gestiÓn tic documento lineamientos de sistemas de …
TRANSCRIPT
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
1
LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
AGENCIA NACIONAL DE SEGURIDAD VIAL- ANSV
Julio de 2021
BOGOTÁ D.C.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
2
TABLA DE CONTENIDO
1. 3
2. 3
2.1. Operación de los Servicios Tecnológicos 12
2.2. Soporte de los Servicios Tecnológicos 12
2.3. Gestión de la Calidad y la Seguridad de los Servicios Tecnológicos 13
2.4. Servicio De Nube Pública 14
3. CONTROL DE CAMBIOS 15
4. CONTROL DE FIRMAS 16
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
3
1. DESCRIPCIÓN DEL DOCUMENTO
Este documento describe los principales lineamientos formalizados a la fecha relacionados
con el diseño e implementación de soluciones.
2. LINEAMIENTOS DE ARQUITECTURA DE REFERENCIA
• Lenguaje Común de Intercambio de Datos
La arquitectura de TI y las definiciones de datos deben identificar estándares de intercambio
de datos en la industria o en el sector y propender el uso de estos tanto al interior de la unidad
como con los diferentes actores que debe intercambiar información.
Lo anterior de acuerdo al marco de interoperabilidad de la entidad permite apalanca la
definición del modelo canónico, el cual da línea a las aplicaciones para la construcción de la
capa de servicios de información del ecosistema tecnológico de la ANSV, identificando la
estructura de los objetos que hacen parte del proceso de intercambio de información, que se
materializaran ya sea con tecnologías RESTFULL, SOAP o algún otro formato de archivos que
permitan intercambio de información estructurada.
• Arquitectura de Solución y de Software
Debe adoptarse una práctica de creación y utilización de las arquitecturas de solución y de
software que permitan la trazabilidad de características de diseño desde el nivel de detalle de
la arquitectura empresarial hasta casi un detalle de implementación.
El enfoque en alcanzar ciertos atributos de calidad a través de los diferentes niveles de detalle
de la arquitectura mantendrá la consistencia y garantizará la aplicación de las decisiones de
arquitectura hasta la implementación de las soluciones.
Para lo cual los equipos de trabajo de la GTIC realizarán y documentaran los diferentes
diagnósticos de arquitectura y documentos de arquitectura para plasmar dichos diseños y
poder consolidar las decisiones de arquitectura de solución con el objetivo de guiar el proceso
construcción de plataforma tecnológica de la entidad.
Para lo cual se referencia los anexos:
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
4
• Fronteras de los Componentes de Arquitectura
El establecimiento de fronteras de la arquitectura digital permitirá la creación de zonas con
diferentes niveles de confianza. Estas zonas de confianza ayudan a definir factores
relacionados a qué tan estrictos son los mecanismos tanto para la interoperabilidad como para
la interacción entre aplicaciones y componentes.
• Inventario de Sistemas de Información
La identificación de los elementos de software presentes en la organización debe ser
documentada y recopilada a través de artefactos de arquitectura. Esta recopilación de
información deberá aumentar en detalle tras cada ejercicio de arquitectura realizado mientras
que la información consignada sea relevante para los ejercicios que están siendo realizados.
• Experiencia Unificada en el Ecosistema de Aplicaciones
El establecimiento de un look and feel generalizado para las aplicaciones de la organización
que permita la fácil adopción de los sistemas de información por parte de los usuarios. La
estrategia debe apuntar a un aumento en la eficiencia aprovechando una experiencia unificada
a través de todas las aplicaciones requeridas por los colaboradores para realizar su labor.
• Gobierno de Plataforma de Integración
Con relación a la automatización y/o sistematización de procesos de negocios, será necesario
el desarrollo de servicios de información que respondan a las necesidades de negocio,
servicios de información que responderán y deberán estar alineados a un modelo estándar
común de intercambio de información, y que permitirán el reusó de servicios una vez sean
normalizados los catálogos de la organización, y para disminuir carga de TI las funcionalidades
que puedan ser orquestadas a través del mediador deberá implementarse las orquestaciones
correspondientes promoviendo el reusó de lógica de negocio, de igual manera se surtirán los
procesos de la transformación, enrutamiento, conversión de protocolo para el transporte de
las solicitudes de la entidad al proveedor de servicio adecuado.
De esta manera se desarrollarán las capacidades que permitir la integración de servicio
mediante adaptadores, orquestaciones, virtualización y el procesamiento de mensaje para los
servicios.
Este patrón obedece a la estrategia de orquestación de servicios basa en la existencia de una
entidad centralizada que coordina las invocaciones a los servicios combinando las respuestas
de uno con las entradas de otro, para implementar las funcionalidades del sistema.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
5
Para documentar los diseños funcionales del escenario de integración de deberá documentar
el DSI de servicios de información, y para documentar los diseños técnicos de los escenarios
de integración se deberá documentar el DTI de servicios de información.
La herramienta que se usara para poder implementar la orquestación virtualización de
servicios es por medio del bus empresarial institucional, y la herramienta de desarrollo será
del que disponga la plataforma de BUS definida por la ANSV, y debe estar alineado con el
lineamiento de interoperabilidad que define la entidad.
Para el caso de la plataforma de integración entre entidades públicas B2B se hace uso de la
plataforma XROAD como herramienta de integración que garantizar la confidencialidad y
veracidad del mensaje entre ambas entidades.
En esta plataforma de integraciones se deberá soportar:
• Conectores Simples: Refiere a conectores que ofrecen una conectividad básica sobre
protocolos estándar, como ser HTTP o SMTP.
• Conectores Específicos: Refiere a conectores que resuelven conectividad compleja. Esto
puede ser interacciones particulares o protocolos específicos de sistemas.
• Virtualización de Servicios: Permite la exposición de servicios web para obtener o enviar
información a los sistemas a integrar vinculados a la PI.
• Transformación: Permite a la PI efectuar transformaciones de datos como las definidas en
los EIP. Un ejemplo es la transformación de modelo de datos.
• Ruteo: Permite a la PI efectuar operaciones de ruteo de datos como las definidas en los EIP.
Un ejemplo es el ruteo basado en contenido, donde se determina el destinatario en base a
propiedades de los mensajes.
• Supervisión: Permite a la PI efectuar operaciones de supervisión (i.e. monitoring) sobre los
datos procesados en la PI.
• Mensajería: Permite a la PI efectuar operaciones de mensajería como las definidas en los
EIP. Usualmente es resuelto por Middleware orientado a mensajería (i.e. MOM, Message-
oriented middleware).
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
6
• Diseños basados en la Arquitectura orientada a Servicios
El análisis, diseño e implementación de los servicios de información institucionales se debe
aplicar la arquitectura Orientada a Servicios con la finalidad de cumplir los objetivos
(Incrementar Interoperabilidad intrínseca, Incrementar la federación de servicios,
Incrementar la alineación de Tecnología con el Negocio, Incrementar opciones de
diversificación de proveedores, Incrementar ROI, Incrementar Agilidad Organizacional,
Reducir el gasto de TI ) y principios (Contrato de servicios estandarizados, abstracción
de servicios, Reutilización de servicios, Autonomía de Servicios, Descubrimiento de
servicios y Transparencia de Ubicación) que este paradigma ofrece. Por medio de la
aplicabilidad de este paradigma se permite la reutilización de componentes de software a
través de interfaces claramente definidas aumenta la flexibilidad en la implementación de
procesos de negocio, estandariza los intercambios de información y permite disminuir los
costos relacionados con el desarrollo y mantenimiento de los sistemas de información.
En el proceso de adopción de este paradigma se deben abordar en las etapas de análisis y
diseño los siguientes patrones:
• Patrones de diseño de inventario de servicios (Inventario de Dominio, Servicio
Normalizado, Lógica Centralizada y Esquemas Centralizados).
• Patrones de diseño de servicios (Contratos desacoplados, Centralización de contratos,
Endpoint Oficial, Faccade de Servicios, Contratos concurrentes, Implementaciones
Redundantes, Replicación de data de servicios y Legacy Wrapper).
• Patrones de composición de servicio (Agente de Servicio y Metadatos de mensajería).
• Patrones de bus de servicios (Service Broker, Transformación del modelo de datos,
Transformación del formato de datos, Protocol Bridging,
• Enrutamiento Intermedio, Encolamiento Asíncrono, Centralización de políticas,
Centralización de reglas, Mensajería confiable y Mensajería dirigida por eventos).
• Patrones de orquestación (Abstracción de procesos, Centralización de procesos, State
Repository, Compensación de transacción de servicio, Transacción de servicio atómica).
Para documentar los diseños funcionales de la arquitectura del servicio se deberá documentar
el DSI de servicios de información, y para documentar los diseños técnicos de los escenarios
de integración se deberá documentar el DTI de servicios de información.
• Coreografía
Para las arquitecturas de servicios con enfoque de microservicios se deberá definir el esquema
de coreografía como modelo descentralizado, por medio del cual se describen el intercambio
de mensajes entre servicios y reglas de interacción acordadas entre ellos.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
7
Para documentar los diseños funcionales del escenario de integración de deberá documentar
el DSI de servicios de información, y para documentar los diseños técnicos DTI de los
escenarios de integración se deberá documentar en los siguientes formatos cuando aplique.
a. Documento de diseño funcional de servicio.
b. Documento de diseño técnico de servicio.
• Catálogo de Servicios de Información Empresarial
La entidad debe construir y/o actualizar el catálogo de servicios de información institucionales
y deberá contener los campos definidos en la matriz de interoperabilidad, la entidad definirá
la herramienta sobre la cual mantendrá actualizada dicha información.
• Caracterización de Escenarios de Integración
Todos los análisis y diseños de los escenarios de integración de la entidad que generen un
impacto en el ecosistema tecnológico deberán ser socializada y aprobada por el arquitecto de
soluciones de la entidad o el que se delegue para la toma de decisiones.
Los análisis deberán ser soportados con base a la matriz de análisis de impacto de los
escenarios de la plataforma de integración.
Para documentar los diseños funcionales del escenario de integración se deberá documentar
el DSI de servicios de información, y para documentar los diseños técnicos DTI de los
escenarios de integración se deberá documentar en los siguientes formatos cuando aplique.
a. Documento de diseño funcional de servicio.
b. Documento de diseño técnico de servicio.
• Sistemas con capacidad de Tolerancia a Fallos
Los sistemas basados en componentes deben diseñarse teniendo en cuenta posibles fallas
causadas por la separación del sistema. Concretamente, los sistemas distribuidos implican
problemas de arrastre de fallas (errores en cascada) y requieren más comunicaciones de red,
las cuales pueden fallar.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
8
• Buenas Prácticas de Desarrollo de Aplicaciones
Las siguientes son aplicables a los desarrollos y mantenimientos sobre componentes de
software de propiedad de la ANSV:
- Documento lineamiento Uso de paquetes y o librerías en las fuentes.
- Documento lineamientos de desarrollo seguro.
- Documento lineamiento de definición, estructuración y construcción de códigos
fuentes.
- Documento lineamiento de BPM.
- Documento lineamiento de interoperabilidad.
• Desarrollo de módulos genéricos, librerías y componentes
En el desarrollo de los módulos genéricos, librerías y componentes, debe contemplarse lo
siguiente:
Utilizar módulos genéricos para las funciones comunes a todas las aplicaciones, tales como
seguridad, acceso al registro, conexión a base de datos, encriptación, validaciones, controles
de errores, y en general las que se definan de acuerdo con las necesidades de las
aplicaciones; dependiendo del tipo de plataforma tecnológica de desarrollo se aplicaran las
versiones más actualizadas de patrones de diseño que favorezcan estas características.
Las librerías, componentes, servicios o bibliotecas de uso general deben estar debidamente
documentadas explicando su propósito, funciones, parámetros de entrada y salida, etc. La
documentación de estos componentes debe ser almacenada en el repositorio de código fuente
designado por la Agencia Nacional de Seguridad Vial, lo anterior dispuesto en los documentos
lineamiento Uso de paquetes y o librerías en las fuentes y Lineamiento de definición,
estructuración y construcción de códigos fuentes.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
9
Con lo relacionado en lo anterior se establece que el repositorio de código fuente institucional
se define sobre la plataforma DEVOPS con la tecnología GIT, dicha gestión se detalla en el
documento Lineamiento de DEVOPS.
Una vez liberada una nueva versión de un módulo genérico se establecerá un tiempo límite
para todas las aplicaciones que hacen uso de ella se actualicen a la nueva versión, tiempo
que será denominado ventana de actualización.
• Gestión de Logs
En el diseño e implementación de componentes de software se deben adoptar funcionalidades
que permitan recolectar la información de ejecución de estos para proporcionar informacion
que asista la supervisión del sistema, revisión de procesos de fallos y estados de proceso.
Estos esquemas de logs se permitirán gestionar a través de sistemas de archivos (JSON, XML
o Syslog), bases de datos relacionales y no relacionales.
Para el caso de los ambientes que se despliegan en la plataforma de gestión de contenedores
se recomienda el uso de la herramienta fluentd. En dicho caso, la información de los canales
estándar es concentrada en archivos JSON o mediante sustitutos de Syslog especializados
como journald y luego indizada y enviada a una persistencia externa especializada (p. ej.
elasticsearch).
• Arquitectura de Servicios Tecnológicos
El ejercicio de arquitectura de servicios tecnológicos será una actividad constante dentro la
evolución del entorno tecnológico y se debe realizar un diagnóstico completo al menos una
vez al año (Documento arquitectura AS-IS, TO-BE y plan de capacidad) que soporte la
formulación del plan de adquisiciones y el plan de acción del año siguiente.
• Inventario de Servicios Tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe contar con un inventario
actualizado de los servicios tecnológicos, que le sirva de insumo para administrar, analizar y
mejorar los activos de TI.
• Elementos para el intercambio de información – Interoperabilidad
El grupo de Tecnología e Informática y Comunicaciones debe incluir dentro de su arquitectura
de Servicios tecnológicos los elementos necesarios para poder realizar el intercambio de
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
10
información entre las áreas de la institución y las organizaciones externas a escala sectorial y
nacional. Las instituciones que son productoras de información geográfica deben incorporar
los elementos dentro de la arquitectura de Servicios tecnológicos para constituirse en nodos
de la ICDE (Infraestructura Colombiana de Datos Espaciales), de tal forma que se asegure el
intercambio de información geo-espacial y geo-referenciada.
• Gestión de los Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe gestionar la operación y el
soporte de los servicios tecnológicos, en particular, durante la implementación y paso a
producción de los proyectos de TI, se debe garantizar la estabilidad de la operación de TI y
responder acorde al plan de capacidad.
• Acceso a servicios en la Nube
El grupo de Tecnología e Informática y Comunicaciones debe evaluar que cualquier
implementación que surja o se pronostique que se puede alojar en la nube, debe ser analizada
teniendo en cuenta las tendencias tecnológicas de nube pública. PaaS, SaaS o IaaS, con el
fin de optimizar costos de administración y operación.
• Tecnología verde
La entidad debe implementar un programa de correcta disposición final de los residuos
tecnológicos, teniendo en cuenta los lineamientos técnicos con los que cuente el gobierno
Nacional.
2.1. Operación de los Servicios Tecnológicos
• Continuidad y disponibilidad de los Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe garantizar la continuidad y
disponibilidad de los servicios Tecnológicos, así como la capacidad de atención y resolución
de incidentes para ofrecer continuidad de la operación y la prestación de todos los servicios
de la entidad y de TI.
• Alta disponibilidad de los Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe implementar capacidades de
alta disponibilidad para las infraestructuras críticas y los Servicios Tecnológicos que afecten la
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
11
continuidad del servicio de la institución, las cuales deben ser puestas a prueba
periódicamente.
• Capacidad de los Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe velar por la prestación de los
servicios de TI, identificando las capacidades actuales de los Servicios Tecnológicos y
proyectando las capacidades futuras requeridas para un óptimo funcionamiento.
2.2. Soporte de los Servicios Tecnológicos
• Acuerdos de Nivel de Servicios
El grupo de Tecnología e Informática y Comunicaciones debe velar por el cumplimiento de los
Acuerdos de Nivel de Servicio (ANS) establecidos para los Servicios Tecnológicos.
• Mesa de servicio
El grupo de Tecnología e Informática y Comunicaciones debe definir e implementar el
procedimiento para atender los requerimientos de soporte de primer, segundo y tercer nivel,
para sus servicios de TI, a través de un único punto de contacto como puede ser una mesa de
servicio.
• Planes de mantenimiento
El grupo de Tecnología e Informática y Comunicaciones debe implementar un plan de
mantenimiento preventivo y evolutivo sobre toda la infraestructura y demás Servicios
Tecnológicos de la institución.
• Cambios en la Infraestructura tecnológica
El grupo de tecnología de informática y comunicaciones debe asegurar que cualquier cambio
en la Infraestructura tecnológica productiva de la entidad debe acogerse al procedimiento de
gestión de cambios establecido por GTIC.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
12
2.3. Gestión de la calidad y la seguridad de los Servicios Tecnológicos
• Control de consumo de los recursos compartidos por Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe identificar, monitorear y controlar
el nivel de consumo de los recursos críticos que son compartidos por los Servicios
Tecnológicos y administrar su disponibilidad.
• Gestión preventiva de los Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones debe asegurarse de que la
infraestructura y demás recursos tecnológicos de la institución cuenten con mecanismos de
monitoreo para generar alertas tempranas ligadas a los umbrales de operación que tenga
definidos.
• Respaldo y recuperación de los Servicios tecnológicos
El grupo de Tecnología e Informática y Comunicaciones y de acuerdo con las capacidades
tecnológicas, debe contar con mecanismos de respaldo para los servicios tecnológicos críticos
de la entidad, así como con un proceso periódico de respaldo de la configuración y de la
información almacenada en la infraestructura tecnológica, incluyendo la información clave de
las estaciones de trabajo de los funcionarios de la entidad. Este proceso debe ser probado
periódicamente y debe permitir la recuperación íntegra de los Servicios Tecnológicos.
• Análisis de riesgos
El grupo de Tecnología e Informática y Comunicaciones debe realizar el análisis y gestión de
los riesgos asociados a su infraestructura tecnológica haciendo énfasis en aquellos que
puedan comprometer la seguridad de la información o que puedan afectar la prestación de un
servicio de TI.
• Monitoreo de seguridad de infraestructura tecnológica
El grupo de Tecnología e Informática y Comunicaciones debe implementar controles de
seguridad informática para mitigar los riesgos asociados a la disponibilidad, integridad y
confidencialidad de la información.
2.4. Servicio de Nube Pública
• Uso y apropiación
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
13
Cualquier implementación que surja o se pronostique que se puede alojar en la nube, debe
ser analizada teniendo en cuenta las tendencias tecnológicas de nube pública. PaaS, SaaS o
IaaS, con el fin de optimizar costos de administración y operación.
• Seguridad
Definir los controles mínimos de seguridad para el uso de los servicios en la nube. Estos
controles pueden plantearse en la arquitectura o en un documento de políticas.
• Administración del servicio
Evaluar los requisitos necesarios para que los servicios contratados (infraestructura,
plataforma, servicios u otros) mantengan un nivel aceptable frente a imprevistos, fallos
aleatorios, degradaciones del desempeño o ataques premeditados. A su vez se debe evaluar
el rendimiento de la red y la fiabilidad del proveedor de servicios en la nube y queda a criterio
priorizar a los proveedores de confianza con buenos antecedentes, toda vez que la red es uno
de los elementos fundamentales para la disponibilidad y la fiabilidad a los que hay que prestar
más atención.
• Disponibilidad del servicio
Evaluar el rendimiento de la red para garantizar la disponibilidad de los servicios internos y de
cara al ciudadano, toda vez que la conectividad es uno de los elementos fundamentales para
la disponibilidad y la fiabilidad a los que hay que prestar más atención.
• Escalabilidad y elasticidad
Hay que asegurar que el proveedor de servicio en la nube (servicio, infraestructura, plataforma)
sea capaz de prestar el servicio acordado de forma rentable para la entidad y en el tiempo
adecuado; teniendo en cuenta la capacidad de gestionar cambios en los recursos demandados
(variaciones en almacenamiento, memoria, etc.), así como la escalabilidad a largo plazo.
• Respuesta y recuperación
Evaluar la capacidad de contar con un servicio de recuperación de interrupciones de TI, que
garantice la seguridad de los servicios en la nube.
GESTIÓN TIC
DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN
Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17
14
3. CONTROL DE CAMBIOS
FECHA CAMBIO VERSIÓN
2021-08-17 Documento inicial. Solicitud en Delot # 000188 00
4. CONTROL DE FIRMAS
Elaboró Revisó Aprobó
Firma Firma Firma
Víctor Valencia Contratista Grupo TIC
Stefanie Portillo Contratista Grupo TIC
William Sandoval Coordinador Grupo TIC