Bài tập tình huống: “Doanh nghiệp để mất dữ liệu thông tin khách hàng” Đề bài: Dựa theo lý thuyết về quyết định, anhchị hãy trả lời câu hỏi sau: Theo anhchị, Bret Flayton cần phải xử lý vấn đề mà doanh nghiệp ông gặp phải như thế nào? Tại sao? Bài làm: Dựa vào lý thuyết về quyết định (Mô hình ba bước ra quyết định của Herbert Simon Mô hình lý trí bị giới hạn); theo đó để xử lý vấn đề mà doanh nghiệp của mình đang gặp phải, Bret Flayton có thể đưa ra quyết định sau khi tiến hành theo các bước: Bước 1: Xác định mục tiêu: Phân tích vấn đề: Brett Flayton là Giám đốc điều hành của Flayton Electronics Một công ty bán lẻ
Trang 1BÀI TIỂU LUẬN (Môn lý thuyết Quản trị hiện đại) Bài tập tình huống: “Doanh nghiệp để mất dữ liệu thông tin khách hàng”
Đề bài:
Dựa theo lý thuyết về quyết định, anh/chị hãy trả lời câu hỏi sau: Theo anh/chị, Bret Flayton cần phải xử lý vấn đề mà doanh nghiệp ông gặp phải như thế nào? Tại sao?
Bài làm:
Dựa vào lý thuyết về quyết định (Mô hình ba bước ra quyết định của Herbert Simon
-Mô hình lý trí bị giới hạn); theo đó để xử lý vấn đề mà doanh nghiệp của mình đang gặp phải, Bret Flayton có thể đưa ra quyết định sau khi tiến hành theo các bước:
* Bước 1: Xác định mục tiêu:
Phân tích vấn đề:
Brett Flayton là Giám đốc điều hành của Flayton Electronics - Một công ty bán lẻ chuyên kinh doanh các sản phẩm thiết bị điện tử, bao gồm hệ thống 32 cửa hàng tại 6 tiểu bang của Mỹ với số lượng nhỏ các giao dịch trực tuyến Và hiện tại vừa xảy ra sự việc là Công
ty của ông có dấu hiệu bị đánh cắp thông tin dữ liệu của khách hàng Qua một phân tích của Ngân hàng Union Century về thẻ tín dụng gian lận cho thấy đã có khoảng 1.500 thẻ mua hàng tại Flayton đang có khả năng có vấn đề Đó là con một số cao đáng ngạc nhiên đối với một kiểm tra thường xuyên Union Century đã bắt đầu thông báo cho các ngân hàng khác, cũng như Visa và MasterCard để xem liệu có hiện tượng tương tự và con số 1500 có thể chỉ là
“đỉnh của tảng băng trôi”
Trên thực tế thị trường bán lẻ hiện nay cho thấy: Trộm cắp dữ liệu dường như là phổ biến và các công ty có thể bị xâm nhập bằng nhiều cách khác nhau gây nên những tổn thất và hậu quả khôn lường Những tên trộm đánh cắp thông tin thẻ tín dụng, số an sinh xã hội, thông tin tài khoản ngân hàng, và thậm chí cả địa chỉ e-mail Dường như có một thị trường đen cho hầu như bất kỳ loại dữ liệu nào Những tên tội phạm đang trở nên ngày càng thông minh và không ai là có thể miễn dịch đối với chúng Để đối phó với thực trạng đó, các tổ chức cung cấp thẻ thanh toán Quốc tế lớn đã thành lập ra Hội đồng tiêu chuẩn bảo mật an ninh dữ liệu thẻ thanh toán (PCI DSC) nhằm mục tiêu bảo vệ an ninh dữ liệu thẻ thanh toán trên toàn thế
Trang 2giới, chống lại việc xâm nhập và sử dụng dữ liệu của khách hàng bất hợp pháp Mọi doanh nghiệp (bất kể về quy mô và số lượng giao dịch qua thẻ credit card mỗi năm) đều bắt buộc phải tuân thủ các yêu cầu theo tiêu chuẩn này, định kỳ sẽ có sự đánh giá lại việc tuân thủ, nếu
vi phạm sẽ phải chịu các chế tài xử lý nghiêm khắc
Đối với Công ty của Brett Flayton, đây là cơ nghiệp ông được kế thừa từ người cha của mình sau hơn chục năm vất vả gây dựng nên danh tiếng cho Công ty Cùng với quyết tâm tiếp tục phát triển Công ty lớn mạnh, những năm gần đây ông cũng đã đầu tư nhiều thời gian và tiền bạc để phù hợp với ngành công nghiệp thanh toán thẻ mới và tiêu chuẩn về bảo vệ dữ liệu; tuy nhiên vẫn còn có những hạn chế nhất định trong lĩnh vục này: Trước hết đó là sự hạn chế về nhận thức của chính Brett với vai trò là người chủ doanh nghiệp đối với các vấn đề về bảo mật dữ liệu thẻ thanh toán bởi ông đã từng có suy nghĩ chủ quan, mơ hồ: “Công ty của ông chỉ là một chuỗi khu vực với 32 cửa hàng trong sáu tiểu bang và sự hiện diện trực tuyến khiêm tốn Flayton khó có thể là một mục tiêu cho ăn cắp rất nhiều dữ liệu khách hàng Hoặc
có thể có?”; đến khi sự việc xảy ra ông đã phải dành cả đêm để tự tìm kiếm và nghiên cứu, cập nhật các kiến thức, thông tin về vấn đề này Cùng với đó còn là sự thiếu kinh nghiệm những người được giao trách nhiệm chính về an ninh của Công ty (Cô Laurie Benson - Phó Chủ tịch phòng chống mất mát) là một cựu cảnh sát Chicago với những thành tích ấn tượng
và kinh nghiệm trong việc giảm trộm cắp về tài sản vật chất, còn với loại hình trộm cắp thông tin này thì tuy cô cũng đã dự đoán trước được, nhưng khi đứng trước sự việc thì đối phó với
nó thực sự là một vùng đất mới, không dễ lần ra dấu vết, manh mối bởi các chuỗi dữ liệu được thực hiện qua nhiều quy trình, nhiều bước mà bản thân cô cũng “không nắm bắt được tất cả các bước của quá trình” và tuy “các chuỗi chính nó là đơn giản, nhưng việc xác định điểm yếu nhất của nó là không” Bên cạnh đó, với tham vọng của mình Brett đã đẩy tốc độ tăng trưởng của Công ty quá nhanh, ông đã tìm cách đầu tư cổ phần tư nhân một vài năm trước và thường xuyên thực hiện các nghĩa vụ để cung cấp những lợi nhuận mà ông đã hứa hẹn; chiến lược của ông là tích cực và ông tự tin với nó - cho đến bây giờ, với những câu hỏi được đặt ra: Có phải ông đã thiển cận về một cơ sở hạ tầng cần thiết để vận hành một công ty lớn? Đã đặt ra yêu cầu phát triển của Công ty vượt quá khả năng của đội ngũ nhân viên lâu năm của mình với những hạn chế về sự nhanh nhạy, về khả năng thích nghi, cập nhật các kiến thức, kỹ năng mới? Ông đã để lại một lỗ hổng, điểm yếu trong Flayton bởi sự thiếu đầu tư trong hệ thống? Hạn chế còn thể hiện ở chỗ Công ty của ông trên thực tế chỉ đáp ứng được khoảng
Trang 375% các yêu cầu của PCI DSC và phần nào còn có tâm lý đối phó trong việc tuân thủ (thể hiện qua lời báo cáo của Sergei)
Quay trở lại sự việc, cho đến cuối ngày hôm sau, nghi vấn về việc Công ty để mất thông tin dữ liệu khách hàng càng được khẳng định rõ bởi: Thông tin mới từ các ngân hàng cho biết
số lượng tài khoản bị tổn hại đã tăng lên (nhiều hơn con số 1.500 lúc ban đầu); Bộ phận chức năng của Công ty cũng đã tìm kiếm và xác định được một tường lửa bảo vệ kho dữ liệu đã bị
vô hiệu hóa (có thể do vô tình hoặc cố ý, vì đây là hệ thống tương đối mới và trong thời gian vận hành cũng đã phát hiện ra các lỗi bởi tường lửa thường có thể là có vấn đê) Và như vậy,
dữ liệu nội bộ của Công ty được cho là đã cơ bản bị phát tán ra bên ngoài
Trước tình hình này, các mật vụ liên bang (FBI) cũng đã tham gia vào điều tra, tuy nhiên
họ yêu cầu Công ty giữ bí mật cho đến khi có được bức tranh đầy đủ, đồng thời muốn có đủ số lượng hành vi diễn ra bình thường để thực hiện cuộc điều tra (mặc dù, do đã biết được sự việc nên các ngân hàng có thể dễ dàng từ chối nếu cảm thấy thẻ thanh toán có vấn đề) Tuy nhiên, Brett lại không đồng tình với yêu cầu trên bởi vì khách hàng của công ty sẽ bị lừa đảo và việc kinh doanh của doanh nghiệp là dựa trên sự tin tưởng của khách hàng vào doanh nghiệp Giám đốc truyền thông của Công ty cũng đưa ra 3 phương án về chiến lược truyền thông đối với sự việc này: (1) Tổ chức một cuộc họp báo và công khai vụ việc (2) Thông báo cho khách hàng bằng thư rằng đã có một sự vi phạm và rằng tình hình đã được giải quyết (3) Không làm gì cả cho đến khi cơ quan thực thi pháp luật có được kết luận cuối cùng Theo đánh giá của Brett thì phương án (1) là cách tiếp cận thẳng thắn nhất, phương án (2) có thể tạo
ra tâm lý lo lắng cho khách hàng rằng công ty đang che giấu điều gì, phương án (3) tuy là dễ nhất nhưng theo ông "Không làm gì không phải là một lựa chọn"
Tư vấn của Công ty - Darrell Huntington thì cho rằng: Do không có bằng chứng dứt khoát, tất cả các bằng chứng là tình huống, không chứng minh được sự liên quan về vai trò của Công ty trong vụ việc, mà chỉ là “dường như có một sự tương quan giữa các thẻ với các hoạt động gian lận và thẻ được sử dụng để mua hàng tại Flayton Đó có thể là một sự trùng hợp Tại thời điểm này, chúng tôi không có bằng chứng thực tế của một vi phạm dữ liệu tại Flayton” Ông tiếp tục khẳng định "Chiến lược truyền thông của bạn là không nên nói chuyện với bất cứ ai Nếu bạn nhận được một cuộc gọi từ các phương tiện truyền thông, chỉ cần xác nhận rằng Flayton đã được liên lạc với cơ quan thực thi pháp luật liên quan đến một cuộc điều tra và bạn đang hợp tác đầy đủ Cơ quan mật vụ họ không nói cho ai bất cứ điều gì." Darrell
Trang 4còn chỉ ra nguy cơ nếu quyết định công khai vụ việc thì Công ty có thể bị kiện bởi khách hàng, các ngân hàng, các nhà đầu tư và dù thắng hay thua thì cũng phải chịu tổn thất lớn về chi phí; đồng thời còn phải chịu nhiều sự phiền toái từ giới truyền thông
Cuối cùng, sau khi có đủ các thông tin (từ các thành viên Ban lãnh đạo, các bộ phận chức năng của Công ty, các cộng sự và từ cả sự tự tìm hiểu của bản thân), Brett đã có sự phân tích, cân nhắc “Vì vậy, nếu tôi hiểu điều này một cách chính xác, tuy là các tình huống nhưng
có bằng chứng rõ ràng rằng sự vi phạm đã xảy ra; chúng tôi có hai nhân viên cũ, những người
có hoặc không có thể liên quan; một số tiểu bang yêu cầu chúng tôi phải tiết lộ thông tin; FBI thì lại muốn chúng tôi phải giữ bí mật; và có một nhân vật thuộc giới truyền hình nằm trong
số các nạn nhân Nếu chúng tôi tiết lộ, chúng tôi sẽ có thể bị kiện; nếu chúng tôi không, câu chuyện cuối cùng cũng sẽ bị rò rỉ; FBI có thể nhận diện được các thủ phạm nếu chúng ta để cho họ có thời gian, nhưng không có gì đảm bảo sẽ không có vấn đề xảy ra; danh tiếng của chúng tôi phụ thuộc vào điều đó, và đối thủ cạnh tranh sẽ bắt đầu chạy khuyến mại đặc biệt để thu hút khách hàng ngay khi có cơ hội Và tôi tự hỏi nếu vậy liệu tôi có thể nhìn thẳng vào mắt khách hàng một lần nữa Tôi có bỏ sót điều gì không?" "Có một điều mà tôi chắc chắn là: Tên Flayton có nghĩa là một cái gì đó với tôi, với nhân viên của chúng tôi, và cho khách hàng của chúng tôi Chúng tôi sẽ quyết định làm gì hôm nay"
Xác định mục tiêu:
Mặc dù biết sẽ không có câu trả lời dễ dàng bởi vì khách hàng sẽ không muốn mua sắm tại các cửa hàng biết là có vi phạm dữ liệu và Flayton của ông có thể sẽ bị tổn thương do chỉ đơn giản là cố gắng để làm điều đúng đắn Tuy nhiên, ông cũng hiểu rằng tương lai của Công
ty phụ thuộc vào danh tiếng - một trong những thành quả có được sau hơn chục năm trời vất
vả của cha ông và đến nay vẫn luôn có ý nghĩa lớn đối với ông cùng các nhân viên của mình Chính vì vậy, để xử lý vấn đề của Công ty hiện nay, đòi hỏi Brett Flayton phải đưa ra quyết định kịp thời và đúng đắn với mục tiêu là: nhanh chóng kiểm soát, ngăn chặn việc rò rỉ thông tin dữ liệu khách hàng nhằm bảo vệ và hạn chế đến mức thấp nhất những tổn thất của khách hàng và Công ty ở hiện tại và cả trong tương lai; Nhờ đó, giữ gìn được danh tiếng và uy tín Công ty với tiêu chí được đặt lên hàng đầu là củng cố lòng tin của khách hàng đối với Công ty
* Bước 2: Tìm các giải pháp thỏa mãn mục tiêu:
Nhằm đạt được mục tiêu đã xác định ở Bước 1, có thể xây dựng và thực hiện các nhóm giải pháp sau:
Trang 5Nhóm giải pháp thứ nhất:
Thông báo bằng thư cho tất cả khách hàng của Công ty rằng dữ liệu của họ có thể đã bị xâm nhập và hướng dẫn họ rà soát, kiểm tra các hóa đơn; đồng thời tiếp tục phối hợp để FBI thực hiện và hoàn tất cuộc điều tra Căn cứ vào kết quả cuộc điều tra sẽ mời các chuyên gia trong lĩnh vực bảo mật thông tin để tư vấn khắc phục ngay các khâu yếu và xử lý những vấn
đề cấp bách nhằm hạn chế thấp nhất thiệt hại của khách hàng và Công ty ở hiện tại lẫn tương lai Về mặt chiến lược lâu dài, tiếp tục kiện toàn đội ngũ lãnh đạo và nhân viên để thích nghi
và đáp ứng được những lĩnh vực mới trong quá trình phát triển của Công ty, đặc biệt đầu tư thời gian và kinh phí để hoàn thiện hệ thống cơ sở hạ tầng phù hợp với ngành công nghiệp thanh toán thẻ và đảm bảo tiêu chuẩn về bảo vệ dữ liệu, đáp ứng tốt các yêu cầu của PCI DSC
Ưu điểm:
Việc thông báo cho khách hàng rằng dữ liệu của họ có thể đã bị đánh cắp có thể là biện pháp tốt nhất để sớm phát hiện ra vấn đề; đồng thời cảnh báo giúp khách hàng thận trọng hơn trong quá trình sử dụng thẻ; bên cạnh đó cũng phần nào cho thấy được trách nhiệm và sự quan tâm, lo lắng của Công ty đối với từng khách hàng của mình Ngoài ra các biện pháp còn lại cũng đều góp phần vào việc tìm ra nguyên nhân, hạn chế thiệt hại và kiện toàn công tác bảo mật dữ liệu khách hàng của Công ty Từ đó, củng cố lòng tin của khách hàng, lấy lại danh tiếng và uy tín cho Công ty
Nhược điểm:
Việc thông báo cho khách hàng có thể làm ảnh hưởng phần nào đến cuộc điều tra; đồng thời có thể sẽ gặp phải những phản ứng tiêu cực từ phía khách hàng, gây nên tâm lý lo ngại, giảm sút lòng tin và Công ty thậm chí có thể bị kiện; Bên cạnh đó việc chờ có kết quả điều tra mới mời chuyên gia khắc phục có thể làm tăng thiệt hại cho Công ty và khách hàng
Giải pháp thứ hai:
Tổ chức một cuộc họp báo công khai về vụ việc; đồng thời tiếp tục phối hợp để FBI hoàn tất cuộc điều tra Song song với đó (và căn cứ kết quả cuộc điều tra sau này) để mời các chuyên gia khắc phục ngay các khâu yếu và xử lý những vấn đề cấp bách nhằm hạn chế thấp nhất thiệt hại Tiếp theo về chiến lược lâu dài cũng như nhóm giải pháp thứ nhất là tiếp tục kiện toàn đội ngũ lãnh đạo và nhân viên, đầu tư thời gian và kinh phí để hoàn thiện hệ thống hạ tầng phù hợp với ngành công nghiệp thanh toán thẻ và đảm bảo tiêu chuẩn về bảo vệ dữ liệu
Ưu điểm của giải pháp:
Trang 6Việc tổ chức họp báo là một cách tiếp cận thẳng thắn nhất và có thể tạo được cái nhìn thiện cảm hơn của dư luận đối với Công ty khi đã để xảy ra sai sót (có thể được đánh giá là minh bạch, dũng cảm, ) Bên cạnh đó việc mời ngay các chuyên gia để khắc phục hậu quả cũng là một ưu điểm để hạn chế kịp thời thiệt hại Các biện pháp tiếp theo giúp củng cố lòng tin của khách hàng, lấy lại danh tiếng và uy tín cho Công ty
Nhược điểm của giải pháp:
Việc tổ chức họp báo cũng có thể làm ảnh hưởng phần nào đến cuộc điều tra; bên cạnh
đó, do không thông báo và hướng dẫn cụ thể đến từng khách hàng có thể là nguyên nhân gây
sơ hở, sai sót trong quá trình sử dụng thẻ tiếp tục dẫn đến một số thiệt hại không đáng có; và khách hàng cũng không thấy được sự quan tâm, trách nhiệm của Công ty đối với mình Ngoài
ra, Công ty cũng có thể bị biện bởi khách hàng, các ngân hàng và các nhà đầu tư Đồng thời chắc chắn sẽ phải chịu nhiều sự phiền toái từ giới truyền thông
* Bước 3: Lựa chọn giải pháp:
Với 2 nhóm giải pháp đưa ra ở trên kèm theo những phân tích về ưu và nhược điểm của từng giải pháp; đồng thời qua theo dõi các diễn biến của tình huống luôn có cảm nhận Brett Flayton là một người chính trực, thận trọng, chắc chắn và luôn nghĩ cho khách hàng của mình nên việc ông lựa chọn giải pháp thứ nhất để thỏa mãn mục tiêu có lẽ là phù hợp hơn cả