Catálogo de responsabilidades

Ámbito Infraestructura

Diseño y Evolutivos

MO01 - De Infraestructura horizontal

Diseñar, definir y evolucionar todos los servicios e infraestructuras destinados que dan soporte a las diferentes infraestructuras de despliegue

Operaciones y resolución de incidencias

MO02 - Operación/Incidencia almacenamiento

Gestión, administración y resolución de incidencias del almacenamiento de la infraestructura.

MO03 - Operación/incidencia networking

Gestión, administración y resolución de incidencias de la infraestructura de red.

MO04 - Operación/Incidencia certificados

Gestión completa y resolución de incidencias de los certificados electrónicos de servidor seguro utilizados en la infraestructura, incluyendo la gestión de caducidades de los mismos.

Los certificados específicos utilizados por los contenedores y los sistemas de información, aplicaciones, componentes, herramientas, etc. para cumplir con la funcionalidad, como son los certificados de servidor seguro, de sello de aplicaciones, utilizados para determinados servicios webs como SCSP, y certificados de sello electrónico, utilizados para la actuación administrativa automatizada, serán gestionados por los roles correspondientes.

MO05 - Operación/Incidencia backup

Realización del backup de los servicios y componente de la infraestructura, de forma que en caso de caída o desastre se permita una recuperación completa de la misma sin pérdidas o del servicio caído.

Comprobación y validación de los backups realizados.

Resolución de incidencias ocurridas en los backups de infraestructura.

MO06 - Incidencias seguridad – Infraestructura Completa

Atender y solucionar todas las incidencias de seguridad en el ámbito below de platform completo, incluyendo las plataformas desplegadas en el mismo.

MO07 - Monitorización infraestructura

Alertar y escalar mediante procedimientos ya definidos las incidencias relativas a la infraestructura que soporta despliegues, CI/CD y de Servicios.

Ámbito infraestructura de despliegue

Diseño y Evolutivos

MO08 - De infraestructuras de despliegue

Definición y evolución de los componentes y herramientas que forman parte de las infraestructuras de despliegue

MO09 - Proporcionar los servicios de observabilidad que consumen los servicios de desarrollo

Proporcionar los servicios de observabilidad que consumen los servicios de desarrollo. (Monitorización, gestión de logs, etc).

Por cada sistema de información, aplicación, herramienta, etc. del cual son responsables los equipos de Desarrollo, estos tendrán acceso en cualquier momento a:

  • La monitorización de cada sistema de información, aplicación, herramienta, etc.

  • Sus logs en tiempo real e históricos.

  • Cualquier otra herramienta que ayude a los equipos de desarrollo a solucionar incidencias y controlar la eficiencia de los sistemas de información, aplicaciones, herramientas, etc.

Operaciones y Resolución Incidencias

Todas las herramientas que conforman la Plataforma de integración y despliegue continuo son tratadas como cualquier sistema de información o aplicación desplegada, por lo que la operación y resolución de incidencias de esas herramientas están en las tareas descritas en el apartado Gestión Negocio y Herramientas, siendo atendidas por el equipo DevSecOps asignado.

Las infraestructuras de despliegue se exceptúan de esta consideración.

MO10 - Administración Funcional

Realiza tareas de administración a nivel funcional, gestiona conceptos funcionales y no técnicos, como serían:

  • Gestión de proyectos y grupos
  • Gestión de cualquier entidad lógica necesaria ( por ejemplo: namespaces de openshift)

MO11 - Operación/Incidencia infraestructuras de despliegue

Operación, mantenimiento y resolución de incidencias sobre cualquiera de las infraestructuras de despliegue

MO12 - Proporcionar soporte puntual sobre el uso de las infraestructuras de despliegue

Proporcionar soporte puntual sobre el uso de cualquiera de las herramientas ejecutadas en las infraestructuras de despliegue.

Ámbito Plataforma CI/CD

Definición de estándares, normas y entorno tecnológico

MO13 - Diseño y gobierno de las soluciones técnicas

Definir y promover las herramientas que forman la Plataforma CI/CD para automatizar las distintas etapas del ciclo de vida de un proyecto software, tales como compilación, pruebas, despliegue, etc, así como establecer los estándares, normas y buenas prácticas de su uso.

MO14 - Análisis de herramientas alternativas

Las tareas principales a realizar son:

  • Estudiar constantemente el mercado en busca de otras herramientas que mejoren las que forman la Plataforma CI/CD en cada momento.
  • Probar nuevas soluciones realizar informes de idoneidad para la Plataforma CI/CD.
  • Evaluar la viabilidad de nuevas soluciones propuestas por los distintos equipos para la Plataforma CI/CD.

Operaciones y Resolución Incidencias

Las herramientas que forman la Plataforma CI/CD que están desplegadas en la Plataforma Pre-Cloud, como son Tekton, ArgoCD, etc., son tratadas como cualquier sistema de información o aplicación desplegado en dicha plataforma, por lo que la operación y resolución de incidencias de esas herramientas en las tareas descritas en el apartado Gestión Negocio y Herramientas, siendo atendidas por el equipo DevSecOps asignado.

La operación y resolución de incidencias de aquellas herramientas que forman parte de la Plataforma CI/CD pero que no están desplegadas en la Plataforma Pre-Cloud, como son GitLab y Jfrog Artifactory, no forman parte de este Modelo Operativo, aunque, su administración funcional sí forma parte ya que dan servicio al modelo.

MO15 - Administración Funcional

Realiza tareas de administración a nivel funcional, gestiona conceptos funcionales y no técnicos, como sería:

  • Gestión de proyectos y grupos
  • Configuración de los artefactos afectados con problemas de seguridad
  • Etc.

Ámbito Plataforma de Servicios (ESB, COLAS, SGBD…)

Definición de estándares, normas y entorno tecnológico

MO16 - De Plataforma de Servicios

Definir las normas, estándares, herramientas y componentes de la Plataforma de Servicios.

Por tanto, las tareas a realizar son:

  • Definir y desarrollar de forma iterativa en mejora continua:
    • Las herramientas y componente de la plataforma.
    • Las normas y los estándares de utilización de las herramientas y componente de la plataforma.
  • Establecer los requisitos no funcionales a cumplir por las herramientas y componente de la plataforma.

Operaciones y Resolución Incidencias

Las herramientas que forman la Plataforma de Servicios que están desplegadas en la Plataforma Pre-Cloud, son tratadas como cualquier sistema de información o aplicación desplegado en dicha plataforma, por lo que la operación y resolución de incidencias de esas herramientas en las tareas descritas en el apartado Gestión Negocio y Herramientas, siendo atendidas por el equipo DevSecOps asignado.

La operación y resolución de incidencias de aquellas herramientas que forman parte de la  Plataforma de Servicios pero que no están desplegadas en la Plataforma Pre-Cloud o no se despliegan utilizando prácticas DevSecOps, no forman parte de este Modelo Operativo.

MO17 - Operación/Incidencia de la Plataforma de Servicios relacionadas con el Negocio

Mantenimiento de la información, y su estructura, que los sistemas de información, aplicaciones, servicios, etc. de negocio tienen configuradas o hacen uso dentro de las herramientas que forman parte de la Plataforma de Servicios, como por ejemplo, alteración de un esquema de BBDD utilizado por un sistema de información de negocio, creación y permisos de esquemas utilizados por un sistema de información de negocio.

Atender las posibles incidencias relacionadas con  dicha información, y su estructura.

Ámbito Negocio y Herramientas

Definición de estándares, normas y entorno tecnológico

MO18 - Diseño y gobierno de las soluciones técnicas

Definir y promover la arquitectura y estándares corporativos del mercado y las nuevas tecnologías emergentes, gobernar el desarrollo de frameworks, componentes y activos corporativos reutilizables.

Por tanto, las tareas a realizar son:

  • Creación de una estrategia tecnológica en la ADA que marque los principios generales.
  • Mantenimiento de un Catálogo de componentes y activos reutilizables.
  • Definir los patrones de arquitectura corporativos para los Sistemas de información.
  • Establecer los requisitos no funcionales a cumplir por los productos tecnológicos.
  • Definir y desarrollar de forma iterativa en mejora continua:
    • La arquitectura global y de contexto.
    • Las normas y los estándares corporativos.
    • Los frameworks, componentes y activos corporativos reutilizables, junto con unas normas y buenas prácticas.
  • Auditorías de sistemas de información, para evaluar el cumplimiento de todo lo definido, recomendando cuando procedan medidas correctivas.

MO19 - Análisis alternativas software y herramientas

Las tareas principales a realizar son:

  • Estudiar constantemente el mercado y las tecnologías emergentes en busca de oportunidades tecnológicas.
  • Probar nuevas soluciones arquitecturales y realizar informes de idoneidad.
  • Evaluar la viabilidad de nuevas soluciones propuestas por los distintos equipos.

MO20 - Mejores Prácticas DevSecOps

Definición de la estrategia y planes de acción en la ADA para la adopción de DevSecOps. Ejercer como autoridad de adopción de DevSecOps: el modelo de gobierno, su modelo operativo, así como las relaciones con otros equipos.

La sistematización de la transición a DevSecOps, junto a la adopción de metodologías ágiles y paso a la integración y el despliegue continuo de las aplicaciones maximizando la automatización.

Colaborar y dar soporte a los equipos de Desarrollo y Operación.

Colaborar en la gestión del cambio cultural y técnico.

MO21 - Mejores prácticas uso despliegue

La definición de las normas, estándares, herramientas, frameworks y mejores prácticas que ayuden a acelerar la transición a DevSecOps en el ámbito de la Plataforma Pre-Cloud.

Pipelines

MO22 - Diseño e implementación de pipelines

Diseñar e implementar pipelines que utilizarán los sistemas de información, aplicaciones, componentes, herramientas, etc en la Plataforma CI/CD DevSecOps.

Diseño y Evolutivos

MO25 - De Sistemas de Información, Aplicaciones, Etc.

Desarrollo de nuevo sistemas de información, aplicaciones, servicios, etc. de negocio y evolutivos del mismo utilizando el modelo CaaS.

MO26 - Implementación de las pruebas automáticas

Realizar la implementación de las pruebas automáticas en función de la estrategia de pruebas definida, para mejorar la calidad del software facilitando el proceso de entrega continua, al minimizar el número de pruebas manuales (lentas, expuestas a errores) necesarias en cada nueva versión.

MO27 - Solicitar Entornos

Solicitar los entornos necesarios para el desarrollo y mantenimiento de los sistemas de información, aplicaciones, componentes, etc. a desplegar, indicando todas las características técnicas mínimas necesarias que debe tener el entorno (en próximas versiones de este documento se debe normalizar un documento para solicitud de entornos), e irá dirigida al equipo de Operación. Los entornos disponibles se especifican Definición de entornos bajo DevOps (#Página pendiente de publicar).

MO28 - Solicitar despliegues

Solicitar despliegues, de acuerdo a los servicios y procedimientos definidos (en próximas versiones de este documento se definirán estos procedimientos), en otros entornos distintos al de TEST y para los que no se tenga autonomía.

MO29 - Realizar el despliegue utilizando el pipeline

Realizar el despliegue de sistemas de información, aplicaciones, componentes, herramientas,etc. utilizando el pipeline diseñado para ello y siguiendo las instrucciones aportadas por el equipo DevSecOps en el caso de aspectos/requisitos no incluidos en el pipeline.

MO30 - Tener actualizada la configuración del entorno

Tener actualizada la configuración del entorno en el sistema de configuración establecido donde se encuentren.

MO31 - Aportar información conectividad hacia terceros

Aportar toda la información necesaria para la interconexión con otros elementos de infraestructura o sistemas (urls, ips, puertos, recursos de almacenamiento) al equipo responsable para facilitar las comunicaciones necesarias.

MO32 - Realizar las Gestiones de conectividad hacia terceros

Realizar las gestiones de conectividad hacia terceros en caso de ser necesarias para el correcto funcionamiento del sistema de información, aplicación, componente, etc.

Deberá ponerse en contacto o abrir los tiques necesarios a los equipos/responsables que se encarguen de realizar las acciones oportunas para que el sistema de información, aplicación, componente, etc. tenga visibilidad y conectividad con aquellos componentes que necesite para su correcto funcionamiento.

MO33 - Definición requisitos del backup funcional

Validar que la política de salvaguardia de la DGED cumple con los requisitos necesarios para la recuperación consistente de todos los sistemas de información, aplicaciones,componentes, etc.. En caso de no ser así deberá definir qué requisitos funcionales debe cumplir la copia de seguridad específica de ellos.

MO34 - Implementación del backup funcional

En función de los requisitos establecidos para cada sistema de información, aplicación, componente,etc., se configurarán las herramientas necesarias para que el backup de ellos cumpla con lo definido y en caso de desastre sea posible la recuperación de los sistemas en su totalidad.

MO35 - Definir los requisitos de monitorización funcional

Definir qué parámetros y características se deben motorizar y observar para comprobar que se garanticen los requisitos funcionales del negocio y de las herramientas utilizadas en las distintas plataformas.

MO36 - Implementación de la monitorización funcional

Implementar y configurar las herramientas de monitorización y observabilidad para que en las mismas se puedan recoger todos los parámetros y requisitos definidos por Desarrollo para cada sistemas de información, aplicación, componente, herramienta,etc. que garanticen los requisitos funcionales del negocio y poder detectar comportamientos anómalos en las aplicaciones.

Operaciones y Resolución Incidencias

MO37 - Operación de Sistemas de Información y Herramientas

Mantener operativos los sistemas de información, aplicaciones, componentes, herramientas, etc. desplegados en cualquiera de las infraestructuras de despliegue. En caso de indisponibilidad, se encargará de su recuperación dentro de las posibilidades definidas en la capacidad del apartado donde se detallan las capacidades de gestión (en próximas versiones de este documento se detallarán las capacidades). Cuando dicha capacidad no sea suficiente para restablecer el servicio se solicitará soporte al Equipo de Infraestructura.

MO38 - Monitorización de Software

Alertar y escalar mediante procedimientos ya definidos (en próximas versiones de este documento se definirán estos procedimientos) las incidencias relativas a aquellos sistemas de información, aplicaciones, componentes, herramientas, etc. desplegados de los cuales se han definido e implementado los requisitos de monitorización funcional.

MO39 - Incidencias seguridad

Atender y solucionar todas las incidencias de seguridad en el ámbito de los sistemas de información, aplicaciones, componentes, etc. desplegados en las infraestructuras de despliegue, así como aquellas incidencias de seguridad que tengan relación con el código o algunos de los artefactos (librerías, …) que se utilizan para generarlos.

MO40 - Tratamiento de las incidencias de usuario

Tratamiento de las incidencias reportadas por los usuarios de los sistemas de información y aplicaciones.

El triaje, clasificación y reclasificación dependerán de cómo esté finalmente modelado en CEIS (incidencias en las que se actúa reactivamente) o en la monitorización del sistema (incidencias en las que se actúa proactivamente) (en próximas versiones de este documento se definirán estos procedimientos).

MO41 - Definir las tareas de operación y mantenimiento sobre el sistema de información

Definir las tareas de operación y mantenimiento sobre el sistema de información a ejecutar por el equipo de Operaciones, como por ejemplo,ejecutar scripts de borrado de datos cada cierto tiempo, etc.

MO42 - Gestión de certificados de sello de aplicación y sello electrónico

Gestión de los certificados de sello de aplicación, utilizados para determinados servicios webs como SCSP, y certificados de sello electrónico, utilizados para la actuación administrativa automatizada, en lo que respecta a la Solicitud de alta y generación del certificado. Inventario de los certificados utilizados por la aplicación y gestión de sus caducidades para solicitar la renovación de los mismos. Solicitar a Operación la instalación de un certificado, ya sea nuevo o renovado, en la aplicación que corresponda, dando instrucciones en lo que respecta a nombre de alias y contraseña, o cualquier otro aspecto que deban tener en cuenta.

Para la solicitud y generación de los certificados se deben seguir los procedimientos indicados en la página Certificados electrónicos de servidor y sello.

MO43 - Operación de certificados de sello de aplicación y sello electrónico

Instalación, eliminación y actualización de los certificados de sello de aplicación, utilizados para determinados servicios webs como SCSP, y certificados de sello electrónico, utilizados para la actuación administrativa automatizada, suministrados por Desarrollo y siguiendo sus instrucciones en lo que respecta a nombre de alias y contraseña.

Resolución de las incidencias provocadas por estos tipos de certificados.

MO44 - Operación/Incidencia certificados de servidor seguro (SSL/Wildcard/SAN/Sede)

Gestión completa y resolución de incidencias de los certificados electrónicos de servidor seguro utilizados en los sistemas de información, aplicaciones, componentes, herramientas, etc. desplegados en cualquiera de las infraestructuras de despliegue incluyendo la gestión de caducidades de los mismos.

Se incluyen en esta categoría los siguientes certificados (Certificados electrónicos de servidor y sello):

  1. Certificado de un único dominio (SSL): Este certificado garantiza la identidad del dominio donde se publique un servidor web mediante el protocolo SSL/TLS, garantizando la comunicación cifrada y segura entre el cliente y el servidor. Son certificados cualificados.
  2. Certificado de subdominio (wildcard): Este certificado garantiza la identidad de cualquier subdominio de un dominio determinado mediante el protocolo SSL/TLS, garantizando la comunicación cifrada y segura entre el cliente y el servidor. Son certificados no cualificados.
  3. Certificado multidominio (SAN/UC): Este certificado permite securizar un conjunto de dominios diferentes, hasta un máximo de 15. Son certificados no cualificados.
  4. Certificado de sede electrónica: Es un certificado de autenticación de sitio web para identificar y garantizar una comunicación segura con una Sede electrónica.

Pruebas de carga

MO45 - De Sistemas de Información, Aplicaciones. Etc.

Elaboración junto con la Oficina de Calidad de los planes de carga de lo sistemas de información, componentes, servicios, aplicaciones, herramientas, etc. Realización de las pruebas de carga necesarias para asegurar que la aplicación es capaz de soportar el volumen de datos, usuarios, concurrencias, etc. para el que se ha sido diseñado.

Ámbito Seguridad/ENS

Seguridad

MO46-Definición requerimientos generales

Las tareas principales a realizar son:

  • Definición de las medidas de seguridad.
  • Elaboración del Plan de Ciberseguridad.
  • Punto de contacto para coordinar la gestión de incidentes.
  • Supervisar y desarrollar soluciones de seguridad de la información.
  • Asesoramiento en el desarrollo de políticas de seguridad TIC
  • Auditoría y adecuación en materia legal y normativa.
  • Revisiones técnicas de sistemas y análisis de riesgos de seguridad de las tecnologías de la información (TI).
  • Soporte a la implantación de sistemas de gestión de la seguridad de la información (SGSI).
  • Diseño y desarrollo de planes de sensibilización en materia de seguridad TIC.
  • Consultoría para el diseño, despliegue y operación de equipos de prevención, detección y respuesta a incidentes en seguridad TIC (CERT).

MO47-Seguridad y ENS en las diferentes infraestrcuturas de despliegue

Implementar en las infraestructuras de despliegue las medidas de seguridad definidas por Seguridad y aquellos aspectos relacionados con el Esquema Nacional de Seguridad (ENS).

MO48-Seguridad y ENS en los Sistemas de información Negocio

Implementar en los sistemas de información, aplicaciones, componentes, etc. las medidas de seguridad definidas por Seguridad de carácter general y específicas para cada sistema de información, aplicación, etc. y aquellos aspectos relacionados con el Esquema Nacional de Seguridad (ENS).

Índice