Vale a pena investir tempo e dinheiro na gestão de crises?
Esta é provavelmente a pergunta mais frequentemente colocada em ambientes empresariais. Caso se esteja a fazer a mesma pergunta, a boa notícia é que podemos responder-lhe. As nossas experiências nos últimos anos com a pandemia, condições meteorológicas extremas e conflitos políticos reforçaram os nossos argumentos a favor: sim, vale realmente a pena o esforço e os custos! Contudo, as considerações concretas de custo-benefício são frequentemente difíceis de calcular devido à falta de valores empíricos e de números fiáveis. Por conseguinte, iremos analisar mais de perto o que considerar ao decidir se um investimento vale a pena. Nesta série de artigos em três partes, vamos analisar os custos incorridos numa crise, como poupar custos através da gestão de crises e como abordar os cálculos de custo-benefício.
Parte 1: Dinheiro, reputação, clientes: quanto é que custa realmente uma crise?
Parte 2: A esperança não é uma estratégia: como a gestão de crises compensa.
Parte 3: A forma inteligente de agir: investir para poupar
PARTE 1: Dinheiro, reputação, clientes: quanto é que custa realmente uma crise?
Uma crise é definida como uma situação excepcional e instável que representa uma ameaça aos objectivos estratégicos de uma empresa, à sua reputação ou mesmo à sua própria existência. Estas situações excepcionais são difíceis de valorizar em todos os aspectos, especialmente em termos monetários. Mesmo incidentes menores podem ser dispendiosos. Em última análise, é a forma como uma crise é gerida que determinará o seu custo. Para compreender a estimativa de custos, vamos primeiro olhar para onde e como surgem os custos.
Distribuição da cadeia de abastecimento, eventos meteorológicos extremos… As crises empresariais têm um pesado impacto nas empresas em termos de tempo, dinheiro e, no pior dos casos, reputação. Os incidentes cibernéticos, em particular, representam ameaças persistentes às empresas em todo o mundo.
De acordo com o Barómetro de Risco Allianz 2022, os ciberataques são a maior preocupação das empresas, seguidos de interrupção de negócios e desastres naturais. E com razão, se os exemplos recentes são algo a passar: Em Maio de 2021, os cibercriminosos exigiram um resgate de 2,3 mil milhões de dólares ao Colonial, o operador do gasoduto. Pouco antes, a Acer tinha enfrentado um pedido de resgate de 50 milhões de dólares para o sequestro dos seus dados. A companhia farmacêutica Merck exigiu cerca de 1,4 mil milhões de dólares à sua companhia de seguros após um ataque cibernético com o worm informático NotPetya. Estes não são casos excepcionais, mas apenas alguns entre muitos. Estes padrões recorrentes mostram como a cibercriminalidade pode ameaçar a existência de empresas. O número crescente de casos e a quantidade crescente de danos estão também a fazer subir os custos dos seguros cibernéticos. Na maioria dos casos, as apólices das companhias de seguros já não cobrem os pagamentos de resgate.
Mesmo se o cibercrime for excluído, podem ocorrer perdas acidentais de dados e evoluir para grandes crises. Em Março de 2021, quatro centros de dados de OVHcloud, o maior fornecedor europeu de serviços em cloud, falharam devido a um grande incêndio, o que foi um choque para muitos clientes empresariais quando descobriram que não tinham cópias de segurança dos seus dados.
Custos directos, custos indirectos, pouco espaço para negociação: os vários custos de uma crise
É razoável supor que se perde dinheiro em qualquer situação de crise, independentemente da sua natureza específica, devido a três mecanismos de acção simultâneos.
- Em primeiro lugar, existem custos “directos” de lidar com a situação, que vão desde o reconhecimento do problema até à recuperação das “operações normais”.
- Além disso, existem “custos indirectos” em termos da perda de receitas previstas devido à interrupção do negócio ou a uma diminuição temporária do volume de encomendas devido a uma perda de reputação, entre outros exemplos.
- Um terceiro aspecto é a possibilidade de adquirir conhecimentos ou materiais externos para a gestão de crises. Esta última parte é frequentemente apressada e por isso mais dispendiosa. Devido à pressão da situação, as decisões são muitas vezes tomadas de imediato e os investimentos adicionais não são devidamente analisados. Os custos adicionais para além das condições normais de mercado devem ser tidos em conta. Um exemplo extremo pode ser encontrado no caso das máscaras faciais no início da pandemia da COVID-19, onde em alguns casos tiveram de ser compradas a um preço dezenas de vezes superior ao seu preço habitual de mercado.
Da descoberta à recuperação: os factores de custo de um incidente cibernético
O âmbito e a frequência dos ciberincidentes estão relativamente melhor documentados do que a maioria dos outros cenários de crise (muitas vezes devido aos seus requisitos legais de notificação). Analisaremos, portanto, os custos de um ciberataque. O Instituto Ponemon, no seu “Report on the Cost of a Data Breach 2021”, estima o custo médio total de um incidente cibernético em 4,62 milhões de dólares. No caso de uma “mega violação”, ou seja, uma grande violação de dados com mais de 50 milhões de registos de dados afectados, os custos aumentam num factor de aproximadamente 100 milhões a 401 milhões de dólares. Existem essencialmente quatro factores de custo:
Identificação e agravamento de problemas: no caso de um ciberataque, estes incluem actividades periciais e de investigação, serviços de avaliação e auditoria, gestão de crises e comunicação interna de crises.
=> Representa 33,1% dos custos.
Perda de negócios: Para o crime online, isto inclui a perda de interrupção de negócios e perda de receitas devido ao tempo de inactividade do sistema, bem como os custos de perda de clientes e aquisição de novos clientes, para não mencionar a perda de reputação ou a diminuição da boa vontade.
=> Este é o factor mais importante, representando 32,64% dos custos.
Comunicação de crise: notificar as partes envolvidas através de vários canais, trocar informações com a autoridade de supervisão ou mesmo contratar peritos externos gera custos.
=> Isto representa 7,13% dos custos.
Custos de recuperação: em incidentes de cibercrime, isto inclui a criação de um helpdesk, monitorização das contas ou identidades afectadas, emissão de novas contas ou cartões de crédito, custos legais, reembolso de produtos ou multas regulamentares.
=> Isto representa 27,13% dos custos.
PARTE 2: A esperança não é uma estratégia: como a gestão de crises compensa
“Não há glória na prevenção”.
Os gestores de crises sabiam disto muito antes de se tornar uma experiência mediática para virologistas e epidemiologistas na crise da COVID-19. A verdade é que os gestores de crises raramente recebem crédito pelo facto de pouco ou nada acontecer (em termos de crise). É simplesmente difícil compreender o que pode ser alcançado através da prevenção ou atenuação de uma crise. Pelo contrário, o paradoxo da prevenção pode mesmo resultar na subestimação do perigo no futuro devido a uma boa prevenção. Afinal de contas, (quase) nada aconteceu. No entanto, a boa prevenção poupa custos. Como, onde e quando se paga para prevenir é o tema desta parte.
Naturalmente, a maior economia de custos é conseguida quando não ocorre nenhuma crise. Contudo, a simples esperança de que a própria empresa não seja afectada é uma estratégia extremamente má. Os peritos estão de acordo e os números falam por si. Especialmente porque a probabilidade de uma crise aumenta a cada ano que passa. O risco de ser vítima de um ataque de extorsão (ataque de resgate) aumentou 47% no segundo trimestre de 2021, de acordo com a Digital Shadows, uma empresa especializada em inteligência de ameaças. De acordo com o FBI, segue 100 redes de extorsão perigosas. A percentagem de empresas afectadas por um ciberataque pelo menos uma vez foi de 61% em 2021, de acordo com o Relatório de Ciber-Resiliência do Business Continuity Institute (BCI). Há também um risco crescente de as empresas serem surpreendidas por crises imprevistas no futuro e terem de lidar com múltiplos acontecimentos ao mesmo tempo. Como Gerhard Saumwald, um renomado especialista austríaco em crises, disse com razão: “O cenário de crise mais importante é aquele que não está previsto”.
Em muitas empresas, ainda prevalece o que chamo “pensamento de apólice de seguro”. Apenas se preparam para riscos prováveis e evitam os custos de segurar contra riscos improváveis. No entanto, o completamente inesperado é o que acontece mais frequentemente no futuro.
Crises exemplares em várias indústrias e o seu impacto financeiro
Gestão do risco: preparação adequada em quatro áreas-chave
Os pontos de partida para reduzir os custos de uma crise residem essencialmente em quatro áreas:
Detecção e prevenção precoces: as medidas de prevenção começam com a monitorização e a detecção. Quer se trate de monitorizar factores de risco em mudança, analisar o impacto, manter o software actualizado ou criar uma equipa permanente de gestão de crises, as medidas de prevenção podem ser muito diversas e abrangentes, dependendo da empresa. O que é importante não é parar na identificação de oportunidades de prevenção, mas sim monitorizá-las regularmente e acompanhar as possíveis mudanças. Igualmente importante é actualizar as estratégias de Gestão da Continuidade de Negócios (BCM) em conformidade com estas mudanças, de modo que a empresa esteja preparada mesmo para cenários de crise ou emergências improváveis.
- Para os ciberincidentes, os 10 principais factores de redução de custos incluem: planeamento da continuidade do negócio, envolvimento da gestão, formação do pessoal e criação de equipas de gestão de incidentes e crises.
Compreensão dos processos estabelecidos e do “manual” de gestão de crises: Quando souber o que fazer em caso de crise, quem é responsável por tomar medidas e como contactá-los, terá melhor controlo sobre dois factores de custo significativos de uma crise: tempo e reputação. Poupar tempo é uma vantagem tripla: no início, especialmente durante o alerta do pessoal e a mobilização das equipas, durante uma crise e também no seguimento, por exemplo, na preparação de relatórios às autoridades.
- O valor da reputação é frequentemente subestimado no contexto de uma crise. Normalmente não é a crise em si que mina a confiança dos clientes, parceiros comerciais e autoridades, mas sim a má gestão da situação. O público vem questionar as operações comerciais, perguntando se outras áreas da empresa são tão mal geridas como a gestão de crises.
Boa formação: As pessoas que desenvolvem possíveis cenários de crise em condições realistas, estabelecem estruturas e canais de comunicação, dispõem das ferramentas e materiais necessários e sabem como utilizá-los, são mais eficazes e poupam tempo precioso.
- Ao lidar com uma violação de dados, as empresas com manuais de resposta a incidentes comprovados e uma equipa de resposta a incidentes (IRT) bem treinada custam aproximadamente 50% menos do que as empresas sem uma equipa treinada.
Agir rapidamente: a velocidade é fundamental em qualquer cenário de crise. Quanto mais depressa se puder reagir e limitar ou pôr fim à crise, mais baixos serão os custos. Quanto mais curto for o ciclo de vida da crise (o tempo necessário para que um ataque seja detectado e totalmente resolvido), mais baixos serão os custos. Por sua vez, o pré-requisito básico para uma acção rápida é uma comunicação rápida e direccionada e uma cooperação estreita entre o local afectado e outros departamentos. Em particular, as soluções profissionais SaaS apoiam isto, tal como o Relatório de Comunicações de Emergência 2021 do BCI confirma mais uma vez. Cinquenta e dois por cento das empresas que utilizam estas soluções conseguem activar os seus planos de emergência em cinco minutos. Para as empresas que trabalham sem ferramentas, o número é de apenas 21%. Ao mesmo tempo, os sistemas permitem uma colaboração mais eficaz com ferramentas de colaboração virtual entre o sítio afectado e outros departamentos.
- Segundo os cálculos do Instituto Ponemon, os custos dos ataques de dados aumentam em média cerca de 29,7% se o ciclo de vida da crise durar mais de 200 dias.
PARTE 3: A forma inteligente de agir: investir para poupar
As soluções profissionais de gestão de incidentes e crises abordam todos os factores discutidos na Parte 2: prevenção, processos, formação e rapidez. Por conseguinte, criam as melhores condições para que as crises, mesmo quando ocorrem, causem o mínimo de danos. Isto porque encurtam os ciclos de vida das crises, reduzem o nível de danos e a intensidade de uma situação de crise, permitem que os incidentes sejam tratados de forma profissional, e reforçam a reputação e a fidelidade dos clientes através de uma comunicação rápida e eficaz.
Mas será que vale a pena investir na gestão de crises? Claro que não é fácil fazer aqui um cálculo preciso do ROI (retorno do investimento), porque as crises são, por definição, dinâmicas, complexas e dependentes de numerosos factores. Os custos também o são. No entanto, se tomarmos como base os dados do estudo Ponemon, que analisa os custos das violações de dados “normais”, podemos olhar mais de perto para o impacto financeiro positivo que a gestão de incidentes e crises pode ter.
No relatório “Custo de uma violação de dados 2022”, o Instituto Ponemon calculou que uma única violação de dados, ou seja, um típico incidente cibernético que pode ocorrer a qualquer momento e não precisa necessariamente de ser uma crise real, custa às grandes empresas uma média de 4,35 milhões de dólares. E a tendência está a aumentar. As mega violações de dados, ou seja, crises de dados “reais” com mais de 50 milhões de registos de dados comprometidos, custaram uma média de 401 milhões de dólares. Isto é quase 100 vezes o custo de pequenas quebras de dados com menos de 100.000 registos afectados.
Retorno do investimento: em que momento é que o investimento na gestão profissional de crises compensa?
A figura de interesse no estudo para a nossa pergunta: para as empresas que tinham uma resposta profissional a incidentes, os custos por incidente foram reduzidos em média em 50 %.
*** Cenário estimado com mesmo metade da percentagem de poupança mostra mais de 1 milhão de dólares de poupança)
Uma vez convertidos, isto significa que a resposta profissional a incidentes em 2022 poupou às empresas uma média de 2,66 milhões de dólares no tratamento de pequenos e médios incidentes de dados. Mesmo se, para efeitos de comparação, assumirmos que a resposta ao incidente tem apenas metade do efeito (uma poupança de custos de 25% em vez dos cerca de 50% calculados no estudo), esta é uma poupança mínima de 1 milhão de dólares para empresas bem preparadas de todas as dimensões, por incidente! Portanto, podemos concluir com segurança o seguinte: uma boa preparação compensa mesmo nos incidentes mais pequenos, sob a forma de poupanças monetárias significativas. No caso de uma grande crise de dados, que custa em média 401 milhões de dólares (quase 100 vezes esse montante), o efeito de uma boa gestão de crises pode ascender a várias centenas de milhões de dólares em economias potenciais.
Isto deve-se, por um lado, a um ambiente cada vez mais complexo e, por outro, ao facto de crises sistémicas, tais como uma pandemia, ataques a infra-estruturas críticas ou a ruptura de cadeias globais de abastecimento, durarem mais tempo e poderem ter efeitos dominó de longo alcance. Os efeitos do encerramento do porto comercial chinês de Yantian no início da crise da COVID-19 ou do bloqueio de semanas do Canal de Suez devido à posição transversal do Ever Given ainda se fizeram sentir meses mais tarde.
Por conseguinte, pode-se assumir que o retorno do investimento de uma boa gestão de crises com um sistema profissional e uma equipa bem treinada é alcançado mais rapidamente. Especialmente no caso de crises múltiplas. Neste caso, as empresas podem poupar milhões em todo o tipo de emergências, em crises prováveis e improváveis, sejam incêndios, catástrofes naturais, interrupção de negócios ou ciberataques. Mas talvez o maior ganho não possa ser expresso em números: a sensação reconfortante de poder agir em qualquer situação de uma forma rápida, inteligente e focalizada no cliente.
Descubra como as nossas soluções apoiam a sua resposta a crises: crie procedimentos eficazes de resposta a incidentes com a ajuda de soluções de software F24. O sistema de alerta F24 fornece dados em tempo real para que se possa monitorizar o processo de resposta ao incidente e agir em conformidade. Descubra mais sobre como podemos apoiar o seu planeamento de resposta a incidentes.
por Markus Epner, Director de la Academia de F24 AG
Artigo patrocinado produzido por F24.
