مشکل دزدی اطلاعات در سازمان‌های بزرگ

مشکل دزدی اطلاعات در سازمان‌های بزرگ رییس، به نظر یک نشتی اطلاعات داریم! او از یک جلسه با فروشندگان به خانه بر می‌گشت که صدای موبایلش در آمد. لاری بنسون، مدیر بخش «جلوگیری از زیان» بود. «برت ما مشکلی داریم. فکر می‌کنم که یک نشتی اطلاعات روی داده است.» لاری که یک پلیس سابق شیکاگو بود، سه سال بود که مسوول امنیتی سازمان شده بود. او توانسته بود میزان دزدی از فروشگاه‌ها را کاهش دهد. برت در حالی که صدایش مانند همیشه آرام بود جواب داد: «چه نوع نشتی اطلاعاتی؟» «مطمئن نیستم. بانک با من تماس گرفت. آنها در بررسی منظمی‌که از کارت‌ها و حساب‌هایشان می‌کنند متوجه شده‌اند که تعداد زیادی از کارت‌های بد از ما استفاده می‌کنند. آنها قرار است اطلاعات بیشتری به من بدهند. ولی فکر کردم همین الان بدانی بهتر است.» برت خبر‌های زیادی راجع به این قبیل سرقت‌ها شنیده بود. ولی سازمان او سازمانی کوچک تنها با 32 مغازه در شش ایالت بود. آیا واقعا فیتون می‌توانست هدفی برای دزدی اطلاعات باشد؟ «لاری، فکر می‌کنم متوجه نشدم. یعنی آدم‌ها در مغازه‌های ما از کارت‌های اعتباری دزدی استفاده کرده‌اند؟ مگر صندوقدارها کارت‌ها را چک نمی‌کردند؟» «به نظر مشکل از ما بوده است.» قلمروی جدید صبح روز بعد در دفتر، برت به نتایج جست‌وجو‌های دیشبش فکر می‌کرد. دزدی اطلاعات به شکل‌های مختلفی انجام می‌شد. دزدها اطلاعات کارت‌ها، شماره حساب‌ها و حتی آدرس‌های ‌ایمیل را می‌دزدیدند. به نظر برای هر چیزی در بازار سیاه مشتری وجود داشت. او تنها از اینکه اخیرا پول زیادی را صرف استاندارد‌های جدید محافظت از اطلاعات یا PCI کرده بود خوشحال بود. لاری آن طرف میز نشسته بود. او برخورد با چنین مشکلی را پیش بینی کرده بود، ولی مقابله کردن با آن برای او قلمروی جدیدی بود. همه جرم‌هایی که او تا کنون با آنها مواجه شده بود، یک صحنه جرم داشتند. ولی این مورد فرق می‌کرد. این چک روتین در بانک مشخص کرده بود که تقریبا 1500 حساب استفاده شده در مغازه‌ها مورد سوءاستفاده قرار گرفته‌اند. این عدد برای یک چک روتین عدد واقعا بزرگی بود. این بانک به بانک‌های دیگر هم اطلاع داده بود تا سایر کارت‌های اعتباری را هم بررسی کنند که ببینند آیا در آنها هم مشکلی پیش آمده است یا نه. برت پرسید: «خودمان نباید متوجه می‌شدیم؟ ما از بانک‌ها به صورت منظم خبر می‌گیریم.» «نه ضرورتا. اگر تراکنش‌ها در مغازه‌های ما با کلاهبرداری صورت می‌گرفت، می‌فهمیدیم. ولی مشکل اینجاست که همه خرید‌ها قانونی بوده است. ولی اطلاعات مشتریان در جای دیگری هم دارد به صورت غیرقانونی مورد استفاده قرار می‌گیرد. شاید این 1500 تا تنها بخش نمایان یک کوه یخی شناور باشد.» برت با خود فکر می‌کرد که آیا PCI سازمان می‌توانست امنیت کافی ایجاد کند. «ما چه حد در خطر هستیم؟» «مطمئن نیستم. دارندگان کارت‌ها از طرف بانکشان محافظت می‌شوند. ولی اینکه این برای ما چه معنایی دارد را نمی‌دانم.» «اصلا چرا باید به مشتریانمان اطلاع دهیم؟ مگر بانک‌ها به آنها خبر نداده‌اند که از حسابشان سوءاستفاده شده است؟» «به این سادگی هم نیست. بانک‌ها از ابزارهای پیچیده‌ای برای شناختن این جرم‌ها استفاده می‌کنند. ولی این شیوه‌ها غیردقیق هستند. تنها زمانی بانک‌ها متوجه مشکل می‌شوند که صورت حسابی پرداخت نشود یا دارنده کارت شکایت کند. اگر دارندگان حساب به‌اندازه کافی مراقب نباشند، گاهی مدت‌ها طول می‌کشد تا یک مشکل کشف شود. فکر می‌کنم گفتن به مشتریان که شاید از حسابشان سوء استفاده شده باشد، بهترین کار ممکن است.» لاری صبح را صرف پیدا کردن نقاط حساس به دزدی کرده بود. زنجیره داده ساده بود، ولی یافتن ضعیف‌ترین بخش آن نه. در صندوق، مشتری کارت را به کارتخوان می‌داد و اطلاعات برای تایید یا رد شدن به بانک ارسال می‌شد. تنها چند ثانیه طول می‌کشید. بعدش تراکنش‌ها برای برخی گزارش‌ها در کامپیوتر‌های سازمان ذخیره می‌شد. شماره کارت‌ها قاعدتا نباید ذخیره می‌شد، ولی لاری همه بخش‌های فرآیند را به خوبی متوجه نمی‌شد. آیا کارتخوان‌ها هک شده بودند؟ آیا خط ارتباطی میان فروشگاه و بانک مشکل پیدا کرده بود؟ آیا داده‌های ذخیره شده جایشان امن بود؟ ممکن بود کار یک نفر از داخل سازمان باشد؟ یا کسی که اخراج شده بود؟ برت گفت: «امکان دارد این تنها اشتباه یک نفر بوده باشد؟ شاید یکی اطلاعات را اشتباهی به سطل زباله‌انداخته باشد. یا شاید تصادف باشد. اینکه 1500 نفر از مشتریانمان همزمان بدشانسی آورده‌اند.» لاری گفت: «احتمال همه چیز هست. من باید اطلاعات بیشتری به دست بیاورم. بانک‌ها دارند جست‌وجو می‌کنند. چند روز طول می‌کشد تا همه چیز مشخص شود. در حال حاضر پیشنهاد این است که ما پیشینه همه آنهایی که ممکن است به حساب‌ها دسترسی داشته باشند را بررسی کنیم. همه چیز باید چک شود.» «فکر می‌کنم سرگی همین الان هم این کار را شروع کرده است.» او می‌دانست که مدیر اطلاعاتی سازمان تا زمانی که منشا مشکل را پیدا نمی‌کرد آرام نمی‌گرفت. لاری گفت: «آنها گفتند الان که بانک‌ها مشکل را فهمیده‌اند باید اجازه دهند از کارت‌ها استفاده شود تا زمانی که کلاهبرداری مشخص شود.» «ولی مشتریان چه؟ ما نمی‌توانیم بگذاریم از آنها کلاهبرداری شود. این کسب و کار بر اساس اعتماد بنیان گذاشته شده است.» «باید ببینیم بهترین کار چیست. از مشتریان که این پول‌ها گرفته نمی‌شود.» دفاع ضعیف برت به دفتر سرگی رفت و پرسید موضوع از چه قرار است و اینکه ما مگر از PCI استفاده نمی‌کنیم. سرگی جواب داده بود که استفاده کردن از PCI در سازمان نسبی است و اینکه آنها تقریبا 75 درصد با آن سیستم تطبیق دارند. برت که عصبانی شده بود پرسید که مگر ما نباید حساب‌هایمان به صورت منظم از خارج از سازمان بررسی شود؟ «آنها ما را هر روز اسکن نمی‌کنند. تطبیق یافتن بیشتر به ما، یعنی در نهایت به من، برمی‌گردد.» ارزش‌ها در خطر دیوارهای دفتر برت پر از عکس‌ها از مشتریان در وضعیت‌های مختلف بود تا به کارکنان یادآوری شود که مشتریان تنها کیف‌های پول نیستند. وقتی برت به این عکس‌ها نگاه می‌کرد فکر کرد که شاید سازمان را سریع مجبور به رشد کرده است. شاید سازمان هنوز زیرساخت‌های لازم را نداشت. او تا الان به استراتژی‌اش اطمینان داشت. آیا او فلیتون را با سرمایه‌گذاری کم در خطر‌انداخته بود؟ بررسی نشتی آخر آن روز برت با مدیران سازمانش جلسه‌ای تشکیل داده بود. لاری به همه گفت که بانک‌های دیگر هم جواب داده‌اند و اینکه تعداد حساب‌های در خطر خیلی بیشتر از 1500 تایی است که اول اعلام شده بود. سرگی گفت که یک سوراخ پیدا کرده است. دیواره آتشی که خاموش بوده است. این دیواره قرار بود از سیستم انبار محافظت کند، ولی حالا که از کار افتاده است، اطلاعات سازمان به بیرون پخش می‌شود. ولی کسی که بخواهد از آنها استفاده کند باید خیلی نزدیک به مغازه‌ها باشد. چون ادامه پخش این اطلاعات خیلی زیاد نیست. برت به مدیر منابع انسانی نگاه کرد. بین فریدمن که چند پرونده در دست داشت گفت: «پنج نفر از افرادی که با اطلاعات سر و کار داشته‌اند از سازمان رفته‌اند. دو نفر استعفا داده‌اند. یک نفر مشکل اعتیاد داشت، یکی به دانشگاه رفته بود و یکی هم به خاطر سوءاستفاده از اینترنت اخراج شده بود.» برت گفت: «خوب الان چند مظنون داریم» و به سمت مدیر ارتباطات سالی برگشت که صبح آن روز سه استراتژی برای این موقعیت پیشنهاد داده بود. اول اینکه در یک کنفرانس خبری همه چیز به مشتریان گفته شود. دوم ‌اینکه به مشتریان نامه نوشته شود که برت فکر می‌کرد شاید بیشتر شک بر انگیز باشد تا اطمینان بخش و سوم ‌اینکه تا زمانی که همه چیز مشخص نشده است چیزی به بیرون گفته نشود. درل که یک مشاور خارجی در سازمان بود و دیشب از موضوع خبردار شده بود گفت: «ما هنوز از چیزی اطمینان نداریم و تجربه می‌گوید هر کس اول به مشتریان موضوع را می‌گوید از او شکایت می‌شود.» فرنک مدیر مالی پرسید: «چه کسی می‌خواهد شکایت کند. از مشتریان که توسط بانک‌ها محافظت می‌شود؟» «الان وارد این بحث نمی‌شوم. ولی ممکن است هر کسی از ما شکایت کند. هر شکایت هزینه‌های خودش را به همراه دارد و رسانه‌ها همه خبردار می‌شوند.» فرنک پرسید: «مگر ما مجبور نیستیم همه چیز را رک به مشتریان بگوییم؟» درل گفت: «در سه تا از شش تا ایالت چرا. ولی به نظر شما هنوز نمی‌دانید که فلیتون در این میان چه نقشی داشته است. شاید همه اینها تنها تصادفی باشد که کارت‌های مورد استفاده در اینجا مورد سوء استفاده قرار گرفته‌اند.» برت پرسید: «یعنی کاری نکنیم؟» درل گفت: «دقیقا و به سالی گفت: استراتژی تو این باشد که به کسی چیزی نگو. فقط بگو از طرف بانک‌ها به ما خبر رسیده است و ما داریم تماما با آنها همکاری می‌کنیم.» برت گفت: «خوب این برای الان جواب می‌دهد. ولی قدم بعدی چیست؟» درل نشست. برت ناراحت بود. دیشب متوجه شده بود که مشتریان مایل به خرید از مغازه‌هایی که در آنها احتمال نشتی وجود دارد نیستند. درل می‌گفت که فلیتون تنها برای انجام دادن کار درست و گفتن خبرها به همه، ممکن است خودش را در خطر بیندازد. ولی اعتبار سازمان به عدالتش بستگی داشت. سالی گفت: «من متوجه شده‌ام که یکی از این حساب‌ها متعلق به یک مجری تلویزیونی است که احتمالا به زودی خبر را به دیگران می‌دهد.» برت گفت: «پس اگر درست فهمیده باشم، ما مدارکی داریم که نشان می‌دهد یک نشتی رخ داده است. دو کارمند سابق داریم که شاید در این میان دست داشته باشند و شاید هم نداشته باشند. سه ایالت داریم که ما را مجبور به گفتن اخبار می‌کنند و یک مجری در میان قربانیان. اگر ما ماجرا را افشا کنیم، از ما شکایت می‌شود. اگر نکنیم، داستان به شکلی درز می‌کند. اگر به پلیس‌ها وقت بدهیم احتمالا بتوانند کلاهبردار را بیابند، ولی مطمئن نیستیم. اعتبارمان در خطر است و رقبا به زودی وارد عمل می‌شوند که مشتریانمان را تصاحب کنند. چیزی را جا‌انداختم؟ در نهایت اینکه نام سازمان برای من ارزش خاصی دارد، برای مشتریان و کارکنانمان هم همین‌طور. ما امروز تصمیم می‌گیریم که چه کاری درست است.» سوال: تیم فلیتون چگونه باید به این بحران پاسخ دهد؟ پاسخ مطالعه موردی: به نظر می‌رسد که سازمان فلیتون با نوعی نشتی اطلاعات مشتریان مواجه شده است. البته مدیران سازمان هنوز از‌این موضوع مطمئن نیستند. مشتریان سازمان از طریق بانک‌هایی که با آنها کار می‌کنند ‌ایمن هستند و در خطر نیستند؛ ولی باز هم احتمال دارد که برخی مشتریان از سازمان شکایت کنند. حال سوال این است که آیا مدیران باید‌این نشتی اطلاعات را به اطلاع مشتریان برسانند یا خیر و ‌اینکه در‌این بحران پیش آمده چه رویکردی را باید در پیش بگیرند. علاوه بر درست کردن ضعف‌های سازمان در امنیت داده‌ها، مدیرعامل سازمان باید یک استراتژی احیای برند هم در پیش بگیرد. اینکه شما به اخبار رسیده در مورد نشتی اطلاعاتی در سازمانتان چگونه پاسخ می‌دهید، موضوعی کاربردی است که معمولا خیلی مهم تر از اتفاقی است که در واقع روی داده است.‌اینکه سازمان از ‌این بحران جان سالم به در می‌برد یا خیر، بستگی به اقدامی ‌دارد که شما در پیش می‌گیرید و‌اینکه اخبار مربوط به آن را چگونه به اطلاع سهامداران سازمان می‌رسانید. تجربه سازمان من، یک توصیف فوق‌العاده از موقعیت را به نمایش می‌گذارد. سازمان ما به دولت‌ها و کسب‌وکار‌ها دیدگاه‌های تصمیم‌گیری می‌دهد، و‌این کار را با استفاده از شناسایی، بازیابی، ذخیره سازی، و تحلیل داده در مورد افراد و سازمان‌ها انجام می‌دهد. در سال 2005 ما قربانی یک کلاهبرداری شدیم که در آن تبهکاران با جا زدن خودشان به عنوان مشتریان، اطلاعات 145000 مشتری ما را از سیستم داده به دست آوردند. در واقع هیچ نشتی تکنولوژیکی صورت نگرفته بود، ولی مطبوعات وانمود کردند که چنین اتفاقی افتاده است. ما خودمان متوجه این فعالیت‌های کلاهبرداری شدیم و آن را سریعا به پلیس اطلاع دادیم و خیلی زود تبهکاران شناسایی و دستگیر شدند. ما جلسه‌ای گذاشتیم تا بتوانیم استراتژی درست را برای اخطار دادن به مشتریانی که داده‌هایشان شاید به دست تبهکاران افتاده باشد، مشخص کنیم. در نهایت به همه آنهایی که ممکن بود در خطر باشند اطلاع دادیم. ما اخبار را روزانه به کارکنان اطلاع می‌دادیم و با مدیران و سرپرستان هر روز کنفرانس‌هایی را برگزار می‌کردیم. مدیرعامل و سایر مدیران ارشد سازمان با مشتران کلیدی و سرمایه‌گذاران دیدار می‌کردند تا سیاست‌ها و رویه‌های جدیدی را به اطلاع آنها برسانند که ما برای جلوگیری از وقوع مجدد چنین اتفاق‌هایی در پیش گرفته بودیم. برخی از اقدامات پیشگیرانه ما بسیار رادیکال بودند. مثل کنار گذاشتن یک خط تولید بیست میلیون دلاری؛ چرا که احتمال نشت اطلاعات در آن وجود داشت. معمولا برخی تغییرات فرهنگی لازم بودند. برای مثال، از آن به بعد هر کدام از کارکنان ما سالانه باید یک دوره آموزشی امنیتی را می‌گذراندند. ما در‌این زمان یاد گرفتیم که در چنین موقعیت‌هایی بسیاری از فاکتورها ورای کنترل ما هستند. مطبوعات در‌این میان می‌تواند یک مشکل بسیار بزرگ باشد، ولی موضوع بزرگ تر از‌این حرف‌ها است. شما از بخش‌های دولتی و نظامی‌گوناگونی مورد بررسی قرار می‌گیرید. شاید بانک‌ها یا سایر افرادی که در زنجیره کارت اعتباری دخیل بوده اند از شما شکایت کنند. ‌این افراد شاید حتی شامل مشتریان، سهامداران، کارکنان و بازنشستگان سازمان هم بشوند. برای سازمان فلیتون، حرکت آرام در جریان‌این بحران پیش آمده بسیار ضروری خواهد بود. زمان‌بندی دقیق در چنین مواردی بسیار مهم است و شامل مواردی از ‌این قبیل می‌شود که مدیران چه چیزهایی می‌دانستند و تا چه مدت قبل از ‌اینکه ‌این اتفاق روی دهد به آن اطلاعات دسترسی داشتند. علاوه بر درست کردن ضعف‌های سازمان در امنیت داده‌ها، مدیر عامل سازمان باید یک استراتژی احیای برند هم در پیش بگیرد. سازمان باید درست مثل ما به مشتریانی که در خطر هستند به سرعت اطلاع‌رسانی کند، خطوط تلفنی راه بیندازد که اخبار را مستقیم به مشتریان می‌رسانند و اجازه می‌دهند که آنها مستقیما با مدیران سازمان در ارتباط باشند و برخی خدمات بررسی اعتبار (credit) به مشتریان ارائه دهد. سپس باید پا را از‌این قدم‌های اولیه فراتر بگذارد و پیشنهادهایی به مشتریان ارائه دهد که باعث شود آنها به سازمان وفادار بمانند: حراج و تخفیف ارائه دهد، با منتقدان سازمان نشست برگزار کند و وب‌سایت‌هایی ‌ایجاد کند که به اطلاع مردم برساند چه تغییراتی در روندهای کاری و سیاست‌های سازمان‌ایجاد شده است. پیام‌ها هم در عین حال باید به گونه‌ای طراحی شود که پاسخ گویی به مشتریان را در خود داشته باشند، در غیر ‌این صورت، مشتریان احساس خواهند کرد که سازمان تنها به فکر وظایف خودش است و اهمیتی به مشتریان نمی‌دهد. لحن حرف زدن هم در ‌این میان بسیار مهم است. فلیتون باید حواسش به وبلاگ‌ها و محتوای وب‌ایجاد شده توسط مشتریان هم باشد. چرا که هر کس به‌اینترنت دسترسی داشته باشد به ‌این محتوا هم دسترسی دارد و به‌این ترتیب می‌تواند تصویری را که عموم از سازمان ما دارند خراب کند. در نهایت ‌اینکه مدیر عامل و تیمش در ‌این میان باید صبر داشته باشند. مشکل با از تب و تاب افتادن مطبوعات حل نمی‌شود. باز گرداندن اعتبار سازمان به جای اولیه خود سه تا پنج سال زمان می‌برد. فلیتون راه درازی در پیش دارد. منبع: HBR

منبع:	دنیای اقتصاد	تاریخ انتشار:	1390-04-14
نویسنده:		مترجم:	سریما نازاریان
چکیده:
برت الیتون، مدیر عامل شرکت فلیتون الکترونیکز به یادداشتی ناراحت کننده از طرف مدیر امنیتی شرکت که روی میزش بود خیره شده بود. این مشکل امنیتی شب قبل نزدیک‌های ساعت 9 به اطلاع او رسیده بود.
مشکل دزدی اطلاعات در سازمان‌های بزرگ رییس، به نظر یک نشتی اطلاعات داریم! او از یک جلسه با فروشندگان به خانه بر می‌گشت که صدای موبایلش در آمد. لاری بنسون، مدیر بخش «جلوگیری از زیان» بود. «برت ما مشکلی داریم. فکر می‌کنم که یک نشتی اطلاعات روی داده است.» لاری که یک پلیس سابق شیکاگو بود، سه سال بود که مسوول امنیتی سازمان شده بود. او توانسته بود میزان دزدی از فروشگاه‌ها را کاهش دهد. برت در حالی که صدایش مانند همیشه آرام بود جواب داد: «چه نوع نشتی اطلاعاتی؟» «مطمئن نیستم. بانک با من تماس گرفت. آنها در بررسی منظمی‌که از کارت‌ها و حساب‌هایشان می‌کنند متوجه شده‌اند که تعداد زیادی از کارت‌های بد از ما استفاده می‌کنند. آنها قرار است اطلاعات بیشتری به من بدهند. ولی فکر کردم همین الان بدانی بهتر است.» برت خبر‌های زیادی راجع به این قبیل سرقت‌ها شنیده بود. ولی سازمان او سازمانی کوچک تنها با 32 مغازه در شش ایالت بود. آیا واقعا فیتون می‌توانست هدفی برای دزدی اطلاعات باشد؟ «لاری، فکر می‌کنم متوجه نشدم. یعنی آدم‌ها در مغازه‌های ما از کارت‌های اعتباری دزدی استفاده کرده‌اند؟ مگر صندوقدارها کارت‌ها را چک نمی‌کردند؟» «به نظر مشکل از ما بوده است.» قلمروی جدید صبح روز بعد در دفتر، برت به نتایج جست‌وجو‌های دیشبش فکر می‌کرد. دزدی اطلاعات به شکل‌های مختلفی انجام می‌شد. دزدها اطلاعات کارت‌ها، شماره حساب‌ها و حتی آدرس‌های ‌ایمیل را می‌دزدیدند. به نظر برای هر چیزی در بازار سیاه مشتری وجود داشت. او تنها از اینکه اخیرا پول زیادی را صرف استاندارد‌های جدید محافظت از اطلاعات یا PCI کرده بود خوشحال بود. لاری آن طرف میز نشسته بود. او برخورد با چنین مشکلی را پیش بینی کرده بود، ولی مقابله کردن با آن برای او قلمروی جدیدی بود. همه جرم‌هایی که او تا کنون با آنها مواجه شده بود، یک صحنه جرم داشتند. ولی این مورد فرق می‌کرد. این چک روتین در بانک مشخص کرده بود که تقریبا 1500 حساب استفاده شده در مغازه‌ها مورد سوءاستفاده قرار گرفته‌اند. این عدد برای یک چک روتین عدد واقعا بزرگی بود. این بانک به بانک‌های دیگر هم اطلاع داده بود تا سایر کارت‌های اعتباری را هم بررسی کنند که ببینند آیا در آنها هم مشکلی پیش آمده است یا نه. برت پرسید: «خودمان نباید متوجه می‌شدیم؟ ما از بانک‌ها به صورت منظم خبر می‌گیریم.» «نه ضرورتا. اگر تراکنش‌ها در مغازه‌های ما با کلاهبرداری صورت می‌گرفت، می‌فهمیدیم. ولی مشکل اینجاست که همه خرید‌ها قانونی بوده است. ولی اطلاعات مشتریان در جای دیگری هم دارد به صورت غیرقانونی مورد استفاده قرار می‌گیرد. شاید این 1500 تا تنها بخش نمایان یک کوه یخی شناور باشد.» برت با خود فکر می‌کرد که آیا PCI سازمان می‌توانست امنیت کافی ایجاد کند. «ما چه حد در خطر هستیم؟» «مطمئن نیستم. دارندگان کارت‌ها از طرف بانکشان محافظت می‌شوند. ولی اینکه این برای ما چه معنایی دارد را نمی‌دانم.» «اصلا چرا باید به مشتریانمان اطلاع دهیم؟ مگر بانک‌ها به آنها خبر نداده‌اند که از حسابشان سوءاستفاده شده است؟» «به این سادگی هم نیست. بانک‌ها از ابزارهای پیچیده‌ای برای شناختن این جرم‌ها استفاده می‌کنند. ولی این شیوه‌ها غیردقیق هستند. تنها زمانی بانک‌ها متوجه مشکل می‌شوند که صورت حسابی پرداخت نشود یا دارنده کارت شکایت کند. اگر دارندگان حساب به‌اندازه کافی مراقب نباشند، گاهی مدت‌ها طول می‌کشد تا یک مشکل کشف شود. فکر می‌کنم گفتن به مشتریان که شاید از حسابشان سوء استفاده شده باشد، بهترین کار ممکن است.» لاری صبح را صرف پیدا کردن نقاط حساس به دزدی کرده بود. زنجیره داده ساده بود، ولی یافتن ضعیف‌ترین بخش آن نه. در صندوق، مشتری کارت را به کارتخوان می‌داد و اطلاعات برای تایید یا رد شدن به بانک ارسال می‌شد. تنها چند ثانیه طول می‌کشید. بعدش تراکنش‌ها برای برخی گزارش‌ها در کامپیوتر‌های سازمان ذخیره می‌شد. شماره کارت‌ها قاعدتا نباید ذخیره می‌شد، ولی لاری همه بخش‌های فرآیند را به خوبی متوجه نمی‌شد. آیا کارتخوان‌ها هک شده بودند؟ آیا خط ارتباطی میان فروشگاه و بانک مشکل پیدا کرده بود؟ آیا داده‌های ذخیره شده جایشان امن بود؟ ممکن بود کار یک نفر از داخل سازمان باشد؟ یا کسی که اخراج شده بود؟ برت گفت: «امکان دارد این تنها اشتباه یک نفر بوده باشد؟ شاید یکی اطلاعات را اشتباهی به سطل زباله‌انداخته باشد. یا شاید تصادف باشد. اینکه 1500 نفر از مشتریانمان همزمان بدشانسی آورده‌اند.» لاری گفت: «احتمال همه چیز هست. من باید اطلاعات بیشتری به دست بیاورم. بانک‌ها دارند جست‌وجو می‌کنند. چند روز طول می‌کشد تا همه چیز مشخص شود. در حال حاضر پیشنهاد این است که ما پیشینه همه آنهایی که ممکن است به حساب‌ها دسترسی داشته باشند را بررسی کنیم. همه چیز باید چک شود.» «فکر می‌کنم سرگی همین الان هم این کار را شروع کرده است.» او می‌دانست که مدیر اطلاعاتی سازمان تا زمانی که منشا مشکل را پیدا نمی‌کرد آرام نمی‌گرفت. لاری گفت: «آنها گفتند الان که بانک‌ها مشکل را فهمیده‌اند باید اجازه دهند از کارت‌ها استفاده شود تا زمانی که کلاهبرداری مشخص شود.» «ولی مشتریان چه؟ ما نمی‌توانیم بگذاریم از آنها کلاهبرداری شود. این کسب و کار بر اساس اعتماد بنیان گذاشته شده است.» «باید ببینیم بهترین کار چیست. از مشتریان که این پول‌ها گرفته نمی‌شود.» دفاع ضعیف برت به دفتر سرگی رفت و پرسید موضوع از چه قرار است و اینکه ما مگر از PCI استفاده نمی‌کنیم. سرگی جواب داده بود که استفاده کردن از PCI در سازمان نسبی است و اینکه آنها تقریبا 75 درصد با آن سیستم تطبیق دارند. برت که عصبانی شده بود پرسید که مگر ما نباید حساب‌هایمان به صورت منظم از خارج از سازمان بررسی شود؟ «آنها ما را هر روز اسکن نمی‌کنند. تطبیق یافتن بیشتر به ما، یعنی در نهایت به من، برمی‌گردد.» ارزش‌ها در خطر دیوارهای دفتر برت پر از عکس‌ها از مشتریان در وضعیت‌های مختلف بود تا به کارکنان یادآوری شود که مشتریان تنها کیف‌های پول نیستند. وقتی برت به این عکس‌ها نگاه می‌کرد فکر کرد که شاید سازمان را سریع مجبور به رشد کرده است. شاید سازمان هنوز زیرساخت‌های لازم را نداشت. او تا الان به استراتژی‌اش اطمینان داشت. آیا او فلیتون را با سرمایه‌گذاری کم در خطر‌انداخته بود؟ بررسی نشتی آخر آن روز برت با مدیران سازمانش جلسه‌ای تشکیل داده بود. لاری به همه گفت که بانک‌های دیگر هم جواب داده‌اند و اینکه تعداد حساب‌های در خطر خیلی بیشتر از 1500 تایی است که اول اعلام شده بود. سرگی گفت که یک سوراخ پیدا کرده است. دیواره آتشی که خاموش بوده است. این دیواره قرار بود از سیستم انبار محافظت کند، ولی حالا که از کار افتاده است، اطلاعات سازمان به بیرون پخش می‌شود. ولی کسی که بخواهد از آنها استفاده کند باید خیلی نزدیک به مغازه‌ها باشد. چون ادامه پخش این اطلاعات خیلی زیاد نیست. برت به مدیر منابع انسانی نگاه کرد. بین فریدمن که چند پرونده در دست داشت گفت: «پنج نفر از افرادی که با اطلاعات سر و کار داشته‌اند از سازمان رفته‌اند. دو نفر استعفا داده‌اند. یک نفر مشکل اعتیاد داشت، یکی به دانشگاه رفته بود و یکی هم به خاطر سوءاستفاده از اینترنت اخراج شده بود.» برت گفت: «خوب الان چند مظنون داریم» و به سمت مدیر ارتباطات سالی برگشت که صبح آن روز سه استراتژی برای این موقعیت پیشنهاد داده بود. اول اینکه در یک کنفرانس خبری همه چیز به مشتریان گفته شود. دوم ‌اینکه به مشتریان نامه نوشته شود که برت فکر می‌کرد شاید بیشتر شک بر انگیز باشد تا اطمینان بخش و سوم ‌اینکه تا زمانی که همه چیز مشخص نشده است چیزی به بیرون گفته نشود. درل که یک مشاور خارجی در سازمان بود و دیشب از موضوع خبردار شده بود گفت: «ما هنوز از چیزی اطمینان نداریم و تجربه می‌گوید هر کس اول به مشتریان موضوع را می‌گوید از او شکایت می‌شود.» فرنک مدیر مالی پرسید: «چه کسی می‌خواهد شکایت کند. از مشتریان که توسط بانک‌ها محافظت می‌شود؟» «الان وارد این بحث نمی‌شوم. ولی ممکن است هر کسی از ما شکایت کند. هر شکایت هزینه‌های خودش را به همراه دارد و رسانه‌ها همه خبردار می‌شوند.» فرنک پرسید: «مگر ما مجبور نیستیم همه چیز را رک به مشتریان بگوییم؟» درل گفت: «در سه تا از شش تا ایالت چرا. ولی به نظر شما هنوز نمی‌دانید که فلیتون در این میان چه نقشی داشته است. شاید همه اینها تنها تصادفی باشد که کارت‌های مورد استفاده در اینجا مورد سوء استفاده قرار گرفته‌اند.» برت پرسید: «یعنی کاری نکنیم؟» درل گفت: «دقیقا و به سالی گفت: استراتژی تو این باشد که به کسی چیزی نگو. فقط بگو از طرف بانک‌ها به ما خبر رسیده است و ما داریم تماما با آنها همکاری می‌کنیم.» برت گفت: «خوب این برای الان جواب می‌دهد. ولی قدم بعدی چیست؟» درل نشست. برت ناراحت بود. دیشب متوجه شده بود که مشتریان مایل به خرید از مغازه‌هایی که در آنها احتمال نشتی وجود دارد نیستند. درل می‌گفت که فلیتون تنها برای انجام دادن کار درست و گفتن خبرها به همه، ممکن است خودش را در خطر بیندازد. ولی اعتبار سازمان به عدالتش بستگی داشت. سالی گفت: «من متوجه شده‌ام که یکی از این حساب‌ها متعلق به یک مجری تلویزیونی است که احتمالا به زودی خبر را به دیگران می‌دهد.» برت گفت: «پس اگر درست فهمیده باشم، ما مدارکی داریم که نشان می‌دهد یک نشتی رخ داده است. دو کارمند سابق داریم که شاید در این میان دست داشته باشند و شاید هم نداشته باشند. سه ایالت داریم که ما را مجبور به گفتن اخبار می‌کنند و یک مجری در میان قربانیان. اگر ما ماجرا را افشا کنیم، از ما شکایت می‌شود. اگر نکنیم، داستان به شکلی درز می‌کند. اگر به پلیس‌ها وقت بدهیم احتمالا بتوانند کلاهبردار را بیابند، ولی مطمئن نیستیم. اعتبارمان در خطر است و رقبا به زودی وارد عمل می‌شوند که مشتریانمان را تصاحب کنند. چیزی را جا‌انداختم؟ در نهایت اینکه نام سازمان برای من ارزش خاصی دارد، برای مشتریان و کارکنانمان هم همین‌طور. ما امروز تصمیم می‌گیریم که چه کاری درست است.» سوال: تیم فلیتون چگونه باید به این بحران پاسخ دهد؟ پاسخ مطالعه موردی: به نظر می‌رسد که سازمان فلیتون با نوعی نشتی اطلاعات مشتریان مواجه شده است. البته مدیران سازمان هنوز از‌این موضوع مطمئن نیستند. مشتریان سازمان از طریق بانک‌هایی که با آنها کار می‌کنند ‌ایمن هستند و در خطر نیستند؛ ولی باز هم احتمال دارد که برخی مشتریان از سازمان شکایت کنند. حال سوال این است که آیا مدیران باید‌این نشتی اطلاعات را به اطلاع مشتریان برسانند یا خیر و ‌اینکه در‌این بحران پیش آمده چه رویکردی را باید در پیش بگیرند. علاوه بر درست کردن ضعف‌های سازمان در امنیت داده‌ها، مدیرعامل سازمان باید یک استراتژی احیای برند هم در پیش بگیرد. اینکه شما به اخبار رسیده در مورد نشتی اطلاعاتی در سازمانتان چگونه پاسخ می‌دهید، موضوعی کاربردی است که معمولا خیلی مهم تر از اتفاقی است که در واقع روی داده است.‌اینکه سازمان از ‌این بحران جان سالم به در می‌برد یا خیر، بستگی به اقدامی ‌دارد که شما در پیش می‌گیرید و‌اینکه اخبار مربوط به آن را چگونه به اطلاع سهامداران سازمان می‌رسانید. تجربه سازمان من، یک توصیف فوق‌العاده از موقعیت را به نمایش می‌گذارد. سازمان ما به دولت‌ها و کسب‌وکار‌ها دیدگاه‌های تصمیم‌گیری می‌دهد، و‌این کار را با استفاده از شناسایی، بازیابی، ذخیره سازی، و تحلیل داده در مورد افراد و سازمان‌ها انجام می‌دهد. در سال 2005 ما قربانی یک کلاهبرداری شدیم که در آن تبهکاران با جا زدن خودشان به عنوان مشتریان، اطلاعات 145000 مشتری ما را از سیستم داده به دست آوردند. در واقع هیچ نشتی تکنولوژیکی صورت نگرفته بود، ولی مطبوعات وانمود کردند که چنین اتفاقی افتاده است. ما خودمان متوجه این فعالیت‌های کلاهبرداری شدیم و آن را سریعا به پلیس اطلاع دادیم و خیلی زود تبهکاران شناسایی و دستگیر شدند. ما جلسه‌ای گذاشتیم تا بتوانیم استراتژی درست را برای اخطار دادن به مشتریانی که داده‌هایشان شاید به دست تبهکاران افتاده باشد، مشخص کنیم. در نهایت به همه آنهایی که ممکن بود در خطر باشند اطلاع دادیم. ما اخبار را روزانه به کارکنان اطلاع می‌دادیم و با مدیران و سرپرستان هر روز کنفرانس‌هایی را برگزار می‌کردیم. مدیرعامل و سایر مدیران ارشد سازمان با مشتران کلیدی و سرمایه‌گذاران دیدار می‌کردند تا سیاست‌ها و رویه‌های جدیدی را به اطلاع آنها برسانند که ما برای جلوگیری از وقوع مجدد چنین اتفاق‌هایی در پیش گرفته بودیم. برخی از اقدامات پیشگیرانه ما بسیار رادیکال بودند. مثل کنار گذاشتن یک خط تولید بیست میلیون دلاری؛ چرا که احتمال نشت اطلاعات در آن وجود داشت. معمولا برخی تغییرات فرهنگی لازم بودند. برای مثال، از آن به بعد هر کدام از کارکنان ما سالانه باید یک دوره آموزشی امنیتی را می‌گذراندند. ما در‌این زمان یاد گرفتیم که در چنین موقعیت‌هایی بسیاری از فاکتورها ورای کنترل ما هستند. مطبوعات در‌این میان می‌تواند یک مشکل بسیار بزرگ باشد، ولی موضوع بزرگ تر از‌این حرف‌ها است. شما از بخش‌های دولتی و نظامی‌گوناگونی مورد بررسی قرار می‌گیرید. شاید بانک‌ها یا سایر افرادی که در زنجیره کارت اعتباری دخیل بوده اند از شما شکایت کنند. ‌این افراد شاید حتی شامل مشتریان، سهامداران، کارکنان و بازنشستگان سازمان هم بشوند. برای سازمان فلیتون، حرکت آرام در جریان‌این بحران پیش آمده بسیار ضروری خواهد بود. زمان‌بندی دقیق در چنین مواردی بسیار مهم است و شامل مواردی از ‌این قبیل می‌شود که مدیران چه چیزهایی می‌دانستند و تا چه مدت قبل از ‌اینکه ‌این اتفاق روی دهد به آن اطلاعات دسترسی داشتند. علاوه بر درست کردن ضعف‌های سازمان در امنیت داده‌ها، مدیر عامل سازمان باید یک استراتژی احیای برند هم در پیش بگیرد. سازمان باید درست مثل ما به مشتریانی که در خطر هستند به سرعت اطلاع‌رسانی کند، خطوط تلفنی راه بیندازد که اخبار را مستقیم به مشتریان می‌رسانند و اجازه می‌دهند که آنها مستقیما با مدیران سازمان در ارتباط باشند و برخی خدمات بررسی اعتبار (credit) به مشتریان ارائه دهد. سپس باید پا را از‌این قدم‌های اولیه فراتر بگذارد و پیشنهادهایی به مشتریان ارائه دهد که باعث شود آنها به سازمان وفادار بمانند: حراج و تخفیف ارائه دهد، با منتقدان سازمان نشست برگزار کند و وب‌سایت‌هایی ‌ایجاد کند که به اطلاع مردم برساند چه تغییراتی در روندهای کاری و سیاست‌های سازمان‌ایجاد شده است. پیام‌ها هم در عین حال باید به گونه‌ای طراحی شود که پاسخ گویی به مشتریان را در خود داشته باشند، در غیر ‌این صورت، مشتریان احساس خواهند کرد که سازمان تنها به فکر وظایف خودش است و اهمیتی به مشتریان نمی‌دهد. لحن حرف زدن هم در ‌این میان بسیار مهم است. فلیتون باید حواسش به وبلاگ‌ها و محتوای وب‌ایجاد شده توسط مشتریان هم باشد. چرا که هر کس به‌اینترنت دسترسی داشته باشد به ‌این محتوا هم دسترسی دارد و به‌این ترتیب می‌تواند تصویری را که عموم از سازمان ما دارند خراب کند. در نهایت ‌اینکه مدیر عامل و تیمش در ‌این میان باید صبر داشته باشند. مشکل با از تب و تاب افتادن مطبوعات حل نمی‌شود. باز گرداندن اعتبار سازمان به جای اولیه خود سه تا پنج سال زمان می‌برد. فلیتون راه درازی در پیش دارد. منبع: HBR

دسته بندی اطلاعات

مشکل دزدی اطلاعات در سازمان‌های بزرگ

مشخصات ثبت اطلاعات

مدیریت رازنامه

نظرات و پیشنهادات

سلام،وقت بخیر زمانی که لیست تعدیل حقوق تهیه می گردد و حقوق و عیدی از مالیات معاف می گردند در سیستم حسابداری چطور باید مالیات حقوق را کسر کرد متشکرم

سلام ، وقت بخیر نحوه سند زدن پرداختی بیمه تامین اجتماعی به چه صورته ؟ بدون این که تو لیست حقوق و دستمزد بیام ه صورت جداگانه چطوری ثبت بزنم؟

سلام و وقت بخیر برای استارت آپ ها و کسب و کارهای الکترونیک آیا معافیت مالیاتی وجود دارد؟ در صورت تایید، نحوه استفاده از معافیت چگونه است؟

سلام و وقت بخیر برای استارت آپ ها و کسب و کارهای الکترونیک آیا معافیت مالیاتی وجود دارد؟ در صورت تایید، نحوه استفاده از معافیت چگونه است؟

با سلام خدمت استاد محترم برای آموزش کارکنان در دوره آموزشی اکسل در حسابداری میخواستم ببینم چطوری باید با شما هماهنگی کنیم. با تشکر