Índice de temas
Qué es la viabilidad mínima de una empresa (MVC)
Utilizado originalmente como término de consultoría, el concepto de viabilidad mínima de empresa (MVC por sus siglas en inglés) está ganando cada vez más reconocimiento en el ámbito de la ciberseguridad, y las empresas están elaborando estrategias diseñadas para proteger sus operaciones principales con el fin de mantener los servicios esenciales cuando se enfrentan a ciberataques. Con estudios que revelan que se producen 4.000 nuevos ciberataques cada día y que una empresa es atacada por ransomware cada 14 segundos en algún lugar del mundo, la magnitud de este problema es inmensa.
Como dice KPMG, la MVC es la «versión más pequeña posible de una organización que aún puede funcionar y atender a los clientes en caso de que un incidente paralice parte(s) de las operaciones y los sistemas». Como tal, «ofrece la posibilidad de mantener la continuidad del negocio y ayudar a minimizar la interrupción del negocio».
Cómo implementar la MVC
En teoría, eso tiene sentido, pero la gran pregunta aquí es, por supuesto, ¿cómo puede una organización definir e implementar el concepto de MVC para maximizar la resiliencia?
El primer paso es identificar los sistemas que deben estar seguros y operativos en todo momento. Esto siempre incluirá aplicaciones, activos, procesos y personas críticos, que, en conjunto, pueden garantizar que el negocio pueda seguir funcionando hasta que se restablezcan por completo las operaciones normales.
Las empresas necesitan confiar en que su información más valiosa permanece intacta, recuperable y protegida contra la corrupción o los ataques de ransomware
DAVID SANZ, COMMVAULT
Más específicamente, y como elemento central de cualquier estrategia MVC, es necesario mantener la infraestructura básica de tecnologías de la información, como garantizar el acceso seguro a los servicios de autenticación y gestión de identidades. En paralelo, las plataformas de comunicación esenciales, como el correo electrónico, la mensajería y las herramientas de colaboración (Microsoft 365, Google Workspace, etc.), deben seguir funcionando para apoyar a los equipos internos y a las partes interesadas externas. El objetivo en este caso debe ser siempre restablecer la disponibilidad lo antes posible en caso de que estos sistemas se vean afectados por una brecha de seguridad.
Integridad de los datos
Igual de importante es la integridad y disponibilidad de los datos. Las empresas necesitan confiar en que su información más valiosa permanece intacta, recuperable y protegida contra la corrupción o los ataques de ransomware. Lo mismo ocurre con las aplicaciones empresariales esenciales, y desde los sistemas financieros hasta las plataformas de cara al cliente y los flujos de trabajo operativos, estos activos deben protegerse para que las funciones empresariales sigan trabajando.
No debemos olvidar que este tipo de resiliencia depende tanto de las personas como de la tecnología. En este contexto, definir claramente las funciones y responsabilidades del personal clave en la jerarquía MVC puede desempeñar un papel muy importante a la hora de determinar en qué medida una organización puede cumplir sus objetivos de recuperación.
Si no te preparas…
Está claro que la planificación anticipada es fundamental para la eficacia de la MVC, pero no se trata solo de apuntalar las tecnologías clave y tener un manual listo, por muy importantes que sean estas cosas. La MVC también depende de la implementación y el apoyo de una cultura en la que las organizaciones se vuelvan más ciberresilientes a un nivel fundamental.
No cabe duda, por ejemplo, de que las organizaciones que incorporan la formación en concienciación en sus procesos de mejora continua están en una posición mucho mejor para evitar las brechas de seguridad que las que no lo hacen. Este espíritu también debería extenderse a la planificación de escenarios y a los simulacros de recuperación cibernética que ponen a prueba los procesos e identifican cualquier deficiencia. En caso de que se produzca una crisis de seguridad, las empresas que tengan al menos una idea de qué esperar, cuáles deberían ser sus prioridades inmediatas y cómo funcionarán los procesos de toma de decisiones, deberían estar en condiciones de recuperarse a un estado mínimo viable sin grandes retrasos.
Cómo poner en marcha una estrategia MVC
Si se analiza más de cerca cómo una estrategia MVC impulsa la inversión en tecnología, hay algunas prioridades básicas que casi todas las organizaciones tendrán que abordar. Esto incluye el establecimiento de sólidas prácticas recomendadas que vayan más allá de las estrategias tradicionales de copia de seguridad, incluido el uso de copias inmutables y aisladas de los datos críticos. Algo que no solo es esencial para prevenir los problemas específicos asociados con el cifrado de ransomware, sino también para garantizar que siempre haya puntos de recuperación limpios disponibles. La validación periódica de estos puntos de recuperación ayuda a garantizar la integridad de los datos, minimizando el riesgo de restaurar archivos comprometidos.
Las soluciones avanzadas de backup y recuperación ante desastres también desempeñan un papel clave en el mantenimiento de la integridad operativa. En este sentido, las tecnologías basadas en la inteligencia artificial desempeñan un papel cada vez más importante, ya que contribuyen a mejorar la seguridad mediante la detección proactiva y la respuesta a los ciberincidentes emergentes. Además, las pruebas automatizadas de recuperación ante ciberataques garantizan que los procesos de restauración sigan siendo eficaces y que las tecnologías clave funcionen según lo previsto, incluso bajo la presión causada por un fallo de seguridad.
Aunque el funcionamiento en modo MVC dista mucho de ser ideal, ofrece enormes ventajas frente a los niveles de inactividad y perturbación que se observan cuando las organizaciones no están bien preparadas. Con tiempos de recuperación típicos que van desde unos pocos días hasta varios meses, acompañados de un riesgo empresarial existencial, operar a un nivel mínimo viable puede parecer muy atractivo en comparación con la alternativa de un fallo operativo completo.
En última instancia, las empresas que adoptan los principios de la MVC no solo mitigan el tiempo de inactividad, sino que también protegen su reputación y viabilidad a largo plazo.
