Está en la página 1de 42

CASO DE ANÁLISIS DE GESTIÓN DE

CRISIS- FRÁGIL S.A


Presentado por:
Ana María Díaz
Carolina Barahona
Susana Alvarenga
Samantha Deras
José Arístides Helena
José Ricardo Rivera
Carlos Altamirano
OBJETIVOS

Desarrollar un análisis de la Establecer acciones estratégicas


situación de la gestión de crisis y toma de decisiones para el
de la empresa Frágil S.A manejo de la crisis
FRÁGIL, S.A.
Es una empresa que se dedica a la
comercialización minorista de productos
electrónicos.

PROBLEMÁTICA.
• Seguridad de su base de datos de clientes está en
riesgo, por un comunicado realizado por Banco ICBC.
• El dilema de cada miembro del equipo de la organización
es que hacer ante el incidente:
• Comunicar a los clientes? No comunicar a los clientes?
PÉRFILES DE LOS ACTORES
Laura Gorra: Roberto Tecno:
Jorge Seguro:
Encargada de la Encargado del
CEO de la
seguridad de la departamento de
organización
organización TI

Juan Caníbal:
Elena Canta: Alberto Leyes:
Director de
Encargada de Director de
Recursos
comunicaciones Legales
Humanos

Carlos Pesos:
Encargado de
finanzas
LAURA GORRA
INFORMACIÓN Y HECHOS
CLAVES

FRAGIL, S.A. Información ¡Los números de Identificación de


detectada como almacenada en tarjeta de crédito no vulnerabilidad en la
punto común de computadoras de la debieron cadena de datos.
compra para empresa y exhibida almacenarse en los
tarjetas falsas. en diferentes sistemas de la
reportes. empresa!

Los lectores podría Interceptaron las


a ver sido líneas de datos
Hackeados? entre tiendas y el
banco?
INFORMACIÓN Y HECHOS
CLAVES

Encargada de La policía recomienda Agentes investigadores, Los datos almacenados


Seguridad informa a la revisión de todas los piden que se mantenga estaban seguros?
delitos informáticos de colaboradores con en secreto el incidente
la Policía lo ocurrido. acceso a datos y a los para investigar
colaboradores que adecuadamente.
fueron despedidos.

Lo pudó haber hecho Se informa a todo el Se buscan las


alguien de la empresa? comité de crisis que el alternativas más viables
O alguien que fue número de cuentas para afrontar de una
despedido? comprometidas estaba manera adecuada el
creciendo. incidente.
OPCIÓN O ALTERNATIVA A
RECOMENDAR

NO TRASMITIR EL INCIDENTE A LOS


CLIENTES

Para evitar el
Para atrapar a cierre masivo
Por riesgo
los de tarjetas, si
reputacional.
involucrados. los bancos se
enteran.
ACCIONES CRÍTICAS A
REALIZAR

Acciones a realizar de inmediato


1. Activar el Firewall.
2. Eliminar que los datos se exhiban en el reporte.
3. Eliminar datos que estén almacenados en el servidor
de los diferentes clientes evitando así el crecimiento de
número de cuentas comprometidas.
4. Reiniciar las credenciales para cambios de
contraseñas en todo el equipo que almacene datos.
ACCIONES CRÍTICAS A
REALIZAR
Acciones a realizar controlado el incidente para evitar riesgos
futuros.
1.Fortalecer y cumplir al 100% con las normas PCI.
2. Encriptamiento de datos que sean necesarios, de acuerdo a la actividad
económica a la que se dedica la empresa.
3. Fortalecer la Unidad de Seguridad con analista expertos en tema de
monitoreo de Riesgos.
4. Creación de un Plan de Contingencia para la seguridad de datos de los
clientes.
5. Implementar un sistema de serguridad con respaldo.
6. Implementación de Dashwoard de controles.
ROBERTO TECNO

• Director de informática
• Con un perfil de profesional meticuloso y
obsesionado,
• Siempre estaba gestionando una larga
lista de mejoras complejas y
• Todo el tiempo tenía tres o cuatro
proyectos de alta prioridad en distintas
etapas de implementación haciendo un
acto de equilibrismo.
INFORMACION Y HECHOS
CLAVE

• No se sabe con exactitud si la falla es


interna o externa
• No se sabe si se han vulnerado los
sistemas internos
• Existencia de fallas en sistemas que
permiten fuga de información sensible
• No se sabe quienes podrían estar
involucrados
• Mejoras en sistemas abren puertas a
ser vulnerado.
OPCION O ALTERNATIVA

COMUNICAR EL INCIDENTE A LOS


CLIENTES E INFORMAR QUE SE ESTA
TRABAJANDO PARA NO AFECTARLOS
ACTIVIDADES CRITICAS

Cumplir con las


Activar firewall
normas PCI al 100%

Auditoria diaria sobre Adquirir infraestructura


el cumplimiento de tecnológica acorde al
normas PCI tamaño de la empresa

Activar plan para la


crisis
JUAN CANIBAL
5 Personas que se fueron de la
empresa y que estuvieron
relacionadas con el sistema:

2 Renuncias

ANALISIS
DE LA 1 postgrado

SITUACION
1 Fallar en un test de drogas

1 Por descarga por material


inapropiado
OPCIÓN O ALTERNATIVA

NO COMUNICAR YA QUE SE TIENEN EX


EMPLEADOS INVOLUCRADOS

2. Por
1. Por fallar Son los de
descarga de
en test de mayor
material
Drogas Sospechas
inapropiado
ACCIONES CRÍTICAS A REALIZAR
Tener mayores filtros en un proceso de selección y
contratación en la empresa.

Dar capacitación constante sobre Riesgo Reputacional y


otros

Recalcar a los Colaboradores que la Confidencialidad de la


empresa es afuera y adentro

Aplicar Sanciones a los colaboradores de acuerdo a la


gravedad de los hechos por incumplir con la normativa
interna de la empresa

Se identifico un Firewall desactivado, lo cual los datos de la


empresa estaban siendo divulgados.
ALBERTO
LEYES
INFORMACIÓN Y HECHOS
CLAVE
Si se hace público los
No existen pruebas acontecimientos, es Tres de las provincias en
definitivas o evidencias sumamente probable que los que operan exigen
reales, en cuanto a la empresa de Frágil S.A una revelación inmediata
personas involucradas sea demandada. (De de los acontecimientos,
y/o sucesos. acuerdo a sucesos las otras tres.
pasados).

Afectaciones a la La empresa podría ser


empresa, en el caso se vulnerada simplemente
revele la situación a los por el hecho de dar a
clientes. conocer lo sucedido.
OPCIÓN O ALTERNATIVA
No dar a conocer la situación a los clientes, la estrategia de
comunicación debería de consistir en no hablar con nadie sobre los
hechos acontecidos.

Únicamente se puede confirmar a los medios, en caso consulten, que


Frágil ha sido contactada por las autoridades legales respecto de una
investigación sobre la que no se conocen detalles y con la que están
cooperando. Ya que, por el momento no existen pruebas reales que
exista una posible fuga de datos en la empresa, únicamente se
encuentran evidencias circunstanciales, tales como que el Banco ha
identificado un patrón, pero no existe una evidencia real.

Por lo tanto, los clientes podrían alarmarse sobre una situación que aún
no se encuentra comprobada y la reputación de la empresa podría
verse afectada por un hecho no comprobado y del cual únicamente se
tienen especulaciones.
ACCIONES CRITICAS

En el caso que las


investigaciones concluyan
y se dé a conocer el
Cooperar con las
involucramiento de Frágil Establecimiento de
autoridades competentes,
S.A, se active el comité de controles, con la finalidad
en este caso con delitos
crisis y se comunique la que no vuelva a ocurrir.
informáticos, para que
crisis, con la finalidad de promociones especiales
puedan capturarse a los
que los clientes puedan para tentar a nuestros
involucrados en el menor
sentir seguridad y que la clientes apenas puedan.
tiempo.
situación se encuentra en
control y que la reputación
no se vea tan afectada.
ELENA CANTA
INFORMACION Y HECHOS
CLAVE:
ELENA CANTA
Por qué tendríamos que notificar nosotros a nuestros clientes?, si los
clientes están protegidos por los bancos, ¿aun no les informan que sus
cuentas podrían estar comprometidas?

Explicó Laura Gorra: “Según el banco (ICBC), alertar a nuestros


clientes de que sus datos pudieron haber sido robados podría ser la
mejor manera para la detección temprana.

En palabras de Laura Gorra: “Los agentes investigadores quieren una


actividad normal suficiente para que puedan realizar una investigación
adecuada y, esperamos iniciar un proceso criminal”
Jorge Seguro “¿Pero que pasa con nuestros clientes? No
podemos dejar conscientemente que los estafen. Esta empresa se
construyó sobre la confianza. Nuestra reputación de hacer
negocios justos es una ventaja competitiva…”

… Nunca querría tener que mirar a un cliente a los ojos y


defender el que no hayamos sido honestos con él” (dilema
entre informar o callar)

El mismo día que Jorge Seguro había reunido al equipo de alta


dirección para revisar el plan para la crisis, Elena canta le había
entregado un memo que delineaba tres opciones para la
comunicación:
Alberto leyes les aclara que “Podríamos ser demandados por
todavía no tienen ninguna prueba varias razones. Pero otras
definitiva y basándose en casos violaciones accidentales de
pasados, la primera entidad que confidencialidad han generado
hace público el asunto suele ser demandas legales de clientes,
demandada. bancos e incluso inversionistas…

…Ganen o pierdan, será costoso; y


habrá mucha cobertura mediática”
Alberto Leyes miró a
Elena Canta: “Tu
estrategia de
Dijo Elena: “La
comunicación
decisión pronto
debería consistir en Jorge le da la
podría estar en otras
no hablar con nadie. siguiente indicación:
manos. Estuve
Si llaman los medios, “Elena, quiero que
revisando las
simplemente anticipes los
cuentas afectadas y
confirmen que Frágil próximos pasos.
apareció un nombre
ha sido contactada Independientemente
muy interesante:
por las autoridades de cómo nos
Jorge Rial. Al parecer
legales respecto a comuniquemos
le instalamos un
una investigación finalmente, quiero
Home Theater.
sobre la que no se mensajes claros,
Historias como esta
les ha dado nada de palabrería”
siempre se filtran de
información y con la
alguna forma”
que están
cooperando
totalmente
OPCION O ALTERNATIVA
RECOMENDADA AL CEO

Sostener una
Informar a los clientes, No hacer nada
conferencia de
mediante una carta, hasta que las
prensa permitiría a
que se había autoridades
Frágil S.A controlar
producido una fuga de estuvieran listas
la historia, y seria el
información y que la para dar a conocer
enfoque mas
situación estaba el asunto
honesto según
siendo enfrentada. públicamente.
Jorge.
ACCION CRITICA A REALIZAR

Comunicar la crisis a través de una adecuada gestión de


comunicación dentro de la empresa para evitar mayores daños.

Comunicar todas las acciones planificadas según la decisión


del comité, a todos los actores (personal) involucrados para
evitar la incertidumbre y suposiciones erróneas (mal clima
interno) que puedan afectar la productividad y la rentabilidad.

Contar con un plan de acción mediático de acuerdo a las


decisiones de la Junta para mitigar el riesgo reputacional.
CARLOS
PESOS
INFORMACIÓN Y HECHOS
CLAVE
Información de mas de
Se detecta el fraude, no
1500 cuentas de clientes
se cuenta con mayor
expuestas, compras
información en el
legitimas, información
momento.
robada.

Cada miembro del


Las autoridades legales
comité de crisis aporta la
y financieras, se activan
información necesaria
para ayudar en la
para entender la raíz del
investigación.
problema.

El presupuesto que la
Las metas financieras
empresa ha invertido es
propuestas han sido las
el necesario para
correctas o se han
garantizar la seguridad
precipitado.
de la información?.
INFORMACIÓN Y HECHOS
CLAVE

Se determinan los Posibilidad de Disminución de La comunicación


riesgos asociados, riesgo de liquidez ventas por crisis de la situación
entre estos riesgos por demandas reputacional, los seria exigible en
de crédito, por económicas de clientes ya no algún momento?
perdida de clientes. clientes. confiarían.

De existir Los clientes


demandas de estarían protegidos
clientes quienes mediante los
serian los posibles bancos o existe
demandantes? riesgo financiero
para ellos?.
OPCIÓN O ALTERNATIVA

COMUNICAR Podría ser


exigible por las
Para crear autoridades que
estrategias de se comunique la
recuperación de situación
Empatía con el públicamente.
cliente, por las perdidas
posibles daños generadas.
Riesgo
reputacional financieros,
afectando las recuperar la
Posibilidad de confianza
demandas de ventas,
clientes, en caso rentabilidad y la
que los Bancos liquidez.
no respondan.
ACCIONES CRÍTICAS

Crear un plan
estratégico para
controlar los riesgos
Enviar correos asociados y las
electrónicos a todos perdidas generadas.
lo clientes
Conferencia de involucrados para
prensa para recuperar la
comunicar confianza y empatía
públicamente. por posibles daños
financieros.
COMITÉ DE CRISIS – FRÁGIL S.A.
ANALISIS DE LA SITUACION
Un Banco identifica a la Los números de Tarjeta de
empresa como punto de crédito no debieron haberse
compra común para un grupo almacenado en el sistema de
de Tarjetas de crédito. la empresa.

La empresa no cumple al
Se identifico un Firewall
1oo% con las normas PCI - El
desactivado, lo cual los datos
Estándar de Seguridad de
de la empresa estaban siendo
Datos para la Industria de
divulgados.
Tarjeta de Pago.

Dos ex empleados
involucrados en la posible falla
y/o robo de información
No trasmitir el incidente a
los clientes y esperar que
las autoridades dieran a
conocer el asunto
públicamente.

GENERACIÓN Realizar un conferencia de


prensa y dar a conocer la
DE OPCIONES información a los usuarios

Informar a los clientes


afectados mediante cartas
de comunicación que se
había presentado una fuga
de información
EVALUACIÓN DE OPCIONES
DECISIONES POR ROLES

17% 16%
ALTERNATIVAS
No Comunicar
Realizar Conferencia de prensa

17% 16%

17% 17%

Laura Gorra-No comunicar


Juan Caníbal-No comunicar
Alberto Leyes-No comunicar
Roberto Tecno-Realizar conferencia de prensa
Elena Canta-Realizar conferencia de prensa
Carlos Pesos-Realizar conferencia de prensa
TOMA DE DECISIÓN
De acuerdo al consenso del comité
crisis, tomamos la decisión de no
comunicar hasta que las
investigaciones finalicen y colaborar
con las instituciones correspondientes.
No obstante, se realizará una
investigación interna y se tomaran
acciones críticas para mejorar la
seguridad de la información de Frágil.
En caso que la empresa estuviere
involucrado en el incidente, se
comunicará a los clientes a través de
una conferencia de prensa.
CONCLUSIONES

Las empresas deben


Es importante que las establecer controles de
empresas cuenten con un acuerdo a la necesidad de la
plan de contingencia ante información que almacenan
eventos de fallas de la en sus sistemas, para cuidar
seguridad de la información. la integridad de la
información de los clientes.
RECOMENDACIONES

Evaluar el cumplimiento de buenas prácticas como


las normas PCI.

Las empresas deben realizar una gestión integral


de los Riesgos para evitar la afectación de
Stakeholder (Clientes internos y externos) y Riesgo
reputacional de la compañía.

También podría gustarte