¿Qué son las aplicaciones de misión crítica?

La característica principal de una aplicación de misión crítica es el papel central que desempeña para permitir el funcionamiento de una empresa. Las aplicaciones de misión crítica suelen ser importantes para la continuidad del negocio (la capacidad de una organización para funcionar durante y después de una crisis) y la recuperación ante desastres (un conjunto de tecnologías y procesos diseñados para restaurar funciones esenciales después de un evento inesperado). Cuando las aplicaciones de misión crítica fallan o experimentan tiempo de inactividad, pueden amenazar las operaciones principales, la reputación y las fuentes de ingresos de una empresa. 

Las aplicaciones de misión crítica varían de un sector a otro y, a menudo, una aplicación de misión crítica en un sector no se designará como de misión crítica en otro. Por ejemplo, una empresa cuya actividad principal sea la respuesta a emergencias consideraría de misión crítica una red de comunicaciones que permita hablar a los conductores de ambulancias y a los operadores. Sin embargo, otra empresa de otro sector podría tener una red de comunicaciones que permitiera comunicarse a los conductores de sus vehículos de reparto, pero no lo consideraría necesariamente un servicio de misión crítica.

Al designar las aplicaciones o cargas de trabajo como “de misión crítica”, los equipos de infraestructura de TI pueden ayudar a garantizar que se dediquen los recursos adecuados a sus funciones. Para las aplicaciones menos importantes, los equipos de TI utilizarán a menudo otra etiqueta, como “crítico para el negocio” o “de baja prioridad”. Las aplicaciones de baja prioridad rara vez se incluyen en los planes de continuidad del negocio (BCP) o en los planes de recuperación ante desastres (DRP), pero las aplicaciones críticas para el negocio sí. 

Una interrupción o un tiempo de inactividad prolongados de una aplicación crítica para el negocio tienen que suponer una amenaza de pérdidas financieras graves para una empresa o, de lo contrario, los equipos de TI deben considerar la posibilidad de designarla como aplicación de baja prioridad, o no crítica. Las aplicaciones de baja prioridad pueden rendir por debajo de los niveles máximos o soportar largos periodos de inactividad sin dañar las operaciones empresariales ni causar pérdidas financieras.

Una vez que los equipos de TI han identificado con éxito todas sus aplicaciones de baja prioridad, están preparados para separar las críticas para el negocio de las de misión crítica. Para determinar si una aplicación debe considerarse de misión crítica o crítica para el negocio, puede aplicarse un sencillo conjunto de criterios:

• Las aplicaciones críticas para el negocio desempeñan un papel importante en las operaciones diarias de una organización, pero su fallo no impedirá que la empresa funcione. 
• Las interrupciones o el tiempo de inactividad de las aplicaciones críticas para el negocio afectan a la productividad, pero no tan gravemente como los fallos de las aplicaciones de misión crítica. 
• Cuando las aplicaciones críticas para el negocio fallan, existen alternativas en las que los usuarios pueden confiar, mientras que las aplicaciones de misión crítica a menudo no tienen alternativas. 

La mayoría de las aplicaciones de misión crítica tienen muchos usuarios que confían en ellas para realizar funciones que son vitales para el éxito de una empresa. Algunos ejemplos de actividades que permiten las aplicaciones de misión crítica son la entrega de bienes y servicios, el almacenamiento seguro de datos de la empresa, el seguimiento de activos valiosos y el procesamiento de pagos de clientes. Una interrupción de cualquiera de estos procesos probablemente afectaría a las operaciones comerciales normales.

Las aplicaciones que repercuten directamente en la capacidad de una empresa para mantener la continuidad del negocio, almacenar datos de forma segura o permitir la comunicación entre empleados y clientes deben etiquetarse como de misión crítica. He aquí un análisis más detallado de cada una de estas características y cómo se aplican en diferentes escenarios. 

Continuidad del negocio: el fallo de una aplicación de misión crítica debe suponer un grave riesgo para los procesos de negocio que una empresa ha puesto en marcha. Ejemplos comunes de cómo esto podría afectar a una organización incluyen causar un tiempo de inactividad significativo, afectar negativamente a la seguridad de los clientes o empleados e interrumpir la productividad. 

Almacenamiento de datos: muchas empresas, especialmente las que operan en sectores en los que deben almacenar datos sensibles de los clientes, etiquetan sus centros de datos como de misión crítica. Cuando se vulnera un centro de datos, la información del cliente puede verse comprometida y resultar en fraude financiero y daños a la reputación¹. 

Dependencia del usuario: la mayoría de las aplicaciones de misión crítica son ampliamente utilizadas por empleados, clientes o una combinación de ambos. Cuando una aplicación de misión crítica (como una aplicación de mensajería en la nube como Slack o iMessage) falla, los procesos empresariales normales se interrumpen y es posible que no se recuperen durante días. 

Una vez que una aplicación ha sido identificada como de misión crítica, los equipos de TI deben tomar las medidas adecuadas para ayudar a garantizar su disponibilidad y resiliencia. He aquí cinco buenas prácticas bien establecidas en las que confían las empresas a la hora de diseñar aplicaciones de misión crítica.

Debido a la importancia de las aplicaciones de misión crítica para la salud general de las organizaciones, deben tener una alta disponibilidad, lo que significa que los clientes, empleados y otros usuarios deben tener acceso a ellas casi el 100 % del tiempo. 

Para ayudar a garantizar una disponibilidad continua, muchas empresas crean copias de seguridad y redundancias en sus BCP y DRP que se aplican a las aplicaciones de misión crítica. 

Es importante que las aplicaciones de misión crítica puedan manejar mayores cargas de trabajo durante las horas pico de tráfico o las empresas se enfrentarán a posibles tiempos de inactividad y a la posibilidad de daños a su reputación. 

En 2022, cuando miles de fans de Taylor Swift intentaron comprar entradas para su nueva gira al mismo tiempo, el tráfico provocó que el sitio ticketmaster.com dejara de funcionar, lo que provocó un incidente público y embarazoso para la empresa².

El tiempo de inactividad es caro, con costes medios cercanos a los 9000 dólares por minuto para las grandes empresas y que alcanzan los 5 000 000 de dólares por hora en sectores sensibles como las finanzas y la sanidad³.

Las empresas que crean un sólido plan de recuperación ante desastres para sus aplicaciones de misión crítica, incluida la implementación de las soluciones adecuadas y la copia de seguridad de los datos confidenciales, pueden reducir significativamente su exposición al riesgo.

Una forma en que los administradores de TI pueden ayudar a garantizar que las aplicaciones de misión crítica funcionen en condiciones de estrés es evaluar cuidadosamente sus requisitos técnicos y crear múltiples redundancias. Una redundancia es un duplicado estratégico de un componente crítico que podría fallar durante un evento inesperado. 

Por ejemplo, la redundancia de datos es la práctica de realizar copias de seguridad de datos confidenciales en más de una ubicación, de modo que si un desastre afecta a una sola ubicación física, los datos almacenados en otro lugar permanecerán seguros. Otra redundancia comúnmente implementada es la “redundancia de fuente de energía” que implica establecer múltiples fuentes de energía potenciales para los sistemas de misión crítica a las que pueden recurrir durante una interrupción generalizada.

Las migraciones a la nube ayudan a los administradores de TI a mantener las aplicaciones de misión crítica en funcionamiento con normalidad a pesar de enfrentarse a una amplia gama de amenazas complejas. Los entornos de nube privada y nube pública ofrecen alta disponibilidad (más del 99 % de tiempo de actividad para los grandes proveedores de servicios cloud o CSP), así como alto rendimiento, seguridad y automatización. 

La maduración de la tecnología ha permitido a proveedores de servicios en la nube populares como Amazon Web Services (AWS), IBM y Microsoft Azure aumentar el alcance y la complejidad de sus ofertas en la nube. Hoy en día, es habitual que las empresas utilicen la nube para realizar copias de seguridad de datos críticos, ejecutar instancias de máquinas virtuales (VM) y alojar aplicaciones de misión crítica.

Las aplicaciones que impulsan los procesos de la actividad principal de una empresa pueden ir desde las sencillas aplicaciones de punto de venta (TPV) utilizadas en las tiendas de comercio minorista hasta las extensas aplicaciones de planificación de recursos empresariales (ERP) utilizadas para aumentar la productividad. He aquí algunos ejemplos de las aplicaciones de misión crítica más utilizadas que impulsan las empresas modernas de hoy en día.  

Hoy en día, literalmente todo el mundo tiene una aplicación en su teléfono que le permite mover dinero entre cuentas bancarias, realizar inversiones e incluso pagar sus facturas. Mientras que antes la banca se realizaba en persona en las sucursales locales, hoy en día la mayor parte se hace en línea. 

Para las instituciones financieras que crean y mantienen estas aplicaciones, su fallo puede provocar que los clientes pierdan el acceso a sus fondos, fraudes de ciberseguridad, daños generalizados a su reputación y mucho más. En un sector tan sensible como el financiero, incluso un par de horas de tiempo de inactividad pueden generar titulares negativos para los grandes bancos minoristas que dependen de ofrecer a sus clientes los productos de tecnología financiera (fintech) más punteros de forma segura y fiable.

Los centros de almacenamiento de datos suelen considerarse aplicaciones de misión crítica debido a la importancia de la información que albergan y a las implicaciones que tendría para una empresa que esa información se borrara, fuera robada o sufriera cualquier otro daño. 

Los centros de datos de misión crítica suelen crearse para tener una alta disponibilidad y escalabilidad, con múltiples redundancias y copias de seguridad, a veces incluso en ubicaciones físicas múltiples y diferentes para ayudar a garantizar la integridad. Aún así, se sabe que las interrupciones generalizadas y los ciberataques han dañado los centros de datos y la información que protegen, provocando interrupciones en las operaciones comerciales normales y daños a la reputación. 

Los sistemas de comunicación, como los dispositivos móviles y las aplicaciones de mensajería en la nube, sustentan la mayoría de los procesos empresariales de las empresas modernas. El cambio generalizado al teletrabajo durante la pandemia ha ejercido aún más presión sobre estos sistemas para que funcionen. El fallo de los sistemas de comunicación críticos puede provocar la pérdida de conectividad de todo el personal de una empresa, dejándoles incapaces de comunicarse entre sí o con sus clientes. 

Los ejemplos de este tipo de incidentes son frecuentes y, cada año, los cortes de red en grandes empresas de telefonía móvil y software generan titulares negativos en la prensa. Las interrupciones generalizadas, como el incidente de CrowdStrike a principios de este año que afectó a ocho millones de usuarios de Windows, pueden dejar a empleados y clientes sin poder realizar su trabajo o comunicarse durante horas o incluso días⁴.

Los sistemas de transporte modernos, como los trenes, el transporte aéreo y las carreteras interestatales, son aplicaciones de misión crítica para las empresas y comunidades que dependen de ellos para funcionar. 

Por ejemplo, los sistemas de control del tráfico aéreo, las redes de tráfico y el metro tienen consecuencias nefastas para las poblaciones a las que sirven si se enfrentan a tiempos de inactividad. Cuando estos sistemas complejos y altamente interdependientes fallan, los resultados pueden ser catastróficos, provocando retrasos, accidentes y costosas reparaciones. Los administradores de TI que crean y monitorizan estos sistemas incorporan a sus procesos múltiples redundancias y sistemas de copia de seguridad para evitar fallos y ayudar a garantizar periodos de recuperación rápidos y seguros tras cualquier interrupción.

Los servicios de emergencia, como el envío de ambulancias y otros recursos vitales para la seguridad de las comunidades, se consideran aplicaciones de misión crítica y deben tener una tasa de disponibilidad cercana al 100 %. Tanto si responden a un incendio declarado como a un accidente en la carretera interestatal o a la denuncia de un delito, los bomberos, la policía y los proveedores de asistencia sanitaria deben poder confiar en las redes que les permiten comunicarse.

Aun así, los servicios de emergencia pueden verse afectados por problemas comunes, como fenómenos meteorológicos, cortes de internet y de electricidad y periodos de demanda de servicio inusualmente alta. Los administradores de TI deben tener en cuenta estas posibles interrupciones a la hora de diseñar los sistemas necesarios para que los sistemas de misión crítica de los servicios de emergencia funcionen.