Dinero, reputación, clientes: ¿cuánto cuesta realmente una crisis?

por Markus Epner, Director de la Academia de F24 AG

¿Merece la pena invertir tiempo y dinero en gestión de crisis?

Es probable que esta sea la pregunta más frecuente en los entornos empresariales. En el caso de que en su empresa se planteen esta misma pregunta, la buena noticia es que podemos responderla. Las experiencias vividas en los últimos años con la pandemia, las extremas condiciones climáticas y los conflictos políticos han fortalecido nuestros argumentos a favor: ¡sí, realmente el esfuerzo y los costes merecen la pena! No obstante, las consideraciones concretas de costes-beneficios suelen ser difíciles de calcular por la falta de valores empíricos y cifras fiables. Así pues, profundizaremos en el tema para analizar qué se debe considerar a la hora de decidir si una inversión merece la pena. En esta serie de artículos de tres partes, analizaremos el tema de los costes en los que se incurre en una crisis, la manera de ahorrar costes a través de la gestión de crisis y cómo abordar el cálculo de costes-beneficios. 

Parte 1: Dinero, reputación, clientes: ¿cuánto cuesta realmente una crisis?

Parte 2: La esperanza no es una estrategia: la manera en que la gestión de crisis resulta rentable 

Parte 3: La manera inteligente de actuar: invertir para ahorrar

PARTE 1: Dinero, reputación, clientes: ¿cuánto cuesta realmente una crisis?

Una crisis se define como una situación excepcional e inestable que supone una amenaza para los objetivos estratégicos de una empresa, su reputación o incluso su propia existencia. Estas situaciones excepcionales son difíciles de valorar en todos los aspectos, especialmente en términos monetarios. Incluso los incidentes de menor importancia pueden conllevar un coste elevado. A fin de cuentas, la manera en que se gestione una crisis es lo que determinará su coste. Para entender la estimación de costes, analizaremos en primer lugar dónde y cómo surgen los costes. 

Distribución de la cadena de suministro, fenómenos meteorológicos extremos… Las crisis empresariales suponen un gran coste para las empresas, ya sea en términos de tiempo, dinero y, en el peor de los casos, de reputación. Los incidentes cibernéticos, en concreto, representan amenazas persistentes para las empresas de todo el mundo. Según el Barómetro de Riesgos de Allianz 2022, los ciberataques son la mayor preocupación para las empresas, seguidos de la interrupción de las actividades empresariales y las catástrofes naturales. Y con toda razón si nos fijamos en los ejemplos recientes: En mayo de 2021, los extorsionistas cibernéticos exigieron un rescate de 2.300 millones de dólares estadounidenses a Colonial, el operador de oleoductos. Poco tiempo antes, Acer se había enfrentado a una demanda de rescate de 50 millones de dólares estadounidenses por el secuestro de sus datos. La empresa farmacéutica Merck exigió alrededor de 1.400 millones de dólares estadounidenses a su compañía de seguros después de un ciberataque con el gusano informático NotPetya. No se trata de casos excepcionales, sino de algunos entre muchos. Estos patrones recurrentes muestran cómo los delitos cibernéticos pueden amenazar la existencia de las empresas. El número cada vez mayor de casos y el creciente importe de los daños también están propiciando el aumento de los costes de los seguros cibernéticos. En la mayoría de los casos, las pólizas de las compañías de seguros han dejado de cubrir los pagos de rescate.

Incluso si se excluyen los delitos cibernéticos, puede haber pérdidas de datos por accidente y llegar a convertirse en crisis mayores. En marzo de 2021, se produjo el fallo de cuatro centros de datos de OVHcloud, el mayor proveedor europeo de servicios en la nube, debido a un gran incendio, lo que supuso una gran sorpresa por parte de numerosos clientes corporativos al descubrir que no disponían de una copia de seguridad de sus datos. 

Costes directos, indirectos, poco margen de negociación: los diversos costes de una crisis
Es razonable asumir que se pierde dinero en cualquier situación de crisis, independientemente de su naturaleza específica, debido a tres mecanismos de acción simultáneos. 

  • En primer lugar, existen costes «directos» para hacer frente a la situación, que abarcan desde el reconocimiento del problema hasta la recuperación de las «operaciones normales».
  • Además, existen «costes indirectos» por la pérdida de ingresos previstos debido a la interrupción de las actividades empresariales o a la disminución temporal del volumen de pedidos por una pérdida de reputación, entre otros ejemplos.
  • Un tercer aspecto es la posibilidad de adquirir conocimientos o materiales especializados externos para la gestión de la crisis. Esta última parte se suele realizar con premura y, por lo tanto, resulta más costosa. Debido a la presión de la situación, es frecuente que se adopten decisiones sobre la marcha y no se analicen debidamente las inversiones adicionales. En este sentido, se deben tener en cuenta los costes adicionales por encima de las condiciones habituales del mercado. Un ejemplo extremo lo encontramos en las mascarillas al comienzo de la pandemia de COVID-19, en el que en algunos casos no quedó más remedio que adquirirlas a un precio decenas de veces superior a su precio de mercado habitual. 

Del descubrimiento a la recuperación: los factores del coste de un incidente cibernético

El alcance y la frecuencia de los incidentes cibernéticos están relativamente mejor documentados que la mayoría del resto de escenarios de crisis (a menudo, debido a sus requisitos legales de notificación). Analizaremos, por tanto, los costes de un ciberataque. El Ponemon Institute, en su «Report on the Cost of a Data Breach 2021» (Informe sobre el coste de una brecha de datos 2021), estima que el coste total medio de un incidente cibernético asciende a 4,62 millones de dólares estadounidenses. En el caso de una «megabrecha», es decir, una gran brecha de datos con más de 50 millones de registros de datos afectados, los costes aumentan en un factor aproximado de 100 a 401 millones de dólares estadounidenses. Existen esencialmente cuatro factores generadores de costes:

  • Identificación y escalado de problemas: en el caso de un ciberataque, se incluyen las actividades periciales y de investigación, los servicios de evaluación y auditoría, la gestión de la crisis y la comunicación interna de la crisis.

    => Representa el 33,1 % de los costes.
  • Pérdida de negocio: en el caso de los delitos en línea, se incluyen la pérdida por la interrupción de las actividades empresariales y la pérdida de ingresos debido al tiempo de inactividad del sistema, además de los costes por la pérdida de clientes y la adquisición de otros nuevos, sin olvidar la pérdida de reputación o la disminución del fondo de comercio.

    => Se trata del factor importante, que representa el 32,64 % de los costes.
  • Comunicación en casos de crisis: la notificación a las partes afectadas a través de diversos canales, el intercambio de información con la autoridad de control o incluso la contratación de expertos externos supone una generación de costes.

    => Representa el 7,13 % de los costes
  • Costes de recuperación: en incidentes de ciberdelincuencia, incluye la creación de un servicio de asistencia técnica, el seguimiento de las cuentas o identidades afectadas, la emisión de nuevas cuentas o tarjetas de crédito, los costes legales, el reembolso de productos o las multas reglamentarias.

    => Representa el 27,13 % de los costes.

PARTE 2: La esperanza no es una estrategia: la manera en que la gestión de crisis resulta rentable

«No hay gloria en la prevención»

Los gestores de crisis lo sabían mucho antes de que se convirtiera en una experiencia mediática para virólogos y epidemiólogos en la crisis de COVID-19. Lo cierto es que los gestores de crisis rara vez reciben reconocimiento por el hecho de que nada o poco suceda (en términos de crisis). Sencillamente, es difícil comprender lo que se puede lograr al prevenir o atenuar una crisis. Por el contrario, la paradoja de la prevención puede incluso dar lugar a que se subestime el peligro en el futuro debido a una buena prevención. Después de todo, no ha sucedido (casi) nada. Sin embargo, una buena prevención supone un ahorro de costes. Cómo, dónde y cuándo merece la pena prevenir es el tema de esta parte.

Por supuesto, el mayor ahorro de costes se consigue cuando no tiene lugar ninguna crisis. No obstante, esperar simplemente que la propia empresa no se vea afectada es una estrategia extremadamente pésima. Los expertos se muestran de acuerdo y las cifras hablan por sí solas. Especialmente porque la probabilidad de una crisis aumenta con cada año que pasa. El riesgo de convertirse en víctima de un ataque de extorsión (ataque de ransomware) aumentó un 47 % en el segundo trimestre de 2021, según Digital Shadows, una empresa experta en inteligencia sobre amenazas. Según el FBI, realiza un seguimiento de 100 redes de extorsión peligrosas. El porcentaje de empresas afectadas de sufrir un ciberataque al menos una vez fue del 61 % en 2021, según el «Cyber Resilience Report» (Informe de resiliencia cibernética) del Business Continuity Institute (BCI). Asimismo, existe un riesgo cada vez mayor de que las empresas se vean sorprendidas por crisis imprevistas en el futuro y deban hacer frente a múltiples eventos al mismo tiempo. Como bien ha dicho Gerhard Saumwald, un reconocido experto en crisis austriaco: «El escenario de crisis más importante es el que no se prevé».

En muchas empresas, todavía prevalece lo que yo llamo “pensamiento de póliza de seguro”. Solo se preparan para los riesgos probables y evitan los costes de asegurarse frente a riesgos improbables. Sin embargo, lo completamente inesperado es lo que sucede más a menudo en el futuro.

Crisis ejemplares en diversas industrias y su impacto financiero
IndustriaEjemplo de crisisCostesFuente
Informática/TelecomunicacionesCiberataque a Telekom AlemaniaDaños millonarios (más de 1,2 millones de clientes de telecomunicaciones se vieron afectados)Frankfurter Allgemeine
TurismoPandemia en la TUIEmpresas con pérdidas de facturación de hasta el 98,5%.Tagesschau
Logística y transporteInterrupción de las conexiones de cargaVarios cientos de millones de euros en dañosFocus
Salud y FarmacéuticasInundaciones/cortes de electricidad/daños en todo el edificio/equipo100.000 euros en daños materiales en el hospital de LeverkusenPR Online
AviaciónCatástrofes medioambientalesPérdidas de hasta 200 millones de euros por 5 días de cierre del espacio aéreoaeroTELEGRAPH
Crisis ejemplares en diversas industrias y su impacto financiero

Gestión de riesgos: una preparación adecuada en cuatro áreas clave 

Los puntos de partida para reducir los costes de una crisis se encuentran esencialmente en cuatro áreas:

Detección y prevención tempranas: las medidas de prevención comienzan con la monitorización y la detección. Tanto si se trata de monitorizar los factores de riesgo cambiantes, analizar el impacto, mantener actualizados los programas informáticos o establecer un equipo permanente de gestión de crisis, las medidas de prevención pueden ser muy diversas y de amplio alcance en función de la empresa.  Lo importante es no detenerse en la identificación de las oportunidades de prevención, ya que lo que es realmente importante es seguirlas de cerca con regularidad y hacer un seguimiento de los posibles cambios. La misma importancia tiene la actualización de las estrategias de Gestión de la continuidad empresarial (BCM) en función de estos cambios para que la empresa se encuentre preparada incluso para enfrentarse a escenarios de crisis o emergencias improbables.

  • En lo que se refiere a incidentes cibernéticos, entre los 10 principales factores de reducción de costes se incluyen: la planificación de la continuidad empresarial, la implicación de la Dirección, la formación del personal y el establecimiento de equipos de gestión de incidentes y crisis. 

Comprensión de los procesos establecidos y del «manual» de gestión de crisis: cuando se conoce lo que se debe hacer en caso de que surja una crisis, quiénes son los responsables de actuar y la manera de ponerse en contacto con ellos, se tendrá un mejor control de dos factores significativos del coste de una crisis: el tiempo y la reputación. El ahorro de tiempo supone una ventaja por triplicado: al principio, especialmente durante la alerta del personal y la movilización de los equipos, durante una crisis y también en el seguimiento, por ejemplo, en la preparación de informes para las autoridades. 

  • El valor de la reputación se suele subestimar en el contexto de una crisis. Por lo general, no es la propia crisis la que merma la confianza de los clientes, de los socios empresariales y de las autoridades, sino la pésima gestión de la situación. El público llega a poner en duda las operaciones empresariales, llegando a preguntarse si el resto de las áreas de la empresa se manejan tan mal como la gestión de la crisis.  

Una buena formación: las personas que desarrollan posibles escenarios de crisis en condiciones realistas, establecen estructuras y canales de comunicación, cuentan con las herramientas y los materiales necesarios, y saben cómo utilizarlos, son más eficaces y, además, ahorran un tiempo valioso.  

  • Al hacer frente a una brecha de datos, el coste de las empresas que disponen de manuales de respuesta a incidentes probados y de un equipo de respuesta a incidentes (IRT) bien formado es aproximadamente un 50 % menor que el de las empresas sin un equipo formado.   

Actuar con rapidez: la rapidez es clave en cualquier escenario de crisis. Cuanto más rápido se pueda reaccionar y limitar o poner fin a la crisis, menores serán los costes. Cuanto más breve sea el ciclo de vida de la crisis (el tiempo que transcurre hasta que se detecta un ataque y se soluciona completamente), menores serán los costes. A su vez, el requisito previo básico para una actuación rápida es una comunicación rápida y específica, además de una estrecha cooperación entre el lugar afectado y otros departamentos. En concreto, las soluciones SaaS profesionales lo respaldan, tal como confirma una vez más el Informe de comunicaciones de emergencia 2021 del BCI. El 52 % de las empresas que utilizan estas soluciones consiguen activar sus planes de emergencia en cinco minutos. En el caso de las empresas que trabajan sin herramientas, la cifra es tan solo del 21 %. Al mismo tiempo, los sistemas permiten una colaboración más eficaz con herramientas de colaboración virtual entre el lugar afectado y otros departamentos.

  • Según los cálculos del Ponemon Institute, los costes de los ataques de datos aumentan en promedio alrededor del 29,7 % si el ciclo de vida de la crisis dura más de 200 días. 

PARTE 3: La manera inteligente de actuar: invertir para ahorrar 

Las soluciones profesionales de gestión de incidentes y crisis abordan todos los factores analizados en la Parte 2: prevención, procesos, formación y rapidez. Crean, por lo tanto, las mejores condiciones para que las crisis, incluso cuando se producen, causen el menor daño. El motivo es que permiten acortar los ciclos de vida de las crisis, reducen el nivel de daños y la intensidad de una situación de crisis, permiten gestionar los incidentes de una manera profesional y fortalecen la reputación y la fidelidad de los clientes a través de una comunicación rápida y eficaz.


Pero ¿merece la pena invertir en gestión de crisis? Por supuesto, no es fácil hacer aquí un cálculo preciso del ROI (retorno de la inversión), porque las crisis son, por definición, dinámicas, complejas y dependen de numerosos factores. También lo son los costes. No obstante, si tomamos como base los datos del estudio de Ponemon, en el que se analizan los costes de las brechas de datos «normales», podremos analizar más de cerca el efecto financiero positivo que puede tener la gestión de incidentes y crisis. 

En el «Informe sobre el coste de una brecha de datos 2022», el Ponemon Institute calculó que una sola brecha de datos, es decir, un típico incidente cibernético que puede ocurrir en cualquier momento y que no tiene por qué ser necesariamente una crisis real, tiene un coste medio para las grandes empresas de 4,35 millones de dólares estadounidenses. Y la tendencia está aumentando. Las megabrechas de datos, es decir, las crisis de datos «reales» con más de 50 millones de registros de datos comprometidos, llegan a tener un coste promedio de 401 millones de dólares estadounidenses. Este coste es casi 100 veces mayor que el de las brechas de datos más pequeñas con menos de 100.000 registros afectados. 

Retorno de la inversión: ¿en qué punto se amortiza la inversión en gestión de crisis profesional?


La cifra de interés en el estudio para nuestra pregunta: en el caso de las empresas que disponían de una respuesta a incidentes profesional, los costes por incidente se redujeron en promedio un 50 %. 

Una vez convertida, significa que la respuesta a incidentes profesional en 2022 supuso un ahorro promedio para las empresas de 2,66 millones de dólares estadounidenses en la gestión de incidentes de datos pequeños y medianos. Incluso si asumimos, en aras de la comparación, que la respuesta a incidentes solo tiene la mitad del efecto (un ahorro de costes del 25 % en lugar del 50 % aproximado calculado en el estudio), esto supone un ahorro mínimo de 1 millón de dólares para empresas bien preparadas de todos los tamaños, ¡y por incidente! Por lo tanto, podemos concluir con seguridad lo siguiente: una buena preparación merece la pena incluso en los incidentes más pequeños en forma de ahorros monetarios significativos. En el caso de una crisis de datos grave, que supone un coste promedio de 401 millones de dólares estadounidenses (casi 100 veces esa cantidad), el efecto de una buena gestión de crisis puede ascender a varios centenares de millones de dólares en ahorros potenciales. 

Esto se debe, por un lado, a un entorno cada vez más complejo y, por otro, a que las crisis sistémicas, como una pandemia, los ataques a infraestructuras críticas o la interrupción de las cadenas de suministro mundiales, se prolongan durante un periodo más largo de tiempo y pueden tener efectos dominó de gran alcance. Los efectos del cierre del puerto comercial chino de Yantian al comienzo de la crisis de la COVID-19 o el bloqueo durante semanas del Canal de Suez debido a la posición transversal del Ever Given se siguieron notando meses después.

Por lo tanto, se puede asumir que el retorno de la inversión de una buena gestión de crisis con un sistema profesional y un equipo bien formado se consigue con mayor rapidez. Especialmente en el caso de crisis múltiples. En este caso, las empresas pueden ahorrar millones en todo tipo de emergencias, en crisis probables e improbables, ya sea incendios, catástrofes naturales, interrupción de las actividades empresariales o ciberataques. Pero es posible que la mayor ganancia no se pueda expresar en cifras: la tranquilizadora sensación de poder actuar en cualquier situación de una manera rápida, inteligente y orientada al cliente.

** Resultado estudio Ponemon 2022

*** La estimación del escenario, incluso con la mitad del porcentaje de ahorro, muestra más de un millón de dólares de ahorro

Descubra cómo nuestras soluciones apoyan su respuesta a la crisis: cree procedimientos eficaces de respuesta a incidentes con la ayuda de las soluciones de software de F24. El sistema de alertas de F24 proporciona datos en tiempo real para que pueda supervisar el proceso de respuesta a incidentes y actuar en consecuencia. Descubra más sobre cómo podemos apoyar su planificación de respuesta a incidentes.

Markus Epner – Director de la Academia de F24 AG

Markus se incorporó a F24 AG en 2022. Trabajó en varios puestos en diferentes equipos de seguridad y crisis, fue uno de los primeros oficiales del Kommando Spezialkräfte y su experiencia de las guerras de Bosnia y Kosovo, así como sus muchos años de experiencia de liderazgo en la industria, le dan confianza a la hora de actuar en eventos críticos.

Markus estudió Seguridad y Gestión de Crisis en Kiel y tiene más de 20 años de experiencia en seguridad y gestión de crisis en Lufthansa y Boehringer Ingelheim. Durante su estancia en la industria gestionó, además de otras crisis, la evacuación de dos tripulaciones de Bombay durante los atentados terroristas y la crisis del covid-19 durante su estancia en la industria farmacéutica.

Evidentemente, prepararse e invertir para la gestión de crisis e incidentes no sólo puede ahorrar valor y activos, sino también mucho dinero a las empresas. Conozca cómo puede beneficiarse de contar con un plan de crisis.

Estamos aquí para ayudarle.

¿Tiene alguna pregunta sobre F24?
Rellene el formulario a continuación y nos pondremos inmediatamente en contacto con usted.

Estamos aquí para ayudarle.

¿Tiene alguna pregunta sobre F24?
Rellene el formulario a continuación y nos pondremos inmediatamente en contacto con usted.

Te mantenemos al día.

¿Le gustaría recibir los comunicados de prensa de nuestra empresa?
Solo tiene que registrarse en la lista de distribución de los comunicados de prensa de F24.