Nos robaron la información

Brett Flayton, presidente de Flayton Electronics, estaba en su escritorio leyendo un memorando inquietante del jefe de seguridad. Sonó su celular. Era Laurie Benson, vicepresidenta de prevención de pérdidas.

“Brett, tenemos un problema. Podría haber una fuga de datos. Fui contactada por Union Century Bank y aparecimos como un punto de compra común para un número de tarjetas falsas”.

Se consoló al recordar que su empresa había invertido tiempo y dinero en cumplir con los estándares para la protección de datos del sector de pago con tarjetas (PCI, por sus siglas en inglés).

“¿Pero por qué tendríamos que notificar a nuestros clientes?— preguntó Brett—, ¿los bancos aún no les informan que sus cuentas podrían estar comprometidas?”.

“No es tan simple — explicó Laurie—, algunos bancos tienen herramientas de análisis que detectan patrones inusuales, pero ese método es impreciso”.

En la caja registradora, un cliente presentaba una tarjeta de pago, la que era deslizada por el lector. La información de la tarjeta y los datos de la compra eran transmitidos al banco. La información de la transacción era almacenada en las computadoras de la empresa y exhibida en diversos reportes.

“¿Y si hay algún tipo de coincidencia?”, Brett estaba dispuesto a creer cualquier cosa. “Tal vez sólo sea que 1.500 de nuestros clientes tuvieron la misma mala suerte”. Laurie inhaló profundamente. “Todo es posible. Necesito saber más de lo que sé. El banco me conectó con el Servicio Secreto, el que está manejando la investigación.  “Estoy seguro de que Sergei Klein (jefe de tecnología) ya está trabajando en ello”, replicó Brett.

“¿Pero qué pasa con los clientes? No podemos dejar conscientemente que los estafen”. Brett se expresó con una determinación atípica. “Esta empresa se construyó sobre la confianza. Nuestra reputación es una ventaja competitiva”.

“Se trata del bien mayor”, dijo Laurie. “Los clientes no serán responsables por los cobros. Están absolutamente protegidos”.


Defensas limitadas

Brett no se conformaba sólo con esperar las respuestas. Se dirigió a la oficina de Sergei. Llegó a la puerta “¿qué es lo que sabemos?”. “Estamos tratando de determinar qué pasó”, respondió humildemente el director de informática. “Pero estamos seguros de que nuestros sistemas PCI estaban funcionando, ¿no es verdad?”, presionó Brett. “Cumplir con las normas PCI es complicado”, dijo Sergei. “¿Me estás diciendo que no cumplimos realmente las normas PCI?”.

Sergei se puso rígido. “Cumplimos cerca de 75%, lo que es mejor que el promedio de los minoristas de nuestro tamaño”. La respuesta era defensiva, pero honesta.

Cerrando la brecha

Brett miró a su director de recursos humanos, Ben Friedman. “Tenemos a cinco personas que se fueron y que estuvieron relacionadas con sistemas. Dos renuncias, uno se fue a hacer un posgrado, un despido por fallar en un test de drogas y un despido por descargar material inapropiado con las computadoras”. “Eso nos da un par de posibles sospechosos”, dijo Brett.

Se dirigió a la directora de comunicaciones, Sally O'Connor. Ella había planteado tres opciones. Una conferencia de prensa permitiría a Flayton controlar la historia, y sería el enfoque más honesto según Brett. La segunda, informar a los clientes, con una carta, sobre la fuga de información y que la situación estaba siendo enfrentada. Sentía que esto generaría más ansiedad en los clientes y podría parecer que Flayton estaba ocultando algo. La última, no hacer nada hasta que las autoridades quisieran dar a conocer el asunto, era la más fácil en el corto plazo, ponía la decisión en manos de terceros.

Darrell Huntington, asesor legal externo, manifestó: “Quiero decir dos cosas. Primero, todavía no tenemos ninguna prueba definitiva. La evidencia es circunstancial. Basándome en mi experiencia, la primera entidad que hace público el tema es demandada”.

“¿Qué se supone que tendríamos que hacer?”, presionó Brett. “No hacer nada no es una opción para mí”. “Eso es exactamente lo que deberías hacer”, afirmó Darrell. Miró a Sally. “Tu estrategia debería consistir en no hablar. Si llaman los medios, confirmen que Flayton ha sido contactada por las autoridades respecto de una investigación sobre la que no se les ha dado información y con la que están cooperando. Remítanlos al Servicio Secreto”.

Brett sabía que no había respuestas fáciles. Su búsqueda en internet la noche anterior había arrojado un estudio reciente que documentaba que los clientes eran renuentes a comprar en tiendas conocidas por tener fugas de datos. Según Darrell, la empresa podría ser vulnerable simplemente por tratar de hacer lo correcto y revelar rápidamente las noticias. Sin embargo, el futuro de la empresa dependía de su reputación de trato justo, aquella que el padre de Brett había cimentado laboriosamente durante décadas.


“Bueno, la decisión pronto podría estar en otras manos”, dijo Sally. “Estuve revisando las cuentas afectadas y apareció un nombre muy interesante: Dave Stevens, presentador principal de las noticias nocturnas en KCDK-TV. Al parecer le instalamos un home theater”. Miró a Brett. “Historias como ésta siempre se filtran de alguna forma”.

Brett movió su mandíbula, empujó su silla hacia atrás y se puso de pie. “A ver, si entiendo correctamente, tenemos evidencia circunstancial, pero fuera de que se ha producido una fuga de datos, tenemos a dos ex empleados que podrían o no estar involucrados, algunos estados que exigen que revelemos la situación, agentes del FBI que quieren que nos callemos y una personalidad de televisión entre las víctimas. Si revelamos la situación, probablemente nos demanden; si no lo hacemos, la historia igual se filtrará. Los agentes del FBI podrían capturar a los perpetradores si les damos tiempo; pero no hay garantía. Pase lo que pase, nuestra reputación está en peligro, y nuestros competidores empezarán a lanzar promociones especiales para tentar a nuestros clientes apenas puedan. Y me pregunto si alguna vez podré volver a mirar a los clientes a los ojos”.

Valores básicos en riesgo

El muro al frente de la oficina de Brett estaba cubierto por cientos de fotografías tomadas con cámaras compradas en Flayton. Matrimonios, vacaciones, graduaciones, puestas de sol y sonrientes bebés, todas enviadas por clientes.

Exhibiciones similares iluminaban las paredes de todas las tiendas de Flayton Electronics para recordar a los empleados que los clientes no son sólo billeteras que compran sus productos.

Una de las fotografías más cercanas a la puerta de Brett era una de su padre entregando un cheque de tamaño gigante a una obra de caridad local.

Mientras Brett contemplaba las fotos, se preguntaba si había intentado crecer demasiado rápido. Después de que su padre jubiló, él elevó sus ambiciones.

Buscó capitales de firmas de inversión hace unos años y estaba permanentemente consciente de su obligación de entregar los retornos prometidos. Su estrategia había sido agresiva, pero confiaba en ella, hasta ahora. ¿Había sido miope con respecto de la infraestructura necesaria para dirigir una empresa mucho más grande?

¿Las necesidades de la empresa habían crecido más rápidamente que las capacidades de su personal histórico? ¿Había expuesto a Flayton al invertir insuficientemente en sistemas? ¿Había ido tras demasiado y demasiado rápido? Esas reflexiones surgieron con el robo de la información que vivió Flayton.

 

últimas noticias