Caso práctico: Tras una crisis, ¿quién debería asumir la culpa?

Las cuatro semanas transcurridas desde que los hackers atacaron su empresa habían sido las más estresantes de la carrera de Jake Santini. Sentado en la mesa de la cocina tras otro largo día de reuniones y entrevistas, el CEO volvió a leer el correo electrónico del presidente de su junta directiva, esta vez en voz alta dirigido a su esposa, Fleura:

«La junta tiene la firme sensación de que hay que hacer a alguien responsable públicamente por lo sucedido. Si bien estamos seguros de que el tema se ha resuelto, creemos que se trata de un paso fundamental para hacer las paces con nuestros clientes y restaurar nuestra imagen ante el público».

La presidenta del consejo, Carly Elliot, había sido directora de SimplePay, un procesador de pagos móviles con sede en Austin, desde sus días como empresa emergente. Jake y ella siempre habían trabajado bien juntos, así que le sorprendió un poco que le enviara un correo electrónico sobre algo tan delicado en lugar de llamarlo.

Fleura sacudió la cabeza. «Cuando dice: ‘alguien’, ¿se refiere a usted?»

«No lo sé. Cuando el hackeo ocurrió por primera vez, dejó claro que no quería que renunciara», dijo Jake.

«Ella solo quiere alguien para», dijo Fleura, bostezando. Se sentía mal por mantenerla despierta (tenía que coger un avión temprano a la mañana siguiente), pero ella insistió en quedarse despierta unos minutos más y hablar sobre ello.

«Me importa que tenga trabajo o no la semana que viene», dijo, bromeando a medias. «En serio, ¿por qué Carly exagera esto de manera desproporcionada? Esta no es una situación de Target».

Lectura adicional

«Incendiaron la casa»: entrevista con Michael Lynton

Tenía razón. Aunque SimplePay procesaba millones de transacciones con tarjetas de crédito al día a través de una aplicación que permitía a los comerciantes aceptar pagos con tableta o teléfono, los piratas informáticos solo se habían infiltrado en una base de datos, que solo contenía las direcciones de correo electrónico de los consumidores. No habían recibido detalles financieros ni ningún otro identificador.

Aun así, había sido una alarmante brecha de seguridad.

La empresa se vio obligada a cerrar su sistema durante 42 horas, a avisar a los 10 millones de consumidores afectados y a pedir disculpas públicas. Los blogueros de tecnología habían hecho caso omiso de la historia; muchos especulaban con que SimplePay había empezado a retrasar la contratación y a escatimar en inversiones en seguridad en un esfuerzo por mejorar su balance para una posible OPI. Algo de eso era cierto. El plan era salir a bolsa el año que viene, y Jake y su CFO habían estado intentando reducir costes, pero en su mayoría habían ahorrado al grupo de TI. Sabían que la tecnología (y el personal que la apoyaba) era el pan de cada día de la empresa. Su directora de RR.PP., Michelle Pérez, había emitido declaraciones en ese sentido, pero tuvo problemas para controlar la historia.

Los trolls de Twitter se habían acumulado y se burlaban de SimplePay por tardar casi dos días en recuperarse de un simple hackeo, pero el CIO de Jake, Jesse Gladstone, insistió en que su equipo necesitaba tanto tiempo para corregir por completo la vulnerabilidad y cerrar cualquier acceso que tuvieran los hackers. El grupo de TI ha estado trabajando día y noche desde entonces para localizar y corregir cualquier otro posible vacío e implementar nuevas medidas de seguridad.

«Ella le da mucha importancia porque era en serio», dijo Jake.

«Lo sé», dijo Fleura. «Pero insistir en un chivo expiatorio parece exagerado. Si no quiere que salga, ¿de quién habla entonces? ¿Jesse?»

Jake se estremeció. La idea de pedirle a su CIO que se fuera en estas circunstancias era insostenible. Además, estaba orgulloso de la forma en que Jesse y todos los demás en SimplePay habían gestionado la situación. Quizá la respuesta fue un poco lenta, pero todos lo hicieron lo mejor que pudieron con el equipo que tenían y el dinero disponible.

«Lo más probable es que Carly sea solo la mensajera designada para el resto de la junta. Estoy seguro de que alguien más está detrás de esto», dijo Jake.

«Como Theo», dijo Fleura al levantarse de la mesa. Desde que Theo Conrad, un importante inversor en tecnología, se unió a la junta, ha sido una espina en el costado de Jake, ya que lo desafía en todas las decisiones, excepto en las más rutinarias. En la última reunión de emergencia de la junta, no dejó de insistir en el hecho de que el 30% de los clientes de SimplePay no habían utilizado la aplicación desde el hackeo.

«Simplemente ya no confían en nosotros», dijo. «Y Wall Street tampoco lo hará a menos que tengamos completamente claro lo que vamos a cambiar para asegurarnos de que esto no vuelva a suceder».

Jake apartó su portátil para ver a Fleura cuando subía las escaleras. «Diga otra cosa», la llamó. «El nombre de Theo no puede ser lo último que oiga esta noche».

«Intente descansar un poco, cariño», dijo desde las escaleras.

Jake sonrió pero sabía que probablemente no lo haría.

Ahora todo está bajo control

A la mañana siguiente, Jake se reunió con Michelle y Jesse en el café Bouldin Creek a las 7:30 de la mañana.

«No tiene buena pinta, Jake», dijo Michelle cuando se sentó. «Es hora de volver a dormir. Lo peor ha quedado atrás».

«Me temo que puede que no sea así», dijo, mezclando dos paquetes de azúcar en su doble café macchiato. «Aún no hemos vuelto a nuestros números de transacción anteriores al hackeo y la adquisición de nuevos clientes prácticamente se ha detenido. Sé que solo ha pasado un mes y que las cosas iban despacio antes de la infracción, pero necesitamos que las cosas vuelvan a funcionar pronto».

«En lo que respecta a las relaciones públicas, ya lo tenemos bajo control», dijo Michelle. Marcó todas las cosas que la empresa había hecho desde la violación: contactar inmediatamente con las personas cuya información se había visto comprometida y presentar un mensaje claro y coherente a los clientes, las redes sociales y la prensa. Michelle había recomendado que la empresa se disculpara pero que se centrara en los hackers como responsables. Dentro de la organización, también había empezado a restar importancia a la gravedad de la infracción, pero Jake le había dicho que parara. Le preocupaba que el sentimiento se filtrara en sus mensajes externos. «No podemos olvidar que esto fue importante, Michelle», dijo.

Estudio de caso práctico: apuntes didácticos

Jana Seijts enseña el caso en el que se basa esta historia en su curso de comunicación gerencial.

¿Qué lo llevó a esta historia?
La funda original trata de un producto real con el que muchos de mis alumnos están familiarizados: la PlayStation. La brecha de seguridad, que tuvo lugar tres años antes del reciente hackeo de Sony Pictures, tuvo posibles implicaciones graves para Sony. Sabía que la historia ayudaría a mis alumnos a abordar la espinosa cuestión de si dejar ir a los actores clave ayuda a restablecer una organización tras un revés.

¿Cómo responden sus alumnos?
La mayoría no ve la necesidad de encontrar un chivo expiatorio y, en cambio, sugieren a los ejecutivos que describan las medidas adoptadas hasta la fecha para poner fin a la crisis y cómo se asegurarán de que no vuelva a ocurrir.

¿Qué lecciones ofrece la funda?
Una es que las empresas deben comunicarse pronto y con frecuencia con las principales partes interesadas y elaborar mensajes que respondan a las necesidades, deseos e intereses de cada grupo. Lo que preocupa a un cliente tras una infracción es muy diferente de lo que le importa a un inversor.

«Por supuesto que lo fue», respondió Michelle. «Pero la verdad es que creo que casi ha terminado. Mi teléfono ya no me emite pitidos constantemente. Y Kara Swisher me dijo ayer que, en cierto sentido, debemos pensar en el hackeo como una insignia de honor. Ahora somos lo suficientemente grandes como para que nos consideren un objetivo atractivo».

Ella sonrió; Jake y Jesse no.

«Y Jesse está al mando de la seguridad», continuó. «Tenemos las ‘medidas de seguridad de datos más recientes y completas’. ¿Verdad?»

«Lo estamos consiguiendo», respondió el CIO, mirándose fijamente el café. Jesse había estado durmiendo en la oficina. Era perfeccionista, lo que hizo que fuera bueno en su trabajo, pero tras la crisis, su insistencia en hacerlo todo bien retrasó su respuesta. Mientras Jake y Michelle estaban ansiosos por promocionar las nuevas mejoras de seguridad —una inversión apresurada, pero importante y necesaria—, Jesse seguía haciendo pruebas.

«¿Cuándo estarán disponibles las nuevas funciones?» Preguntó Jake.

«Necesitamos uno o dos días más», respondió Jesse.

«Perfecto», dijo Michelle, con una alegría forzada en su voz. «Podemos publicar el comunicado antes de que acabe la semana e incluir también información actualizada sobre la investigación del FBI. Y entonces nuestro equipo de ventas podrá empezar a hacer su magia y podremos volver a trabajar como de costumbre. Al fin y al cabo, tenemos que prepararnos para una OPI».

Jake se preguntó si esa era la razón por la que la junta presionaba tanto para que renunciara: Wall Street necesitaba una palmadita para poner fin a la historia del hackeo de SimplePay antes de que la empresa pudiera embarcarse en una gira.

La cabeza debe rodar

«Lamento que gran parte de esto se esté difundiendo por correo electrónico», le dijo Carly a Jake cuando se reunieron en su oficina más tarde esa misma tarde. «Sé que no es fácil». Explicó que una mayoría significativa de los miembros de la junta consideraban que era necesario un gesto público para demostrar la seriedad con la que SimplePay se tomó la infracción.

«Pero lo hemos hecho. Le explicamos exactamente lo que pasó y cómo respondemos».

«Es esa última parte la que preocupa a la junta. ¿Qué cambios vamos a hacer para garantizar que nuestros clientes vuelvan a confiar plenamente en nosotros? En Target, el CIO y luego el CEO renunciaron. Cuando TJX tuvo su oportunidad en 2007, era director y vicepresidente sénior. Han sentado el precedente. Tenemos que hacer algo parecido para poder dejar atrás este episodio. SimplePay es —era— líder del mercado en el ámbito de los pagos móviles por su reputación de fiabilidad y seguridad. Nuestro éxito se basa en la confianza. Este incidente lo ha erosionado por completo».

No se equivocó. El departamento de servicio de atención al cliente estaba inundado de preguntas sobre la seguridad y, aunque la empresa esperaba cierto nivel de desgaste de los comerciantes, las deserciones habían sido mucho mayores de lo esperado. Y no estaban disminuyendo.

Carly sacó su teléfono. «¿Vio el estudio de este grupo, Interactions, que Theo envió anoche? «El doce por ciento de los clientes dice que dejaría de comprar en una tienda que tuviera una brecha de seguridad; alrededor del 36% afirma que lo haría con menos frecuencia. Alrededor del 85% de los compradores a los que les han robado su información personal dicen que han contado el incidente a otras personas; el 34% se queja en las redes sociales y el 20% comenta directamente en el sitio web de la empresa. ‘»

«¿Y todo eso desaparece si despedimos a alguien?» Preguntó Jake, enfadándose. «Eso no es lo que pasó con Target. Sus acciones cayeron un 3% la semana en que Steinhafel renunció».

«Actuaron demasiado tarde. Debería haberse ido mucho antes. Además, las acciones han subido un 30% con el nuevo CEO, hasta alcanzar máximos históricos. A todo el mundo le encanta empezar de cero después de un desastre: analistas, expertos, clientes», respondió Carly.

«Pero eso no siempre es necesario. Mire Zendesk, LivingSocial. Sobrevivieron a los hackeos sin despedir a nadie».

«Pero nuestro negocio no se está recuperando. Tenemos que hacer una declaración, no solo nuevas tecnologías, nuevas personas».

«Entonces, ¿las cabezas deben rodar?» Preguntó Jake.

«Solo una cabeza».

«Bueno, entonces, debería ser yo», dijo Jake, sin saber si creía lo que decía. «Tenemos un equipo fuerte. Me voy, hago la declaración, alto y claro, y así podrán poner las cosas en orden a tiempo para la OPI».

«No tiene que ser usted», respondió Carly.

«Si no soy yo, ¿quién?» Preguntó Jake.

Le dijo que el nombre de Jesse había publicado primero; al fin y al cabo, eran sus sistemas los que habían sido violados y su equipo el que había tardado tanto en volver a poner el servicio en funcionamiento. Como líder, Jesse estaba un poco indeciso ante toda la presión. Pero algunos miembros de la junta también habían señalado a Michelle; si hubiera comprendido inmediatamente la gravedad de la situación y hubiera salido muy antes de la historia, la confianza en SimplePay podría no haber bajado tanto.

«¿Cómo ayudaría despedir a Michelle a solucionar algo? Puede que no lo haya gestionado a la perfección, pero dejarla ir no disipará las preocupaciones de los clientes. Y usted sabe tan bien como yo que Jesse no tiene toda la culpa de la situación. Ningún equipo de TI puede predecir todas las vulnerabilidades o corregir todos los huecos. Hizo su trabajo lo mejor que pudo».

«Escuche, ha sido un gran líder, los ha defendido desde el principio, incluso cuando no se lo merecían», dijo Carly. «Pero la junta ha tomado una decisión. Alguien tiene que ir».

¿Llevar uno para el equipo?

Jake escribió la carta en su teléfono.

Tenga la seguridad de que esta decisión no ha sido fácil, pero a la luz de los últimos acontecimientos, he decidido que mi renuncia es lo mejor para SimplePay y sus clientes.

Si bien no puedo asumir ninguna responsabilidad personal por este incidente, ocurrió bajo mi supervisión. Como CEO de la empresa, soy el responsable final y, por lo tanto, renuncio a mi cargo con efecto inmediato, sobre todo porque el consejo me obliga a hacerlo.

Presionó enviar y 20 segundos después sonó su teléfono. Era Fleura, llamaba desde su habitación de hotel en San Francisco.

«¿Por qué diablos se levanta a medianoche escribiendo una carta de renuncia falsa?» preguntó. «Sin embargo, me encanta la última línea. Si tan solo todos los directores ejecutivos avergonzados admitieran que la junta lo obligó a hacerlo. Pero en serio, cariño, no va a dimitir, ¿verdad? Le encanta su trabajo».

Esto era cierto. Al frente de SimplePay, Jake estaba más feliz que nunca y, desde luego, no quería perder la oportunidad de liderar su primera OPI. Pero no podía imaginarse convertir a nadie más en el chivo expiatorio.

«¿Cómo se sintió escribirlo?»

«Terrible», admitió. «No estoy preparado para ir, pero quizás tenga que tomar uno para el equipo».

Los expertos responden: ¿Debería dimitir Jake?

De hecho, forzar la renuncia podría perjudicar, en lugar de ayudar, la reputación de SimplePay.

Cary Horenfeldt es el vicepresidente de procesamiento de MasterCard en MasterCard en Asia-Pacífico.

La desafortunada realidad es que este tipo de infracciones son muy comunes. Sin embargo, aunque entiendo por qué Carly y el resto de la junta quieren revertir el daño económico y a la reputación que este incidente ha causado a SimplePay, no estoy de acuerdo con la idea generalizada de que cada crisis necesita un chivo expiatorio.

Hacer que Jake, o incluso Jesse, renuncie podría resultar contraproducente por dos razones. En primer lugar, la ley echaría la culpa a los verdaderos autores del delito, los estafadores. Por supuesto, esto sería diferente si el hackeo fuera un trabajo interno, pero no parece que sea así. Al elegir un chivo expiatorio interno, el consejo espera dejar atrás la infracción, pero la empresa no podrá seguir adelante hasta que comprenda perfectamente lo que pasó, por qué y cómo puede proteger mejor sus sistemas aplicables, antes de comunicárselo con confianza a todas las partes interesadas internas y externas.

En segundo lugar, forzar la renuncia podría perjudicar, en lugar de ayudar, la reputación de SimplePay. Jake y su equipo parecen haber manejado la situación bastante bien. Fueron transparentes, informaron rápidamente a las personas adecuadas sobre la infracción y han tomado medidas para mitigar cualquier consecuencia. Tal vez han tardado un poco en solucionar el problema, pero en estos casos «rápido» es relativo. Si un alto ejecutivo se va, podría socavar el mensaje de que la empresa se ha recuperado del incidente. Los consumidores y los analistas podrían preguntarse: «¿Qué pasa realmente ahí?» Y entonces la imagen de SimplePay podría tardar aún más en recuperarse.

Como todas las empresas que gestionan información relacionada con los pagos, MasterCard está atenta contra la amenaza de los piratas informáticos. Pero, lamentablemente, los estafadores se han convertido en un grupo sofisticado. Están interconectados y son internacionales, por lo que pueden utilizar la información robada de una región en otra, lo que dificulta el seguimiento del fraude. Y se adaptan constantemente. MasterCard utiliza políticas y sistemas amplios y dinámicos de gestión del riesgo y el fraude, incluido un equipo de respuesta a emergencias en el que formo parte. Este equipo gestiona todos los aspectos de las respuestas, desde la detección hasta los planes de acción y las comunicaciones, y se asegura de que las actividades correctas se llevan a cabo en el momento adecuado.

La infracción en SimplePay debería ser una oportunidad para que la organización se una, un catalizador que dé inicio al desarrollo de un plan bien definido para mitigar el daño económico y a la reputación. No son solo Jake y Jesse los que deben proteger la empresa. Todos, desde el presidente de la junta hasta el usuario final, son responsables de gestionar los datos con cuidado y de mejorar la seguridad. En lugar de dejar que Michelle gestione la mensajería por su cuenta, SimplePay debería crear una voz unificada que reúna las comunicaciones corporativas, la dirección ejecutiva y las operaciones y la tecnología.

No es que tomar la decisión de despedir a alguien nunca esté bien. Pero en este caso, Jake y su equipo tienen que quedarse quietos y centrarse en prepararse para el futuro, proteger sus sistemas contra futuros ataques y volver a trabajar.

Jake se cayó en el trabajo. Debe asumir la responsabilidad de sus acciones.

Kanina Blanchard es el presidente de Opportunity Creation, una consultora centrada en los temas y la gestión de crisis. Fue líder sénior en el Ministerio de Medio Ambiente de Ontario y en la Dow Chemical Company.

No cabe duda de que SimplePay se encuentra en esta situación por una falta de liderazgo operativo. Y en medio del incendio, con la junta directiva decidida, la única opción podría ser la renuncia. Pero no tenía por qué llegar a esto.

Las cosas han cambiado en lo que respecta a la gestión de crisis. Hace unos veinte años, los ejecutivos pidieron a sus departamentos de RR.PP. que se ocuparan de la mayoría de los problemas públicos y rara vez se disculparon, por considerarlos débiles y temerarios desde el punto de vista legal. Desde entonces, las empresas se han vuelto más transparentes y los líderes ahora saben que tienen que estar a la vanguardia de las crisis, abordar las preocupaciones y dar respuestas. Pero eso no es lo que el CEO, Jake, hizo aquí. El incidente de SimplePay fue una infracción relativamente pequeña, pero se convirtió en un problema mucho mayor que amenazó el futuro de la empresa, en gran parte porque Jake perdió el trabajo.

En cualquier organización, pero especialmente en una que crece rápidamente, como SimplePay, es imperdonable que el director ejecutivo no invierta tiempo y energía en planificar la gestión de crisis y problemas. No me refiero a un ejercicio anual en el que todo el mundo anote las mejores prácticas y las ponga en una carpeta en una estantería. La planificación de crisis debe ser un proceso continuo y reflexivo que implique la reflexión y el debate sobre todos los posibles riesgos, las lecciones de otras empresas y las estrategias adecuadas para su organización en particular.

Jake debería haber dirigido su equipo en este tipo de planificación de escenarios para que Michelle, Jesse y todos los demás supieran de antemano lo que harían, quién lo haría y en qué plazo y, lo que es más importante, si las renuncias estarían sobre la mesa. A su nivel, debería tener una red sólida de mentores, compañeros y expertos que lo asesoren. El liderazgo puede ser solitario, pero los buenos líderes tienen la humildad de pedir ayuda a asesores de confianza. Si Jake hubiera puesto en marcha una estrategia, Michelle podría haber sido más deliberada a la hora de ayudarlo a interactuar con los clientes y los medios de comunicación, y el trabajo de Jesse para restablecer el servicio podría haber sido más rápido. La brecha podría haber sido un problema en el radar, pero en vez de eso ha cobrado fuerza.

Nos tomamos muy en serio los posibles riesgos en la Dow Chemical Company, donde trabajé 20 años, porque hay mucho en juego en ese negocio. Si los sistemas fallaban, existía la posibilidad de dañar el medio ambiente o perder vidas humanas. Pero incluso cuando los riesgos no sean tan extremos, las empresas deben prepararse minuciosamente para ellos. El robo de información personal también debe tomarse en serio. Ya sea que su empresa sea una floristería local o una empresa industrial mundial, necesita tener un plan de gestión de crisis.

Por desgracia, Jake no puede hacer retroceder el reloj. En cambio, debe liderar con humildad y asumir la responsabilidad de sus acciones. Puede que eso signifique dimitir o al menos arremangarse y asegurarse de que la empresa aprende de sus errores y está mejor preparada la próxima vez.

Comentarios de la comunidad de HBR.org

La suerte está echada

Recordemos que la junta tiene la última palabra. La decisión apesta, pero la junta ha hablado: alguien de arriba tiene que irse. SimplePay tiene que invertir su círculo vicioso antes de que se convierta en una espiral mortal. Jake debería dejar claro a los directores que, como su subordinado, cumplirá sus órdenes, del mismo modo que espera que todos los demás en SimplePay cumplan las suyas.
—Jeffrey Deutsch, fundador de A SPLINT

Renunciar enviará un mensaje

Si Jake despide a Jesse o a Michelle, puede que SimplePay no esté mejor, porque sus sustitutos necesitarán meses para ponerse al día. Pero si la junta insiste en la cabeza de alguien, Jake solo puede ofrecer la suya propia. Si se dimite, está haciendo una declaración: que cree en su equipo.
—Teg Rood, director de Rood Consulting

SimplePay tiene otras opciones

Despedir a alguien no es la única manera de enviar un mensaje contundente. La empresa podría cambiar su nombre con una campaña de marketing o actualizar su sistema de procesamiento móvil con nuevos diseños y funciones de seguridad que los clientes puedan ver claramente. Sin embargo, todo esto no servirá de nada si la aplicación es hackeada de nuevo. Para recuperar la confianza de los clientes, la empresa debe seguir mejorando la seguridad.
—Alvin Tsui, analista de desarrollo de Qualicom Innovations

No desperdicie su talento

No tiene ninguna ventaja hacer que alguien cargue con las apariencias. Si Jake hubiera sido un incompetente, tendría que ir. Pero parece un ejecutivo capaz y no tiene sentido perder talento, especialmente en tiempos difíciles, cuando la empresa necesita un líder.
—Robin Cohn, autor de La Biblia de la crisis de RR.PP.

Los estudios de casos ficticios de HBR presentan los dilemas a los que se enfrentan los líderes de las empresas reales y ofrecen soluciones de expertos. Este está basado en el estudio de caso de la Escuela de Negocios de Ivey sobre un hackeo de Sony que ocurrió mucho antes que el de finales del año pasado: «Sony PlayStation: Security Breach» ( número de caso. W12309), de Jana Seijts y Paul Bigus.