeta (CVC) y los números de identificación personal (PIN) asociados con las tarjetas
de los clientes.
Los requisitos de PCI esencialmente ponen la responsabilidad de adherirse a sus estándares en la
compañía para las compañías de Nivel 2 y 3 con un cuestionario de autoevaluación anual y
exploraciones trimestrales por parte de un proveedor aprobado. Esto es fácil de violar ya que las
exploraciones de la red se realizan normalmente mediante exploraciones automatizadas por Mcafee y
solo de las redes especificadas por la empresa. No incluye un análisis de la base de datos para verificar si
hay datos sin cifrar. TJX violó los estándares de PCI al retener datos sin cifrar.
Cuando trabajaba como gerente de proyecto para ChemistDirect.co.uk, que es un sitio web de comercio
electrónico, realizamos auditorías mensuales para garantizar el cumplimiento de PCI, especialmente
para las bases de datos maestra y esclava que contenían información del cliente. Antes de la ley de
privacidad de datos en el Reino Unido, los sitios web de comercio electrónico almacenaban la tarjeta de
crédito del cliente y el número CVC. Así que nuestra base de datos contenía esta información para
algunos clientes antiguos. Según la ley de privacidad de datos y los estándares PCI, los sitios web de
comercio electrónico ahora solo pueden almacenar los últimos 4 dígitos de la tarjeta de crédito del
cliente. Así que esta vieja información de la tarjeta de crédito tuvo que ser borrada manualmente de la
base de datos Esto no habría sido encontrado por un escaneo de red automatizado. Por lo tanto, es
responsabilidad de la empresa proteger los datos de sus clientes.
F. Falta de auditorias regulares.
TJX no implementó auditorías de seguridad o de red internas o externas; Esto podría haber sido la causa
de no haber detectado la violación de seguridad durante casi 18 meses. TJX realizó una autoevaluación
anual para el cumplimiento de PCI y se violaron. Tampoco contaba con una estrategia de gestión y
migración de riesgos.
G. Falta de registros de procesamiento
TJX no tenía registros de procesamiento en sus sistemas que fueran necesarios para realizar un análisis
forense del sistema, como cuándo se accedió, qué archivos se agregaron, cambiaron o eliminaron, etc.,
lo cual es muy importante al procesar millones de transacciones.
V. MOT triángulo
La estrategia comercial (misión) de TJX es ser una compañía global de valor fuera de precio al
desarrollar sus negocios gradualmente y proporcionar una base segura y una infraestructura sólida. En
términos de estrategia de información, TJX tenía los sistemas de TI necesarios para habilitar el negocio
a través de redes que permiten la gestión de relaciones con proveedores.

VI. Recomendaciones
Para alinear la estrategia de la organización con la estrategia de negocios y la estrategia de información,
la administración de TJX deberá centrarse seriamente en establecer una estrategia de gobierno,
mitigación de riesgos y gestión de TI. El plan de acción para el futuro inmediato debe contener la
violación de la seguridad e implementar los pasos para corregir las vulnerabilidades. En primer lugar,
TJX debe actualizar su protocolo de seguridad de red a WPA en todas las ubicaciones de sus tiendas.
TJX también debe asegurar sus activos físicos para garantizar que no puedan ser manipulados. Deben
estar ubicados cerca de cámaras de seguridad o registros de la tienda para garantizar una vigilancia
constante. TJX debe implementar firewalls para controlar el acceso de los quioscos al sistema. TJX
debería considerar la implementación de una arquitectura de tres niveles en la que la capa de base de
datos esté completamente separada de la capa de aplicación a la que tienen acceso los kioscos. TJX
también debe utilizar un algoritmo de cifrado sólido como MD5 (Message Digest 5) o AES (Advanced
Encryption Standard) para almacenar y transmitir cualquier información. Tampoco debe almacenar
datos de clientes que no sean necesarios o que estén en contra de los estándares PCI. TJX debe
garantizar que los registros de proceso y acceso se mantengan en todos y cada uno de los sistemas.
A nivel organizativo, TJX debe crear procedimientos formales para la gestión de riesgos y utilizar una
matriz RACI (Responsable, Responsable, Consultado e Informado) para asignar responsabilidades
clave, como exploraciones y actualizaciones de seguridad de la red, auditorías internas de PCI,
exploraciones de firewall y garantizar que estas actividades Se llevan a cabo según lo previsto. TJX
también debería considerar realizar auditorías de seguridad de TI independientes en forma trimestral. Un
proceso efectivo de administración de riesgos proporcionará costos de operación reducidos,
previsibilidad, transparencia y confianza, evitando violaciones de seguridad y capacidades mejoradas.
Debe llevarse a cabo una capacitación en toda la organización para aumentar la conciencia sobre la
importancia de las medidas básicas de seguridad de TI, como no compartir contraseñas o dejar los
sistemas informáticos desbloqueados, para evitar violaciones de seguridad internas. La administración
debe promover las recompensas de los empleados por exponer sistemas de TI o vulnerabilidades de red.
En Accenture, donde trabajé, cada equipo de proyecto tiene un "monitor de seguridad" que está a cargo
de informar el incumplimiento de las políticas, como el intercambio de contraseñas internas o dejar las
computadoras del trabajo o las computadoras portátiles desbloqueadas. La administración de TJX debe
impulsar la estrategia organizacional para que un marco de TI seguro cumpla con sus objetivos
estratégicos.