Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Anexo Tecnico

Anuncio 
_________________________________________________________________________
CONTRATO INTERADMINISTRATIVO No.
0218 DE 2015
_________________________________________________________________________
Anexo 1: Requerimientos técnicos para solicitud de
información acerca de consultoría de proyectos para
gobierno TI de los Centros de Datos Principal y
Alterno de la DIAN
V1.0
ENERO DE 2016
CINTEL
Carrera 14 No. 99-33/55 Oficina 505 Edifício Torre REM, Tel: 6404410
Fax: 6401094/58
Bogotá D.C.
CONTENIDO
0.
HISTORIAL DE CAMBIOS ........................................................... 3
1.
INTRODUCCIÓN .......................................................................... 3
2.
CONSIDERACIONES DE LA SOLICITUD DE INFORMACIÓN .. 4
2.1
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN BAJO LA NORMA ISO27000 .............................................. 4
2.2
SISTEMA DE GESTIÓN DEL SERVICIO DEL CENTRO DE
DATOS BAJO LAS BUENAS PRÁCTICAS ITIL V3 ...................................... 4
2.3
PROCESO DE ADMINISTRACIÓN DE LA CONTINUIDAD
INCLUYENDO UN PLAN DE CONTINUIDAD DE NEGOCIO Y UN PLAN DE
RECUPERACIÓN DE DESASTRES .............................................................. 4
2.4
MIGRACIÓN DE LAS APLICACIONES DE LA DIAN DE LOS
ACTUALES NIVELES A LA ÚLTIMA VERSIÓN DE JAVA ........................... 5
3.
REQUERIMIENTOS DE CADA PROYECTO ............................... 6
3.1
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN BAJO LA NORMA ISO27000 .............................................. 6
3.1.1
ENTRENAMIENTO ....................................................................... 7
3.2
SISTEMA DE GESTIÓN DEL SERVICIO DEL CENTRO DE
DATOS BAJO LAS BUENAS PRÁCTICAS ITIL V3 ...................................... 7
3.2.1
ENTRENAMIENTO ..................................................................... 16
3.3
PROCESO DE ADMINISTRACIÓN DE LA CONTINUIDAD
INCLUYENDO UN PLAN DE CONTINUIDAD DE NEGOCIO Y UN PLAN DE
RECUPERACIÓN DE DESASTRES ............................................................ 16
3.3.1
ENTRENAMIENTO ..................................................................... 18
3.4
MIGRACIÓN DE LAS APLICACIONES DE LA DIAN DE LOS
ACTUALES NIVELES DE JAVA A LA ÚLTIMA VERSIÓN DE JAVA ........ 18
Breve descripción de los sistemas de información a migrar:.......................................... 18
3.4.1
REQUERIMIENTOS DEL DESARROLLO ................................. 21
3.4.2
METODOLOGÍAS....................................................................... 21
4.
ANEXOS ..................................................................................... 22
0.
HISTORIAL DE CAMBIOS
Fecha
Enero 18 / 2016
1.
Versión
Versión 1.0
Descripción del Cambio
Primera versión del Anexo 1 de la Solicitud
de Información
INTRODUCCIÓN
El presente anexo hace parte de la Solicitud de Información o RFI para conocer
la disponibilidad de proveedores y precios de 4 proyectos de Consultoría
Informática en gobernabilidad TI y desarrollo de aplicaciones que apoyen los
Centros de Datos de la DIAN (principal y alterno), en donde se presenta de
una manera detallada las condiciones técnicas requeridas para la ejecución
de los proyectos que se nombran a continuación:
1. Construcción del sistema de gestión de seguridad de la información
bajo la norma ISO27000 en 5 fases a saber:
a. Análisis de brecha para determinar el estado actual de controles
implementados y los que se requieran aplicar de la norma
ISO27002.
b. Realización de un Ethical Hacking que permita descubrir riesgos
de seguridad.
c. Elaboración del Plan de implementación del SGSI de acuerdo al
ciclo PHVA.
d. Implementación, difusión y promoción del SGSI.
e. Auditorias anuales al SGSI.
2. Construcción de un sistema de gestión del servicio del Centro de Datos
bajo las buenas prácticas ITIL1 V3 que se articule con los procesos del
área de Mesa de Servicios de la Entidad.
3. Construcción de un proceso de Administración de la Continuidad
incluyendo un Plan de Continuidad de Negocio y un Plan de
Recuperación de Desastres para los Centros de Datos principal y
alterno de la DIAN bajo la normatividad ISO 22301.
4. Realizar la migración de las aplicaciones de la DIAN de los actuales
niveles de Java 5, 6 y 7 a la última versión de Java.
1
ITIL IT Infrastructure Library´s Service Delivery Management
3
2.
CONSIDERACIONES DE LA SOLICITUD DE INFORMACIÓN
Las consideraciones de la Solicitud de Información describen de manera
general cada uno de los proyectos requeridos por la DIAN para satisfacer los
requerimientos de gobernabilidad TI y la migración de aplicaciones para los
Centros de Datos principal y alterno.
2.1
Sistema de gestión de seguridad de la información bajo la norma
ISO27000
En los últimos años la DIAN ha venido construyendo una serie de políticas y
procedimientos en varias de sus dependencias y áreas que están enfocadas
a las mejores prácticas y que muchas veces concuerdan con los apartes
respectivos de la norma ISO27001.
Por lo anterior, al momento de cotizar la implementación de un SGSI, el
cotizante deberá tener en cuenta que en la DIAN existen políticas y
procedimientos relacionados con el área de Subdirección de Gestión de
Tecnología de Información y Telecomunicaciones.
2.2
Sistema de gestión del servicio del Centro de Datos bajo las
buenas prácticas ITIL V3
La DIAN requiere la implementación de los procesos de ITIL V3 para la gestión
y funcionamiento de sus Centros de Datos principal y alterno. Para tal fin, el
cotizante debe tener en cuenta la mesa de ayuda que tiene actualmente la
DIAN, así como los procesos y procedimientos asociados a los Centros de
Datos, las políticas del servicio con las cuales han venido operando y toda la
documentación adicional existente que se incluya dentro de la descripción del
servicio tanto a nivel técnico como de negocio.
2.3
Proceso de Administración de la Continuidad incluyendo un Plan
de Continuidad de Negocio y un Plan de Recuperación de Desastres
El cotizante debe diseñar la prestación de los servicios de consultoría
considerando:
 El enfoque requerido se constituye mediante la implantación de un
proceso de Administración de la continuidad del servicio del Centro de
Datos teniendo en cuenta la existencia de un Centro de Datos principal
y uno Alterno que quedará mínimo a 100 KM del Centro de Datos
principal.
4



Bajo el anterior enfoque de administración de continuidad es necesario
considerar la construcción de los 2 pilares fundamentales el Plan de
Continuidad del Servicio del Centro de Datos de la DIAN y un Plan para
recuperación en caso de desastre.
El cotizante debe considerar métodos, procedimientos de consultoría y
personal de consultores para la ejecución.
Es necesario hacer claridad y considerar las diferencias entre un BCP
y un DRP así:
o BCP (Plan de Continuidad del negocio) es un conjunto de
procedimientos y estrategias definidos previamente para
asegurar la reanudación de los procesos en forma oportuna y
ordenada garantizando un impacto mínimo de impacto ante un
incidente de discontinuidad de la operación del CDD.
o DRP (Plan de recuperación en casos de un desastre) es un
conjunto de estrategias definidas previamente para asegurar la
reanudación oportuna y al mínimo costo de impacto de los
servicios informáticos críticos (CDD) en caso de un desastre.
2.4
Migración de las aplicaciones de la DIAN de los actuales niveles a
la última versión de Java
La DIAN desea homogenizar sus aplicaciones desarrolladas en Java de sus
actuales lenguajes de desarrollo en diferentes versiones de Java a la última
versión de Java.
En el archivo “DIAN 0218 RFI_3 Anexo 2 Inventario de aplicaciones v1_0_0"
está estructurada la información acerca de los atributos y características de
las aplicaciones de la DIAN, adicionalmente es necesario migrar su sistema
de información de ADUANAS de Visual Basic 6 y MS SQL Server 2000 a
Microsoft Visual Basic 2012 y motor de bases de datos MS SQL Server 2014.
Las aplicaciones en su gran mayoría pertenecen al sistema de información
MUISCA y ADUANAS.
5
3.
REQUERIMIENTOS DE CADA PROYECTO
3.1
Sistema de gestión de seguridad de la información bajo la norma
ISO27000
La DIAN requiere la implementación de un SGSI (sistema de gestión de
seguridad de la información) conforme la norme ISO27000 con el fin de
afianzar un marco de gestión de riesgos y garantizar la confidencialidad,
integridad y disponibilidad de la información de la Entidad. Esta
implementación deberá realizarse teniendo en cuenta el alcance que estará
definido únicamente al área de la Subdirección de Gestión de Tecnología de
Información y Telecomunicaciones, la cual de manera general abarca los
siguientes aspectos:



Centro de Datos principal y alterno:
o Servidores, procesamiento, bases de datos y virtualización.
o Almacenamiento y respaldo.
o Administración de Sistemas Operativos y Bases de datos.
o Red LAN del Centro de Datos.
o Acceso WAN al Centro de Datos (Internet y red interna).
o Seguridad lógica y física.
o Plataformas de gestión y monitoreo.
o Facilidades.
Desarrollo de aplicaciones:
o Ambientes de prueba, desarrollo y producción.
o Deployment de aplicaciones MUISCA.
Oficina de servicios:
o Mesa de ayuda.
De igual manera, se requiere contar con una herramienta de software que
permita sistematizar y gestionar de manera adecuada el SGSI, el cual debe
contener como mínimo módulos que permitan realizar la mejora continua del
ciclo PHVA, así como también módulos de gestión de riesgos de seguridad
teniendo en cuenta la norma ISO27001/27002.
Dentro del análisis de riesgos que exige la implementación de un SGSI se
requiere cotizar la realización un Ethical Hacking controlado con metodología
de caja gris para 100 direcciones IP internas del Centro de Datos.
Para la implementación del SGSI, se deben construir guías, políticas,
procedimientos, manuales que apoyen los procesos y que se vinculen
estrictamente al área de Subdirección de Gestión de Tecnología de
Información y Telecomunicaciones, en los temas referentes a seguridad de la
información conforme la norma ISO27000. Para tales efectos la cotización
6
debe incluir la creación de políticas, e implementación de controles e
instrucciones operativas según establezca la norma ISO27002:2013.
El cotizante debe incluir la declaración de aplicabilidad y documentos
obligatorios de la norma ISO27001:2013 determinando el estado actual de los
controles implementados y los que se requieran aplicar de la norma
ISO27002:2013.
La cotización debe incluir el desarrollo de los ítems de la fase PLANEAR del
ciclo PHVA de la norma ISO 27001:2013 para el área de la Subdirección de
Gestión de Tecnología de Información y Telecomunicaciones
Cabe mencionar que, se debe tener en cuenta la documentación existente
desarrollada por las diferentes áreas que conforman la Subdirección de
Gestión de Tecnología de Información y Telecomunicaciones, referente a
procesos, procedimientos, manuales, guías y políticas que involucran los
temas de seguridad de la información que la DIAN tiene establecidas. Para tal
documentación se debe actualizar y/o crear nuevamente, según corresponda
para que sea incluida en el SGSI de manera adecuada.
3.1.1 Entrenamiento
Para el proyecto del Sistema de Gestión de Seguridad de la Información, es
fundamental contar con la participación y el compromiso del personal de la
DIAN involucrado en el mismo.
La cotización debe incluir el valor de un curso de Seguridad de la Información
y Sistema de Gestión de Seguridad de la Información con base en la norma
ISO27001:2013 para un total de 10 funcionarios de la DIAN.
3.2
Sistema de gestión del servicio del Centro de Datos bajo las
buenas prácticas ITIL V3
La DIAN requiere implementar los procesos de ITIL V3 para la gestión y el
funcionamiento de sus Centros de Datos principal y alterno, para tal fin se
describen los requerimientos específicos de la DIAN en cada una de las etapas
del ciclo de vida del servicio en la siguiente tabla:
7
Etapas del
ciclo de
vida del
servicio
Procesos
ITIL
Requerimientos
Se debe definir cuáles son las necesidades de rendimiento de
los servicios de los Centros de Datos principal y alterno de la
DIAN, por lo tanto se debe utilizar un enfoque que permita
predecir la demanda. Debido a lo anterior, la Gestión de la
Demanda debe realizar como mínimo las siguientes
actividades:

Estrategia
del
Servicio
Diseño del
Servicio
Gestión de la
demanda
Gestión del
Catálogo del
Servicio
Monitoreo y análisis de los patrones de actividad del
proceso de negocio con el fin de predecir la demanda de
servicios. Dentro de los cuales se encuentran:
o Monitoreo y análisis de la frecuencia de las actividades
que requieran proporcionar soporte técnico dentro de
los Centros de Datos principal y alterno.
o Monitoreo y análisis de la demanda de los
requerimientos de ancho de banda de los Centros de
Datos principal y alterno.
o Monitoreo y análisis del volumen de los requerimientos
de almacenamiento de datos de los Centros de Datos
principal y alterno.
o Monitoreo y análisis de la tolerancia de la DIAN en la
respuesta del servicio relacionada con los retardos en
los Centros de Datos principal y alterno.
o Monitoreo y análisis de capacidad y rendimiento de
servidores y máquinas virtuales.
o Asignación de las unidades de demanda adicionales
generadas por la actividad del negocio a elementos de
la capacidad del servicio.
Se debe determinar el alcance, las políticas, las actualizaciones
y el mantenimiento de los servicios de los Centros de Datos
principal y alterno de la DIAN en un catálogo de servicios. Para
esto, se deben tener en cuenta los procedimientos actuales
asociados a los Centros de Datos, las políticas del servicio con
las cuales han venido operando y toda la documentación
adicional existente que se incluya dentro de la descripción del
servicio tanto a nivel técnico como del negocio.
Se deben definir los acuerdos de niveles de servicio (SLAs) para
los servicios de los Centros de Datos principal y alterno de la
DIAN, por lo tanto la Gestión de Niveles de Servicio debe
comprender como mínimo los siguientes aspectos:

Planificación:
o Asignación de recursos.
o Elaboración de un catálogo de servicios.
o Desarrollo de perfiles de SLAs típicos para la DIAN.
o Herramientas para el monitoreo de la calidad del
servicio.
o Análisis e identificación de las necesidades de la
Entidad.
8
Etapas del
ciclo de
vida del
servicio
Diseño del
Servicio
Procesos
ITIL
Gestión del
Nivel del
Servicio
Requerimientos
o Elaboración de los Requisitos de Nivel de servicio
(SLR), Hojas de Especificación del Servicio y Plan de
Calidad del Servicio (SQP).
o Revisión, actualización o creación de Acuerdos de
Niveles de Operación (OLA) con las demás áreas que
usan los servicios de los Centros de Datos.
 Implementación de los Acuerdos de Niveles de Servicio:
o Negociación.
o Acuerdos de Nivel de Operación.
o Contratos de Soporte.
 Supervisión y revisión de los Acuerdos de Nivel de Servicio:
o Elaboración de informes de rendimiento.
o Control de los proveedores externos.
o Elaboración de Programas de Mejora del Servicio (SIP).
Nota: entiéndase los SLAs comprenden los acuerdos entre los
usuarios internos y externos del Centro de Datos.
Se debe definir una estrategia relacionada con la prestación de
los servicios de los Centros de Datos principal y alterno de la
DIAN por parte de los proveedores, la cual debe tener en cuenta
las pautas definidas en la estrategia del servicio. Por lo tanto, la
Gestión del Proveedor debe realizar como mínimo las
siguientes actividades:

Diseño del
Servicio
Gestión de
proveedores
Diseño del
Servicio
Gestión de la
Disponibilidad
Asegurar que los contratos y acuerdos con proveedores
están alineados con la estrategia y las necesidades técnicas
y de negocio de la Entidad.
 Gestionar la relación con los proveedores garantizando el
cumplimiento de los compromisos contractuales.
 Gestionar el rendimiento de los proveedores.
 Negociar los contratos con los proveedores y gestionarlos a
lo largo de su ciclo de vida.
 Mantener una política de proveedores y una Base de Datos
de Proveedores y Contratos (SCD) actualizada.
 Garantizar la realización de reportes de desempeño por
parte del proveedor.
 Seleccionar proveedores para los nuevos requerimientos
que se generen de los servicios prestados en el Centro de
Datos principal y alterno.
 Definir y negociar los nuevos contratos, garantizando la
rentabilidad de los mismos.
 Renovar, modificar (adicionar, prorrogar, etc) y terminar
contratos.
La Gestión de la Disponibilidad debe asegurar que los servicios
proporcionados por los Centros de Datos principal y alterno de
la DIAN están disponibles y funcionando correctamente, la cual
debe realizar como mínimo las siguientes actividades:
9
Etapas del
ciclo de
vida del
servicio
Procesos
ITIL
Requerimientos










Determinar los requerimientos de disponibilidad de los
servicios.
Garantizar el nivel de disponibilidad establecido.
Monitorear la disponibilidad.
Proponer mejoras en la infraestructura y servicios TI de los
Centros de Datos con el objetivo de aumentar los niveles de
disponibilidad.
Supervisar el cumplimiento de los OLAs y UCs (Contratos
de apoyo) acordados con proveedores internos y externos.
Mantener el servicio en operación y recuperar el mismo en
caso de falla.
Realizar diagnósticos periódicos sobre la disponibilidad de
los sistemas y servicios.
Evaluar la capacidad de servicio de los proveedores
internos y externos.
Elaborar informes de seguimiento con la información
recopilada sobre disponibilidad, fiabilidad, capacidad de
mantenimiento y cumplimiento de OLAs y UCs.
Asesorar a la Gestión de Cambios sobre el posible impacto
de un cambio en la disponibilidad.
De igual forma, se deben considerar como mínimo los
siguientes indicadores clave sobre los que se sustenta el
proceso:

Diseño del
Servicio
Gestión de la
Capacidad
Disponibilidad: porcentaje de tiempo sobre el total acordado
en que los servicios TI han sido accesibles al usuario y han
funcionado correctamente.
 Fiabilidad: medida del tiempo durante el cual los servicios
han funcionado correctamente de forma ininterrumpida.
 Capacidad de mantenimiento: capacidad de recuperar el
servicio en caso de interrupción.
 Capacidad de Servicio: determina la disponibilidad de los
servicios internos y externos contratados y su adecuación a
los OLAs y UCs vigentes.
La Gestión de la Capacidad debe garantizar la infraestructura y
demás recursos necesarios que permitan que los Centros de
Datos principal y alterno de la DIAN se desempeñen de una
manera eficiente sin incurrir en costos desproporcionados, la
cual debe realizar como mínimo las siguientes actividades:


Conocer el estado actual de la tecnología y prever futuros
desarrollos.
Conocer los planes de negocio y acuerdos de nivel de
servicio para prever la capacidad necesaria.
10
Etapas del
ciclo de
vida del
servicio
Procesos
ITIL
Requerimientos

Diseño del
Servicio
Continuidad
del Servicio
TI
Diseño del
Servicio
Seguridad de
la
Información
Operación
del
Servicio
Cumplimiento
de la solicitud
Operación
del
Servicio
Mesa de
Servicios
Analizar el rendimiento de la infraestructura para monitorear
el uso de la capacidad existente.
 Realizar modelos y simulaciones de capacidad para
diferentes escenarios futuros.
 Dimensionar adecuadamente los servicios y aplicaciones
alineándolos a los procesos de negocio y a las necesidades
técnicas de la Entidad.
 Gestionar la demanda de servicios informáticos
racionalizando su uso.
 Desarrollar el Plan de Capacidad de la DIAN
 Monitorear los recursos de la infraestructura TI de los
Centros de Datos.
 Supervisar la capacidad y administración de la Base de
Datos de la Capacidad (CDB) contenida en el Sistema de
Información de Gestión de la Capacidad (CMIS).
La Entidad considera dentro de este mismo RFI, como un
proyecto aparte la realización de un Plan de Continuidad del
Negocio (BCP) y un Plan de Recuperación de Desastres (DRP).
Por lo tanto la Gestión de Continuidad del Servicio TI será
manejada en dichos proyectos.
La Entidad considera dentro de este mismo RFI, como un
proyecto aparte la realización de un Sistema de Gestión de
Seguridad de la Información basado en el estándar ISO 27001.
Por lo tanto la Gestión de Seguridad de Información será
manejada en dicho proyecto.
El objetivo de este proceso es cumplir las solicitudes de servicio
que constituyen casos menores, tales como cambios de
contraseña o información, entre otros. El proceso debe
contemplar como mínimo los siguientes pasos:
 Registro
 Modelado
 Flujo de trabajo
 Cumplimiento
 Cierre
 Cumplimiento de la Solicitud
La Entidad realizó la contratación del servicio de mesa de
ayuda, el cual se encuentra vigente y tiene por objeto:
"Contratar los servicios especializados de operación de la mesa
de servicios TIC, con soporte en hardware y software,
mantenimiento
integral
correctivo
y
preventivo
de
computadores, estaciones de trabajo, portátiles, impresoras,
scanner, video proyectores, lectoras de código de barras,
atriles, players, administración de elementos y mejoramiento de
la plataforma tecnológica; así como la administración de la
Herramienta de Gestión de Mesa de Servicios TIC ¿Aranda - de
la Dirección de Impuestos y Aduanas Nacionales DIAN". La
información de dicho proceso se encuentra disponible en la
página del SECOP en el siguiente link:
11
Etapas del
ciclo de
vida del
servicio
Procesos
ITIL
Requerimientos
https://www.contratos.gov.co/consultas/detalleProceso.do?nu
mConstancia=15-1-148938
Por lo tanto, la implementación de los procesos ITILV3 deberá
alinearse y tener en cuenta los procedimientos, políticas y
demás información de la Mesa de Servicios que actualmente
tiene definida la Entidad.
La Gestión de Incidentes debe resolver de la forma más rápida
y eficaz los incidentes que causen interrupción en la prestación
de los servicios, la cual debe comprender como mínimo las
siguientes actividades:
Operación
del
Servicio
Gestión de
Incidentes



Detectar cualquier variación en los servicios TI.
Registrar y clasificar dichas variaciones.
Asignar el personal encargado de restaurar el servicio
según se define en el SLA correspondiente.
Cabe anotar, que esta actividad requiere un estrecho contacto
con los usuarios debido a que el Centro de Servicios hace parte
esencial del mismo.
La Gestión de Problemas debe realizarse cuando algún tipo de
incidente se convierte en recurrente o tiene un fuerte impacto
en la infraestructura TI de los Centros de Datos, la cual
determina las causas de los problemas y sus posibles
soluciones. Por lo tanto, debe realizar como mínimo las
siguientes actividades:
Operación
del
Servicio
Gestión de
Problemas
Operación
del
Servicio
Gestión de
Eventos

Investigar las causas de las variaciones reales o potenciales
de los servicios TI del Centro de Datos.
 Determinar posibles soluciones a las mismas.
 Proponer las peticiones de cambio (RFC) necesarias para
restablecer la calidad del servicio.
 Realizar Revisiones Post-Implementación (PIR) para
asegurar que los cambios han surtido los efectos buscados
sin crear problemas de carácter secundario.
La Gestión de Eventos debe monitorear todos los sucesos
importantes con el fin de garantizar una operación normal del
servicio. Por lo tanto, debe considerar como mínimo los
siguientes aspectos:



Aparición de eventos. El proceso se inicia cuando ocurre el
suceso, ya sea detectado o no.
Notificación de eventos. El evento es notificado al equipo o
responsable de gestión.
Detección y filtrado de eventos. La notificación llega a un
agente o herramienta de gestión que la lee e interpreta el
suceso con el fin de determinar si merece mayor atención o
no.
12
Etapas del
ciclo de
vida del
servicio
Procesos
ITIL
Requerimientos

Clasificación de eventos. Se le asigna una categoría y un
nivel de prioridad.
 Correlación. Se analiza si existen eventos similares, así
como la importancia del evento en sí mismo y se decide si
es necesario tomar medidas.
 Disparadores. Se ponen en marcha los mecanismos
necesarios para dar respuesta al evento.
 Opciones de respuesta. Se eligen las soluciones a adoptar.
 Revisión de acciones y cierre. Se revisan las excepciones o
eventos importantes para determinar si se han tratado
correctamente. Se cierra el proceso de Gestión de Eventos.
La Gestión de Acceso a los Servicios TI debe otorgar permisos
de acceso a los servicios a aquellos usuarios autorizados e
impedírselo a los usuarios no autorizados. Por lo tanto, es la
puesta en práctica de las políticas y acciones definidas en la
Gestión de la Seguridad y la Gestión de la Disponibilidad. Por lo
tanto, debe contemplar como mínimo los siguientes aspectos:
Operación
del
Servicio
Gestión de
Acceso
Operación
del
Servicio
Funciones
Asociadas
Transición
del
Servicio
Gestión del
Conocimiento
 Petición de acceso
 Verificación de la identidad del usuario.
 Monitoreo de la identidad.
 Registro y monitoreo de accesos
 Eliminación y restricción de derechos.
Nota: este proceso será manejado en profundidad en el
proyecto de SGSI ISO 27001:2013
Dentro de las funciones asociadas a la operación del servicio y
que deben ser consideradas para los Centros de Datos de la
DIAN se encuentran:
 Gestión de Operaciones TI
 Gestión Técnica
 Gestión de Aplicaciones
La Gestión del Conocimiento debe reunir, analizar, almacenar y
compartir el conocimiento e información de la organización. El
objetivo principal del proceso consiste en mejorar la eficiencia,
reduciendo la necesidad de redescubrir el conocimiento. Por lo
tanto, debe contemplar como mínimo las siguientes actividades:




Definir una estrategia de Gestión del Conocimiento y
difundirla en la Entidad.
Ayudar a la transferencia de conocimiento entre personas,
equipos y departamentos.
Gestionar la información y los datos para garantizar su
calidad y utilidad.
Creación, uso y actualización del SKMS (Sistema de
Gestión del Conocimiento del Servicio).
13
Etapas del
ciclo de
vida del
servicio
Transición
del
Servicio
Procesos
ITIL
Requerimientos
La Gestión de Cambios debe garantizar que realicen e
implementen adecuadamente todos los cambios necesarios en
la infraestructura y servicios de los Centros de Datos de la DIAN,
garantizando el seguimiento de los procedimientos estándar de
la Entidad. El cotizante debe considerar que, actualmente la
DIAN cuenta con un proceso de gestión de cambios maduro,
operando y con buenos resultados. Por lo tanto, debe verificar
que como mínimo se contemplen las siguientes actividades:
Gestión del
Cambio

Registrar, evaluar y aceptar o rechazar las solicitudes de
cambio (RFCs) recibidas.
 Planificación e implementación del cambio.
 Convocar reuniones del Consejo Asesor del Cambio (CAB),
excepto en el caso de cambios menores, para la aprobación
de las RFCs y la elaboración del Cronograma de Cambios
Futuros (FSC).
 Evaluar los resultados del cambio y proceder a su cierre en
caso de éxito.
La Gestión de Entregas y Despliegues debe garantizar la
implementación y control de calidad de todo el software y
hardware instalado en los Centros de Datos principal y alterno.
Por lo tanto, debe contemplar como mínimo las siguientes
actividades:

Transición
del
Servicio
Entrega y
Despliegue
Transición
del
Servicio
Servicio y
configuración
de Activos
Establecer una política de implementación de nuevas
versiones de hardware y software.
 Desarrollar o adquirir de terceros las nuevas versiones.
 Implementar las nuevas versiones de software y hardware
en los Centros de Datos después de un proceso de
validación y pruebas.
 Garantizar que el proceso de cambio cumpla las
especificaciones de la RFC correspondiente.
 Asegurar, en colaboración con la Gestión de Cambios y la
de Configuración y Activos TI, que todos los cambios se ven
correctamente reflejados en la base de datos de la gestión
de la configuración (CMDB).
 Archivar copias idénticas del software en producción, así
como de toda su documentación asociada en la biblioteca
definida de medios (DML).
 Mantener actualizado el almacén de recambios definitivos
(DS).
 Comunicar y capacitar a los usuarios sobre las
funcionalidades de la nueva versión.
Nota: el cotizante debe incluir en la cotización el precio de la
CMDB instalada y operando.
La Gestión de la Configuración y Activos TI debe garantizar un
registro actualizado de todos los elementos de configuración de
14
Etapas del
ciclo de
vida del
servicio
Procesos
ITIL
Requerimientos
la infraestructura TI junto con sus interrelaciones. Por lo tanto,
debe contemplar como mínimo las siguientes actividades:

Proporcionar información precisa y fiable al resto de la
organización de todos los elementos que configuran la
infraestructura TI.
 Mantener actualizada la Base de Datos de Gestión de
Configuración y Activos TI.
 Determinar los objetivos y estrategias de la Gestión de la
Configuración y Activos TI.
 Clasificar y registrar los elementos de configuración (CIs),
los cuales deben ser registrados conforme al alcance, nivel
de profundidad y nomenclatura predefinidos.
 Monitorear y controlar la CMDB para asegurar que todos los
componentes autorizados estén correctamente registrados
y conocer su estado actual.
 Realizar auditorías para asegurar que la información
registrada en la CMDB coincide con la configuración real de
la estructura TI de la organización.
 Elaborar informes para evaluar el rendimiento de la Gestión
de la Configuración y Activos TI y aportar información de
vital importancia a otras áreas de la infraestructura TI.
 Servir de apoyo a los otros procesos, en particular, a la
Gestión de Incidencias, Problemas y Cambios.
Se debe realizar un plan de mejora continua que este alineado
a la visión y estrategia del negocio y que permita entre otros:




Servicio de
Mejoramie
nto
Continuo
Proceso de
Mejora
Servicio de
Mejoramie
Informes de
Servicios TI
Conocer en profundidad la calidad y rendimiento de los
servicios TI ofrecidos por los Centros de Datos.
Detectar oportunidades de mejora.
Proponer acciones correctivas.
Supervisar su implementación.
De igual forma, el proceso de mejora debe contemplar como
mínimo las siguientes actividades:

Decidir qué se debe medir: en esta actividad se deben
incluir los factores críticos de éxito (CSFs) y los indicadores
clave de rendimiento (KPIs) correspondientes.
 Definir lo que finalmente se medirá.
 Realizar dichas mediciones.
 Procesar los datos recogidos.
 Analizar la información recopilada.
 Proponer y documentar posibles mejoras con base al
conocimiento adquirido.
 Implementar las mejoras propuestas.
La Gestión de Informes debe proporcionar a todos los agentes
implicados en la gestión de los servicios de los Centros de
15
Etapas del
ciclo de
vida del
servicio
nto
Continuo
Procesos
ITIL
Requerimientos
Datos, una visión objetiva basada en datos y métricas de la
calidad y rendimiento de los servicios prestados. Este proceso
tiene como entrada los datos recopilados y ofrece como salida
informes que permiten implementar mejoras funcionales,
estructurales o para el negocio. Por lo tanto, debe contemplar
como mínimo las siguientes actividades:




Selección y recopilación de los datos necesarios para la
generación de informes.
Procesamiento y análisis de los datos para su posterior uso.
Preparación de los contenidos.
Publicación de los informes predeterminados.
Fuente: CINTEL2
3.2.1 Entrenamiento
Para el proyecto del sistema de gestión del servicio ITIL V3, es fundamental
contar con la participación y el compromiso del personal de la DIAN
involucrado en el mismo.
La cotización debe incluir el valor del curso y examen de certificación ITIL
FOUNDATION V3 para un total de 5 funcionarios de la DIAN.
3.3
Proceso de Administración de la Continuidad incluyendo un Plan
de Continuidad de Negocio y un Plan de Recuperación de Desastres
Los siguientes son los requerimientos del proyecto de continuidad del servicio
de los Centros de Datos de la DIAN.
1. La totalidad del proyecto debe estar alineado y en consonancia con el
cumplimiento de los estándares ISO22301:2012.3
2 La información aquí consignada fue basada y modificada de las siguientes páginas y documentos:

http://itilv3.osiatis.es/itil.php

ITIL v3 Summary Notes, Created by Brian Chu

ITIL V3 WallChart on a page, Fox IT Versión 2.5

Service Design, Service Improvement, Service Operation, Service Transition, Office of Government
Commerce (OGC).
3
ISO22301:2012 especifica los requisitos para planificar, establecer, implementar, operar, monitorear, revisar,
mantener y mejorar continuamente un sistema de gestión documentado para proteger contra, reducir la probabilidad
de ocurrencia, prepararse, responder y recuperarse de incidentes perturbadores cuando surgir. Los requisitos
especificados en la norma ISO 22301: 2012 son genéricos y destinado a ser aplicable a todas las organizaciones, o
partes de los mismos, independientemente del tipo, tamaño y naturaleza de la organización. El alcance de la
aplicación de estos requisitos depende del entorno operativo de la organización y complejidad.
16
2. Para la construcción del proceso de administración de la continuidad se
requiere:
a. Presentar el Plan de los Proyectos BCP y DRP basado en una
metodología PMI que contenga, la definición del proyecto,
alcances , objetivos, estructura, restricciones, premisas, roles,
organigrama, riesgos y su plan de mitigación, entregables y
matriz de comunicaciones entre otros.
b. Planes de Contingencia de Proceso, abarcando los escenarios
de falta de personal, no disponibilidad del sitio normal de trabajo
y no contar con los proveedores críticos del negocio.
c. Planes de Recuperación de Desastres – DRP, el cual contempla
las diferentes estrategias definidas para la recuperación de los
datos y el procesamiento de información de los sistemas de la
DIAN.
d. Plan de Continuidad del Negocio: Procedimientos y estrategias
definidos para asegurar la reanudación oportuna y ordenada de
los procesos de operación del Centro de Datos de la DIAN.
3. Para la Administración del Plan de Continuidad del negocio de la
operación del CDD de la DIAN es necesario implementar 2 Fases:
a. La Fase de Prevención la cual debe comprender las siguientes
tareas:
i. Identificar riesgos y plasmarlos en una Matriz de Riesgos
del Interrupción del servicio.
ii. Hacer un Análisis de Impacto del negocio (BIA) de los
eventos a la continuidad de la operación del CDD de la
DIAN orientado al BCP.
iii. Construir una estrategia de continuidad basada en los
riesgos hallados y el BIA.
iv. Planear y ejecutar 2 ejercicios simulados (el primer año
después de terminando el plan) de realización del plan en
caso de incidente.
b. La Fase del Plan de Administración de crisis con las tareas:
i. Evaluación de los problemas de la crisis
ii. Activación y ejecución del plan
iii. Planear el retorno a la normalidad si es posible.
iv. Evaluar las consecuencias post incidente.
v. Ejecutar un mantenimiento anual del Plan de Continuidad
de acuerdo con la actualización de estándares y los
resultados del ejercicio de simulación.
17
4. Para la construcción del DRP (Disaster Recovery Plan) es necesario el
desarrollo en las siguientes tareas:
a. Análisis de riesgo de desastre, incluyendo las circunstancias de
ubicación de Bogotá en relación con los aspectos sísmicos e
hídricos.
b. Construcción del Análisis de Impacto del desastre.
c. Desarrollo de las estrategias de recuperación.
d. Definición de Roles y Responsabilidad entre los funcionarios de
la DIAN.
e. Planear y ejecutar un ejercicio simulado de desastre en el primer
año después de terminado el Plan.
f. Ejecutar un mantenimiento bienal del Plan de acuerdo con la
actualización de estándares y los resultados del ejercicio de
simulación.
3.3.1 Entrenamiento
Para el éxito del Plan de Continuidad es fundamental contar con la
participación y el compromiso del personal de la DIAN involucrado en el
mismo.
La administración de continuidad debe asegurar que todos los funcionarios
involucrados en el proyecto (Aproximadamente unas 20 personas) reciban
entrenamiento sobre los procedimientos a seguir en caso de incidentes o
desastres, lo cual permite tomar conciencia de la importancia del plan. Lo
mismo es necesario para el total delos funcionarios de la Oficina de Informática
de la DIAN (Aproximadamente unas 120 personas). El cotizante debe incluir
en los costos los valores de entrenamiento que el considere necesarios en
forma separada.
3.4
Migración de las aplicaciones de la DIAN de los actuales niveles
de Java a la última versión de Java
Breve descripción de los sistemas de información a migrar:
MUISCA (Modelo Único de Ingresos Servicio y Control Automatizado)4
Es un es un sistema de información para apoyar la gestión del recaudo
tributario de COLOMBIA bajo responsabilidad de la DIAN.
Este sistema soporta la gestión e integración de áreas, conceptos y datos en
el área de impuestos y aduanas de Colombia; facilita el cumplimiento de los
4
Fuentes: http://www.vive.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/GEL_ME_EstudioCaso_DIAN_Muisca2008.pdf , Documento “Anexo 5
Arquitectura Muisca V2” suministrado por la DIAN
18
deberes fiscales y el ejercicio de los derechos de los ciudadanos y empresas
en los aspectos de tributación de impuestos, declaración de renta y patrimonio.
El sistema MUISCA es un modelo de gestión integral que establece aspectos
organizacionales, de procesos y tecnología como ejes fundamentales del
mismo. El objetivo del MUISCA es gestionar los impuestos y aduanas en
Colombia, por medio de la unión de importantes factores como: la relación
entre ciudadanos, gobierno y la comunidad internacional, además de
consolidarse como una autoridad técnica y competitiva en el país, con el ánimo
de controlar y facilitar el comercio y la tributación.
Los servicios informáticos electrónicos ofrecidos por la DIAN a través del
MUISCA son: Servicios relacionados con el Registro Único Tributario RUT:
solicitud de inscripción, actualización, consulta, solicitud de actualización de
datos de identificación y solicitudes especiales. Servicio informático electrónico
de prestación de información por envío de archivos: permite la presentación
de la información de gran volumen a través de medios virtuales, facilitando el
cumplimiento oportuno de esta obligación o requerimiento. Servicio informático
electrónico de diligenciamiento virtual de formularios: permite al usuario, desde
el portal de la DIAN, de una manera ágil, sencilla y segura, diligenciar los
formularios habilitados por la entidad, haciendo uso de las diferentes ayudas
incorporadas, con la ventaja además de ahorrar costos en la compra de los
mismos y efectuar las correcciones que se requieran, e incluso revisar o
complementar la información del formulario desde lugares y momentos
diferentes.
La Arquitectura Tecnológica del Modelo de Gestión Muisca está conformada
por cuatro (4) componentes base: tecnología, información, negocio y
personas. Los cuales están a su vez conformados por los siguientes
subsistemas:



Componente Tecnología (Subsistema de Arquitectura): es el marco
estándar de trabajo compuesto por seguridad, auditoría, escalabilidad,
autonomía, simplicidad, integración, reutilización y soporte a
estándares internacionales (abierto).
Componente información (Subsistema de Entradas y Salidas):
componente de estandarización e intercambio, compuesto por
estándares abiertos (XML) que garantizan la interoperabilidad, y por la
representación y utilización de los datos (documento).
Componente de negocio (Subsistema de Gestión de Expedientes):
se encarga del realiza el seguimiento de los procesos, compuesto por
procesos de negocio, integración de conceptos, eficiencia, eficacia,
reutilización, definición y documentación.
19

Componente de personas (Subsistema de RUT): usado para la
identificación y administración de los participantes, está compuesto por
registro e identificación, unificación, historia y responsabilidad.
La arquitectura de software de la aplicación Muisca está basada en procesos
acorde al modelo de gestión de la Entidad, con el fin de resolver su
problemática de negocio. Las aplicaciones componentes están clasificadas
así
 Aplicaciones de soporte del interfaz de impuestos al proceso
ADUANERO,
 Aplicaciones de soporte a los procesos de Ingresos y Recaudo
tributario,
 Aplicaciones de soporte a los procesos de apoyo al usuario
(ciudadanos y empresas declarantes) asi como al acceso de los
colaboradores de la DIAN al sistema.
 Aplicaciones de soporte a los procesos de apoyo a la obtención de las
metas transversales.
 Aplicaciones de soporte a los procesos de fiscalización tributaría,
 Aplicaciones de soporte a los procesos relacionados con los recursos
administrativos interpuestos por las personas y entidades declarantes.
 Aplicaciones de soporte a los procesos de tipo Jurídico de la entidad.
Las bases de datos del sistema están basadas en motores Oracle. La lista de
aplicaciones componentes de MUISCA están presentada en el archivo anexo
DIAN 0218 RFI_3 Anexo 2 Tabla de sistemas de información y aplicaciones
de la DIAN v1_0_0. En ese Anexo se presenta información acerca de
objetivos, componentes, servicios y funciones de las aplicaciones del sistema
MUISCA.
En el documento Anexo DIAN 0218 RFI_3 Anexo 5 Arquitectura Muisca V2
se presenta información con más detalle acerca de MUISCA.
ADUANAS
El sistema de información ADUANAS es un conjunto de aplicaciones que
apoya los procesos de gestión de importaciones, Administración y cobros de
aranceles, gestión de cartera del proceso aduanero y todas las operaciones
del concepto aduanero de la DIAN.
EL archivo DIAN 0218 RFI_3 Anexo 2 Tabla de sistemas de información y
aplicaciones de la DIAN v1_0_0 pestaña Inventario de Aplic. ADUANAS se
encuentran las aplicaciones con su objeto y detalles técnicos entre ellos los
lenguajes de programación bases de datos. Los motores de bases de datos
usados son Microsoft SQP Server2000
20
3.4.1 Requerimientos del desarrollo
a)
Migración de todas las aplicaciones del sistema de información MUISCA
que se encuentren en versiones Java de Java 5 en adelante a la última versión
de Java, probablemente Java 8 a la hora de enviar las respuestas a esta
solicitud de información .
b)
Migración de todas las aplicaciones de los sistemas de información de
la DIAN (MUISCA y ADUANAS) que se encuentran en MS Visual Basic 6 a
MS Visual Basic 2012.
c)
Migración de las bases de datos del sistema de información ADUANAS
que usan MS SQL Server 2000.
d)
Las bases de datos ORACLE no son objeto de solicitud de información
en esta convocatoria.
3.4.2 Metodologías
Se requiere:
1. La utilización de la plataforma Aplication Server JBOSS y la utilización
de la plataforma de desarrollo JBOSS Developer Studio última versión
disponible para toda la temática Java..
2. La utilización de la plataforma desarrollo MS Visual Studio.NET última
versión disponible para toda la temática Visual Basic y MS SQL Server.
3. La distribución del trabajo por fases con la siguiente organización:
a. Fase de levantamiento de información, revisión de
especificación y requerimientos y definición de códigos.
b. Fase de diseño y discusión de implementación de nuevos
modelos arquitectónicos en los sistemas de información de la
DIAN. Esta fase se lleva a cabo conjuntamente con el personal
de desarrollo de la DIAN que aportara nuevos diseños ya
definidos.
c. Estructuración y modelados de datos y programas. Puede
implicar nuevas y modelos entidad relación
d. Construcción del nuevo código migrado.
e. Integración de las aplicaciones migadas y no migadas.
f. Revisión y recibo de documentación, Documentación del código
g. Pruebas, modificaciones y recibo de las aplicaciones.
h. Despliegue y Puesta en marcha.
4. El cotizante debe indicar un cronograma de proyecto para cada ítem en
sus respuestas y el estimado de precio por hora de servicio para cada
miembro del grupo ejecutor el Anexo 5 de Precios.
21
5. Se requiere que el proyecto o sea ejecutado con los siguientes
estándares de desarrollo de software:
a. ISO 9000-3: Interpretación del ISO9001 para desarrollo de
software.
b. ISO 12207 para método de selección, implementación y
monitoreo del ciclo de vida del software
c. Modelo de calidad del software CMMI de acuerdo a la
normatividad aplicable y recomendada por GEL, Nivel 3 CMMI:
Definido.
4.
ANEXOS
Anexo 2: Tabla de aplicaciones de la DIAN
Anexo 3: Recursos humanos requeridos por proyecto
Anexo 4: Tabla de precios
Anexo 5: Arquitectura Muisca
22
Documentos relacionados
CÓDIGO DE VERIFICACIÓN PERMITE COMPROBAR
CÓDIGO DE VERIFICACIÓN PERMITE COMPROBAR
176 DIAN reestablece operación de comercio exterior
176 DIAN reestablece operación de comercio exterior
81 DIAN retiene cerca de $460 millones en divisas
81 DIAN retiene cerca de $460 millones en divisas
y tasa de cambio representativa - Alba Lucia Orozco
y tasa de cambio representativa - Alba Lucia Orozco
LA DIAN LE SIGUE CUMPLIENDO AL PAÍS
LA DIAN LE SIGUE CUMPLIENDO AL PAÍS
documento completo
documento completo
DIAN RESTRINGE ACCESO A LA WEB PARA MEJORAR LA
DIAN RESTRINGE ACCESO A LA WEB PARA MEJORAR LA
La DIAN se permite informar que el 1 de agosto de 2016, entra en
La DIAN se permite informar que el 1 de agosto de 2016, entra en
BORRAR LOS ARCHIVOS TEMPORALES DE JAVA. Iniciar con el
BORRAR LOS ARCHIVOS TEMPORALES DE JAVA. Iniciar con el
documento completo
documento completo
Descargar
Anuncio
Anuncio