🔴 (AC-S14) Semana 14 - Tema 01:

Tarea - Caso 3 Incumplimiento de

seguridad en TJX

Autores:
• Amel Roger Caso Esteban
• Karen Mabel Gago Miranda
• Noelia Soledad Miranda Corilloclla

Instructor:
• Jose Yony Adrianzen Masias

2023-Julio
A. ¿Qué aspecto(s) consideras clave(s) de la falla en la seguridad de TJX que requieren atención? 

Como se aprecia en el caso, el problema de seguridad puntual fue que la empresa, a pesar de contar con un sistema y prácticas de
encriptación de datos estándar, tenía ciertas debilidades en el sistema inalámbrico de los controladores de sus tiendas al momento de
procesar transacciones (POS).
Durante esos breves momentos los ladrones usaban una laptop con antena para acceder a la red inalámbrica y obtener la información
(transacciones, cuentas de usuarios de la empresa, información de tarjetahabientes, etc.) ya decriptada.
Otro punto de acceso débil al sistema corporativo era mediante el acceso físico a los Kioskos electrónicos en las mismas tiendas
(introduciendo físicamente una memoria USB).
Además, la empresa presentaba debilidades en tema de seguridad, siento altamente vulnerable a cualquier ataque cibernético.
Posteriormente, invirtió más de 200 millones para lidiar con el robo de sus datos.

Si bien podemos analizar el caso a partir desde que Richel aceptó la oferta de TJX dos meses antes, estaba seguro de que estaba
haciendo una inteligente carrera, como director de información (CIO) de un pequeño minorista canadiense, el conocía a TJX como un
mego minorista y líder de mercado en una categoría de nicho en América del Norte. También era consciente de que la compañía había
sido atacada por piratas informáticos en diciembre del 2006. La administración había minimizado el ataque durante la entrevista de
trabajo, en la que Richel no podía obtener información más allá de lo que estaba disponible en el dominio público, se había movido
para firmar con la compañía porque el panel había expresado confianza en su experiencia en la industria minorista y su capacidad
para gestionar la seguridad de la tecnología de la información (TI). La posición también se estaba creando para él; entonces estaba
impresionado. En cuanto a la piratería, sabía por experiencia que todos los minoristas, grandes y pequeños, eran vulnerables a los
ataques y que una de las mejores garantías era el compromiso de alto nivel con la seguridad de TI, cuando comenzó a rastrear el
desarrollo en detalle durante el período interino, Richel se dio cuenta de que la escala de intrusión había aumentado; si bien TJX había
dicho que los datos de aproximadamente 46 millones de titulares de tarjetas de crédito y débitos e habían visto afectados, una
demanda colectiva presentada por las instituciones financieras interesadas, a fines de octubre de 2007, había colocado el número en
unos 94 millones. The Boston Globe, al llamarlo la mayor violación de datos personales que se haya reportado en la historia de la
seguridad de TI, citó a un profesional de Gartner Inc. diciendo: "Este es el mayor robo de tarjetas de todos los tiempos. Ha hecho un
daño considerable” . Las demandas de los clientes afectados y las instituciones financieras avanzaban rápidamente, la Oficina Federal
de Investigaciones (FBI) del gobierno de los Estados Unidos ya formaba parte de la investigación interna de la compañía. Ahora,
sentado en su automóvil en el tráfico, a minutos de comenzar su posición en TJX, Richel estaba reflexionando sobre los problemas,
varios nuevos para él, con los que tendría que lidiar de manera simultánea y rápida.

Por lo cual considero que la empresa TJX sabiendo que es una empresa grande debió invertir con mayor firmeza en la
TECNOLOGIA- Seguridad informática, porque si bien es cierto la tecnología no permite sistematizar la información y optimizar el
tiempo en los diferentes procesos ya sea de pago, compras, transacciones etc. Todos los sistemas de datos de nuestros clientes
corren riesgo y están expuestas a una red de fraude que duplican las tarjetas para extraer sus dineros o emplearlas para las compras
excesivas perjudicando al dueño de dicha tarjeta.
En análisis de lo que se requiere atención y porque:
• No se monitoreaba correctamente las redes que poseía, ya que de esa manera no podían identificar algún posible ataque.
• No contaban con políticas establecidas de TI para poder garantizar la seguridad en la compañía.
• No contaban con una tecnología de encriptación para la transferencia de datos del sistema inalámbrico, ya que la compañía TJX si
bien es cierto mostraba la información de los pagos, pero no encriptaba los datos de las tarjetas y esto es muy peligroso porque los
intrusos podían interceptarlo.
• No ejecutaban la política de seguridad en su inventario en las tiendas y de esa manera los colaboradores (trabajadores) podían
haber insertado un dispositivo USB y se podían cargar el software y conectarse a la misma red, lo que hacía que fuese vulnerable
ante los posibles ataques.
• Faltaba implementar los Firewalls modernos.

A continuación mostramos un cuadro, donde se detalla las causas del ataque:

Las principales causas del ataque
Causas
No contaba con tecnología integral de encriptación para la los datos de las tarjetas de crédito, lo cual fue fácilmente
transferencia de datos del sistema inalámbrico (POS).
La ausencia de un monitoreo a sus redes.
No contaba con registro de procesamiento
No contaba con un auditor externo que identificara los
riesgos a los que estaba expuesto.
Violación de los códigos de PCI-DSS
Falta de seguridad en los assets de la tiendas
Inadecuado uso del Wireless en sus redes
Falta de implementación de firewalls.
Carencia de políticas y procesos de seguridad informática
Descripción
TJX transmitía la información de los pagos y no encriptaba
interceptado por los hackers. Además aplicaban
inyecciones de SQL a las base de datos
TJX no contaba con programas de monitoreo en sus redes
por lo tanto no podía identificar ningún posible ataque.
TJX no tenía ningún registro de procesamiento. Esto
hubiera permitido realizar un análisis forense del análisis
de las transacciones del sistema y saber los accesos, que
tipo de documento se agregaron cambiaron o borraron.
Este log se debe tener cuando se manejan tal volumen de
información.
TJX no realizaba auditorias regulares en el área de TI.
Esta podría haber sido la causa que no se hayan
detectado a tiempo las vulnerabilidades en seguridad
informática. Además, no contaba con un plan de riesgos ni
de mitigación del mismo.
Según el estándar de PCI claramente indica que después
que la autorización de pago es recibida, los datos no
deberían ser almacenados como CVC, PIN asociados con
las tarjetas de créditos.
Sin embargo, TJX violo la política reteniendo dicha
información sin encriptarla.
TJX no contaba con una política de seguridad del
inventario tecnológico en sus tiendas.
Los empleados podían insertar un USB y de esta manera
se podía cargar software en cualquiera de las terminales y
conectarse a su red, volviéndola vulnerable.
TJX adoptó un protocolo de seguridad WEP en sus
tiendas. Cuando los códigos de barras de productos son
escaneados a través de su punto de venta se emite
transmisiones inalámbricas entre el escaneo y los
receptores de datos en las tiendas y a través de red
corporativa.
Sin embargo estas podrían ser hackeadas en minutos ya
que WEP no satisfacía los estándares de seguridad que
requiere el uso de un protocolo más potente para los WAP
(Wifi Protected Access). Ver gráfico:
No contaba con firewalls suficientes en su red interna y
externa.
No se contaban con políticas y procesos definidos de TI
para garantizar la seguridad informática dentro de la
empresa.
B. ¿Cómo debería mejorar y fortalecerse la seguridad informática de la empresa? (Proponer topología de
implementación) ¿Cuáles son sus prioridades a corto plazo y sus planes a largo plazo? 
  
Para mejorar y fortalecer la seguridad informática en una tienda minorista, se pueden implementar las siguientes medidas:

1. Actualizaciones y parches: Mantener actualizados los sistemas operativos, aplicaciones y dispositivos de la tienda con
los últimos parches de seguridad. Esto ayudará a corregir posibles vulnerabilidades conocidas.
2. Firewall y protección de red: Implementar un firewall de red para controlar el tráfico entrante y saliente, y configurarlo
adecuadamente para bloquear conexiones no autorizadas.
3. Seguridad de la red inalámbrica: Utilizar cifrado de red para proteger la conexión Wi-Fi de la tienda y establecer una
contraseña segura para evitar el acceso no autorizado.
4. Segmentación de red: Dividir la red en segmentos separados para limitar el acceso a los sistemas y datos críticos. Esto
ayudará a contener cualquier posible intrusión o ataque.
5. Autenticación y control de acceso: Implementar una política de autenticación sólida, como el uso de contraseñas fuertes
y multifactoriales, y limitar el acceso a los datos y sistemas solo a empleados autorizados.
6. Monitoreo de actividad: Establecer sistemas de monitoreo y registro de actividad para identificar y analizar posibles
amenazas o brechas de seguridad en tiempo real.
7. Educación y concientización: Capacitar regularmente a los empleados sobre buenas prácticas de seguridad informática,
como la identificación de correos electrónicos de phishing y la protección de información confidencial.
8. Respaldo y recuperación de datos: Implementar un plan de respaldo regular y seguro de los datos críticos de la tienda,
así como un plan de recuperación en caso de incidentes de seguridad o pérdida de datos.

Recordemos que la seguridad informática es un proceso continuo, por lo que es importante realizar evaluaciones regulares
y actualizaciones de seguridad para mantenerse protegido contra las amenazas en constante evolución.

Asimismo, es importante implementar medidas para fortalecer y mejorar la seguridad informática por varias razones:

9. Protección de datos: Las medidas de seguridad informática ayudan a proteger los datos sensibles y confidenciales de la
empresa, como información financiera, datos de clientes y datos de empleados, y evitan su acceso no autorizado, robo
o manipulación.
10. Prevención de ataques cibernéticos: La implementación de medidas de seguridad informática ayuda a prevenir ataques
cibernéticos, como ransomware, phishing y ataques de denegación de servicio (DoS). Estos ataques pueden tener un
impacto significativo en la operación de la empresa y en su reputación.
11. Cumplimiento de regulaciones: Muchas industrias y países tienen regulaciones específicas sobre la protección de datos
y la seguridad informática. Implementar medidas de seguridad ayuda a cumplir con estas regulaciones y evitar posibles
sanciones legales.
12. Confianza del cliente: La seguridad informática adecuada es fundamental para mantener la confianza de los clientes.
Los clientes desean saber que sus datos personales están protegidos y que están realizando transacciones en un
entorno seguro.

En resumen, la implementación de medidas de seguridad informática es esencial para proteger los datos, prevenir ataques
cibernéticos, cumplir con las regulaciones y mantener la confianza de los clientes.
Topología de implementación

Las prioridades a corto plazo para mejorar la seguridad informática en una tienda minorista podrían incluir:

1. Evaluación de riesgos: Realizar una evaluación de riesgos para identificar las posibles vulnerabilidades y riesgos de
seguridad en la infraestructura de TI de la tienda.
2. Actualizaciones de software: Asegurarse de que todos los sistemas y aplicaciones estén actualizados con los últimos
parches de seguridad para evitar posibles ataques.
3. Implementación de medidas básicas de seguridad: Establecer contraseñas fuertes, limitar el acceso a datos sensibles,
implementar un firewall y configurar políticas de seguridad adecuadas.
4. Concientización y capacitación de los empleados: Capacitar a los empleados sobre las mejores prácticas de seguridad
informática, como el reconocimiento de correos electrónicos de phishing y la protección de la información confidencial.

Por otro lado, los planes a largo plazo para fortalecer la seguridad informática en una tienda minorista podrían incluir:

5. Implementación de soluciones de seguridad avanzadas: Considerar la implementación de soluciones de seguridad más

robustas, como sistemas de detección y prevención de intrusiones (IDS/IPS), sistemas de gestión de seguridad de la
información (ISMS) y soluciones de gestión de vulnerabilidades.
6. Monitoreo continuo: Implementar herramientas de monitoreo de seguridad para detectar y responder rápidamente a
posibles amenazas o incidentes de seguridad.
7. Auditorías de seguridad regulares: Realizar auditorías de seguridad periódicas para evaluar el estado de la seguridad
de la tienda y detectar posibles brechas o debilidades.
8. Mantenerse actualizado sobre las últimas amenazas y soluciones de seguridad: Mantenerse informado sobre las
nuevas amenazas de seguridad y las soluciones disponibles para adaptar y mejorar continuamente las medidas de
seguridad.
Es importante destacar que estas prioridades y planes pueden variar según las necesidades y recursos específicos de la
tienda minorista.
C. ¿TJX fue víctima de ingeniosos delincuentes cibernéticos o creó sus propios riesgos?

La empresa TJX si tenía un sistema de tecnología de la información (TI) de protección cibernético pero no existía un control o
monitoreo de las mismas y con lo ocurrido se refleja que en su implementación se omitió algunos detalles importantes y
estrategias precisas para evitar la intrusión, el sistema de encriptación era débil por lo que no se logró el objetivo de la
ciberprotección.

Los datos personales de los clientes principales de la empresa TJX fueron vulnerados y se puso en riesgo su protección
económica principalmente, los intrusos fueron más ingeniosos y decidieron realizar el ataque cibernético durante picos altos de
ventas en las diferentes tiendas minoristas fuera de precio, realizaron una piratería en un segmento de red de computadoras que
conectaba los diferentes negocios que maneja la empresa. También como debilidad en la empresa TJX era que los firewalls de
su red principal no tenía una configuración para protección o políticas de bloqueo contra el tráfico proveniente de los quioscos de
tienda que manejaban , así como no realizaron un mantenimiento a la base de datos de transacciones que fueron concluidas en el
año 2002.

La falta de seguridad a la información de los clientes durante el proceso de devolución de mercadería que no tenían los recibos y
por lo cuál tuvieron que presentar una cantidad considerable de información a la empresa para iniciar el trámite de devolución por
transacción fue clave para los delincuentes cibernéticos en acceder a su información de la tarjeta y poder trabajar con esta red de
fraude diversificada encargada de fabricar tarjetas de créditos falsas con la que se les permitía comprar varias tarjetas de regalo
por una cantidad especifica y con esta técnica realizar la estafa; para esta modalidad los clientes al percatarse de las operaciones
en sus cuentas bancarias ellos mismos realizaron el reporte con el banco para que procedan al bloqueo y anulación de la tarjeta
al aún darse cuenta del origen del problema.

¿Cómo organizaciones inteligentes y confiables se involucran en este tipo de situación?

Durante la detección de la intrusión por parte de TJX realizaron el reporte a consultores confiables para requerimiento de soporte
como: IBM corporation, Servicios Secretos de EE.UU, Entidades financieras involucradas; pero los ataques de estos
ciberdelincuentes fue muy predominante ya que imposibilitó conocer la naturaleza real de la información sustraída, a causa de la
tecnología utilizada por estos hackers. En el caso de IBM estos consultores de seguridad reportaron que los intrusos se
encontraban aún en los sistemas, en el lado de los Servicios Secretos de EE.UU solicitaron mantener la confidencialidad a la
empresa para las investigaciones en curso y para las entidades financieras u compañías bancarias se encargaron de las
operaciones necesarias con la notificación de la intrusión en tarjetas de crédito, débito y cheques de los usuarios.

Los sistemas como Framingham y Watford que maneja TJX fue vulnerado en diversos puntos de ataque, según las
organizaciones inteligentes destacaron los siguientes en sus informes: el cifrado, el ataque inalámbrico, las unidades USB en los
quioscos de las tiendas , procesamiento de registros, y el cumplimiento de prácticas de auditoría.
Los sistemas como Framingham y Watford que maneja TJX fue vulnerado en diversos puntos de ataque, según las
organizaciones inteligentes destacaron los siguientes en sus informes: el cifrado, el ataque inalámbrico, las unidades USB en los
quioscos de las tiendas , procesamiento de registros, y el cumplimiento de prácticas de auditoría.

Por un lado, en análisis de TJX el tema del CIFRADO consistía en proteger la información de las tarjetas de créditos para las
transacciones de comercio electrónico y donde los intrusos podrían haber aprovechado la oportunidad de acceder a la
herramienta y descifrado para el software de cifrado (WEP). En análisis de Wall Street Journal sugirió que el ataque se debió a
causa de HACKEO INALÁMBRICO donde los delincuentes accedieron a la base de datos central con una computadora portátil y
obtuvieron información de transacciones, cuentas de los usuarios, la información de sus tarjetas bancarias. Estos hackers se
crearon cuentas falsas en TJX y durante sus operaciones fraudulentas se dejaban mensajes cifrados con el fin de comunicarse
para indicar que archivos ya habían sido copiados y evitar doble trabajo.

Según InformationWeek sugirió que la filtración de los datos se debió a que en los quioscos en la tienda se introducían
físicamente unidades USB con los cuáles los intrusos pudieron tomar el control remoto y conectarse a la red débil de TJX. En
referencia a su procesamiento de registros se presentó un dato por parte de los bancos que casi 94 millones de tarjetas estaban
expuestas al riesgo y se concluyó que no tenían la data necesaria para una metodología forense.

Por otro lado, se tiene el incumplimiento de normas de seguridad según los Estándares de Seguridad de Datos de la Industria de
Tarjetas de Pago (PCI DSS) donde resaltaron que TJX en la encriptación de la información no cumplió con nueve de los doce
requerimientos que cubrían el cifrado, los controles de acceso y firewalls. Además, bajo el chequeo de PCI DSS los auditores
detectaron tres problemáticas con los sistemas: la falta de monitoreo de la red, de registros y la presencia de datos no cifrados
almacenados.

D. ¿Qué lecciones me llevo de este caso?  

• Una lección es que una empresa debe de capacitar a todos sus empleados para que cuando sufran un ataque de seguridad,
sepan como actuar, de igual forma tomar las primeras acciones y comunicar inmediatamente al área el cual se encarga del
sistema de seguridad y de esa manera se evitarían los posibles ataques o pérdida de información valiosa. En la capacitación
se debe priorizar una concientización sobre seguridad cibernética, ataques de ingeniería social, para sus empleados.

• Se tiene que implementar la metodología forense en la empresa TJX ya que este le permitirá a la empresa un enfoque
holístico-práctico con la finalidad de reducir el número y gravedad de las vulnerabilidades en el software, para el caso de que
se genere una intrusión esta metodología consta de procesos de investigación de evidencia digital en la que interviene la
evaluación, recolección, preservación, análisis y examen, documentación y reporte ; esta evidencia de la red de computación
será aceptable en un procedimiento legal o administrativo. Además existen algunas herramientas técnicas como programas
que se pueden considerar para poder recuperar información robada, archivos perdidos, entre otros. Esta técnica servirá como
plan de contingencia ante eventuales incidentes y de esa forma minimizar el daño de la imagen corporativa.
• Se debe implementar medidas preventivas con el objetivo de poder minimizar los riesgos como fallas en los firewalls, los cuáles
son la primera línea de defensa contra los ataques cibernéticos, estos permiten o bloquean la red de tráfico específica en función
del conjunto de reglas de seguridad que sigue. Deben considerarse seguridad de redes con firewalls de nueva generación que
abordan dos limitaciones de versiones anteriores fundamentales: la incapacidad para inspeccionar la carga útil del paquete y la
incapacidad para distinguir entre tipos de tráfico web.

• Se deben aplican análisis de vulnerabilidades que permitan la comprobación de seguridad de los hosts y red ya que estos
permiten identificar las áreas sensibles que pueden sufrir de un ataque y se tenga alternativas para evitarlos.

• La empresa TJX debe trabajar con los objetivos de control en el marco de la NTP IEC 27001 2014 para implementar políticas de
seguridad de la información que soporten las operaciones de sus actividades de ventas.

• Para mantener un trato de fidelidad con el cliente se debe priorizar la protección de sus datos personales ya que esta información
es un activo importante en la organización, en el tema del cifrado tuvieron fallas en su ejecución la encriptación no solo consiste
en convertir los datos no reconocibles o legibles sino también que es importante que se utilice junto con otro métodos para
garantizar la seguridad, así como contar con un respaldo con acceso restringido y protegido por capas. Además, como
mecanismo de defensa se debe considerar el uso y actualización de forma constante de antivirus en todas las tiendas, para esta
información sensible y confidencial se debe almacenar en dispositivos que no tengan una conexión a redes.

• Para el caso de la información confidencial de los clientes se debe asegurar una eliminación de datos de forma segura, una vez
que la información de ciertos clientes ya no sea necesaria mantener almacenada se debe recurrir a diferentes métodos que
permitan una irreversibilidad del proceso, es decir que los datos no puedan volver a ser recuperados por ninguna posibilidad.

• Como medidas de ciberprotección del ISO 27032 del servidor se debe optar por realizar seguimientos del desempeño de
seguridad a través de revisiones de registros de auditoría, así como verificar la configuración de seguridad, aplicar controles anti
software malicioso.

• Se deben habilitar bloqueadores de script, de esa forma asegurar una configuración de seguridad web más alta con el objetivo de
que solo se ejecuten en un computador local los script que provengan de fuentes confiables.
• Como aprendizaje no se ejecuto en este caso los 3 pilares de tecnología de la información los cuáles son: Confidencialidad,
Integridad y Disponibilidad; en el caso de la confidencialidad no se mantuvo protegida la información sensible de los clientes
debido a que no se tomaron acciones preventivas suficientes como para que esté accesible solo a personal autorizado; para el
tema de la integridad no se limitaron los accesos por capas de protección; por el lado de la disponibilidad cuando se requería
información de clientes no se podía determinar las cantidades reales ya que no se tenía un respaldo de la misma.

• El omitir la mayoría de normas de seguridad de PCI DSS como desarrollar sistemas seguros, rastrear y supervisar todos los
accesos y recursos, y los datos del titular de la tarjeta.

• El control de las auditorías fue deficiente porque no se pudo detectar y reportar algunos problemas clave antes del ataque que
existía ausencia de monitoreo de red, ausencia de registros y presencia de datos no cifrados en el almacenamiento.
• En el software que maneja la empresa TJX se debió considerar tener contraseñas difíciles de descifrar en todas las cuentas
donde se involucren caracteres de puntuación, alfabéticos no manejados en EE.UU; lo que llevará a que la amenaza sea más
lenta.
• Considerar parches de seguridad recientes en los sistemas que se manejan.
• Se debería fortalecer el sistema de comunicación usando VPN que permitan la encriptación desde origen a destino y cuando el
hacker proceda a intervenir no podrá ser capaz de interpretar esos datos.
• Se debería optar alternativas como implementar equipos sniffer que se encargan de interceptar en la red interna LAN los
comportamiento riesgosos o ataques asociados a accesos indebidos de información con la finalidad de tener una detección
temprana.
• Se debe optar por involucrar en sus procedimientos auditorías externas en cada período trimestral o según el negocio, así como
contar con un plan de prevención de exposición a la opinión pública en caso se suscite un incidente como la piratería informática.
• Se debe realizar respaldos constantemente o de forma periódica mediante un proveedor o por la misma empresa.
• Monitorear las actividades de actualización de hosting y dominio de los activos de la empresa.
• Trabajar en implementar un plan de tratamiento de riesgos en el que se involucre parámetros de respuesta como la eficiencia en
la respuesta, eficacia en la respuesta, exposición y capacidad de implementación de la respuesta. La priorización de respuesta
del riesgo debe ser en base a un nivel actual de riesgo y su relación costo/beneficio.
• Ejecutar pruebas de ingeniería social como pruebas de penetración.
• La empresa debe medir el desempeño de su sistema por medio de indicadores que se revisen periódicamente para analizar el
progreso y detectar desviaciones.
• Se debe implementar un Sistema de Gestión de Seguridad de la Información mediante el Ciclo de Deaming donde se involucre lo
siguiente en conjunto a los colaboradores:

 PLANEAR: Se debe establecer objetivos y procedimientos necesarios para conseguir resultados de acuerdo a los
requisitos del cliente y políticas para la empresa. Aquí se analiza el sistema, se enfoca en la política de seguridad y se
evalúan los riesgos.

 HACER: Se procede en la implementación de los procesos. Aquí se involucra la gestión de documentación, se enfocan
en la comunicación, la gestión de incidentes así como se capacita y sensibiliza a los colaboradores.

 VERIFICAR: Se debe realizar el seguimiento y procesos respecto de las políticas e informar los resultados. Aquí se
involucra las auditorías internas, se supervisa, mide, analiza y evalúa.

 ACTUAR: Se toman acciones para una mejora continua del desempeño del sistema, se involucran las no conformidades
para trabajar sobre ello y aplicar métodos de mejora continua.

Por lo anterior descrito, se concluye que hubo una alta probabilidad de violación contra leyes específicas de protección al consumidor
por lo que se desencadenó una serie de acciones colectivas en cortes estatales contra la empresa TJX, ellos debieron
anticipadamente considerar el alto costo de la inadecuada manipulación de información sensible y las consecuencias que traería en
un corto y largo plazo mediante un PDCA, la pérdida de prestigio y daño de imagen corporativa, las compensaciones por sustracción
de dinero por piraterías de los hackers. Entonces hay una gran importancia en trabajar sobre mantener eficientemente la política de
seguridad para el resguardo de información valiosa así como optar por invertir en metodologías que son menos costosas que un
ataque cibernético.