Ministerio de Educación Nacional Viceministerio de Educación superior República de Colombia RECOMENDACIONES PARA LA CORRECTA OPERACIÓN DEL SISTEMA NACIONAL DE INFORMACIÓN DE LA EDUCACIÓN SUPERIOR –SNIES- Objetivo: Realizar recomendaciones para garantizar la correcta operación del SNIES instalado localmente en las Instituciones de Educación Superior del país. Alcance: Este documento reúne recomendaciones básicas para tener en cuenta en las IES como un conjunto de condiciones, requerimientos y procedimientos que garanticen la efectividad del proceso de reporte de información al Ministerio de Educación a través del SNIES. El Sistema Nacional de Información de la Educación Superior –SNIES- es un sistema cuya misión se fundamenta en la necesidad de brindar información actualizada de la educación superior, permitiendo a todos sus participantes: Instituciones de educación superior (IES), organismos gubernamentales y no gubernamentales, estudiantes, profesores y a la comunidad mejorar su conocimiento sobre el sector y la toma de decisiones. El soporte tecnológico requerido para el mantenimiento de una plataforma de integración de información requiere que las partes (IES y el MEN) mantengan un conjunto de políticas, respecto al sistema y realicen procesos de mantenimiento preventivo y correctivo que permitan minimizar el riesgo en la operación de este sistema de información ante el MEN. A continuación, hacemos referencia de algunos procesos y recomendaciones que se deben estar efectuando en las IES para garantizar el correcto funcionamiento y continuidad del servicio. Las recomendaciones realizadas son: - Elaborar una Matriz de Riesgos de la Institución en la cual se mida el impacto y la estrategia para mitigar el mismo. - Definir una o varias políticas de seguridad respecto al sistema de información. Las políticas de seguridad deben ser medibles para poder evaluar su eficacia y se deben poder establecer como controles tangibles sobre los sistemas. A continuación mencionamos algunas políticas que se deben tener en cuenta: Política de Backup: La Política de Backup debe tener en cuenta diferentes niveles de operación, entendiendo que el cumplimiento de la misma garantice la recuperación del sistema al estado inmediatamente anterior al incidente: a. b. c. d. A nivel de sistema operativo: Posterior a una pérdida del sistema operativo. A nivel de software instalado: Posterior a una pérdida de la aplicación de soporte del sistema de información. A nivel de base de datos: Posterior a una pérdida de la base de datos que da soporte al sistema de información. A nivel de información diligenciada: Posterior a una pérdida de información relacionada con el sistema de información en sí. Centro Administrativo Nacional-CAN PBX 222 2800 Ministerio de Educación Nacional Viceministerio de Educación superior República de Colombia La política de backup se debe formular a partir del entendimiento del procedimiento que el sistema de información ejecuta. En el caso del SNIES, ya que el modelo de reporte de información está basado en la Resolución 626 de febrero de 2007, se debe garantizar que cualquier novedad de información, posterior a una fecha de corte de reporte, se debe actualizar con un plazo máximo de 15 días después de presentada la novedad en la IES, lo que sugiere que se deben generar backup antes y después de la actualización de la información en el sistema. También, se debe tener en cuenta que los niveles de backup no están asociados a dispositivos de hardware, sino que se aplican sobre los sistemas de información, por ello los backup incluyen todo el hardware y software que esté directamente relacionado con el mismo. Antivirus: La política de seguridad enfocada en antivirus debe ser un reflejo del riesgo que corre el sistema, como cualquier software que está expuesto a internet, dados los requerimientos del SNIES (7x24). Por lo tanto, se debe mantener por política de seguridad la adquisición de herramientas como Antivirus, Adware y Spyware, con procesos automáticos de actualización diaria. Mantenimiento de la Infraestructura tecnológica: La política de seguridad relacionada con la infraestructura tecnológica debe reflejarse en tres aspectos: El estado óptimo: Este debe ofrecer las condiciones mínimas óptimas para garantizar la operación del servicio. Ello incluye, la adecuada conexión eléctrica (niveles de voltaje, conectores, UPS), la adecuada conexión a internet (dirección pública, configuración local, ancho de banda del servicio), adecuado hardware (servidor de aplicaciones, servidor de bases de datos, Firewall, etc.) entre otros factores. Mantenimiento preventivo: Es el enfocado en la revisión o lista de chequeo para verificar que el estado óptimo de la infraestructura se mantiene en el tiempo. El mantenimiento preventivo se debe ejecutar cuando menos 2 semanas antes de la fecha de corte de reporte de información para garantizar el correcto funcionamiento del sistema y de ser necesario, la ejecución de un proceso correctivo efectivo. Procesos Correctivos: Dada una falencia en la operación del sistema, encontrada a partir de la lista de chequeo de mantenimiento preventivo o en su momento, se debe ejecutar un proceso correctivo inmediato y eficaz, entendido las diferentes alternativas que permitan al sistema continuar operando y que estos se ejecuten acorde a los tiempos planeados para no entorpecer la operación del sistema. Un proceso correctivo se debe pensar en función de cada de los ítems de la lista de chequeo que pertenece al mantenimiento preventivo. Política de Administración de Contraseñas: Es vital mantener una política única de administración de contraseñas. Una política adecuada de contraseñas debe incluir almacenamiento, procedimiento de recuperación, política de uso, responsable de uso, responsable de almacenamiento. - Gestión del Conocimiento: Además de las políticas de seguridad enunciadas anteriormente, se debe tener en cuenta la importancia de mantener un apropiado mecanismo de transferencia del conocimiento previamente adquirido, para la administración y utilización de los diferentes componentes del sistema dispuesto por el MEN. Así mismo, es importante que la institución creen los procesos y procedimientos necesarios que garanticen la transferencia del conocimiento entre el Centro Administrativo Nacional-CAN PBX 222 2800 Ministerio de Educación Nacional Viceministerio de Educación superior República de Colombia grupo de personas que administrarán el servicio. La transferencia de conocimiento debe estar en los planes de contingencia de todas las IES para minimizar el riego debido a la ausencia del personal idóneo, garantizar la efectiva administración de los sistemas y la oportunidad y calidad en el reporte de información al SNIES Central. A continuación se mencionan algunos de los temas a tener en cuenta: 1. Velar por la correcta transferencia de conocimiento del SNIES, administración y gestión de la información. Además, la Institución deben generar los procedimientos y manuales necesarios para la correcta operación de los sistemas en la IES. 2. Contar con el perfil profesional de los usuarios del SNIES Local acorde con la importancia en el manejo de la información de la institución y el reporte al MEN. 3. Hacer usos de la consulta de información estadística a través de la página web denominada “firmas”: http://snies.mineducación.gov.co/firmas/index.jsp. Aunque este aplicativo es muy intuitivo, la institución debe incluir la administración del mismo dentro de la política de contraseñas y debe elaborar un manual de utilización de los servicios dispuestos. Centro Administrativo Nacional-CAN PBX 222 2800