Prévia do material em texto
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 www.hbrreprints.org Como a equipe da Flayton Eletronics deveria responder à crise? Quatro comentaristas oferecem conselhos de especialista. ESTUDO DO CASO HBR E COMENTÁRIO Chefe, Acho que Alguém Roubou Nossos Dados do Cliente por Eric McNulty • Reimpressão R0709A harvard business review • setembro de 2007 página 1 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 C O P Y R IG H T © 2 0 0 7 H A R V A R D B U SI N E SS S C H O O L P U B L IS H IN G C O R P O R A T IO N . T O D O S O S D IR E IT O S R E SE R V A D O S. A Flayton Eletronics aprende que a segurança de seus dados do cliente foi comprometida - e encara decisões difíceis sobre o que fazer depois. ESTUDO DO CASO HBR Chefe, Acho que Alguém Roubou Nossos Dados do Cliente por Eric McNulty Brett Flayton, Presidente Executivo da Flayton Electronics, fitou atentamente um memorando perturbador em sua mesa do chefe do serviço de segurança da firma. Passando as mãos pelos cabelos quase brancos em sua cabeça, ele não parecia diferente de seu pai quando criou as primeiras câmeras e aparelhos de som da Flayton a 25 anos atrás. A situação da segurança havia chamado a atenção de Brett pouco antes das nove na noite anterior. Em seu caminho para a casa depois de uma reunião de fornecedores, ele estava descansando em uma poltrona na sala de embarque. Ele mal havia aberto a Electronics News quando seu celular tocou. Era Laurie Benson, vice-presidente de prevenção de perdas. "Brett, temos um problema. Pode ter havido uma violação nos dados". Laurie, uma ex- investigadora da polícia de Chicago rigorosa, mas educada, era responsável pela segurança da Flayton por quase três anos. Ela tinha o histórico impressionante de reduzir roubos nas lojas enquanto cria relações produtivas com escolas locais, grupos da comunidade e aplicação da lei. "Que tipo de violação"? Brett perguntou. Seu tom era calmo, como sempre, mas ele verificou a sala para ter certeza que ninguém pudesse ouvir por acaso. "Ainda não tenho certeza", Laurie admitiu. "Eu fui contactada pelo Union Century Bank. Eles examinam suas contas fraudulentas para parceiros regularmente e nós aparecemos como um ponto de compra comum para um número de cartões ruins acima da média. Eles estão recolhendo mais informações, mas eu achei que você gostaria de saber logo". Pode não ser nada - ou pode ser importante". Brett se lembrou das histórias de jornal que havia lido sobre laptops roubados com relatórios de veteranos armazenados e hackers tentando entrar no eBay e outros grandes varejistas online. Sua firma era só uma rede regional com 32 lojas em seis estados e uma presença online modesta. A Flayton Casos HBR, que são fictícios, apresentam dilemas de gestão comuns e oferecem soluções concretas para especialistas. atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce harvard business review • setembro de 2007 página 2 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Chefe, Acho que Alguém Roubou Nossos Dados do Cliente•••ESTUDO DO CASO HBR Eric McNulty (emcnulty@hbsp .harvard.edu) é o diretor de gestão da divisão de conferências da Harvard Business School Publishing, que publica a HBR em Boston. Sua coluna semanal online, "Heard in the Suite", vai ao ar as terças-feiras no www.harvardbusinessonline.org. mal poderia ser um alvo para o roubo de muitos dados de clientes. Ou poderia? "Laurie, eu não sei se entendi.As pessoas estão usando cartões de créditos roubados nas nossas lojas? Nossos atendentes não estavam checando os cartões corretamente"? "No", ela respondeu sinceramente. "Parece que nós podemos ser o vazamento". Território Novo De volta ao seu escritório na manhã seguinte, Brett pesquisou os frutos de sua própria pesquisa noturna na Internet. O roubo de dados era aparentemente comum e as empresas podiam ser violadas de várias formas. Os ladrões roubavam informações de cartão de crédito, números de segurança social, informação de conta bancária e até endereços de e-mail. Parecia haver um mercado negro para quase qualquer tipo de dados. Ele aprendeu que os criminosos estavam se tornando cada vez mais espertos e que ninguém estava imune. Ele se acalmou um pouco, pois sua empresa recentemente havia gasto tempo e dinheiro considerável para entrar nos padrões do novo setor de cartões de pagamento, ou PCI, para proteção de dados. Laurie sentou diante de Brett em silêncio. Ela tinha antecipado esse tipo de roubo aconteceria algum dia, mas realmente lidar com ele era um território novo para ela. Toda a sua experiência profissional relacionada a isso envolvia o roubo de bens materiais. Neste caso, dados haviam sido obtidos ilegalmente por alguém, em algum lugar - mas sem cena de crime específica para oferecer pistas. Uma análise de rotina pelo Union Century Bank de cobranças de cartões de crédito fraudulentos identificou compras na Flayton em quase 15% dos cartões nessa remessa em particular de cerca de 10.000 contas comprometidas - então aproximadamente 1.500 no total. Era um número alto surpreendente para uma verificação de rotina. O Union Century começou a notificar outros bancos, assim como a Visa e a MasterCard, para ver se eles tinham observado padrões similares ou não. "Não não perceberíamos isso sozinhos"? Brett perguntou. "Nós recebemos relatórios periódicos dos bancos". "Não necessariamente", respondeu Laurie. "Nós perceberíamos se as compras na Flayton fossem fraudulentas. Mas não parece que foi isso que aconteceu. As compras foram legítimas, mas a informação da conta está sendo usada em outro lugar ilegalmente. Nós não poderíamos identificar o problema, exceto através de uma verificação aleatória, como o Union Century fez. As 1.500 contas poderiam ser apenas a ponta do iceberg". "Qual é a nossa eventual exposição"? Brett questionou sem rodeios. Tranqüilamente ele se perguntou se a a firma estando em conformidade com o PCI iria fornecer proteção suficiente. "Receio dizer que não tenho certeza. Os donos dos cartões de crédito estão protegidos pelo banco, mas o que isso significa para nós é difícil dizer". "Por que nós temos que informar os clientes"? Brett perguntou, verdadeiramente confuso. "Os bancos já não os informaram que suas contas foram comprometidas"? "Não é simples assim", Laurie explicou. "Alguns bancos tem ferramentassofisticadas de análise para detectar padrões incomuns quanto antes, mas esse método é impreciso. Geralmente os bancos não começam a reconhecer o problema até que uma conta não seja paga ou um dono de cartão de crédito reclame. Eles normalmente só monitoram uma situação até que um problema específico apareça. Se donos de carros não prestarem bastante atenção a suas contas, débito fraudulento pode se acumular por meses antes de ser apanhado. Como eu entendi pelo banco, alertar nossos clientes que seus dados podem ter sido roubados pode ser o melhor meio de detecção adiantada". Laurie obteve as informações mais atuais sobre o assunto rapidamente e passou as primeiras horas da manhã informando gerentes chave e sinalizando possíveis áreas de vulnerabilidade na rede de dados. A rede em si era simples, mas identificar os pontos fracos não era. Na caixa registradora, um cliente apresentou um cartão de pagamento, que foi passado por um leitor. A informação do cartão e as específicas da compra foram transmitidas para um banco para aprovação ou rejeição. Tudo aconteceu em segundos. A informação da transação foi armazenada nos computadores da empresa e apareceu em vários relatórios. Números de cartões de crédito não deveriam ser armazenados no sistema da firma, mas Laurie ainda não tinha entendido todos os passos do processo. Os leitores de cartão poderiam ter sido hackeados? As linhas de dados entre as lojas e os bancos podiam ter sido grampeadas? Os dados da loja estavam seguros? Alguém da loja poderia ter inserido um código no software da empresa para desviar certas informações para um computador remoto - ou até mesmo para um computador no local? Poderia ser um trabalho interno? Ou talvez o trabalho de alguém que havia sido demitido? "Por acaso isso poderia ser a falta de atenção de alguém"? Brett indagou. "Talvez um empregado atirou arquivos no lixo". atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce harvard business review • setembro de 2007 página 3 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Chefe, Acho que Alguém Roubou Nossos Dados do Cliente•••ESTUDO DO CASO HBR "Esta empresa foi construída baseada na confiança. Nossa reputação para um acordo quadrado é uma vantagem competitiva. Eu nunca quero ter que olhar um cliente nos olhos e defender não ser honesto com ele". "Bem", Laurie encolheu os ombros, "é possível". Ela parou, depois balançou a cabeça. "Mas não é provável". "Que tal algum tipo de coincidência"? Brett tentava desesperadamente achar uma solução. "Talvez 1.500 de nossos clientes tiveram o mesmo azar"? Laurie inspirou profundamente, depois expirou devagar. "Tudo é possível neste momento. Eu preciso saber mais do que seu agora. O banco me conectou com o Serviço Secreto, que está tratando da investigação porque contas em diferentes estados foram afetadas. Levará alguns dias para conseguir que outros bancos tentem corroborar com as descobertas do Union Century. Por enquanto, o Serviço Secreto recomenda que nós façamos investigação dos antecedentes de todos que poderiam ter acesso aos dados na escala da violação - até pessoas que nós já investigamos anteriormente. Nós também deveríamos ver os arquivos de funcionários de qualquer pessoa que nós despedimos no ano passado por precaução. E precisamos verificar, verificar e verificar de novo todos os sistemas da casa". "Estou certo que Sergei já está trabalhando nisso", Brett respondeu. Ele sabia que aquele tipo de coisa deixaria Sergei Klein, o CIO, louco até que ele descobrisse. Brett levantou e caminhou pelo perímetro de seu escritório. Ele parou na janela para estudar os mais de 300 carros no estacionamento. Ele se sentiu um pouco responsável perante cada pessoa com um veículo naquele estacionamento e perante as outras centenas que trabalhavam nas lojas. "O que mais o Serviço Secreto disso para fazermos"? Brett imaginava SUVs pretos com janelas fumadas, cheios de agentes sérios com óculos escuros, descendo em suas sedes e lojas. "Primeiro" Laurie explicou, "eles pediram que nós abafássemos o assunto até que tivéssemos uma idéia exata da situação. Agora que os bancos sabem o que está acontecendo, eles podem encerrar os cartões rapidamente quando a fraude vir a tona. Mas os federais querem atividade suficiente normal para seja possível fazer uma investigação apropriada e, nós esperamos, iniciar uma ação judicial. Apesar de o Serviço Secreto estar assumindo o controle, eles também esperam envolver unidades de fraude do estado e locais. "Mas e os clientes? Nós não podemos deixar que eles sejam defraudados conscientemente"! Brett estava incaracteristicamente inflexível. Esta empresa foi construída baseada na confiança. Nossa reputação para um acordo quadrado é uma vantagem competitiva. Eu nunca quero ter que olhar um cliente nos olhos e defender não ser honesto com ele". "É uma questão para um bem maior", Laurie disse. "Os clientes não serão responsáveis pelos encargos. Eles estão totalmente cobertos. Nós temos que pegar os infelizes que fizeram isso". Defesas Limitadas Brett não podia suportar apenas esperar por respostas. Ele rapidamente conduziu Laurie para fora de seu escritório, cancelou sua próxima reunião e abriu caminho através de uma dúzia de cubículos cinza até o refúgio de Sergei. Escutando o som de dedos batendo nas teclas e gavetas de arquivos se abrindo e fechando, ele não pode evitar se assombrar em ralação a quanta informação estava disponível para quaisquer pessoas naqueles cubículos a qualquer momento Enquanto Brett chegava na porta de Sergei, o CIO desligava o telefone com uma batida em frustração. A atenção de Brett foi do telefone diretamente para os olhos de Sergei. Sergei engoliu. "Sergei, o que nós sabemos"? "Nós ainda estamos tentando determinar o que aconteceu" o CIO disse mansamente. "Mas nós temos certeza que nossos sistemas PCI estão funcionando, não é?" Brett pressionou. "Ficar de acordo com o PCI é complicado", Sergei afirmou, "especialmente quando se esta constantemente melhorando a própria tecnologia" Ele recapitulou rapidamente uma lista de tarefas das complexidades dos melhoramentos recentes. Em qualquer momento, Sergei tinha três ou quatro projetos tecnológicos de alta prioridade em diferentes estágios de implementação. Era um número de malabarismo constante. Brett, em uma rara exibição de raiva, bateu seu punho na mesa de Sergei. "Você está dizendo, Sergei, que nós não estamos realmente de acordo com o PCI"? Sergei endureceu. "Nós atendemos mais ou menos 75% das exigências do PCI. É melhor que a média para varejistas do nosso tamanho". A resposta era defensiva, mas honesta. "Como conseguimos nos safar dessa"? Brett rosnou. Ele sabia que estar em conformidade com o PCI, que era exigido por todas as grandes companhias de cartão de crédito, exigia varreduras regulares por um fiscal de fora para assegurar que os sistemas da empresa estavam funcionando - sob penas rígidas por descumprimento. "Eles não nos examinam todo dia", Sergei argumentou. "A conformidade de verdade cabe a nós, a mim, no fim das contas".Valores Centrais em Risco A parte do outro lado do escritório de Brett estava coberta por centenas de fotos tiradas com câmeras compradas na Flayton. Casamentos, férias, formaturas, pores-do-sol e crianças atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce harvard business review • setembro de 2007 página 4 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Chefe, Acho que Alguém Roubou Nossos Dados do Cliente•••ESTUDO DO CASO HBR sorrindo - todas enviadas por clientes. Exibições similares iluminavam as paredes de todas as lojas Flayton Electronics, para lembrar os funcionários que os clientes não são apenas carteiras que compram produtos. Uma das fotos mais perto do vão da porta de Brett era de seu pai dando um cheque do tamanho de um pôster para uma instituição de caridade local. Enquanto Brett contemplava as fotos, ele se perguntava se tinha forçado o crescimento rápido demais ou não. Depois que seu pai se aposentou, Brett aumentou suas ambições. Ele havia buscado investimento de capital privado alguns anos atrás e estava fielmente ciente de sua obrigação de entregar os resultados que havia prometido. Sua estratégia era agressiva, mas ele estava confiante nela - até agora. Teria ele uma visão míope sobre a infraestrutura necessária para fazer uma empresa bem maior funcionar? Teriam as necessidades de sua empresa ultrapassado as capacidades de seus funcionários de longa data? Teria ele deixado a Flayton vulnerável ao investir pouco em sistemas? Teria ele forçado demais em tempo de menos? Dentro da Violação Ao final do dia, Brett havia reunido a equipe de gestão do topo para revisar o plano de crise. As coisas pareciam ainda mais desagradáveis do que de manhã. Laurie informou a equipe que, com a nova informação dos bancos adicionais, o número conhecido de contas comprometidas estava aumentando. O total ainda não estava claro, mas certamente era mais alto que os 1.500 iniciais. Sergei relatou encontrar um buraco - um firewall desativado que supostamente fazia parte do sistema de controle de inventário wireless, que usava dados em tempo real de cada transação para desencadear o reabastecimento do centro de distribuição e automatizar os pedidos dos fornecedores. O sistema ajudava a manter os inventários baixos, as prateleiras cheias e os custos e perdas em um mínimo. Com o firewall desativado, entretanto, supostamente dados internos da empresa estavam sendo essencialmente transmitidos. "Tudo que você precisa é do equipamento correto e dos motivos errados", Sergei admitiu. "Mas você precisaria estar em algum lugar relativamente perto da loja porque a faixa de transmissão é limitada". Ele parou para estudar as expressões de seus colegas, terminando em Brett. "Nós podemos ativar o firewall assim que os policiais nos derem carta branca". Ele sabia que seu trabalho estava em risco. "Primeiramente, como o firewall foi desativado"? Laurie perguntou. "Impossível saber", Sergei respondeu com determinação. "Pode ter sido intencional ou acidental. O sistema é relativamente novo, então nós desligamos e ligamos coisas em vários momentos enquanto solucionávamos os bugs. Estava falhando bastante por um tempo. Firewalls podem ser problemáticos". Brett olhou para o diretor de recursos humanos, Ben Friedman, que tinha várias pastas de funcionários na sua frente. Nós tivemos cinco saídas de pessoas que estavam envolvidas com esse sistema de alguma forma", Ben disse, folheando os arquivos um por um. "Duas desonerações, um retorno para a faculdade, uma rescisão após reprovação no exame antidoping e uma rescisão por download de material impróprio usando computadores da empresa". Ele colocou as pastas na mesa, parou e deslizou as duas dos funcionários demitidos para Brett. "Bem", Brett suspirou, "isso nos dá alguns possíveis suspeitos". Ele virou para a diretora de comunicações, Sally O’Connor. Mais cedo naquele dia, ela tinha entregado a Brett um memorando delineando três opções de comunicação, que Brett estava contemplando até o momento. Realizar uma conferência de imprensa colocaria a Flayton a frente da história - e iria, Brett pensava, ser a abordagem mais transparente. Ele estava perturbado pela segunda opção de Sally - informar os clientes, por carta, que uma violação havia ocorrido e que a situação estava sendo resolvida. Ele achava que geraria mais ansiedade para os clientes do que tranquilização e poderia fazer parecer que a Flayton estava escondendo algo. A última opção - não fazer nada até que a aplicação da lei estivesse pronta para ir a público - era a mais fácil a curto prazo porque colocava a decisão em outras mãos. Darrell Huntington, conselheiro externo a muito tempo da Flayton que havia sido informado tarde na noite anterior, levantou de seu assento. "Deixe-me dizer algumas coisas. Primeiro, nós ainda não temos nenhum prova definitiva aqui. Todas os indícios são circunstanciais. E do meu ponto de vista de casos passados, é claro que qualquer um que for a público primeiro é a entidade que será processada". "Quem seria mais provável de mover a ação"? perguntou o CFO Frank Ardito. "Nenhum cliente vai sofrer dano financeiro, certo?" Os bancos os protegem". "Nós podemos ser processados por diferentes motivos que eu prefiro não mencionar aqui", disse Darrell, "mas outras violações causaram ações judiciais de clientes, bancos e até de investidores. atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce harvard business review • setembro de 2007 página 5 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Chefe, Acho que Alguém Roubou Nossos Dados do Cliente•••ESTUDO DO CASO HBR Se você ganhar ou perder, haverá custo para você - e necessariamente haverá muita cobertura da mídia". "Nós não somos obrigados a divulgar isso para nossos clientes imediatamente"? Frank questionou. "Três dos estados em que operamos exigem divulgação imediata e os outros três, não", Darrell observou. "Mas pelo que eu entendi, você não sabe qual papel a Flayton tem, e se tem algum, nesse possível crime. Um banco identificou um padrão. Parece haver uma correlação entre os cartões com atividade fraudulenta e os cartões usados para fazer compras na Flayton. Isso poderia ser uma coincidência. Neste momento, nós não temos nenhum indício de violação de dados na Flayton. Nenhum". "O que nós devemos fazer"? Brett pressionou. "Não fazer nada não é uma opção. Não para mim". "Isso é exatamente o que você deveria fazer", Darrell afirmou. Ele se virou para Sally. "Nossa estratégia de comunicação deveria ser não falar com ninguém. Se você realmente receber uma ligação da impressa, apenas confirme que a Flayton foi contactada pelas autoridadesde aplicação da lei em relação uma investigação cujo a qual você não recebeu nenhuma informação e que você está cooperando totalmente. Indiquem os para o Serviço Secreto. Eles não dizem nada para ninguém". "Isso deve funcionar por enquanto", Brett reconheceu "mas, Sally, eu quero que você antecipe os próximos passos. Embora nós nos comuniquemos eventualmente, eu quero oferecer uma conversa franca, sem enrolações". Darrell se sentou. Brett sabia que não existiam respostas fáceis. Sua pesquisa online na noite passada apresentou uma pesquisa recente documentando que clientes são relutantes a comprar em lojas conhecidas por ter violações de dados. Darrell estava argumentando que a Flayton poderia ficar vulnerável simplesmente ao tentar fazer a coisa certa e liberar a notícia rapidamente. No entanto, o futuro da empresa dependia de sua reputação pela sua imparcialidade - cuidadosamente conquistada em décadas pelo pai de Brett. "Bem, a decisão pode escapar do nosso controle em breve", disse Sally. "I estava revisando as contas afetadas e um nome muito interessando surgiu: Dave Stevens, âncora do noticiário noturno na KCDK-TV. Aparentemente, nós instalamos um home theater para ele". Ela se virou para Brett. "Histórias assim sempre vazam de alguma forma". Brett deslocou seu maxilar, recuou sua cadeira e levantou. "Então, se eu entendi corretamente, nós temos indícios circunstanciais, mas fortes que a violação ocorreu, nós temos dois ex funcionários que podem ou não estar envolvidos, alguns estados que exigem a nossa divulgação, federais que querem que nós nos calemos e uma personalidade televisiva entres as vítimas. Se nós divulgarmos, nós provavelmente seremos processados; se nós não divulgarmos, a história irá vazar eventualmente. Os federais podem pegar os criminosas se nós os dermos tempos, mas não há garantia. Não importa o que aconteça, nossa reputação esta em jogo e os competidores começarão a fornecer promoções especiais para atrair os clientes na primeira oportunidade que tiverem. E eu me pergunto se eu um dia poderei olhar um cliente diretamente nos olhos de novo. Esqueci algo"? Brett inclinou-se para frente e colocou as duas mãos firmemente na mesa. Seus olhos encontraram os olhos de casa membro de sua equipe. Ele conhecia - e confiava em - todos. "A única coisa que eu tenho certeza é: O nome Flayton significa algo para mim, para nossos funcionários e para nossos clientes. Nós vamos decidir o que fazer. Hoje". Como a equipe da Flayton Eletronics deveria responder à crise?• Quatro comentaristas oferecem seus conselhos de especialista. Ver Comentário do Caso atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce Chefe, Acho que Alguém Roubou Nossos Dados do Cliente • ESTUDO DO CASO HBR Comentário do Caso por James E. Lee Como a equipe da Flayton Eletronics deveria responder a crise? págin a 6 harvard business review • setembro de 2007 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Além de consertar a fraqueza da firma em relação a segurança de dados, o presidente executivo deve desenvolver uma estratégia de restauração da marca. Como você reage a notícia de uma violação de dados em sua empresa é, como questão prática, muito mais importante que o que realmente aconteceu. Se a sua empresa consegue sobreviver o episódio ou não dependerá da ação corretiva que você tomará e como você se comunicará sobre ela aos vários interessados. A experiência da minha firma oferece um exemplo excelente. ChoicePoint fornece insights de tomada de decisão para empresas e para o governo através da identificação, recuperação, armazenamento, análise e entrega de dados sobre indivíduos e instituições. Em 2005 nossa empresa foi vítima de um esquema de fraude em que os criminosos posaram de clientes para obter a informação pessoal de 145.000 pessoas do nosso sistema de dados. Nenhuma violação tecnológica aconteceu, mas a imprensa descreveu o incidente como se houvesse ocorrido. Nós descobrimos as atividades nefastas nós mesmos e informamos o chefe do departamento do condado de Los Angeles, com quem organizamos uma operação policial que eventualmente levou a acusação de uma quadrilha criminosa Nigeriana. Nós sofremos ao escolher a estratégia correta para alertar os clientes cujos dados poderiam ter sido obtidos de forma fraudulenta através da ChoicePoint. No final, nós notificamos todos que acreditávamos estar em risco, independentemente de seu estado de residência. Nós atualizávamos os funcionários diariamente e tínhamos conferencias telefônicas freqüentes com nossos gerentes e dirigentes. Nosso diretor executivo e outros executivos seniores visitavam clientes e investidores chave para compartilhar as várias políticas e procedimentos que estávamos adotando para prevenir uma recidiva. Todos os interessados foram, nós reconhecemos, fundamentais para nossa sobrevivência. Alguns de nossos passos preventivos foram radicais, incluindo abandonar um ramo de atividade que valia $20 milhões por causa de seu risco potencial de violação de dados futuro. Mudanças na cultura eram geralmente exigidas. Por exemplo, todo funcionário deve agora ser aprovado em cursos de treinamento anuais de privacidade e segurança como uma condição de emprego. Na ChoicePoint, nós aprendemos rapidamente que em situações como essas, vários fatores estão além de nosso controle. A imprensa pode ser uma grande distração. Mas é bem pior que isso. Você enfrenta inquéritos de muitos quartéis, no nosso caso de múltiplos procuradores gerais, da Comissão Federal de Comércio e do congresso dos Estados Unidos. Você pode ser processado pelos bancos; por outros envolvidos na rede de transação de cartões de crédito, como empresas de processamento e clientes; por acionistas e até mesmo por funcionários e aposentados. Para a Flayton Electronics, se mover rapidamente diante de uma crise será essencial. Timing é um fator crucial nas ações judiciais inevitáveis, que focam em o que os executivos sabiam sobre a situação e a quanto tempo sabiam antes de ir a público. Além de consertar a fraqueza da firma em relação a segurança de dados, o diretor executivo Brett Flayton deve desenvolver uma estratégia de restauração da marca A empresa deveria, como a ChoicePoint, informar os clientes afetados rapidamente, organizar linhas diretas de informação gratuitas e oferecer serviços de monitoramento de crédito. Depois eles devem exceder essas medidas básicas com uma grande variedade de extras para manter os clientes leais. Oferecer descontos e vendas, encontrar com críticos da empresa e desenvolver e promover novas páginas na internet que resumam as reformas nas políticas e práticas da firma. Comunicados também precisarão evoluir para demonstrar capacidade de resposta aos desenvolvimentos, ou senão arriscar que as palavras dos executivos da empresa pareçam apenas com declarações corporativas. O tom é bastante importante. Declarações públicas não devem ser só precisas, mas sinceras,arrependidas e honestas. A Flayton também precisará recorrer a influência dos blogs, vídeos virais e outras mídias sociais. Tal conteúdo gerado pelos usuários, não filtrado pelos jornalistas tradicionais e acessível a qualquer um usando uma ferramenta de pesquisa online, é geralmente um modo de recrutar ações judiciais dos queixosos e expor reclamações pessoais. Por fim, Brett e sua equipe precisarão de muita paciência. O problema não desaparecerá com as manchetes. Atenuar os efeitos na marca e na reputação levará, eu imagino, de três a cinco anos. A Flayton tem um longo caminho pela frente. James E. Lee (james.lee@choicepoint.com) é o vice presidente sênior e diretor de publicidade e de defesa do consumidor na ChoicePoint, localizado em Alpharetta, Geórgia. atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce Chefe, Acho que Alguém Roubou Nossos Dados do Cliente • ESTUDO DO CASO HBR Comentário do Caso por Bill Boni Como a equipe da Flayton Eletronics deveria responder à crise? harvard business review • setembro de 2007 págin a 7 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Você precisa de pessoas disponíveis experientes no campo digital para combinar inteligência com criminosos cibernéticos com esperteza tecnológica. A maioria dos executivos sênior tem o insight e os instrumentos de medição para analisar os danos em potencial de desastres tangíveis como inundações e incêndios. Esse não é geralmente o caso quando o assunto é segurança de informação, incluindo prevenção e planejamento de roubo de dados. "Deixe a equipe técnica lidar com isso" tende a ser a estratégia padrão, relegando a responsabilidade a técnicos de informação não seniores ou gestão de segurança corporativa. Empresas que levam a proteção de seus dados e o valor da preservação de seus dados a sério deveriam ter um oficial de alto nível, como um diretor ou vice-presidente de proteção de informação, que trabalharia não só como um gerente, mas como um defensor sênior. Sete anos atrás, eu fui apontado com o primeiro oficial de segurança de informação corporativa da Motorola. Como um líder de proteção de dados, eu sou responsável pela informação e ambiente de TI da firma mundialmente e por ter uma estratégia abrangente para gestão de riscos. Um componente de estratégia útil é exigir que toda nova iniciativa identifique, na fase inicial de idéia, os dados que podem ser envolvidos - e seus valores. Este mandato cria medidas de segurança apropriadas nos próprios projetos. As políticas, procedimentos e protocolos de treinamento que são adaptados para cada função da empresa também são benéficos, para reduzir a probabilidade dos indivíduos tomarem decisões erradas por não entender como os padrões gerais de dados se aplicam para seus papéis específicos. Estar totalmente de acordo com o PCI é, certamente, uma linha de defesa essencial contra o roubo de dados e meu maior palpite é que um terço das empresas cumpre as normas. Entretanto, adversários cibernéticos cada vez mais hábeis não desistem e oferecem suas felicitações porque você fez o que deveria fazer. Durante meu mandato em segurança de informação, a ação de hacking amadora evoluiu e se tornou uma extração de dados valiosos muito mais sofisticada e parasítica de organizações específicas. Uma falácia comum é que a tecnologia de balda de prata pode salvar o dia. Eu já vi organizações gastarem milhões de dólares em medidas de segurança que foram penetradas por uma pessoa com conhecimento com um instrumento manual. Por exemplo, a Motorola provou para um de seus clientes, que tinha investido muito em algumas das melhores proteções de tecnologia disponíveis, que nós podíamos acessar seus sistemas centrais de empresa usando apenas um smartphone e a Internet. Para prevenir e lidar com violações de dados, você precisa de pessoas disponíveis experientes no campo digital para combinar inteligência com criminosos cibernéticos com esperteza tecnológica e entender os sistemas que eles estejam visando. A proteção de dados não é necessariamente uma competência central nem de um TI ou de uma equipe tradicional de prevenção de perdas. Também é indispensável o conhecimento dos estatutos e regulamentações de privacidade aplicáveis e a habilidade de reunir e preservar fontes de indícios relevantes. Você pode reunir uma equipe interna de advogados, contadores e investigadores especialistas em ciência forense digital de agencias de aplicação da lei ou de defesa - ou usar fontes externas como firmas de direto, firmas de contabilidade pública e consultorias com especialização digital. Armados de fatos vindos de especialistas, ainda a serem reunidos, a Flayton deveria avisar a aplicação da lei que a empresa existe para servir seus clientes e manter sua reputação. A Flayton não pode esperar por tempo indeterminado para notificar o público. A firma deveria, certamente, trabalhar com o Serviço Secreto para atingir as acusações, mas deve tornar a manutenção da confiança do público enquanto respeita completamente a proteção de dados e as leis de privacidade nos estados que exigem a divulgação da violação uma prioridade. Até que a Flayton entenda profundamente sua situação de segurança, ela se arriscará a fazer escolhas ruins. Nenhum dos gerentes ou conselheiros parece ter experiência ou informação suficiente para alcançar decisões seguras sobre os riscos que estão confrontando. Por exemplo, permitir que o firewall se mantenha desligado pode comprometer ainda mais as contas dos clientes. Um modelo definido de plano de resposta, como o do American Institute of Certified Public Accountants, é uma fonte em potencial de ajuda imediata para esta crise na empresa. Bill Boni (bill.boni@motorola.com) é o oficial de segurança de informação corporativa da Motorola em Schaumburg, Illinois. Ele também é vice presidente e membro do conselho da Systems Audit and Control Association, uma organização mundial localizada em Rolling Meadows, Illinois. atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce Chefe, Acho que Alguém Roubou Nossos Dados do Cliente • ESTUDO DO CASO HBR Comentário do Caso por John Philip Coghlan Como a equipe da Flayton Eletronics deveria responder à crise? págin a 8 harvard business review • setembro de 2007 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Fazer da segurança de dados uma prioridade para o futuro- e comunicar as mudanças de política específicas decorrentes - pode permitir que a empresa se torne reconhecida como líder nessa área. Uma violação de dados pode colocar um executivo em uma situação extremamente complexa, onde ele deve negociar os interesses geralmente divergentes de múltiplos interessados. Veja a variedade de concorrentes que você iria encontrar em uma casa como o da Flayton Electronics. Bancos que emitem cartões de pagamento, como o fictício Union Century, são geralmente os primeiros a localizar possíveis fraudes quando seus sistemas identificam comerciantes que são pontos de compra comuns para contas comprometidas em potencial. Para a proteção dos donos de seus cartões, eles apóiam vigorosamente a identificação precoce desses comerciantes. Um banco que realiza o processamento de pagamentos para um dado comerciante, chamado de banco adquirente, é protetor daquela relação empresarial e sensível aos interesses do comerciante. Entretanto, o banco é responsável por redes de pagamento, como a Visa e a MasterCard, e por assegurar a conformidade do comerciante com os padrões da indústria de cartões de pagamento. Portanto, a marca e a reputação do banco adquirente também estão eventualmente ameaçadas e seus interesses são apenas parcialmente alinhados com aqueles do comerciante. Complicando um pouco mais a situação está o papel da aplicação da lei. O Serviço Secreto pediu a Flayton Electronics para não divulgar a violação, acreditando que deixando o sistema vulnerável durante a vigilância fornecerá a melhor oportunidade de pegar os ladrões se eles agirem novamente. Infelizmente, tal pedido pode ser indeterminado e a cada dia que passa a oportunidade da empresa de liderar as comunicações é desperdiçada. Não é ilegal recusar certas apelações da aplicação da lei. Ao contrário, muitas leis de estado exigem que uma entidade violada divulgue informações específicas de forma oportuna. além dos interessados institucionais descritos, existem grupos de consumidores, legisladores, interessados e é claro, os funcionários e clientes, cujo interesses nós vemos Brett Flayton considerar energicamente. Em relação aos consumidores, o diretor executivo poderia gostar de saber que em um estudo da Javelin Strategy & Research, 78% dos consumidores disseram que eles provavelmente deixariam de comprar em uma loja uma vez que eles soubessem de uma violação de dados nela. Então, o presidente executivo constantemente irritado não tem opção melhor do que divulgar. Se não se pronunciar, ele não estará dando aos seus cliente os melhores meios de se proteger: ao usar um cartão de pagamento diferente e não comprometido ou ao examinar transações no cartão comprometido. Mesmo se ele esperar para saber mais, Brett terá eventualmente que ir a público, ainda sem a informação completa. Entretanto, ele corre um risco em rápida escalada que terceiros divulguem a violação, e nesse caso ele terá que defender ter violado a confiança de seus clientes. A firma de eletrônicos construiu sua reputação com honestidade, um fato que Brett e seus conselheiros não deveriam se deixar esquecer. Então a Flayton Electronics deve comunicar - agora mesmo - com seus clientes. Entre as vias possíveis estão usar informações de contato da base de dados da própria empresa; organizar uma página especial para a empresa na internet; e realizar eventos informativos exclusivos, como convocações e webcasts - tudo reforçado com uma linha direta de apoio para os clientes. Claro, Brett deveria assegurar que Sergei corrija a fraqueza tecnológica conhecida imediatamente. Os clientes vão querer saber quando o sistema estará seguro de novo. Fazer da segurança de dados uma prioridade para o futuro - e comunicar as mudanças de política específicas decorrentes - pode permitir que a empresa se torne reconhecida como líder nesta área. Uma pesquisa da Bain & Company também traz um pouco de esperança: Os clientes que recebem a indenização adequada após fazer uma reclamação na realidade são mais leais que aqueles sem reclamações. Então, se a empresa de Brett Flayton fornecer uma resposta oportuna, focada e eficiente, seus clientes comprometidos podem se tornar os mais leais de todos. John Philip Coghlan é ex-diretor e presidente executivo da Visa USA sediada em São Francisco. atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce Chefe, Acho que Alguém Roubou Nossos Dados do Cliente • ESTUDO DO CASO HBR Comentário do Caso por Jay Foley Como a equipe da Flayton Eletronics deveria responder à crise? Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Não alertar os clientes o mais rápido possível não é o mesmo que fazer nada. Os executivos na Flayton Electronics estão sendo mal informado por Darrell Huntington, seu conselheiro externo. As empresas que são processadas não são aquelas a ir a público sobre a violação de dados primeiro, mas aquelas que o fazem mal. Agora mesmo, a Flayton não tem nenhuma chance de disponibilizar uma informação boa, porque ela não tem nenhuma. Anunciar informações imprecisas e depois ter que corrigi-las enquanto a investigação da violação evolui iria encorajar um frenesi corrosivo dos advogados dos queixosos. Por enquanto, a Flayton deveria se manter calada, mas por razões diferentes das de Darrell. Outra concepção errada da equipe de gerencia é a que eles deveriam considerar informar os clientes eles mesmos. As transações de cartão de crédito pertencem ao banco que tem proteções em funcionamento para os titulares de seus cartões. Para a Flayton se envolver na identificação de endereços privados para - e depois contatar - indivíduos potencialmente afetados seria se expor a ser responsabilizada. Outra pessoa na rede de transação, como a empresa de processamento de cartão de crédito, pode muito bem ser culpada, nesse caso seria inteligente esperar que essa parte se pronunciasse primeiro. De fato, é possível que a investigação de Serviço Secreto mostre que a varejista de eletrônicos não foi a fonte da violação de forma alguma. Os oficiais da aplicação da lei pediram a Flayton para se manter extrema discrição enquanto eles fazem o seu trabalho, para dar-lhes uma chance maior de apreender os criminosos. Se a Flayton se precipitar em um anúncio público, os bandidos têm a chance de desaparecer, apenas para ressurgir em outro lugar. Nada positivo será obtido desse resultado. Ao invés disso, o presidente executivo Brett Flayton deveria pensar calmamente em sua reposta para crise. Não alertar os clientes não é o mesmo que não fazer nada. A primeira ação da empresa deveria ser reduzir os riscos de futuro roubos ao fechar quaisquer brechas de transação de dados que este incidente trouxe a tona, desde que o Serviço Secreto não pense que interferirá em sua investigação. Os executivos na Flayton também deveriam reavaliar suas políticas e procedimentos internos e deveria estabelecer auto-auditorias e analisesde planejamento estratégico regulares. Sergei, o CIO, realmente fracassou ao fazer seu trabalho. Não há desculpa para o seu desleixo. Tristemente, todavia, os infortúnios tecnológicos de Sergei não são exclusivos. Em 2006 o Computer Security Institute em São Francisco conduziu uma pesquisa de 616 grandes empresas localizadas nos Estados Unidos e descobriu que 52% tinham passado por algum caso de uso não autorizado de seus sistemas de computador. Quase metade desse subgrupo mencionado disse que sofreram um roubo por laptop ou dispositivo móvel. Infelizmente, o âmbito real do problema de roubo de dados não é conhecido. Estatísticas sobre seu impacto a longo prazo, seja para empresas ou indivíduos, são escassas. Do Computer Security Institute, dos dados que dispomos apenas 15% das empresas na pesquisa sofreram perdas financeiras como resultado de violações de segurança cibernéticas. Nós também sabemos que a maioria das vítimas de roubo de dados não se tornam vítimas de rouba de identidade depois. Normalmente, um criminoso tem como objetivo acumular algumas compras rápidas usando cartões de crédito roubados e seguir em frente. De fato, é provável que os clientes da Flayton tenham sido vítimas deste tipo de fraude. Ladrões podem pensar justamente que as pessoas que tem dinheiro para comprar eletrônicos chiques tem renda disponível suficiente para não perceber cobranças extras em suas contas imediatamente. Talvez o indicador mais preocupante é que a indústria de criminosos para informação está crescendo. Eu posso ir ao MacArthur Park em Loas Angeles a qualquer dia da semana e conseguir $50 em troca de um nome, número de segurança social e data de nascimento. Se eu levar uma lista mais longa de nomes e detalhes, saio de lá um homem rico. A nova realidade sombria mostra como o valor de dados pessoais está aumentando e deveria encorajar todas as empresas a levar a proteção de dados muito a sério. Jay Foley (jfoley@idtheftcenter.org) é o diretor executivo do Identity Theft Resource Center em San Diego. Reimpressão R0709A Apenas o caso R0709X Apenas o comentário R0709Z Para encomendar, ligue 800-988-0886 ou 617-783-7500 ou visite www.hbrreprints.org harvard business review • setembro de 2007 página 9 atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce atilasilvalima Realce Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Para Encomendar Para reimpressões e assinaturas da Harvard Business Review, ligue 800- 988-0886 ou 617-783-7500. Visite www.hbrreprints.org Para pedidos personalizados e de quantidade de reimpressões de artigos da Harvard Business Review, ligue 617-783-7626, ou mande e-mail para customizations@hbsp.harvard.edu www.hbrreprints.org Estados Unidos e Canadá 800-988-0886 617-783-7500 617-783-7555 fax