Originariamente utilizzato come termine di consulenza, il concetto di Minimum Viable Company (MVC) sta diventando sempre più noto nel settore della cybersecurity, con la creazione da parte delle aziende di strategie volte a proteggere le operazioni principali al fine di mantenere i servizi essenziali in caso di attacchi.
Se consideriamo che svariate ricerche confermano che si verificano 4.000 nuovi attacchi ogni giorno e che un’azienda viene colpita da un ransomware in una parte del mondo ogni 14 secondi, la portata del problema è immensa.
Come afferma KPMG, un MVC è la “versione più piccola possibile di un’organizzazione ancora in grado di funzionare e servire i clienti se un incidente dovesse mettere fuori uso una parte delle operazioni e dei sistemi”. In quanto tale, “offre la possibilità di mantenere la continuità operativa e contribuire a ridurre al minimo le interruzioni dell’attività.”
In teoria tutto questo ha senso, ma la domanda principale è: come può un’azienda definire e implementare il concetto di MVC per massimizzare la propria resilienza?
Indice degli argomenti
Come definire il concetto di MVC
Il primo passo è identificare i sistemi che devono essere sicuri e operativi in ogni momento. Si tratta sempre di applicazioni, asset, processi e persone critiche, che nel complesso possono garantire che l’azienda continui a funzionare fino al ripristino delle normali attività.
Più specificamente, il fulcro di qualsiasi strategia MVC è il mantenimento dell’infrastruttura IT di base, garantendo ad esempio l’accesso sicuro ai servizi di autenticazione e gestione delle identità. Inoltre, le piattaforme di comunicazione essenziali, come la posta elettronica, la messaggistica e gli strumenti di collaborazione (Microsoft 365, Google Workspace, ecc.), devono rimanere operativi per supportare i team interni e gli stakeholder esterni.
L’obiettivo deve essere sempre quello di ripristinare la disponibilità il prima possibile nel caso in cui vengano colpiti da una violazione della sicurezza.
Altrettanto importanti sono l’integrità e la disponibilità dei dati. Le aziende devono avere la certezza che le loro informazioni più preziose rimangano intatte, recuperabili e protette da corruzione o attacchi ransomware. Lo stesso vale per le applicazioni enterprise essenziali: dai sistemi finanziari alle piattaforme rivolte ai clienti e ai flussi di lavoro, questi asset devono essere protetti in modo che le funzioni di business continuino a operare.
È opportuno non dimenticare che questo tipo di resilienza si basa tanto sulle persone quanto sulla tecnologia. In questo contesto, definire chiaramente i ruoli e le responsabilità del personale chiave nella gerarchia MVC può essere fondamentale nel determinare la capacità di un’organizzazione di raggiungere i propri obiettivi di ripristino.
È chiaro che la pianificazione preventiva è fondamentale per l’efficacia dell’MVC, ma non si tratta solo di rafforzare le tecnologie chiave e di disporre di un playbook pronto, per quanto questi elementi siano importanti. L’MVC dipende anche dall’implementazione e dal sostegno di una cultura che renda le organizzazioni più resilienti dal punto di vista informatico.
Non c’è dubbio, ad esempio, che le imprese che prevedono la formazione sulla consapevolezza nei loro processi di miglioramento continuo siano in grado di evitare le violazioni più di quelle che non lo fanno.
Questa etica dovrebbe estendersi anche alla pianificazione degli scenari e alle esercitazioni di ripristino che mettono alla prova i processi e identificano le eventuali carenze. Se dovesse verificarsi una situazione di crisi di sicurezza, le aziende che hanno almeno un’idea di cosa aspettarsi, di quali siano le priorità immediate e di come funzioneranno i processi decisionali, dovrebbero essere in grado di ripristinare uno stato minimo vitale senza gravi ritardi.
Le priorità fondamentali
Guardando più da vicino a come una strategia MVC guidi gli investimenti tecnologici, ci sono alcune priorità fondamentali che quasi tutte le organizzazioni dovranno affrontare. Tra queste, la definizione di solide best practice che vadano oltre le tradizionali strategie di backup, tra cui l’utilizzo di copie immutabili e air-gapped dei dati critici. Ciò è essenziale non solo per prevenire i problemi specifici associati alla crittografia ransomware, ma anche per garantire che siano sempre disponibili punti di ripristino puliti. La convalida regolare di questi punti aiuta a garantire l’integrità dei dati, riducendo al minimo il rischio di ripristino dei file compromessi.
Anche le soluzioni avanzate di backup e disaster recovery svolgono un ruolo fondamentale nel mantenimento dell’integrità operativa. In questo ambito, le tecnologie basate su intelligenza artificiale svolgono un ruolo sempre più importante e contribuiscono a migliorare la sicurezza, rilevando e rispondendo in modo proattivo agli incidenti cyber emergenti. Inoltre, i test automatizzati di ripristino assicurano che i processi rimangano efficaci e che le tecnologie chiave operino come richiesto, anche sotto la pressione causata da una violazione.
Sebbene l’esecuzione in modalità MVC sia tutt’altro che ideale, offre enormi vantaggi rispetto ai livelli di inattività e interruzione che si registrano quando le aziende non sono ben preparate. Con tempi di ripristino tipici che vanno da pochi giorni a diversi mesi, accompagnati da rischi aziendali esistenziali, operare a un livello minimo vitale può sembrare molto interessante rispetto all’alternativa di un completo fallimento operativo. In definitiva, le aziende che adottano i principi MVC non solo riducono i tempi di inattività, ma proteggono la loro reputazione e redditività a lungo termine.
