Commvault ha introducido un nuevo enfoque en ciberresiliencia que promueve un cambio de mentalidad: no se trata solo de recuperar la totalidad de las operaciones tras un ataque, sino de identificar lo esencial para garantizar la continuidad del negocio. Este concepto, denominado "Minimum Viable Company" (MVC) o "Empresa Mínimamente Viable", fue presentado por Darren Thomson, director de ciberresiliencia de Commvault, en el pódcast STRIVE.
La estrategia tradicional de recuperación asume que los datos permanecen íntegros y se centra en restaurar completamente la infraestructura después de un incidente. Sin embargo, los ciberataques modernos, especialmente el ransomware avanzado, pueden paralizar una empresa durante un tiempo inusualmente prolongado. En este contexto, la MVC defiende priorizar las funciones críticas que permiten mantener la operatividad, incluso con sistemas parcialmente comprometidos.
Definir una MVC requiere identificar tres pilares clave:
-
Funciones de negocio críticas: Es crucial determinar qué procesos son indispensables para la operación. Por ejemplo, el punto de venta para un minorista o la gestión de pagos para un banco.
-
Entorno IT mínimo y funcional: No todos los sistemas deben restaurarse de inmediato. La estrategia debe enfocarse en recuperar servicios críticos utilizando métodos como backups en la nube o zonas de recuperación seguras.
- Personas y procesos: Es fundamental configurar equipos capaces de operar en escenarios reducidos, establecer planes de comunicación claros y definir acciones manuales si los sistemas permanecen inactivos.
Diseñar una MVC no es un ejercicio puntual, sino un proceso continuo. Implica realizar análisis de impacto, simulaciones de situaciones de crisis, mantener actualizados los playbooks y realizar pruebas exhaustivas en entornos simulados o reales.
El concepto de MVC se posiciona como una solución pragmática frente a los ciberincidentes. En lugar de enfocarse en una restauración completa e inmediata, se trata de asegurar que el negocio continúe operando con lo mínimo necesario. Este enfoque no solo protege contra pérdidas económicas y daños reputacionales, sino que también puede ser la diferencia entre la supervivencia y el colapso tras un ataque.
Thomson plantea una reflexión crucial: ¿están las empresas realmente preparadas para funcionar bajo estos mínimos en caso de un ataque cibernético? La respuesta a esta pregunta determinará su capacidad de resiliencia frente a un panorama de amenazas cada vez más complejo y constante.
