VIOLACIÓN DE SEGURIDAD EN TJX1
Enviado por luiscruzc • 9 de Julio de 2020 • Ensayo • 6.184 Palabras (25 Páginas) • 474 Visitas
[pic 1]
[pic 2]
908E03
VIOLACIÓN DE SEGURIDAD EN TJX1
[pic 3]
R Chandrasekhar escribió este caso bajo la supervisión de la profesora Nicole Haggerty únicamente para proporcionar material para la discusión en clase. Los autores no tienen la intención de ilustrar el manejo efectivo o ineficaz de una situación de gestión. Los autores pueden haber disfrazado ciertos nombres y otra información de identificación para proteger la confidencialidad.
Esta publicación no puede transmitirse, fotocopiarse, digitalizarse ni reproducirse de ninguna otra forma ni por ningún medio sin el permiso del titular de los derechos de autor. La reproducción de este material no está cubierta bajo la autorización de ninguna organización de derechos de reproducción. Para pedir copias o solicitar permiso para reproducir materiales, comuníquese con Ivey Publishing, Ivey Business School, Western University, Londres, Ontario, Canadá, N6G 0N1; (t) 519.661.3208; (e) cases@ivey.ca ;www.iveycases.com.
Copyright © 2008, Richard Ivey School of Business Versión de la Fundación: (A) 2017-05-18
[pic 4]
INTRODUCCIÓN
"La compañía recopiló demasiada información personal, la mantuvo demasiado tiempo y confió en una tecnología de cifrado débil para protegerla, poniendo en riesgo la privacidad de millones de sus clientes".
- Jennifer Stoddart, Comisionada de Privacidad, Gobierno de Canadá, el 26 de septiembre de 2007, en
Montreal2
El 12 de noviembre de 2007 fue el primer día para Owen Richel como director de seguridad en la sede de The TJX Companies Inc. (TJX) en Framingham, Massachusetts, EE. UU. Mientras conducía hacia el trabajo, Richel tenía sentimientos encontrados. Estaba entusiasmado con su nuevo papel, pero también aprensivo. Antes del amanecer, había estado revisando algunas de las declaraciones que había resaltado en el informe del Comisionado de Privacidad del Gobierno de Canadá, incluido el comentario de Stoddart, que había sido ampliamente divulgado. Estas declaraciones se referían a lagunas en la seguridad de los sistemas de la compañía. Sabía que los tiempos venideros estarían en problemas.
Cuando Richel aceptó la oferta de TJX dos meses antes, estaba seguro de que estaba haciendo un movimiento profesional inteligente. Como director de información (CIO) de un pequeño minorista canadiense, Richel conocía a TJX como un mega minorista y líder del mercado en una categoría de nicho en América del Norte. También sabía que los piratas informáticos habían golpeado a la compañía en diciembre de 2006. La administración había minimizado el ataque durante la entrevista de trabajo, en la que Richel no pudo obtener ninguna información más allá de lo que estaba disponible en el dominio público. Richel se había movido a firmar con la compañía porque el panel había expresado su confianza en su experiencia en la industria minorista y su capacidad para administrar la seguridad de la tecnología de la información (TI). El puesto también se estaba creando recientemente para él. Richel estaba impresionado. En lo que respecta a la piratería, él
[pic 5]
1 Este caso ha sido escrito únicamente sobre la base de fuentes publicadas. En consecuencia, la interpretación y las perspectivas presentadas en este caso no son necesariamente las de TJX Companies Inc. o cualquiera de sus empleados. Las personas representadas en el caso son ficticias, pero representan representaciones precisas de los tomadores de decisiones y los clientes típicamente involucrados en tales situaciones.
2 Citado en Mark Jewell, "Error de cifrado en la piratería de TJX" USA Today, 27 de septiembre de 2007, disponible en línea en http://www.usatoday.com/tech/news/computersecurity/infotheft/2007-09-26-tjx-encryption-breach_N.htm, consultado el 6 de noviembre de 2007.
Sabía por experiencia que todos los minoristas, grandes y pequeños, eran vulnerables a los ataques y que una de las mejores salvaguardas era el compromiso de alto nivel con la seguridad de TI.
Cuando comenzó a seguir el desarrollo en detalle durante el período intermedio, Richel se dio cuenta de que la escala de intrusión había aumentado. Si bien TJX había dicho que los datos de aproximadamente 46 millones de titulares de tarjetas de crédito y débito se habían visto afectados, una demanda colectiva presentada por las instituciones financieras interesadas a fines de octubre de 2007 había colocado el número en aproximadamente 94 millones. Al considerarlo la mayor violación de datos personales que se haya reportado en la historia de la seguridad de TI, The Boston Globe citó a un profesional de Gartner Inc. diciendo: "Es el mayor atraco de tarjetas de la historia". Ha causado un daño considerable. ”3 Las demandas de los clientes afectados y las instituciones financieras avanzaban rápidamente. La Oficina Federal de Investigaciones (FBI) del gobierno de EE. UU. Ya formaba parte de la investigación interna de la compañía.
Ahora, sentado en su automóvil en el tráfico, a minutos de comenzar su posición en TJX, Richel estaba reflexionando sobre los problemas, varios nuevos para él, con los que tendría que lidiar simultáneamente y rápidamente.
ANTECEDENTES DE LA EMPRESA
TJX fue el minorista de ropa y ropa para el hogar más grande de los Estados Unidos en el segmento de descuento. TJX ocupó el puesto 138 en el ranking de Fortune 500 para 2006. Con ventas de US $ 17.4 mil millones para el año que finalizó en enero de 2007, la compañía era más del triple del tamaño de Ross Stores Inc., su competidor más cercano.
Fundada en 1976, TJX operaba ocho negocios independientes bajo un paraguas común: TJ Maxx, Marshalls, HomeGoods, AJ Wright y Bob's Stores en los Estados Unidos; Ganadores y HomeSense en Canadá; y TK Maxx en Europa. El grupo tenía más de 2,400 tiendas y alrededor de 125,000 asociados.
Como minorista fuera de precio, TJX ocupó el espacio entre los grandes descuentos que venden productos sin marca a precios bajos y las tiendas departamentales o especializadas que venden productos de marca a precios premium. TJX vendió ropa de marca y moda para el hogar a precios entre 20 y 70 por ciento más bajos que los grandes almacenes o tiendas especializadas. Compró mercadería directamente de los fabricantes a precios de mayoreo durante todo el año, en contraste con las tiendas departamentales o especializadas, cuyas compras fueron impulsadas por las tendencias actuales y de naturaleza estacional. También adquirió mercancías de los propios departamentos y tiendas especializadas, que a menudo se veían atrapadas con el exceso de mercancías cada temporada como resultado de cancelaciones tardías de pedidos, plazos de producción perdidos y cambios de programación.
...