RECOMENDACIONES PARA LA CORRECTA OPERACIÓN DEL

Anuncio
Ministerio de Educación Nacional
Viceministerio de Educación superior
República de Colombia
RECOMENDACIONES PARA LA CORRECTA OPERACIÓN DEL SISTEMA NACIONAL DE
INFORMACIÓN DE LA EDUCACIÓN SUPERIOR –SNIES-
Objetivo: Realizar recomendaciones para garantizar la correcta operación del SNIES instalado
localmente en las Instituciones de Educación Superior del país.
Alcance: Este documento reúne recomendaciones básicas para tener en cuenta en las IES como un
conjunto de condiciones, requerimientos y procedimientos que garanticen la efectividad del proceso de
reporte de información al Ministerio de Educación a través del SNIES.
El Sistema Nacional de Información de la Educación Superior –SNIES- es un sistema cuya misión se
fundamenta en la necesidad de brindar información actualizada de la educación superior, permitiendo a
todos sus participantes: Instituciones de educación superior (IES), organismos gubernamentales y no
gubernamentales, estudiantes, profesores y a la comunidad mejorar su conocimiento sobre el sector y la
toma de decisiones.
El soporte tecnológico requerido para el mantenimiento de una plataforma de integración de información
requiere que las partes (IES y el MEN) mantengan un conjunto de políticas, respecto al sistema y
realicen procesos de mantenimiento preventivo y correctivo que permitan minimizar el riesgo en la
operación de este sistema de información ante el MEN. A continuación, hacemos referencia de algunos
procesos y recomendaciones que se deben estar efectuando en las IES para garantizar el correcto
funcionamiento y continuidad del servicio.
Las recomendaciones realizadas son:
-
Elaborar una Matriz de Riesgos de la Institución en la cual se mida el impacto y la estrategia para
mitigar el mismo.
-
Definir una o varias políticas de seguridad respecto al sistema de información.
Las políticas de seguridad deben ser medibles para poder evaluar su eficacia y se deben poder
establecer como controles tangibles sobre los sistemas. A continuación mencionamos algunas
políticas que se deben tener en cuenta:
Política de Backup: La Política de Backup debe tener en cuenta diferentes niveles de operación,
entendiendo que el cumplimiento de la misma garantice la recuperación del sistema al estado
inmediatamente anterior al incidente:
a.
b.
c.
d.
A nivel de sistema operativo: Posterior a una pérdida del sistema operativo.
A nivel de software instalado: Posterior a una pérdida de la aplicación de soporte del
sistema de información.
A nivel de base de datos: Posterior a una pérdida de la base de datos que da soporte al
sistema de información.
A nivel de información diligenciada: Posterior a una pérdida de información relacionada
con el sistema de información en sí.
Centro Administrativo Nacional-CAN PBX 222 2800
Ministerio de Educación Nacional
Viceministerio de Educación superior
República de Colombia
La política de backup se debe formular a partir del entendimiento del procedimiento que el
sistema de información ejecuta. En el caso del SNIES, ya que el modelo de reporte de
información está basado en la Resolución 626 de febrero de 2007, se debe garantizar que
cualquier novedad de información, posterior a una fecha de corte de reporte, se debe actualizar
con un plazo máximo de 15 días después de presentada la novedad en la IES, lo que sugiere
que se deben generar backup antes y después de la actualización de la información en el
sistema. También, se debe tener en cuenta que los niveles de backup no están asociados a
dispositivos de hardware, sino que se aplican sobre los sistemas de información, por ello los
backup incluyen todo el hardware y software que esté directamente relacionado con el mismo.
Antivirus: La política de seguridad enfocada en antivirus debe ser un reflejo del riesgo que corre
el sistema, como cualquier software que está expuesto a internet, dados los requerimientos del
SNIES (7x24). Por lo tanto, se debe mantener por política de seguridad la adquisición de
herramientas como Antivirus, Adware y Spyware, con procesos automáticos de actualización
diaria.
Mantenimiento de la Infraestructura tecnológica: La política de seguridad relacionada con la
infraestructura tecnológica debe reflejarse en tres aspectos:
El estado óptimo: Este debe ofrecer las condiciones mínimas óptimas para garantizar la
operación del servicio. Ello incluye, la adecuada conexión eléctrica (niveles de voltaje,
conectores, UPS), la adecuada conexión a internet (dirección pública, configuración local, ancho
de banda del servicio), adecuado hardware (servidor de aplicaciones, servidor de bases de
datos, Firewall, etc.) entre otros factores.
Mantenimiento preventivo: Es el enfocado en la revisión o lista de chequeo para verificar que el
estado óptimo de la infraestructura se mantiene en el tiempo. El mantenimiento preventivo se
debe ejecutar cuando menos 2 semanas antes de la fecha de corte de reporte de información
para garantizar el correcto funcionamiento del sistema y de ser necesario, la ejecución de un
proceso correctivo efectivo.
Procesos Correctivos: Dada una falencia en la operación del sistema, encontrada a partir de la
lista de chequeo de mantenimiento preventivo o en su momento, se debe ejecutar un proceso
correctivo inmediato y eficaz, entendido las diferentes alternativas que permitan al sistema
continuar operando y que estos se ejecuten acorde a los tiempos planeados para no entorpecer
la operación del sistema. Un proceso correctivo se debe pensar en función de cada de los ítems
de la lista de chequeo que pertenece al mantenimiento preventivo.
Política de Administración de Contraseñas: Es vital mantener una política única de
administración de contraseñas. Una política adecuada de contraseñas debe incluir
almacenamiento, procedimiento de recuperación, política de uso, responsable de uso,
responsable de almacenamiento.
-
Gestión del Conocimiento: Además de las políticas de seguridad enunciadas anteriormente, se debe
tener en cuenta la importancia de mantener un apropiado mecanismo de transferencia del
conocimiento previamente adquirido, para la administración y utilización de los diferentes
componentes del sistema dispuesto por el MEN. Así mismo, es importante que la institución creen
los procesos y procedimientos necesarios que garanticen la transferencia del conocimiento entre el
Centro Administrativo Nacional-CAN PBX 222 2800
Ministerio de Educación Nacional
Viceministerio de Educación superior
República de Colombia
grupo de personas que administrarán el servicio.
La transferencia de conocimiento debe estar en los planes de contingencia de todas las IES para
minimizar el riego debido a la ausencia del personal idóneo, garantizar la efectiva administración de
los sistemas y la oportunidad y calidad en el reporte de información al SNIES Central.
A continuación se mencionan algunos de los temas a tener en cuenta:
1. Velar por la correcta transferencia de conocimiento del SNIES, administración y gestión de la
información. Además, la Institución deben generar los procedimientos y manuales necesarios
para la correcta operación de los sistemas en la IES.
2. Contar con el perfil profesional de los usuarios del SNIES Local acorde con la importancia en el
manejo de la información de la institución y el reporte al MEN.
3. Hacer usos de la consulta de información estadística a través de la página web denominada
“firmas”: http://snies.mineducación.gov.co/firmas/index.jsp. Aunque este aplicativo es muy
intuitivo, la institución debe incluir la administración del mismo dentro de la política de
contraseñas y debe elaborar un manual de utilización de los servicios dispuestos.
Centro Administrativo Nacional-CAN PBX 222 2800
Descargar