Una firma fabricante de pintura queda en rojo cuando no planifica la interrupción de las actividades comerciales relacionadas con la cibernética.

POR DAN REYNOLDS

latas de pintura, brochas y muestras

Parte uno: un ataque cibernético

PrismTech es una empresa de fabricación y mezcla de pinturas con presencia nacional. Presta servicios a múltiples industrias, incluida la producción de pinturas para fabricantes de motocicletas y tiendas minoristas de mejoras para el hogar. Pero una parte cada vez más importante de su negocio son las mezclas por encargo para otras marcas.

Por ejemplo, su línea de productos más importante incluye la mezcla por encargo de pinturas para interiores de viviendas para la marca de estilo de vida de una famosa modelo con influencia en el estilo de vida, Anabella Cucinota, con la marca At Home With Anabella

La pintura de látex no se vende en el corazón del país y se distribuye en West Palm Beach, los Hamptons, Montecito y otros códigos postales exclusivos por un enorme valor de $80 por galón en tiendas minoristas. Todos aman a Anabella y ella ocupa un lugar especial en los corazones colectivos de PrismTech.

PrismTech no es el fabricante de pintura más grande del mundo. Las ventas anuales ascienden aproximadamente a los $500 millones en cinco instalaciones de fabricación ubicadas en todo el país. Pero sus propietarios disfrutan de una sólida reputación y una base de clientes leales, que se ha ido cultivando en los últimos 50 años.

Es un miércoles aparentemente común y corriente en su oficina de Akron, Ohio, cuando Eric Owens, director financiero de la compañía, recibe una llamada que nadie quiere recibir. Al teléfono está Shana Merit, la jefa de operaciones de la compañía.

“Hoy no hay amor por Anabella en Shreveport”, dice Merit.

“¿Cómo puede ser?”, pregunta Owens, preparándose para el siguiente arrebato de la típica Shana desafiante.

“Porque acabamos de sufrir un ataque de ransomware”, le dice Merit. Le comenta que el ataque cerró la línea de mezcla de Shreveport, la que produce la mezcla de la pintura para interiores de Anabella.

“¿Cuándo te enteraste de esto?”, pregunta Owens.

“¿Qué quieres decir con ‘¿Cuándo me enteré de esto?’?”, argumenta Merit. “Me enteré hace cinco minutos, ¿estás insinuando que no hago bien mi trabajo?”

“Para nada. Solo quiero asegurarme de tener todos los datos antes de informar a nuestro corredor”, explica Owens.

“Bueno, puedes decirle a nuestro corredor que los atacantes quieren que se envíen $10 millones en Bitcoin a una cuenta en Honduras si queremos recuperar nuestra línea de fabricación en Shreveport a corto plazo”, continúa Merit.

“Eso si decidimos pagarlo”, responde Owens.

“¿De qué estás hablando? por supuesto que tenemos que pagarlo”, dice Merit, preparándonos para una pelea.

“Aguarda un momento, Shana, me comunicaré contigo”, dice Owens, tratando de abandonar el teléfono lo más rápido posible.

Tan pronto como corta la comunicación con Merit, la mente de Owens comienza a dar vueltas. Uno de los lugares más tranquilos que encuentra es el recuerdo de que la compañía tiene una póliza de seguro cibernético de $20 millones.

“Con suerte, nos ayudará”, piensa.

“¿Cuántos lugares fueron atacados?”, pregunta el corredor a Owens cuando él le llama.

“Solo Shreveport”, responde Owens.

“¿No es esa tu...?”, comienza a decir el corredor, haciendo referencia a lo importante que es esa fábrica.

“Sí, es esa”, dice Owens.

El corredor dice que informará a la aseguradora y llamará a Owens lo antes posible para que puedan analizar si pagarán o no el rescate.

Parte dos: poner a prueba los límites

Han pasado 24 horas desde que Owens recibió la llamada sobre el ransomware de Shana Merit. El rescate se pagó a los atacantes, pero los problemas de PrismTech están lejos de terminar.

Para comenzar, la línea de mezcla en Shreveport aún no está funcionando. No es que la línea esté completamente destruida. Los atacantes cibernéticos ya no tiene el control, pero un componente clave se dañó cuando el ataque congeló la línea. 

Otro problema, desde el punto de vista de los ingresos y la rentabilidad, es que la línea Shreveport, que hace la mezcla especial de Anabella, fue, por mucho, la operación más rentable del sistema. De los $500 millones en ingresos anuales de la compañía, $200 millones se generaron en esa fábrica. 

Las otras cuatro ubicaciones de la compañía se mantuvieron ocupadas en la actividad mucho menos rentable de suministrar pintura para fabricantes de motocicletas y minoristas de renovaciones domésticas, los cuales son bastante tacaños con sus proveedores.

Han pasado tres días y Shana Merit está furiosa. En una reunión con ella, Owens y otros responsables de la compañía, y con Shreveport esperando un repuesto (demorado, naturalmente, por problemas imprevistos en la cadena de suministro), se propone la idea de intentar reacondicionar la planta de Murfreesboro, Tennessee, para producir la línea de Annabella.

“Podríamos hacerlo, pero necesitaríamos como mínimo 10 días hábiles”, dice Shana.

“Eso equivale a $8 millones o más”, Owens se dice a sí mismo mientras considera las consecuencias de la interrupción de las actividades comerciales debido a lo que está sucediendo.

Con el correr de las horas y con los inversores de capital privado de At Home With Anabella que están comenzando a impacientarse, a los ejecutivos de PrismTech no les queda más opción que intentar transformar las actividades de Murfreesboro para producir la mezcla de Anabella.

Cuando se le informa el pivote que PrismTech está intentando hacer, el corredor de Owens sacude la cabeza y murmura, “Adiós torre cibernética”.

Parte tres: pérdidas millonarias

Ya pasaron 15 días desde que se detuvo la línea de mezcla en la instalación de Shreveport de PrismTech. El reacondicionamiento de Murfreesboro aún no está terminado ni la planta está en funcionamiento. Las pérdidas por haber interrumpido las actividades comerciales de PrismTech ahora ascienden a los $10 millones. La torre de seguro cibernético de la compañía no está hecha de pan tostado, sino de carbono puro.

Ahora la compañía va a comenzar a producir un color rojo que no está en la paleta que ofrece At Home With Anabella. El estómago de Eric Owens está comenzando a sentir que ha tragado vidrio triturado.

En un plazo de 15 días, las finanzas de la compañía han pasado de ser estables y en crecimiento, a generar pérdidas que podrían eclipsar del 5 % al 10 % de los ingresos anuales de la compañía en cuestión de semanas.

Para empeorar las cosas, el vicepresidente de ventas le dice a Owens que se lo ha invitado a una reunión con algunos inversores de capital privado en Manhattan que no están nada contentos.

“Bueno, no puedo decir mucho acerca de la prevención de riesgos de tu cadena de suministro”, dice el vicepresidente del grupo de capital privado, quien se formó en Wharton y simplemente sabe de qué habla.

“Este fue un gran error”, dice otro ejecutivo de la misma firma. “Y esta idea de intentar reacondicionar otra planta y compensar cualquier tipo de avance a esta altura me resulta un tanto graciosa, para ser honesto”, dice.

“Dame tres razones por las que deberíamos seguir haciendo negocios contigo”, dice ese ejecutivo.

Owens intenta verbalizar algunas, pero su esfuerzo no alcanza.

Ay.

“¿Cómo pueden las cosas salir tan mal tan rápidamente?”, Owens se dice a sí mismo cuando regresa a su oficina en Akron.

Su lista de tareas ahora es tan larga y difícil que casi no puede enfrentarla.

Incluye lo siguiente:

Llamar al banco y solicitar diferentes términos para la arquitectura de deudas completa de la compañía.

Trabajar el doble con Recursos Humanos para modernizar las políticas de higiene cibernética de la compañía y evitar que este tipo de cosas vuelvan a suceder.

Encontrar un reemplazo para Shana Merit, formada en Carnegie Mellon, que acaba de presentar su renuncia.

Programar una reunión, a través de su corredor de seguros, con aseguradoras cibernéticas que van a pedir primas mucho más altas que su aseguradora actual, la cual se negó a ofrecer la renovación de una torre cibernética.

Lecciones aprendidas

Un ataque de ransomware puede enseñar algunas lecciones costosas a organizaciones que no están debidamente preparadas o aseguradas. Si PrismTech hubiera tenido un programa de prevención de riesgos de la cadena de suministro más sólido y un plan de continuidad comercial, es probable que la instalación de Shreveport hubiera vuelto a estar en línea antes y no hubiera causado que la compañía perdiera ingresos y credibilidad.

Los expertos en prevención de riesgos de Nationwide recomiendan tomar las siguientes medidas proactivas para que no encuentres tu organización en la misma situación precaria.

  • Trabaja con tu corredor para implementar un plan de respuesta a incidentes completo y analizar una variedad de situaciones para asegurarte de que todos estén de acuerdo en términos de expectativas y acciones.
  • Repasa este plan en intervalos regulares a lo largo del año, agregando nuevas situaciones a medida que los riesgos evolucionan.
  • Usa herramientas previas a la vulnerabilidad para ajustar los controles en torno a las vulnerabilidades de tu sistema.
  • Prueba los activos críticos para determinar el tiempo de inactividad y el impacto relacionado con diferentes tipos de ataques cibernéticos.
  • Implementa un plan de continuidad comercial para estar preparado para cambiar la capacidad de una fábrica a otra en caso de una interrupción en tus sistemas. La planificación adecuada es especialmente importante para una instalación como Shreveport, que es fundamental para la capacidad de una empresa de cumplir sus promesas a sus clientes.

Ninguna empresa es inmune al riesgo de ataques cibernéticos. Al asociarte con expertos de la industria como Nationwide, puedes asegurarte de que tu empresa tenga un plan integral de prevención de riesgos a fin de estar protegida sin importar lo que suceda.
Descargo de responsabilidad: Risk & Insurance® se asoció con Nationwide para producir este marco hipotético. Las situaciones que se presentan en este marco son ficticias. Cualquier similitud con toda corporación o persona, viva o muerta, es meramente una coincidencia. Esta perspectiva no es una opinión editorial de Risk & Insurance.