gestiÓn tic documento lineamientos de sistemas de …

GESTIÓN TIC

DOCUMENTO LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN

Código: ANSV-TIC-DO-15 Versión: 00 Fecha: 2021-08-17

1

LINEAMIENTOS DE SISTEMAS DE INFORMACIÓN

AGENCIA NACIONAL DE SEGURIDAD VIAL- ANSV

Julio de 2021

BOGOTÁ D.C.

GESTIÓN TIC



2

TABLA DE CONTENIDO

1. 3

2. 3

2.1. Operación de los Servicios Tecnológicos 12

2.2. Soporte de los Servicios Tecnológicos 12

2.3. Gestión de la Calidad y la Seguridad de los Servicios Tecnológicos 13

2.4. Servicio De Nube Pública 14

3. CONTROL DE CAMBIOS 15

4. CONTROL DE FIRMAS 16

GESTIÓN TIC



3

1. DESCRIPCIÓN DEL DOCUMENTO

Este documento describe los principales lineamientos formalizados a la fecha relacionados

con el diseño e implementación de soluciones.

2. LINEAMIENTOS DE ARQUITECTURA DE REFERENCIA

• Lenguaje Común de Intercambio de Datos

La arquitectura de TI y las definiciones de datos deben identificar estándares de intercambio

de datos en la industria o en el sector y propender el uso de estos tanto al interior de la unidad

como con los diferentes actores que debe intercambiar información.

Lo anterior de acuerdo al marco de interoperabilidad de la entidad permite apalanca la

definición del modelo canónico, el cual da línea a las aplicaciones para la construcción de la

capa de servicios de información del ecosistema tecnológico de la ANSV, identificando la

estructura de los objetos que hacen parte del proceso de intercambio de información, que se

materializaran ya sea con tecnologías RESTFULL, SOAP o algún otro formato de archivos que

permitan intercambio de información estructurada.

• Arquitectura de Solución y de Software

Debe adoptarse una práctica de creación y utilización de las arquitecturas de solución y de

software que permitan la trazabilidad de características de diseño desde el nivel de detalle de

la arquitectura empresarial hasta casi un detalle de implementación.

El enfoque en alcanzar ciertos atributos de calidad a través de los diferentes niveles de detalle

de la arquitectura mantendrá la consistencia y garantizará la aplicación de las decisiones de

arquitectura hasta la implementación de las soluciones.

Para lo cual los equipos de trabajo de la GTIC realizarán y documentaran los diferentes

diagnósticos de arquitectura y documentos de arquitectura para plasmar dichos diseños y

poder consolidar las decisiones de arquitectura de solución con el objetivo de guiar el proceso

construcción de plataforma tecnológica de la entidad.

Para lo cual se referencia los anexos:

GESTIÓN TIC



4

• Fronteras de los Componentes de Arquitectura

El establecimiento de fronteras de la arquitectura digital permitirá la creación de zonas con

diferentes niveles de confianza. Estas zonas de confianza ayudan a definir factores

relacionados a qué tan estrictos son los mecanismos tanto para la interoperabilidad como para

la interacción entre aplicaciones y componentes.

• Inventario de Sistemas de Información

La identificación de los elementos de software presentes en la organización debe ser

documentada y recopilada a través de artefactos de arquitectura. Esta recopilación de

información deberá aumentar en detalle tras cada ejercicio de arquitectura realizado mientras

que la información consignada sea relevante para los ejercicios que están siendo realizados.

• Experiencia Unificada en el Ecosistema de Aplicaciones

El establecimiento de un look and feel generalizado para las aplicaciones de la organización

que permita la fácil adopción de los sistemas de información por parte de los usuarios. La

estrategia debe apuntar a un aumento en la eficiencia aprovechando una experiencia unificada

a través de todas las aplicaciones requeridas por los colaboradores para realizar su labor.

• Gobierno de Plataforma de Integración

Con relación a la automatización y/o sistematización de procesos de negocios, será necesario

el desarrollo de servicios de información que respondan a las necesidades de negocio,

servicios de información que responderán y deberán estar alineados a un modelo estándar

común de intercambio de información, y que permitirán el reusó de servicios una vez sean

normalizados los catálogos de la organización, y para disminuir carga de TI las funcionalidades

que puedan ser orquestadas a través del mediador deberá implementarse las orquestaciones

correspondientes promoviendo el reusó de lógica de negocio, de igual manera se surtirán los

procesos de la transformación, enrutamiento, conversión de protocolo para el transporte de

las solicitudes de la entidad al proveedor de servicio adecuado.

De esta manera se desarrollarán las capacidades que permitir la integración de servicio

mediante adaptadores, orquestaciones, virtualización y el procesamiento de mensaje para los

servicios.

Este patrón obedece a la estrategia de orquestación de servicios basa en la existencia de una

entidad centralizada que coordina las invocaciones a los servicios combinando las respuestas

de uno con las entradas de otro, para implementar las funcionalidades del sistema.

GESTIÓN TIC



5

Para documentar los diseños funcionales del escenario de integración de deberá documentar

el DSI de servicios de información, y para documentar los diseños técnicos de los escenarios

de integración se deberá documentar el DTI de servicios de información.

La herramienta que se usara para poder implementar la orquestación virtualización de

servicios es por medio del bus empresarial institucional, y la herramienta de desarrollo será

del que disponga la plataforma de BUS definida por la ANSV, y debe estar alineado con el

lineamiento de interoperabilidad que define la entidad.

Para el caso de la plataforma de integración entre entidades públicas B2B se hace uso de la

plataforma XROAD como herramienta de integración que garantizar la confidencialidad y

veracidad del mensaje entre ambas entidades.

En esta plataforma de integraciones se deberá soportar:

• Conectores Simples: Refiere a conectores que ofrecen una conectividad básica sobre

protocolos estándar, como ser HTTP o SMTP.

• Conectores Específicos: Refiere a conectores que resuelven conectividad compleja. Esto

puede ser interacciones particulares o protocolos específicos de sistemas.

• Virtualización de Servicios: Permite la exposición de servicios web para obtener o enviar

información a los sistemas a integrar vinculados a la PI.

• Transformación: Permite a la PI efectuar transformaciones de datos como las definidas en

los EIP. Un ejemplo es la transformación de modelo de datos.

• Ruteo: Permite a la PI efectuar operaciones de ruteo de datos como las definidas en los EIP.

Un ejemplo es el ruteo basado en contenido, donde se determina el destinatario en base a

propiedades de los mensajes.

• Supervisión: Permite a la PI efectuar operaciones de supervisión (i.e. monitoring) sobre los

datos procesados en la PI.

• Mensajería: Permite a la PI efectuar operaciones de mensajería como las definidas en los

EIP. Usualmente es resuelto por Middleware orientado a mensajería (i.e. MOM, Message-

oriented middleware).

GESTIÓN TIC



6

• Diseños basados en la Arquitectura orientada a Servicios

El análisis, diseño e implementación de los servicios de información institucionales se debe

aplicar la arquitectura Orientada a Servicios con la finalidad de cumplir los objetivos

(Incrementar Interoperabilidad intrínseca, Incrementar la federación de servicios,

Incrementar la alineación de Tecnología con el Negocio, Incrementar opciones de

diversificación de proveedores, Incrementar ROI, Incrementar Agilidad Organizacional,

Reducir el gasto de TI ) y principios (Contrato de servicios estandarizados, abstracción

de servicios, Reutilización de servicios, Autonomía de Servicios, Descubrimiento de

servicios y Transparencia de Ubicación) que este paradigma ofrece. Por medio de la

aplicabilidad de este paradigma se permite la reutilización de componentes de software a

través de interfaces claramente definidas aumenta la flexibilidad en la implementación de

procesos de negocio, estandariza los intercambios de información y permite disminuir los

costos relacionados con el desarrollo y mantenimiento de los sistemas de información.

En el proceso de adopción de este paradigma se deben abordar en las etapas de análisis y

diseño los siguientes patrones:

• Patrones de diseño de inventario de servicios (Inventario de Dominio, Servicio

Normalizado, Lógica Centralizada y Esquemas Centralizados).

• Patrones de diseño de servicios (Contratos desacoplados, Centralización de contratos,

Endpoint Oficial, Faccade de Servicios, Contratos concurrentes, Implementaciones

Redundantes, Replicación de data de servicios y Legacy Wrapper).

• Patrones de composición de servicio (Agente de Servicio y Metadatos de mensajería).

• Patrones de bus de servicios (Service Broker, Transformación del modelo de datos,

Transformación del formato de datos, Protocol Bridging,

• Enrutamiento Intermedio, Encolamiento Asíncrono, Centralización de políticas,

Centralización de reglas, Mensajería confiable y Mensajería dirigida por eventos).

• Patrones de orquestación (Abstracción de procesos, Centralización de procesos, State

Repository, Compensación de transacción de servicio, Transacción de servicio atómica).

Para documentar los diseños funcionales de la arquitectura del servicio se deberá documentar

el DSI de servicios de información, y para documentar los diseños técnicos de los escenarios

de integración se deberá documentar el DTI de servicios de información.

• Coreografía

Para las arquitecturas de servicios con enfoque de microservicios se deberá definir el esquema

de coreografía como modelo descentralizado, por medio del cual se describen el intercambio

de mensajes entre servicios y reglas de interacción acordadas entre ellos.

GESTIÓN TIC



7

Para documentar los diseños funcionales del escenario de integración de deberá documentar

el DSI de servicios de información, y para documentar los diseños técnicos DTI de los

escenarios de integración se deberá documentar en los siguientes formatos cuando aplique.

a. Documento de diseño funcional de servicio.

b. Documento de diseño técnico de servicio.

• Catálogo de Servicios de Información Empresarial

La entidad debe construir y/o actualizar el catálogo de servicios de información institucionales

y deberá contener los campos definidos en la matriz de interoperabilidad, la entidad definirá

la herramienta sobre la cual mantendrá actualizada dicha información.

• Caracterización de Escenarios de Integración

Todos los análisis y diseños de los escenarios de integración de la entidad que generen un

impacto en el ecosistema tecnológico deberán ser socializada y aprobada por el arquitecto de

soluciones de la entidad o el que se delegue para la toma de decisiones.

Los análisis deberán ser soportados con base a la matriz de análisis de impacto de los

escenarios de la plataforma de integración.

Para documentar los diseños funcionales del escenario de integración se deberá documentar

el DSI de servicios de información, y para documentar los diseños técnicos DTI de los

escenarios de integración se deberá documentar en los siguientes formatos cuando aplique.

a. Documento de diseño funcional de servicio.

b. Documento de diseño técnico de servicio.

• Sistemas con capacidad de Tolerancia a Fallos

Los sistemas basados en componentes deben diseñarse teniendo en cuenta posibles fallas

causadas por la separación del sistema. Concretamente, los sistemas distribuidos implican

problemas de arrastre de fallas (errores en cascada) y requieren más comunicaciones de red,

las cuales pueden fallar.

GESTIÓN TIC



8

• Buenas Prácticas de Desarrollo de Aplicaciones

Las siguientes son aplicables a los desarrollos y mantenimientos sobre componentes de

software de propiedad de la ANSV:

- Documento lineamiento Uso de paquetes y o librerías en las fuentes.

- Documento lineamientos de desarrollo seguro.

- Documento lineamiento de definición, estructuración y construcción de códigos

fuentes.

- Documento lineamiento de BPM.

- Documento lineamiento de interoperabilidad.

• Desarrollo de módulos genéricos, librerías y componentes

En el desarrollo de los módulos genéricos, librerías y componentes, debe contemplarse lo

siguiente:

Utilizar módulos genéricos para las funciones comunes a todas las aplicaciones, tales como

seguridad, acceso al registro, conexión a base de datos, encriptación, validaciones, controles

de errores, y en general las que se definan de acuerdo con las necesidades de las

aplicaciones; dependiendo del tipo de plataforma tecnológica de desarrollo se aplicaran las

versiones más actualizadas de patrones de diseño que favorezcan estas características.

Las librerías, componentes, servicios o bibliotecas de uso general deben estar debidamente

documentadas explicando su propósito, funciones, parámetros de entrada y salida, etc. La

documentación de estos componentes debe ser almacenada en el repositorio de código fuente

designado por la Agencia Nacional de Seguridad Vial, lo anterior dispuesto en los documentos

lineamiento Uso de paquetes y o librerías en las fuentes y Lineamiento de definición,

estructuración y construcción de códigos fuentes.

GESTIÓN TIC



9

Con lo relacionado en lo anterior se establece que el repositorio de código fuente institucional

se define sobre la plataforma DEVOPS con la tecnología GIT, dicha gestión se detalla en el

documento Lineamiento de DEVOPS.

Una vez liberada una nueva versión de un módulo genérico se establecerá un tiempo límite

para todas las aplicaciones que hacen uso de ella se actualicen a la nueva versión, tiempo

que será denominado ventana de actualización.

• Gestión de Logs

En el diseño e implementación de componentes de software se deben adoptar funcionalidades

que permitan recolectar la información de ejecución de estos para proporcionar informacion

que asista la supervisión del sistema, revisión de procesos de fallos y estados de proceso.

Estos esquemas de logs se permitirán gestionar a través de sistemas de archivos (JSON, XML

o Syslog), bases de datos relacionales y no relacionales.

Para el caso de los ambientes que se despliegan en la plataforma de gestión de contenedores

se recomienda el uso de la herramienta fluentd. En dicho caso, la información de los canales

estándar es concentrada en archivos JSON o mediante sustitutos de Syslog especializados

como journald y luego indizada y enviada a una persistencia externa especializada (p. ej.

elasticsearch).

• Arquitectura de Servicios Tecnológicos

El ejercicio de arquitectura de servicios tecnológicos será una actividad constante dentro la

evolución del entorno tecnológico y se debe realizar un diagnóstico completo al menos una

vez al año (Documento arquitectura AS-IS, TO-BE y plan de capacidad) que soporte la

formulación del plan de adquisiciones y el plan de acción del año siguiente.

• Inventario de Servicios Tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe contar con un inventario

actualizado de los servicios tecnológicos, que le sirva de insumo para administrar, analizar y

mejorar los activos de TI.

• Elementos para el intercambio de información – Interoperabilidad

El grupo de Tecnología e Informática y Comunicaciones debe incluir dentro de su arquitectura

de Servicios tecnológicos los elementos necesarios para poder realizar el intercambio de

GESTIÓN TIC



10

información entre las áreas de la institución y las organizaciones externas a escala sectorial y

nacional. Las instituciones que son productoras de información geográfica deben incorporar

los elementos dentro de la arquitectura de Servicios tecnológicos para constituirse en nodos

de la ICDE (Infraestructura Colombiana de Datos Espaciales), de tal forma que se asegure el

intercambio de información geo-espacial y geo-referenciada.

• Gestión de los Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe gestionar la operación y el

soporte de los servicios tecnológicos, en particular, durante la implementación y paso a

producción de los proyectos de TI, se debe garantizar la estabilidad de la operación de TI y

responder acorde al plan de capacidad.

• Acceso a servicios en la Nube

El grupo de Tecnología e Informática y Comunicaciones debe evaluar que cualquier

implementación que surja o se pronostique que se puede alojar en la nube, debe ser analizada

teniendo en cuenta las tendencias tecnológicas de nube pública. PaaS, SaaS o IaaS, con el

fin de optimizar costos de administración y operación.

• Tecnología verde

La entidad debe implementar un programa de correcta disposición final de los residuos

tecnológicos, teniendo en cuenta los lineamientos técnicos con los que cuente el gobierno

Nacional.

2.1. Operación de los Servicios Tecnológicos

• Continuidad y disponibilidad de los Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe garantizar la continuidad y

disponibilidad de los servicios Tecnológicos, así como la capacidad de atención y resolución

de incidentes para ofrecer continuidad de la operación y la prestación de todos los servicios

de la entidad y de TI.

• Alta disponibilidad de los Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe implementar capacidades de

alta disponibilidad para las infraestructuras críticas y los Servicios Tecnológicos que afecten la

GESTIÓN TIC



11

continuidad del servicio de la institución, las cuales deben ser puestas a prueba

periódicamente.

• Capacidad de los Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe velar por la prestación de los

servicios de TI, identificando las capacidades actuales de los Servicios Tecnológicos y

proyectando las capacidades futuras requeridas para un óptimo funcionamiento.

2.2. Soporte de los Servicios Tecnológicos

• Acuerdos de Nivel de Servicios

El grupo de Tecnología e Informática y Comunicaciones debe velar por el cumplimiento de los

Acuerdos de Nivel de Servicio (ANS) establecidos para los Servicios Tecnológicos.

• Mesa de servicio

El grupo de Tecnología e Informática y Comunicaciones debe definir e implementar el

procedimiento para atender los requerimientos de soporte de primer, segundo y tercer nivel,

para sus servicios de TI, a través de un único punto de contacto como puede ser una mesa de

servicio.

• Planes de mantenimiento

El grupo de Tecnología e Informática y Comunicaciones debe implementar un plan de

mantenimiento preventivo y evolutivo sobre toda la infraestructura y demás Servicios

Tecnológicos de la institución.

• Cambios en la Infraestructura tecnológica

El grupo de tecnología de informática y comunicaciones debe asegurar que cualquier cambio

en la Infraestructura tecnológica productiva de la entidad debe acogerse al procedimiento de

gestión de cambios establecido por GTIC.

GESTIÓN TIC



12

2.3. Gestión de la calidad y la seguridad de los Servicios Tecnológicos

• Control de consumo de los recursos compartidos por Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe identificar, monitorear y controlar

el nivel de consumo de los recursos críticos que son compartidos por los Servicios

Tecnológicos y administrar su disponibilidad.

• Gestión preventiva de los Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones debe asegurarse de que la

infraestructura y demás recursos tecnológicos de la institución cuenten con mecanismos de

monitoreo para generar alertas tempranas ligadas a los umbrales de operación que tenga

definidos.

• Respaldo y recuperación de los Servicios tecnológicos

El grupo de Tecnología e Informática y Comunicaciones y de acuerdo con las capacidades

tecnológicas, debe contar con mecanismos de respaldo para los servicios tecnológicos críticos

de la entidad, así como con un proceso periódico de respaldo de la configuración y de la

información almacenada en la infraestructura tecnológica, incluyendo la información clave de

las estaciones de trabajo de los funcionarios de la entidad. Este proceso debe ser probado

periódicamente y debe permitir la recuperación íntegra de los Servicios Tecnológicos.

• Análisis de riesgos

El grupo de Tecnología e Informática y Comunicaciones debe realizar el análisis y gestión de

los riesgos asociados a su infraestructura tecnológica haciendo énfasis en aquellos que

puedan comprometer la seguridad de la información o que puedan afectar la prestación de un

servicio de TI.

• Monitoreo de seguridad de infraestructura tecnológica

El grupo de Tecnología e Informática y Comunicaciones debe implementar controles de

seguridad informática para mitigar los riesgos asociados a la disponibilidad, integridad y

confidencialidad de la información.

2.4. Servicio de Nube Pública

• Uso y apropiación

GESTIÓN TIC



13

Cualquier implementación que surja o se pronostique que se puede alojar en la nube, debe

ser analizada teniendo en cuenta las tendencias tecnológicas de nube pública. PaaS, SaaS o

IaaS, con el fin de optimizar costos de administración y operación.

• Seguridad

Definir los controles mínimos de seguridad para el uso de los servicios en la nube. Estos

controles pueden plantearse en la arquitectura o en un documento de políticas.

• Administración del servicio

Evaluar los requisitos necesarios para que los servicios contratados (infraestructura,

plataforma, servicios u otros) mantengan un nivel aceptable frente a imprevistos, fallos

aleatorios, degradaciones del desempeño o ataques premeditados. A su vez se debe evaluar

el rendimiento de la red y la fiabilidad del proveedor de servicios en la nube y queda a criterio

priorizar a los proveedores de confianza con buenos antecedentes, toda vez que la red es uno

de los elementos fundamentales para la disponibilidad y la fiabilidad a los que hay que prestar

más atención.

• Disponibilidad del servicio

Evaluar el rendimiento de la red para garantizar la disponibilidad de los servicios internos y de

cara al ciudadano, toda vez que la conectividad es uno de los elementos fundamentales para

la disponibilidad y la fiabilidad a los que hay que prestar más atención.

• Escalabilidad y elasticidad

Hay que asegurar que el proveedor de servicio en la nube (servicio, infraestructura, plataforma)

sea capaz de prestar el servicio acordado de forma rentable para la entidad y en el tiempo

adecuado; teniendo en cuenta la capacidad de gestionar cambios en los recursos demandados

(variaciones en almacenamiento, memoria, etc.), así como la escalabilidad a largo plazo.

• Respuesta y recuperación

Evaluar la capacidad de contar con un servicio de recuperación de interrupciones de TI, que

garantice la seguridad de los servicios en la nube.

GESTIÓN TIC



14

3. CONTROL DE CAMBIOS

FECHA CAMBIO VERSIÓN

2021-08-17 Documento inicial. Solicitud en Delot # 000188 00

4. CONTROL DE FIRMAS

Elaboró Revisó Aprobó

Firma Firma Firma

Víctor Valencia Contratista Grupo TIC

Stefanie Portillo Contratista Grupo TIC

William Sandoval Coordinador Grupo TIC

gestiÓn tic documento lineamientos de sistemas de …

Documents