Commvault plantea un nuevo paradigma en ciberresiliencia: no se trata solo de recuperarse, sino de saber exactamente con qué mínimo operativo puede sobrevivir tu organización tras una crisis.
En el mundo actual, donde los ciberataques son cuestión de cuándo y no de si ocurrirán, la estrategia de recuperación ante desastres debe evolucionar. Esa es la premisa que guía el concepto emergente de Minimum Viable Company (MVC), o Empresa Mínimamente Viable, tal como ha sido introducido por Darren Thomson, director de ciberresiliencia en Commvault, durante el último episodio del pódcast STRIVE.
Frente a las estrategias tradicionales centradas en restaurar por completo la infraestructura tecnológica tras un incidente, la MVC propone una visión más realista y urgente: ¿Cuál es el mínimo conjunto de funciones, procesos, datos y personas que necesitas para que tu negocio no se detenga?
De la recuperación total a la continuidad esencial
La mayoría de planes de recuperación siguen anclados en el modelo de desastre físico: se asume que los datos son íntegros y que la restauración es cuestión de tiempo. Pero los ataques modernos, como el ransomware avanzado, pueden comprometer por completo redes, servidores, backups y entornos de trabajo, provocando parálisis operativa prolongada.
Ahí es donde entra la MVC. Este modelo propone priorizar lo esencial, activando lo mínimo imprescindible para seguir operando, incluso con sistemas parcialmente dañados.
Tres pilares clave para definir una MVC
1. Funciones de negocio críticas:
Cada organización debe identificar los procesos sin los cuales no puede operar. En retail, puede ser el punto de venta; en salud, los historiales clínicos; en banca, la gestión de pagos. La MVC obliga a separar lo urgente de lo importante.
2. Entorno IT mínimo pero funcional:
No todo sistema debe restaurarse al instante. La clave está en recuperar servicios críticos en un entorno limpio y seguro, usando herramientas como backups en la nube, zonas de recuperación aisladas o salas limpias (cleanrooms).
3. Personas y procesos:
Tan importante como la tecnología es el equipo humano. Hay que identificar quiénes pueden operar en un escenario reducido, qué accesos necesitan y qué planes de comunicación o alternativas manuales pueden implementar si los sistemas siguen caídos.
MVC: un proceso continuo, no una solución estática
Diseñar una MVC no es un ejercicio de una sola vez. Requiere:
- Análisis de impacto al negocio para determinar qué activos son realmente críticos.
- Ejercicios de simulación (tabletop) que preparen a los equipos ante incidentes reales.
- Playbooks documentados, con instrucciones claras, accesibles incluso bajo presión.
- Pruebas exhaustivas, no en papel, sino en entornos reales o simulados.
El mensaje es claro: el verdadero objetivo de la ciberresiliencia no es volver al 100% de forma inmediata, sino mantener el negocio operativo con lo justo mientras se reconstruye lo demás.
Más allá del backup: una nueva forma de pensar la continuidad
Commvault defiende que el concepto de MVC puede ser decisivo para que una empresa sobreviva ante un ataque severo. Porque cada hora de inactividad supone pérdidas económicas, daños reputacionales y potenciales sanciones legales.
Thomson lo resume con contundencia: “La MVC podría ser la diferencia entre la supervivencia y el colapso de tu empresa tras un ataque cibernético”.
¿Está tu empresa preparada para operar bajo mínimos si mañana sufre un ataque? ¿Saben tus equipos cuáles son las prioridades? ¿Qué sistemas recuperar primero? ¿Quién debe actuar?
Conclusión
El concepto de Minimum Viable Company redefine la preparación ante ciberincidentes. No basta con tener backups o protocolos generales. Las empresas deben saber con exactitud qué necesitan recuperar primero, quién debe hacerlo y cómo mantener la actividad, aunque sea limitada, hasta una recuperación total.
En un mundo de ciberamenazas constantes, anticiparse no es una opción, es una necesidad. La MVC es una hoja de ruta práctica y accionable para lograrlo.
