CasoDeEstudo DIREITO DIGITAL E CRIMINALÍSTICA COMPUTACIONAL

•

ESTÁCIO

Atila Silva

20/05/2018

Prévia do material em texto

Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860

www.hbrreprints.org

Como a equipe da
Flayton Eletronics
deveria responder à
crise?

Quatro comentaristas
oferecem conselhos de
especialista.
ESTUDO DO CASO HBR E COMENTÁRIO

Chefe, Acho que
Alguém Roubou
Nossos Dados do
Cliente
por Eric McNulty
•

Reimpressão R0709A
harvard business review • setembro de
2007
página
1

C
O
P
Y
R
IG
H
T
©
2
0
0
7
H
A
R
V
A
R
D
B
U
SI
N
E
SS
S
C
H
O
O
L
P
U
B
L
IS
H
IN
G
C
O
R
P
O
R
A
T
IO
N
.
T
O
D
O
S
O
S
D
IR
E
IT
O
S
R
E
SE
R
V
A
D
O
S.

A Flayton Eletronics aprende que a segurança de seus dados do
cliente foi comprometida - e encara decisões difíceis sobre o que
fazer depois.

ESTUDO DO CASO HBR

Chefe, Acho que
Alguém Roubou
Nossos Dados do
Cliente
por Eric McNulty

Brett Flayton, Presidente Executivo da Flayton
Electronics, fitou atentamente um memorando
perturbador em sua mesa do chefe do serviço de
segurança da firma. Passando as mãos pelos
cabelos quase brancos em sua cabeça, ele não
parecia diferente de seu pai quando criou as
primeiras câmeras e aparelhos de som da Flayton a
25 anos atrás.
A situação da segurança havia chamado a
atenção de Brett pouco antes das nove na noite
anterior. Em seu caminho para a casa depois de
uma reunião de fornecedores, ele estava
descansando em uma poltrona na sala de
embarque. Ele mal havia aberto a Electronics
News quando seu celular tocou. Era Laurie
Benson, vice-presidente de prevenção de perdas.
"Brett, temos um problema. Pode ter havido
uma violação nos dados". Laurie, uma ex-
investigadora da polícia de Chicago rigorosa, mas
educada, era responsável pela segurança da
Flayton por quase três anos. Ela tinha o histórico
impressionante de reduzir roubos nas lojas
enquanto cria relações
produtivas com escolas locais, grupos da
comunidade e aplicação da lei.
"Que tipo de violação"? Brett perguntou. Seu
tom era calmo, como sempre, mas ele verificou a
sala para ter certeza que ninguém pudesse ouvir
por acaso.
"Ainda não tenho certeza", Laurie admitiu. "Eu
fui contactada pelo Union Century Bank. Eles
examinam suas contas fraudulentas para parceiros
regularmente e nós aparecemos como um ponto de
compra comum para um número de cartões ruins
acima da média. Eles estão recolhendo mais
informações, mas eu achei que você gostaria de
saber logo". Pode não ser nada - ou pode ser
importante".
Brett se lembrou das histórias de jornal que
havia lido sobre laptops roubados com relatórios
de veteranos armazenados e hackers tentando
entrar no eBay e outros grandes varejistas online.
Sua firma era só uma rede regional com 32 lojas
em seis estados e uma presença online modesta. A
Flayton

Casos HBR, que são fictícios, apresentam dilemas de gestão comuns e
oferecem soluções concretas para especialistas.

atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
harvard business review • setembro de
2007
página
2

Eric McNulty (emcnulty@hbsp
.harvard.edu) é o diretor de gestão
da divisão de conferências da
Harvard Business School
Publishing, que publica a HBR em
Boston. Sua coluna semanal
online, "Heard in the Suite", vai ao
ar as terças-feiras no
www.harvardbusinessonline.org.
mal poderia ser um alvo para o roubo de muitos dados
de clientes. Ou poderia?
"Laurie, eu não sei se entendi.As pessoas estão
usando cartões de créditos roubados nas nossas lojas?
Nossos atendentes não estavam checando os cartões
corretamente"?
"No", ela respondeu sinceramente. "Parece que nós
podemos ser o vazamento".

Território Novo
De volta ao seu escritório na manhã seguinte, Brett
pesquisou os frutos de sua própria pesquisa noturna na
Internet. O roubo de dados era aparentemente comum
e as empresas podiam ser violadas de várias formas.
Os ladrões roubavam informações de cartão de crédito,
números de segurança social, informação de conta
bancária e até endereços de e-mail. Parecia haver um
mercado negro para quase qualquer tipo de dados. Ele
aprendeu que os criminosos estavam se tornando cada
vez mais espertos e que ninguém estava imune. Ele se
acalmou um pouco, pois sua empresa recentemente
havia gasto tempo e dinheiro considerável para entrar
nos padrões do novo setor de cartões de pagamento, ou
PCI, para proteção de dados.
Laurie sentou diante de Brett em silêncio. Ela tinha
antecipado esse tipo de roubo aconteceria algum dia,
mas realmente lidar com ele era um território novo
para ela. Toda a sua experiência profissional
relacionada a isso envolvia o roubo de bens materiais.
Neste caso, dados haviam sido obtidos ilegalmente por
alguém, em algum lugar - mas sem cena de crime
específica para oferecer pistas.
Uma análise de rotina pelo Union Century Bank de
cobranças de cartões de crédito fraudulentos
identificou compras na Flayton em quase 15% dos
cartões nessa remessa em particular de cerca de 10.000
contas comprometidas - então aproximadamente 1.500
no total. Era um número alto surpreendente para uma
verificação de rotina. O Union Century começou a
notificar outros bancos, assim como a Visa e a
MasterCard, para ver se eles tinham observado padrões
similares ou não.
"Não não perceberíamos isso sozinhos"? Brett
perguntou. "Nós recebemos relatórios periódicos dos
bancos".
"Não necessariamente", respondeu Laurie. "Nós
perceberíamos se as compras na Flayton fossem
fraudulentas. Mas não parece que foi isso que
aconteceu. As compras foram legítimas, mas a
informação da conta está sendo usada em outro lugar
ilegalmente. Nós não poderíamos identificar o
problema, exceto através de uma verificação aleatória,
como o Union Century
fez. As 1.500 contas poderiam ser apenas a ponta do
iceberg".
"Qual é a nossa eventual exposição"? Brett
questionou sem rodeios. Tranqüilamente ele se
perguntou se a a firma estando em conformidade com
o PCI iria fornecer proteção suficiente.
"Receio dizer que não tenho certeza. Os donos dos
cartões de crédito estão protegidos pelo banco, mas o
que isso significa para nós é difícil dizer".
"Por que nós temos que informar os clientes"? Brett
perguntou, verdadeiramente confuso. "Os bancos já
não os informaram que suas contas foram
comprometidas"?
"Não é simples assim", Laurie explicou. "Alguns
bancos tem ferramentassofisticadas de análise para
detectar padrões incomuns quanto antes, mas esse
método é impreciso. Geralmente os bancos não
começam a reconhecer o problema até que uma conta
não seja paga ou um dono de cartão de crédito
reclame. Eles normalmente só monitoram uma
situação até que um problema específico apareça. Se
donos de carros não prestarem bastante atenção a suas
contas, débito fraudulento pode se acumular por
meses antes de ser apanhado. Como eu entendi pelo
banco, alertar nossos clientes que seus dados podem
ter sido roubados pode ser o melhor meio de detecção
adiantada".
Laurie obteve as informações mais atuais sobre o
assunto rapidamente e passou as primeiras horas da
manhã informando gerentes chave e sinalizando
possíveis áreas de vulnerabilidade na rede de dados. A
rede em si era simples, mas identificar os pontos
fracos não era. Na caixa registradora, um cliente
apresentou um cartão de pagamento, que foi passado
por um leitor. A informação do cartão e as específicas
da compra foram transmitidas para um banco para
aprovação ou rejeição. Tudo aconteceu em segundos.
A informação da transação foi armazenada nos
computadores da empresa e apareceu em vários
relatórios. Números de cartões de crédito não
deveriam ser armazenados no sistema da firma, mas
Laurie ainda não tinha entendido todos os passos do
processo. Os leitores de cartão poderiam ter sido
hackeados? As linhas de dados entre as lojas e os
bancos podiam ter sido grampeadas? Os dados da loja
estavam seguros? Alguém da loja poderia ter inserido
um código no software da empresa para desviar certas
informações para um computador remoto - ou até
mesmo para um computador no local? Poderia ser um
trabalho interno? Ou talvez o trabalho de alguém que
havia sido demitido?
"Por acaso isso poderia ser a falta de atenção de
alguém"? Brett indagou. "Talvez um empregado
atirou arquivos no lixo".
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
harvard business review • setembro de
2007
página
3

"Esta empresa foi
construída baseada na
confiança. Nossa
reputação para um
acordo quadrado é uma
vantagem competitiva.
Eu nunca quero ter que
olhar um cliente nos
olhos e defender não ser
honesto com ele".
"Bem", Laurie encolheu os ombros, "é possível".
Ela parou, depois balançou a cabeça. "Mas não é
provável".
"Que tal algum tipo de coincidência"? Brett tentava
desesperadamente achar uma solução. "Talvez 1.500
de nossos clientes tiveram o mesmo azar"?
Laurie inspirou profundamente, depois expirou
devagar. "Tudo é possível neste momento. Eu preciso
saber mais do que seu agora. O banco me conectou
com o Serviço Secreto, que está tratando da
investigação porque contas em diferentes estados
foram afetadas. Levará alguns dias para conseguir que
outros bancos tentem corroborar com as descobertas
do Union Century. Por enquanto, o Serviço Secreto
recomenda que nós façamos investigação dos
antecedentes de todos que poderiam ter acesso aos
dados na escala da violação - até pessoas que nós já
investigamos anteriormente. Nós também deveríamos
ver os arquivos de funcionários de qualquer pessoa que
nós despedimos no ano passado por precaução. E
precisamos verificar, verificar e verificar de novo
todos os sistemas da casa".
"Estou certo que Sergei já está trabalhando nisso",
Brett respondeu. Ele sabia que aquele tipo de coisa
deixaria Sergei Klein, o CIO, louco até que ele
descobrisse. Brett levantou e caminhou pelo perímetro
de seu escritório. Ele parou na janela para estudar os
mais de 300 carros no estacionamento. Ele se sentiu
um pouco responsável perante cada pessoa com um
veículo naquele estacionamento e perante as outras
centenas que trabalhavam nas lojas.
"O que mais o Serviço Secreto disso para
fazermos"? Brett imaginava SUVs pretos com janelas
fumadas, cheios de agentes sérios com óculos escuros,
descendo em suas sedes e lojas.
"Primeiro" Laurie explicou, "eles pediram que nós
abafássemos o assunto até que tivéssemos uma idéia
exata da situação. Agora que os bancos sabem o que
está acontecendo, eles podem encerrar os cartões
rapidamente quando a fraude vir a tona. Mas os
federais querem atividade suficiente normal para seja
possível fazer uma investigação apropriada e, nós
esperamos, iniciar uma ação judicial. Apesar de o
Serviço Secreto estar assumindo o controle, eles
também esperam envolver unidades de fraude do
estado e locais.
"Mas e os clientes? Nós não podemos deixar que
eles sejam defraudados conscientemente"! Brett estava
incaracteristicamente inflexível. Esta empresa foi
construída baseada na confiança. Nossa reputação para
um acordo quadrado é uma vantagem competitiva. Eu
nunca quero ter que olhar um cliente nos olhos e
defender não ser honesto com ele".
"É uma questão para um bem maior", Laurie
disse. "Os clientes não serão responsáveis pelos
encargos. Eles estão totalmente cobertos. Nós temos
que pegar os infelizes que fizeram isso".

Defesas Limitadas
Brett não podia suportar apenas esperar por respostas.
Ele rapidamente conduziu Laurie para fora de seu
escritório, cancelou sua próxima reunião e abriu
caminho através de uma dúzia de cubículos cinza até
o refúgio de Sergei. Escutando o som de dedos
batendo nas teclas e gavetas de arquivos se abrindo e
fechando, ele não pode evitar se assombrar em ralação
a quanta informação estava disponível para quaisquer
pessoas naqueles cubículos a qualquer momento
Enquanto Brett chegava na porta de Sergei, o CIO
desligava o telefone com uma batida em frustração. A
atenção de Brett foi do telefone diretamente para os
olhos de Sergei. Sergei engoliu.
"Sergei, o que nós sabemos"?
"Nós ainda estamos tentando determinar o que
aconteceu" o CIO disse mansamente.
"Mas nós temos certeza que nossos sistemas PCI
estão funcionando, não é?" Brett pressionou.
"Ficar de acordo com o PCI é complicado", Sergei
afirmou, "especialmente quando se esta
constantemente melhorando a própria tecnologia" Ele
recapitulou rapidamente uma lista de tarefas das
complexidades dos melhoramentos recentes. Em
qualquer momento, Sergei tinha três ou quatro
projetos tecnológicos de alta prioridade em diferentes
estágios de implementação. Era um número de
malabarismo constante.
Brett, em uma rara exibição de raiva, bateu seu
punho na mesa de Sergei. "Você está dizendo, Sergei,
que nós não estamos realmente de acordo com o
PCI"?
Sergei endureceu. "Nós atendemos mais ou menos
75% das exigências do PCI. É melhor que a média
para varejistas do nosso tamanho". A resposta era
defensiva, mas honesta.
"Como conseguimos nos safar dessa"? Brett rosnou.
Ele sabia que estar em conformidade com o PCI, que
era exigido por todas as grandes companhias de cartão
de crédito, exigia varreduras regulares por um fiscal
de fora para assegurar que os sistemas da empresa
estavam funcionando - sob penas rígidas por
descumprimento.
"Eles não nos examinam todo dia", Sergei
argumentou. "A conformidade de verdade cabe a nós,
a mim, no fim das contas".Valores Centrais em Risco
A parte do outro lado do escritório de Brett estava
coberta por centenas de fotos tiradas com câmeras
compradas na Flayton. Casamentos, férias,
formaturas, pores-do-sol e crianças
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
harvard business review • setembro de
2007
página
4

sorrindo - todas enviadas por clientes. Exibições
similares iluminavam as paredes de todas as lojas
Flayton Electronics, para lembrar os funcionários que os
clientes não são apenas carteiras que compram produtos.
Uma das fotos mais perto do vão da porta de Brett era de
seu pai dando um cheque do tamanho de um pôster para
uma instituição de caridade local.
Enquanto Brett contemplava as fotos, ele se
perguntava se tinha forçado o crescimento rápido demais
ou não. Depois que seu pai se aposentou, Brett aumentou
suas ambições. Ele havia buscado investimento de capital
privado alguns anos atrás e estava fielmente ciente de sua
obrigação de entregar os resultados que havia prometido.
Sua estratégia era agressiva, mas ele estava confiante
nela - até agora. Teria ele uma visão míope sobre a
infraestrutura necessária para fazer uma empresa bem
maior funcionar? Teriam as necessidades de sua
empresa ultrapassado as capacidades de seus
funcionários de longa data? Teria ele deixado a Flayton
vulnerável ao investir pouco em sistemas? Teria ele
forçado demais em tempo de menos?

Dentro da Violação
Ao final do dia, Brett havia reunido a equipe de gestão
do topo para revisar o plano de crise. As coisas pareciam
ainda mais desagradáveis do que de manhã.
Laurie informou a equipe que, com a nova informação
dos bancos adicionais, o número conhecido de contas
comprometidas estava aumentando. O total ainda não
estava claro, mas certamente era mais alto que os 1.500
iniciais.
Sergei relatou encontrar um buraco - um firewall
desativado que supostamente fazia parte do sistema de
controle de inventário wireless, que usava dados em
tempo real de cada transação para desencadear o
reabastecimento do centro de distribuição e automatizar
os pedidos dos fornecedores. O sistema ajudava a manter
os inventários baixos, as prateleiras cheias e os custos e
perdas em um mínimo. Com o firewall desativado,
entretanto, supostamente dados internos da empresa
estavam sendo essencialmente transmitidos.
"Tudo que você precisa é do equipamento correto e
dos motivos errados", Sergei admitiu. "Mas você
precisaria estar em algum lugar relativamente perto da
loja porque a faixa de transmissão é limitada". Ele parou
para estudar as expressões de seus colegas, terminando
em Brett. "Nós podemos ativar o firewall assim que os
policiais nos derem carta branca". Ele sabia que seu
trabalho estava em risco. "Primeiramente, como o
firewall foi desativado"? Laurie perguntou.
"Impossível saber", Sergei respondeu com
determinação. "Pode ter sido intencional ou acidental.
O sistema é relativamente novo, então nós desligamos
e ligamos coisas em vários momentos enquanto
solucionávamos os bugs. Estava falhando bastante por
um tempo. Firewalls podem ser problemáticos".
Brett olhou para o diretor de recursos humanos,
Ben Friedman, que tinha várias pastas de funcionários
na sua frente. Nós tivemos cinco saídas de pessoas
que estavam envolvidas com esse sistema de alguma
forma", Ben disse, folheando os arquivos um por um.
"Duas desonerações, um retorno para a faculdade,
uma rescisão após reprovação no exame antidoping e
uma rescisão por download de material impróprio
usando computadores da empresa". Ele colocou as
pastas na mesa, parou e deslizou as duas dos
funcionários demitidos para Brett.
"Bem", Brett suspirou, "isso nos dá alguns
possíveis suspeitos". Ele virou para a diretora de
comunicações, Sally O’Connor. Mais cedo naquele
dia, ela tinha entregado a Brett um memorando
delineando três opções de comunicação, que Brett
estava contemplando até o momento. Realizar uma
conferência de imprensa colocaria a Flayton a frente
da história - e iria, Brett pensava, ser a abordagem
mais transparente. Ele estava perturbado pela
segunda opção de Sally - informar os clientes, por
carta, que uma violação havia ocorrido e que a
situação estava sendo resolvida. Ele achava que
geraria mais ansiedade para os clientes do que
tranquilização e poderia fazer parecer que a Flayton
estava escondendo algo. A última opção - não fazer
nada até que a aplicação da lei estivesse pronta para ir
a público - era a mais fácil a curto prazo porque
colocava a decisão em outras mãos.
Darrell Huntington, conselheiro externo a muito
tempo da Flayton que havia sido informado tarde na
noite anterior, levantou de seu assento. "Deixe-me
dizer algumas coisas. Primeiro, nós ainda não temos
nenhum prova definitiva aqui. Todas os indícios são
circunstanciais. E do meu ponto de vista de casos
passados, é claro que qualquer um que for a público
primeiro é a entidade que será processada".
"Quem seria mais provável de mover a ação"?
perguntou o CFO Frank Ardito. "Nenhum cliente vai
sofrer dano financeiro, certo?" Os bancos os
protegem".
"Nós podemos ser processados por diferentes
motivos que eu prefiro não mencionar aqui", disse
Darrell, "mas outras violações causaram ações
judiciais de clientes, bancos e até de investidores.
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
harvard business review • setembro de
2007
página
5

Se você ganhar ou perder, haverá custo para você - e
necessariamente haverá muita cobertura da mídia".
"Nós não somos obrigados a divulgar isso para nossos
clientes imediatamente"? Frank questionou. "Três dos
estados em que operamos exigem divulgação imediata
e os outros três, não", Darrell observou. "Mas pelo que
eu entendi, você não sabe qual papel a Flayton tem, e
se tem algum, nesse possível crime. Um banco
identificou um padrão. Parece haver uma correlação
entre os cartões com atividade fraudulenta e os cartões
usados para fazer compras na Flayton. Isso poderia ser
uma coincidência. Neste momento, nós não temos
nenhum indício de violação de dados na Flayton.
Nenhum".
"O que nós devemos fazer"? Brett pressionou. "Não
fazer nada não é uma opção. Não para mim". "Isso é
exatamente o que você deveria fazer", Darrell afirmou.
Ele se virou para Sally. "Nossa estratégia de
comunicação deveria ser não falar com ninguém. Se
você realmente receber uma ligação da impressa,
apenas confirme que a Flayton foi contactada pelas
autoridadesde aplicação da lei em relação uma
investigação cujo a qual você não recebeu nenhuma
informação e que você está cooperando totalmente.
Indiquem os para o Serviço Secreto. Eles não dizem
nada para ninguém". "Isso deve funcionar por
enquanto", Brett reconheceu "mas, Sally, eu quero que
você antecipe os próximos passos. Embora nós nos
comuniquemos eventualmente, eu quero oferecer uma
conversa franca, sem enrolações". Darrell se sentou.
Brett sabia que não existiam respostas fáceis. Sua
pesquisa online na noite passada apresentou uma
pesquisa recente documentando que clientes são
relutantes a comprar em lojas conhecidas por ter
violações de dados. Darrell estava argumentando que a
Flayton poderia ficar vulnerável simplesmente ao
tentar fazer a coisa certa e liberar a notícia
rapidamente.
No entanto, o futuro da empresa dependia de sua
reputação pela sua imparcialidade - cuidadosamente
conquistada em décadas pelo pai de Brett.
"Bem, a decisão pode escapar do nosso controle em
breve", disse Sally. "I estava revisando as contas
afetadas e um nome muito interessando surgiu: Dave
Stevens, âncora do noticiário noturno na KCDK-TV.
Aparentemente, nós instalamos um home theater para
ele". Ela se virou para Brett. "Histórias assim sempre
vazam de alguma forma".
Brett deslocou seu maxilar, recuou sua cadeira e
levantou. "Então, se eu entendi corretamente, nós
temos indícios circunstanciais, mas fortes que a
violação ocorreu, nós temos dois ex funcionários que
podem ou não estar envolvidos, alguns estados que
exigem a nossa divulgação, federais que querem que
nós nos calemos e uma personalidade televisiva entres
as vítimas. Se nós divulgarmos, nós provavelmente
seremos processados; se nós não divulgarmos, a
história irá vazar eventualmente. Os federais podem
pegar os criminosas se nós os dermos tempos, mas
não há garantia. Não importa o que aconteça, nossa
reputação esta em jogo e os competidores começarão
a fornecer promoções especiais para atrair os clientes
na primeira oportunidade que tiverem. E eu me
pergunto se eu um dia poderei olhar um cliente
diretamente nos olhos de novo. Esqueci algo"?
Brett inclinou-se para frente e colocou as duas mãos
firmemente na mesa. Seus olhos encontraram os olhos
de casa membro de sua equipe. Ele conhecia - e
confiava em - todos. "A única coisa que eu tenho
certeza é: O nome Flayton significa algo para mim,
para nossos funcionários e para nossos clientes. Nós
vamos decidir o que fazer. Hoje".

Como a equipe da Flayton Eletronics deveria
responder à crise?• Quatro comentaristas
oferecem seus conselhos de especialista.

Ver Comentário do Caso
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
Chefe, Acho que Alguém Roubou Nossos Dados do Cliente • ESTUDO DO CASO HBR
Comentário do Caso
por James E. Lee
Como a equipe da Flayton Eletronics deveria
responder a crise?
págin
a 6
harvard business review • setembro de
2007 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860

Além de consertar a
fraqueza da firma em
relação a segurança de
dados, o presidente
executivo deve
desenvolver uma
estratégia de
restauração da marca.
Como você reage a notícia de uma violação de dados
em sua empresa é, como questão prática, muito mais
importante que o que realmente aconteceu. Se a sua
empresa consegue sobreviver o episódio ou não
dependerá da ação corretiva que você tomará e como
você se comunicará sobre ela aos vários interessados.
A experiência da minha firma oferece um exemplo
excelente.
ChoicePoint fornece insights de tomada de decisão
para empresas e para o governo através da
identificação, recuperação, armazenamento, análise e
entrega de dados sobre indivíduos e instituições. Em
2005 nossa empresa foi vítima de um esquema de
fraude em que os criminosos posaram de clientes para
obter a informação pessoal de 145.000 pessoas do
nosso sistema de dados. Nenhuma violação
tecnológica aconteceu, mas a imprensa descreveu o
incidente como se houvesse ocorrido. Nós
descobrimos as atividades nefastas nós mesmos e
informamos o chefe do departamento do condado de
Los Angeles, com quem organizamos uma operação
policial que eventualmente levou a acusação de uma
quadrilha criminosa Nigeriana.
Nós sofremos ao escolher a estratégia correta para
alertar os clientes cujos dados poderiam ter sido
obtidos de forma fraudulenta através da ChoicePoint.
No final, nós notificamos todos que acreditávamos
estar em risco, independentemente de seu estado de
residência. Nós atualizávamos os funcionários
diariamente e tínhamos conferencias telefônicas
freqüentes com nossos gerentes e dirigentes. Nosso
diretor executivo e outros executivos seniores
visitavam clientes e investidores chave para
compartilhar as várias políticas e procedimentos que
estávamos adotando para prevenir uma recidiva. Todos
os interessados foram, nós reconhecemos,
fundamentais para nossa sobrevivência.
Alguns de nossos passos preventivos foram radicais,
incluindo abandonar um ramo de atividade que valia
$20 milhões por causa de seu risco potencial de
violação de dados futuro. Mudanças na cultura eram
geralmente exigidas. Por exemplo, todo funcionário
deve agora ser aprovado em cursos de treinamento
anuais de privacidade e segurança como uma condição
de emprego. Na ChoicePoint, nós aprendemos
rapidamente que em situações como essas, vários
fatores estão além de nosso controle. A imprensa pode
ser uma grande distração. Mas é bem pior que isso.
Você enfrenta
inquéritos de muitos quartéis, no nosso caso de
múltiplos procuradores gerais, da Comissão Federal
de Comércio e do congresso dos Estados Unidos.
Você pode ser processado pelos bancos; por outros
envolvidos na rede de transação de cartões de crédito,
como empresas de processamento e clientes; por
acionistas e até mesmo por funcionários e
aposentados.
Para a Flayton Electronics, se mover rapidamente
diante de uma crise será essencial. Timing é um fator
crucial nas ações judiciais inevitáveis, que focam em
o que os executivos sabiam sobre a situação e a
quanto tempo sabiam antes de ir a público. Além de
consertar a fraqueza da firma em relação a segurança
de dados, o diretor executivo Brett Flayton deve
desenvolver uma estratégia de restauração da marca A
empresa deveria, como a ChoicePoint, informar os
clientes afetados rapidamente, organizar linhas diretas
de informação gratuitas e oferecer serviços de
monitoramento de crédito. Depois eles devem exceder
essas medidas básicas com uma grande variedade de
extras para manter os clientes leais. Oferecer
descontos e vendas, encontrar com críticos da
empresa e desenvolver e promover novas páginas na
internet que resumam as reformas nas políticas e
práticas da firma. Comunicados também precisarão
evoluir para demonstrar capacidade de resposta aos
desenvolvimentos, ou senão arriscar que as palavras
dos executivos da empresa pareçam apenas com
declarações corporativas. O tom é bastante
importante. Declarações públicas não devem ser só
precisas, mas sinceras,arrependidas e honestas.
A Flayton também precisará recorrer a influência
dos blogs, vídeos virais e outras mídias sociais. Tal
conteúdo gerado pelos usuários, não filtrado pelos
jornalistas tradicionais e acessível a qualquer um
usando uma ferramenta de pesquisa online, é
geralmente um modo de recrutar ações judiciais dos
queixosos e expor reclamações pessoais.
Por fim, Brett e sua equipe precisarão de muita
paciência. O problema não desaparecerá com as
manchetes. Atenuar os efeitos na marca e na
reputação levará, eu imagino, de três a cinco anos. A
Flayton tem um longo caminho pela frente.

James E. Lee (james.lee@choicepoint.com) é o vice
presidente sênior e diretor de publicidade e de
defesa do consumidor na ChoicePoint, localizado
em Alpharetta, Geórgia.
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
Chefe, Acho que Alguém Roubou Nossos Dados do Cliente •
ESTUDO DO CASO HBR
Comentário do Caso
por Bill Boni
Como a equipe da Flayton Eletronics deveria
responder à crise?
harvard business review • setembro de
2007
págin
a 7 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860

Você precisa de pessoas
disponíveis experientes
no campo digital para
combinar inteligência
com criminosos
cibernéticos com
esperteza tecnológica.
A maioria dos executivos sênior tem o insight e os
instrumentos de medição para analisar os danos em
potencial de desastres tangíveis como inundações e
incêndios. Esse não é geralmente o caso quando o
assunto é segurança de informação, incluindo
prevenção e planejamento de roubo de dados. "Deixe a
equipe técnica lidar com isso" tende a ser a estratégia
padrão, relegando a responsabilidade a técnicos de
informação não seniores ou gestão de segurança
corporativa. Empresas que levam a proteção de seus
dados e o valor da preservação de seus dados a sério
deveriam ter um oficial de alto nível, como um diretor
ou vice-presidente de proteção de informação, que
trabalharia não só como um gerente, mas como um
defensor sênior.
Sete anos atrás, eu fui apontado com o primeiro
oficial de segurança de informação corporativa da
Motorola. Como um líder de proteção de dados, eu sou
responsável pela informação e ambiente de TI da firma
mundialmente e por ter uma estratégia abrangente para
gestão de riscos. Um componente de estratégia útil é
exigir que toda nova iniciativa identifique, na fase
inicial de idéia, os dados que podem ser envolvidos - e
seus valores. Este mandato cria medidas de segurança
apropriadas nos próprios projetos. As políticas,
procedimentos e protocolos de treinamento que são
adaptados para cada função da empresa também são
benéficos, para reduzir a probabilidade dos indivíduos
tomarem decisões erradas por não entender como os
padrões gerais de dados se aplicam para seus papéis
específicos.
Estar totalmente de acordo com o PCI é, certamente,
uma linha de defesa essencial contra o roubo de dados
e meu maior palpite é que um terço das empresas
cumpre as normas. Entretanto, adversários cibernéticos
cada vez mais hábeis não desistem e oferecem suas
felicitações porque você fez o que deveria fazer.
Durante meu mandato em segurança de informação, a
ação de hacking amadora evoluiu e se tornou uma
extração de dados valiosos muito mais sofisticada e
parasítica de organizações específicas. Uma falácia
comum é que a tecnologia de balda de prata pode
salvar o dia. Eu já vi organizações gastarem milhões de
dólares em medidas de segurança que foram
penetradas por uma pessoa com conhecimento com um
instrumento manual. Por exemplo, a Motorola provou
para um de seus
clientes, que tinha investido muito em algumas das
melhores proteções de tecnologia disponíveis, que nós
podíamos acessar seus sistemas centrais de empresa
usando apenas um smartphone e a Internet.
Para prevenir e lidar com violações de dados, você
precisa de pessoas disponíveis experientes no campo
digital para combinar inteligência com criminosos
cibernéticos com esperteza tecnológica e entender os
sistemas que eles estejam visando. A proteção de
dados não é necessariamente uma competência central
nem de um TI ou de uma equipe tradicional de
prevenção de perdas. Também é indispensável o
conhecimento dos estatutos e regulamentações de
privacidade aplicáveis e a habilidade de reunir e
preservar fontes de indícios relevantes. Você pode
reunir uma equipe interna de advogados, contadores e
investigadores especialistas em ciência forense digital
de agencias de aplicação da lei ou de defesa - ou usar
fontes externas como firmas de direto, firmas de
contabilidade pública e consultorias com
especialização digital.
Armados de fatos vindos de especialistas, ainda a
serem reunidos, a Flayton deveria avisar a aplicação
da lei que a empresa existe para servir seus clientes e
manter sua reputação. A Flayton não pode esperar por
tempo indeterminado para notificar o público. A firma
deveria, certamente, trabalhar com o Serviço Secreto
para atingir as acusações, mas deve tornar a
manutenção da confiança do público enquanto
respeita completamente a proteção de dados e as leis
de privacidade nos estados que exigem a divulgação
da violação uma prioridade.
Até que a Flayton entenda profundamente sua
situação de segurança, ela se arriscará a fazer escolhas
ruins. Nenhum dos gerentes ou conselheiros parece ter
experiência ou informação suficiente para alcançar
decisões seguras sobre os riscos que estão
confrontando. Por exemplo, permitir que o firewall se
mantenha desligado pode comprometer ainda mais as
contas dos clientes. Um modelo definido de plano de
resposta, como o do American Institute of Certiﬁed
Public Accountants, é uma fonte em potencial de
ajuda imediata para esta crise na empresa.

Bill Boni (bill.boni@motorola.com) é o oficial de
segurança de informação corporativa da Motorola
em Schaumburg, Illinois. Ele também é vice
presidente e membro do conselho da Systems
Audit and Control Association, uma organização
mundial localizada em Rolling Meadows, Illinois.
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
Chefe, Acho que Alguém Roubou Nossos Dados do Cliente •
ESTUDO DO CASO HBR
Comentário do Caso
por John Philip
Coghlan
Como a equipe da Flayton Eletronics deveria responder
à crise?
págin
a 8
harvard business review • setembro de
2007 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860

Fazer da segurança de
dados uma prioridade
para o futuro- e
comunicar as
mudanças de política
específicas decorrentes
- pode permitir que a
empresa se torne
reconhecida como líder
nessa área.
Uma violação de dados pode colocar um
executivo em uma situação extremamente
complexa, onde ele deve negociar os interesses
geralmente divergentes de múltiplos interessados.
Veja a variedade de concorrentes que você iria
encontrar em uma casa como o da Flayton
Electronics.
Bancos que emitem cartões de pagamento,
como o fictício Union Century, são geralmente os
primeiros a localizar possíveis fraudes quando
seus sistemas identificam comerciantes que são
pontos de compra comuns para contas
comprometidas em potencial. Para a proteção dos
donos de seus cartões, eles apóiam
vigorosamente a identificação precoce desses
comerciantes.
Um banco que realiza o processamento de
pagamentos para um dado comerciante, chamado
de banco adquirente, é protetor daquela relação
empresarial e sensível aos interesses do
comerciante. Entretanto, o banco é responsável
por redes de pagamento, como a Visa e a
MasterCard, e por assegurar a conformidade do
comerciante com os padrões da indústria de
cartões de pagamento. Portanto, a marca e a
reputação do banco adquirente também estão
eventualmente ameaçadas e seus interesses são
apenas parcialmente alinhados com aqueles do
comerciante.
Complicando um pouco mais a situação está o
papel da aplicação da lei. O Serviço Secreto
pediu a Flayton Electronics para não divulgar a
violação, acreditando que deixando o sistema
vulnerável durante a vigilância fornecerá a
melhor oportunidade de pegar os ladrões se eles
agirem novamente. Infelizmente, tal pedido pode
ser indeterminado e a cada dia que passa a
oportunidade da empresa de liderar as
comunicações é desperdiçada. Não é ilegal
recusar certas apelações da aplicação da lei. Ao
contrário, muitas leis de estado exigem que uma
entidade violada divulgue informações
específicas de forma oportuna.
além dos interessados institucionais descritos,
existem grupos de consumidores, legisladores,
interessados e é claro, os funcionários e clientes,
cujo interesses nós vemos Brett Flayton
considerar energicamente. Em relação aos
consumidores, o diretor executivo poderia gostar
de saber que
em um estudo da Javelin Strategy & Research,
78% dos consumidores disseram que eles
provavelmente deixariam de comprar em uma
loja uma vez que eles soubessem de uma
violação de dados nela.
Então, o presidente executivo constantemente
irritado não tem opção melhor do que divulgar.
Se não se pronunciar, ele não estará dando aos
seus cliente os melhores meios de se proteger: ao
usar um cartão de pagamento diferente e não
comprometido ou ao examinar transações no
cartão comprometido. Mesmo se ele esperar para
saber mais, Brett terá eventualmente que ir a
público, ainda sem a informação completa.
Entretanto, ele corre um risco em rápida escalada
que terceiros divulguem a violação, e nesse caso
ele terá que defender ter violado a confiança de
seus clientes. A firma de eletrônicos construiu
sua reputação com honestidade, um fato que
Brett e seus conselheiros não deveriam se deixar
esquecer.
Então a Flayton Electronics deve comunicar -
agora mesmo - com seus clientes. Entre as vias
possíveis estão usar informações de contato da
base de dados da própria empresa; organizar uma
página especial para a empresa na internet; e
realizar eventos informativos exclusivos, como
convocações e webcasts - tudo reforçado com
uma linha direta de apoio para os clientes.
Claro, Brett deveria assegurar que Sergei
corrija a fraqueza tecnológica conhecida
imediatamente. Os clientes vão querer saber
quando o sistema estará seguro de novo. Fazer da
segurança de dados uma prioridade para o futuro
- e comunicar as mudanças de política específicas
decorrentes - pode permitir que a empresa se
torne reconhecida como líder nesta área. Uma
pesquisa da Bain & Company também traz um
pouco de esperança: Os clientes que recebem a
indenização adequada após fazer uma reclamação
na realidade são mais leais que aqueles sem
reclamações. Então, se a empresa de Brett
Flayton fornecer uma resposta oportuna, focada e
eficiente, seus clientes comprometidos podem
se tornar os mais leais de todos.

John Philip Coghlan é ex-diretor e presidente
executivo da Visa USA sediada em São
Francisco.
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
Chefe, Acho que Alguém Roubou Nossos Dados do Cliente •
ESTUDO DO CASO HBR
Comentário do Caso
por Jay Foley
Como a equipe da Flayton Eletronics deveria
responder à crise?
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860

Não alertar os
clientes o mais rápido
possível não é o
mesmo que fazer
nada.
Os executivos na Flayton Electronics estão sendo mal
informado por Darrell Huntington, seu conselheiro
externo. As empresas que são processadas não são
aquelas a ir a público sobre a violação de dados
primeiro, mas aquelas que o fazem mal. Agora mesmo,
a Flayton não tem nenhuma chance de disponibilizar
uma informação boa, porque ela não tem nenhuma.
Anunciar informações imprecisas e depois ter que
corrigi-las enquanto a investigação da violação evolui
iria encorajar um frenesi corrosivo dos advogados dos
queixosos. Por enquanto, a Flayton deveria se manter
calada, mas por razões diferentes das de Darrell.
Outra concepção errada da equipe de gerencia é a
que eles deveriam considerar informar os clientes eles
mesmos. As transações de cartão de crédito pertencem
ao banco que tem proteções em funcionamento para os
titulares de seus cartões. Para a Flayton se envolver na
identificação de endereços privados para - e depois
contatar - indivíduos potencialmente afetados seria se
expor a ser responsabilizada. Outra pessoa na rede de
transação, como a empresa de processamento de cartão
de crédito, pode muito bem ser culpada, nesse caso
seria inteligente esperar que essa parte se pronunciasse
primeiro. De fato, é possível que a investigação de
Serviço Secreto mostre que a varejista de eletrônicos
não foi a fonte da violação de forma alguma.
Os oficiais da aplicação da lei pediram a Flayton
para se manter extrema discrição enquanto eles fazem
o seu trabalho, para dar-lhes uma chance maior de
apreender os criminosos. Se a Flayton se precipitar em
um anúncio público, os bandidos têm a chance de
desaparecer, apenas para ressurgir em outro lugar.
Nada positivo será obtido desse resultado.
Ao invés disso, o presidente executivo Brett Flayton
deveria pensar calmamente em sua reposta para crise.
Não alertar os clientes não é o mesmo que não fazer
nada. A primeira ação da empresa deveria ser reduzir
os riscos de futuro roubos ao fechar quaisquer brechas
de transação de dados que este incidente trouxe a tona,
desde que o Serviço Secreto não pense que interferirá
em sua investigação. Os executivos na Flayton também
deveriam reavaliar suas políticas e procedimentos
internos e deveria estabelecer auto-auditorias e analisesde planejamento estratégico regulares.
Sergei, o CIO, realmente fracassou ao fazer seu
trabalho. Não há desculpa para o seu desleixo.
Tristemente, todavia, os infortúnios tecnológicos de
Sergei não são exclusivos. Em 2006 o Computer
Security Institute em São Francisco conduziu uma
pesquisa de 616 grandes empresas localizadas nos
Estados Unidos e descobriu que 52% tinham passado
por algum caso de uso não autorizado de seus
sistemas de computador. Quase metade desse
subgrupo mencionado disse que sofreram um roubo
por laptop ou dispositivo móvel.
Infelizmente, o âmbito real do problema de roubo
de dados não é conhecido. Estatísticas sobre seu
impacto a longo prazo, seja para empresas ou
indivíduos, são escassas. Do Computer Security
Institute, dos dados que dispomos apenas 15% das
empresas na pesquisa sofreram perdas financeiras
como resultado de violações de segurança
cibernéticas. Nós também sabemos que a maioria das
vítimas de roubo de dados não se tornam vítimas de
rouba de identidade depois. Normalmente, um
criminoso tem como objetivo acumular algumas
compras rápidas usando cartões de crédito roubados e
seguir em frente. De fato, é provável que os clientes
da Flayton tenham sido vítimas deste tipo de fraude.
Ladrões podem pensar justamente que as pessoas que
tem dinheiro para comprar eletrônicos chiques tem
renda disponível suficiente para não perceber
cobranças extras em suas contas imediatamente.
Talvez o indicador mais preocupante é que a
indústria de criminosos para informação está
crescendo. Eu posso ir ao MacArthur Park em Loas
Angeles a qualquer dia da semana e conseguir $50 em
troca de um nome, número de segurança social e data
de nascimento. Se eu levar uma lista mais longa de
nomes e detalhes, saio de lá um homem rico. A nova
realidade sombria mostra como o valor de dados
pessoais está aumentando e deveria encorajar todas as
empresas a levar a proteção de dados muito a sério.

Jay Foley (jfoley@idtheftcenter.org) é o diretor
executivo do Identity Theft Resource Center
em San Diego.

Reimpressão R0709A
Apenas o caso R0709X
Apenas o comentário R0709Z
Para encomendar, ligue 800-988-0886
ou 617-783-7500 ou visite www.hbrreprints.org

harvard business review • setembro de 2007 página 9
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
atilasilvalima
Realce
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos
direitos autorais.
Permissions@hbsp.harvard.edu ou 617.783.7860

Para Encomendar

Para reimpressões e assinaturas da
Harvard Business Review, ligue 800-
988-0886 ou
617-783-7500. Visite www.hbrreprints.org

Para pedidos personalizados e de
quantidade de reimpressões de artigos
da Harvard Business Review, ligue
617-783-7626, ou mande e-mail para
customizations@hbsp.harvard.edu

www.hbrreprints.org

Estados Unidos e
Canadá 800-988-0886
617-783-7500
617-783-7555 fax