(A A''ji; V • K-3v>\>T* V .*•"* ■ r ’• , v v ,;A • n W.i ,v,v^y\ v- f. K«X«* v » 5 V.tV.V.V.j... ‘ i v****, •> v «!• F" ,VjwZ*z «■»»*»>»• w.*.w*V : i d§55 > v.v '■ [♦ rf E>:gS j *** < • r 1 jv < *•■•' • i <901*1108 ' ■ • ;.!i 1 V' ■' ' ■ 1 ? .1 :j I * : v : : >;*•' v »V« 9 1 : '!• ■>' • f. v ** • • , ' r. f /■•V ■ t / • V:. r.%y.v>.v;\y _ ¥ ., • J H \ < • r-» ‘.v i "-t . . '• ♦ v m.v .♦?« Testni centri ECDL ECDL (European Computer Oriving License), ki ga v Sloveniji imenujemo evropsko računalniško spričevalo, je standardni program usposabljanja uporabnikov, ki da zaposlenim potrebno znanje za delo s standardnimi računalniškimi programi na informatiziranem delovnem mestu, delodajalcem pa pomeni dokazilo o usposobljenosti. V Evropi je za uvajanje, usposabljanje in nadzor izvajanja ECDL pooblaščena ustanova ECDL Foundation, v Sloveniji pa je kot član CEPIŠ (Council of European Professional Informatics Societies) to pravico t f J pridobilo Slovensko društvo INFORMATIKA. V državah Evropske unije so pri uvajanju ECDL močno angažirane ^ J ? ) [ srednje in visoke šole, aktivni pa so tudi različni vladni resorji. Posebej pomembno je, da velja spričevalo v več kot osemdesetih državah, ki so vključene v program ECDL. Doslej je bilo v svetu izdanih že več kot tri milijone indeksov, v Sloveniji okoli 1700 in podeljenih okoli tisoč spričeval. Za testne centre ECDL so se v Sloveniji usposobile organizacije, katerih logotipi so natisnjeni na tej strani. ATci-l TA ustvarjalne komunikacije IZOBRAŽEVANJE INFORMACIJSKE STORITVE iT 4.2.2 Search mode (Idap_bind) When the DN can not be deduced from the netld, administrators must use the ldap bind mode to seek out the user's DN before attempting a connection. The follovving configuration can be used: cldap version=”3" timeout="5"> < /authentication> 4.2.3 LDAP Redundanci; Generic Handler permits redundancy in order to be more fault-tolerant: it is possible to specify a list of LDAP servers, vvhich are considered as replicas. 5 CAS-ifying a uveb application CAS-ifying a web application is very easy, thanks to CAS client libraries. Three kinds of CAS applications exist: . CAS "simple" clients only need to authenticate users. ■ CAS proxies need to both authenticate users, and use tier Services. They need to be able to retrieve PGT from the CAS server, and later to transmit PT to back-end Services in order to authenticate the users for vvhom they act. . CAS back-end Services need to validate the PT given by CAS proxies and to obtain user identities. 5.1 “simple” CAS clients The principle is to use a function (or method) that vvill run the authentication mechanism and return the user's netld. This function must perform the follovving tasks: - If the user is not already authenticated and no ST is provided, redirect the vveb brovvser to the CAS server (providing its ovvn URL for redirection as shovvn in 3.2.2); - If the user is not already authenticated and a ST is provided, validate the ST by using an HTTPS re-quest to the CAS server. The CAS server should then return the corresponding user's netld. To illustrate the simplicity of the CAS-ification of such a "simple" CAS client, we shovv belovv how a CAS client can be vvritten in PHP. Of course, in a real application, a client library - in our čase, phpCAS [12] -should be used instead. 5.1.1 UUriting a PHP CAS Client If this script (script.php) is called vvithout any parameter, it redirects the vveb brovvser to the CAS server, giving its ovvn URL as a CGI parameter: https://cas.univ.fr/login?service=http://test.univ.fr/script.php The user is authenticated vvith the CAS server, vvhich redirects the brovvser to the calling Service, giving a ST as a CGI parameter. The access URL vvould be something like: http://test.univ.fr/script.php?ticket=ST-2 uw2KEWinSFeZ9fotZlio Our script vvill then try to validate the Service Tic-ket vvith the CAS server, by accessing the follovving URL: http(s)://auth.univ.fr/serviceValidate?service=http:// test.univ.fr/script.php&ticket=ST-2-uw2KEWinSFeZ9fotZlio The CAS server validates the ticket and returns the user's netld, in an XML response: paubry A possible implementation of this script is: |mis’, Spage)) { if(Preg_match(‘|(.*)|’, Spage,$match)){ return($match[1]); } } // validation failed return FALSE; } if ((Slogin = authenticateO) === FALSE ) { echo ‘failure (Retry).’; exit(); } echo ‘vvelcome user ‘.$login’!
’ echo ‘(

User’s netld: .

5.3 CAS back-end Services Back-end Services are as easy to CAS-ify as "simple" CAS clients because they do exactly the same job, i.e. validating a Proxy Ticket vvith the CAS server (instead of a Service Ticket). The back-end Service called by the CAS proxy shovvn before could be: User is ' . phpCAS::getUser() . ‘.

’; ?> 5.4 Precautions to take uuhen CAS-ifying uveb applications 5.4.1 Sessioning For obvious performance reasons, applications should maintain sessions so that the CAS mechanism is fired only once, rather than for each request. This remark is true for CAS clients and proxies, vvhich should maintain a session with the browser, as vvell as for back-end Services, vvhich should maintain a session vvith the CAS proxy. 5.4.2 Asynchronism When using CAS client libraries, retrieving a PGT for a user in a CAS proxy is easy. Hovvever, developers should be avvare of the possibi!ity of desynchroniza-tion betvveen the different sessions of a multi-tier CAS installation. Imagine that a user connects to a vveb portal, vvhich vvill act as a CAS proxy. The user is authenticat-ed vvith the CAS server, the portal retrieves a PGT for the user, and a session is set betvveen the portal and the brovvser. This session is set to last a few hours. Let us novv imagine that the PGT becomes invalid (expiration or user logout from another vvindovv of the brovvser). In this particular configuration, it is impos-sible for the portal to obtain the nevv PTs needed to access back-end Services. This situation should be handled by CAS proxies, by forcing the disconnection of the user, for instance. 5.5 CAS authentication for static uveb pages The CAS mechanism can be used to protect static re-sources (typically HTML vveb pages), thanks to the mod_cas Apache module. With simple Apache directives, access to a site (or part of it) can require an authentication from a CAS server. For instance, the follovving directives vvill redi-rect users to the CAS server located at https:// cas.univ.fr/cas if no valid ST is given by brovvsers: CASServerHostname cas.univ.fr CASServerPort 8443 CASServerBasellri /cas CASServerCACertFile /etc/x509/cert.root.pem AuthType CAS Require valid-user 6 CAS-ifying a non-uveb application The main goal of an SSO mechanism is, of course, to provide a single authentication Service for vveb applications that is both simple and efficient. CAS offers more by allovving the CAS-ification of non-vveb Services, such as IMAP, FTP, etc. In order to do this, these Services must use PAM (Pluggable Authentication Module), as most Unix Services novv do. B.1 The PAM pam_cas module Pam_cas is included in CAS client distribution. Though it is povverful, it is also light (about 300 lines of C, half of them shared vvith mod_cas). This module allovvs a Service to authenticate a user by receiving an identifier (usually a netld) and a tick-et (instead of a passvvord). The ticket received by the Service is then validated vvith the CAS server by pam_cas. Pam_cas can not be used outside of a multi-tier installation: the CAS-ified Service must be accessed by a CAS proxy. Indeed, it is inconceivable for a human being (a human user of an FTP Service, for instance) to provide a CAS ticket. Fortunately, the PAM modular concept allovvs pam_cas to be used in conjunction vvith other PAM modules. It is possible for a Service to authenticate a user both using a traditional method (a netld and a passvvord) and using a CAS method (netld and ticket). The example belovv shovvs hovv this can be done. 6.2 Using pam_cas to CAS-ify an IMAP seruer Our goal here is to CAS-ify an IMAP server in order to accept connections from a vveb portal using Proxy Tickets, vvhile continuing to accept connections from traditional mail clients using passvvords. If the IMAP server is PAM-compliant (vvhich is generally the čase), the PAM configuration can be, for instance: auth sufficient /lib/security/pam_ldap.so auth sufficient /lib/security/pam_pwdb.so shadovv nullok auth required /lib/security/pam_cas.so \ -simap://mail.univ.fr \ -phttps://ent.univ.fr/uPortal/CasProxyServlet In this example, authentication will be attempted in three different ways: with an LDAP directory, with the local Unix user database, and eventually with pam_cas. The secret provided is validated with the CAS server (internally, only if it is ticket-shaped tor obvious performance reasons). B.3 CflS-ifying the Cyrus-IMAP server The IMAP protocol is very specific, and is probably the most difficult to CAS-ify. IMAP clients and vveb-mails in general have the odd habit of generating large numbers of requests, by closing and opening connections repeatedly. This, of course, leads to nu-merous authentication requests for the CAS server. When using a traditional vvebmail (vvhere users authenticate vvith their netld and password), the only consequence is a heavier load for the web server run-ning the webmail. Hovvever, vvithin a CAS multi-tier installation, the load increase is supported both by the web server running the webmail, and by the CAS server. Asking for and validating tickets for each request is clearly prohibitive from the point of vievv of performance. Consequently, a cache is needed on the IMAP server to allovv the vvebmail to re-play the PT. The implementation of such a cache comes straight vvith Cyrus. Indeed, Cyrus IMAP server uses Cyrus-SASL for authentication; novv, Cyrus-SASL can also use other authentication mechanisms (PAM, LDAP, Kerberos, etc.) or call a Unix daemon, saslauthd. This daemon, vvhich communicates vvith Cyrus-SASL via a Unix socket, proposes a cache mechanism. This cache allovvs the mail client to play the same PT more than once, because saslauthd vvill not use PAM once the ticket is stored in its cache. CAS-ifying Cyrus-IMAP this vvay reduced authentication requests by 95%. Only 5% vvere really played, i.e. vvith the tickets being validated by the CAS server. 6.4 CAS-ifying Horde IMP Our primary goal vvas to add a vvebmail product into the ESUP-Portail softvvare, if possible completely in-tegrated into our SSO. We decided to try Horde IMP [13J. At first, IMP vvas adapted to become a CAS proxy. This vvas easily done by using the phpCAS library, as shovvn in 5.2 ("CAS proxies"). It vvas then possible to acquire a Proxy Ticket and make the IMAP server authenticate users, by validating PTs vvith the CAS server. Next, the behavior of the vvebmail vvas modified to take into account the versatility of this nevv kind of passvvord. Indeed, PTs are manipulated in the same Client login/passvvord login/ticket f \ Client application application login/password login/password LDAP directory\ /etc/password server application J > pamjdap Sa ? .... J pampvvdb N Z' | pamcas * - - - - ticket CAS server Figure 13: Using pam cas login/passvvord login/PT Cyrus IMAP server Unix socket saslauthd > - +• cache sasl_authd daemon pamjdap login/passvvord pampvvdb pam_cas LDAP directory /etc/password traditional mail Client CAS server web brovvser CAS-ifield vvebmail (IMP+phpCAS) Figure 14: CflS-ification of Cgrus-IMflP way that passwords are, although their validity is limited. In other vvords, the vvebmail can use a PT severa! times thanks to the IMAP cache, but a PT stored in the IMAP cache can be erased (because of the gar-bage collector of the IMAP cache), supplanted in the cache by another PT (if another vvebmail instance is running for the same user), or simply replaced by the user's passvvord if the user concurrently accesses a traditional mail client. In ali of these situations, the next connection vvith the PT vvould be refused by the IMAP server. To get around this problem, the vvebmail vvas modified to allovv a nevv PT to be acquired from the CAS server, in order to make a second at-tempt at an IMAP connection. Obviously, using CAS client libraries are not as simple as vvas implied in 5.1.1 ("VVriting a PHP CAS client"). 7 Restrictions and perspectives In the first 6 sections of this article, vve have described the strong points of CAS: . CAS is an open-source, free product; . CAS offers a more than satisfactory level of security; . A CAS server is very easy to set up and configure; . VVeb applications are very easy to CAS-ify. In this section, vve vvill examine its limitations, and offer some ideas for getting around these vveak points. 7.1 CAS brings SSO, nothing else CAS is a Single Sign-On mechanism that can also run at the system-level, thanks to pam_cas. On the other hand, it is strictly limited to user authentication: it does not (and probably never vvill) deal vvith authori-zations or vvith the propagation of user attributes. Moreover, the user databases are local, at the estab-lishment-level. CAS does not address multi-establish-ments issues. Recent developments on Sympa [14] shovv an elegant way to allovv users from several estab-lishments to be authenticated, by relying on several CAS servers. Hovvever, the most promising vvay to per-mit different establishments to cooperate using CAS is certainly the Shibboleth internetZ project [15]. 7.2 Performance and fault-tolerance In a CAS installation, ali the vveb applications depend on the CAS server. Its availability is critical. In its current release, load balancing can not be implemented. Indeed, for reasons of efficiency and simplicity, CAS tickets are stored by in the CAS serv-er's memory, making sharing betvveen several CAS servers impossible. In practice, universities deploying CAS have nev-er encountered performance problems, certainly be-cause the processes involved are stili quite light. Hovv-ever, the absence of fault tolerance could easily be-come a serious problem, because the CAS server really becomes a pivot of an establishmenfs vveb software suite. It is, of course, possible to maintain a špare sleep-ing server, vvhich can be used in čase of failure, or during maintenance operations. Svvitching betvveen tvvo Tomcat servers behind an Apache frontal is rela-tively easy, and this is the solution recommended by the ESUP-Portail consortium. Hovvever, this solution is not transparent for connected users: ali valid tickets (especially TGCs and PGTs) are lost. Another possibility is to store granting tickets (TGCs and PGTs) in a database. This is conceivable since in this čase, svvitching from one CAS server to another vvould have a very limited effect on tickets (only STs and PTs vvould be lost), vvhile preserving simplicity and thus performance. 8 UVhat about CAS in the future? The ESUP-Portail consortium has taken an active part in popularizing CAS, notably by distributing a CAS server quick-start, vvhich allovvs any system administrator to setup and configure a CAS server in a fevv minutes. We have every confidence in CAS. CAS has been adopted by the ESUP-Portail consortium as its SSO softvvare, and vvill be deployed in the coming months in ali those French Universities vvho choose the ESUP-Portail softvvare. We strongly believe that it can be-come a standard. References [1] Autorite de certification du CRU, in French, http://igc.cru.fr [2] Single Sign-On architectures, Jan de Clercq, RSA2003, November 2003, Amsterdam, http://www.rsaconference.com/rsa2003/europe/tracks/ pdfs/implementers_wl4_declercq.pdf [3] Persistent Client State (HTTP cookies). http://wp.netscape.com/newsref/std/cookie_spec.html [4] Sun One ldentity Server, http ://www. sun.com [5] Microsoft .NET Passport: One easy way to sign in online. http://www.passport.com [6] ITS Central Authentication Service, http://www.yale.edu/tp/cas/ [7] Linux-PAM: Pluggable Authentication Modulesfor Linux, www.us.kernel.org/pub/linux/libs/pam/Linux-PAM-html/ [8] JASIG (Java Architectures Special Interest Group), Evolving portal implementations. http://misl05.mis.udel.edu/ja-sig/uportal/ [9] Web Services, http://www.w3. org/2002/ws/ [10] ESUP-Portail, http://www.esup-portail.org [11] CAS GenericHandler, http://esup-casgeneric.sourceforge.net [12] PhpCAS, http://esup-phpcas.sourceforge.net [13] The Horde Project, http://www.horde.org [14] Authentication and access control in Sympa mailing list sen/er, Serge Aumont & Olivier Salaun, TERENA2004, June 2004, Rhodes, http ://www. sy m pa. o rg [15] The Shibboleth Project, http://shibboleth.internet2.edu/ Acknowledgements ■ Shawn Bayern and Drew Mazurek, for their great work on CAS. • The ESUP-Portail SSO group for their feedback and contributions. Pascal Aubry played with real-time systems at ECP until 1993. In the succeeding years, he worked at IRISA on the distribution of synchronous programs and received his Ph.D. in Computer Science in 1997. Currently at IFSIC, University of Rennes 1, he manages web-projects. He has been part of the ESUP-Portail project since its beginning in late 2002, working on web security (SSO, authorizations) and data storage. Vincent Mathieu is in charge of network deployment and administration at University of Nancy 2. An LDAP expert, he also manages some internet Services. He is the leader of the ESUP-Portail SSO group. Julien Marchal is in charge of email Services and other network-related web applications at University of Nancy 2. He is also part of the ESUP-Portail group, working on SSO and communication Services, and is the leader of the ESUP-Portail uPortal group. RAZPRAVE B Information Security e-Learning -from Practice to Theorg Jorma Kajava*, Rauno Varonen** * University of Oulu, Department of Information Processing Science, Linnanmaa, Oulu P.O.Bok 3000, FIN-90014 UNIVERSITV OF OULU, Finland Jorma.Kajava@oulu.fi University of Oulu, Language Centre, Linnanmaa, Oulu P.O.Box 7200, FIN-90014 UNIVERSITV OF OULU, Finland rvaronen@cc.oulu.fi Abstract Focusing on security education, this paper describes an e-learning environment that ha s been constructed to increase information security avvareness among employees of a Finnish telecommunications company. The system has already entered the testing phase, and the preliminary results are interesting - and somevvhat unexpected: the designers' assumptions about the current knovvledge level turned out to be to o high. On the other hand, the design principle, based on making the components of the system as simple as possible, seems to have produced a system that delivers both functionality and stability. Keywords: e-Learning, information security, information security avvareness. Povzetek E-izobraževanje na področju varnosti podatkov - od prakse do teorije Članek opisuje okolje za e-izobraževanje, ki smo ga razvili, da bi dosegli večjo ozaveščenost o problematiki varovanja podatkov med zaposlenimi neke finske telekomunikacijske firme. Sistem je že v fazi preizkušanja, prvi rezultati pa so zanimivi, vendar nekoliko nepričakovani: izkazalo se je namreč, da so razvijalci predpostavljali, da je raven znanja višja, kot je v resnici bila. Po drugi strani pa je osnovni pristop, ki temelji na kar se da enostavnih komponentah, pripeljal do sistema, ki je hkrati funkcionalen in stabilen. Ključne besede: e-izobraževanje, varnost podatkov, ozaveščenost o varnosti podatkov. 1 Introduction This paper discusses an e-learning based information secu-rity project carried out by a small organisation in the tele-communication Service sector. Interestingly, the organisation has outsourced ali softuvare development uvork. Ali 500 em-ployees on the payroll, mostly technically-oriented specia-lists, have the basic information processing skills reguired by their johs, bot only a feuv have a broader enperience of the information Sciences. In a small organisation, it is relatively easy to con-struct a learning environment and test its functionali-ty in practice. To be useful, the environment must be built in close collaboration with the intended users, i.e., the environment and its contents must be based on their opinions and experiences and meet their practical needs. In the present čase, an extensive sur-vey was conducted to fin d out the employees' vvish-es and needs rega rdi ng the environment [13]. Experiences gathered during this project form the basis for its adaptation to the university setting. The arrangement is advantageous, because development vvork in a small organisation is fairly flexible, and ex-periences accumulate quickly. Universities, on the other hand, although constituting open learning en-vironments, tend to suffer from a higher degree of bureaucracy, which may affect the design or imple-mentation of the learning environment. Thus, a trial system tested in practice is an essential resource for planners and constructors [6]. The topič area, information security, was selected as it is rapidly becoming a key issue for businesses, in-stitutes of education and society at large. Traditional-ly, the highlight has been on the technical aspects of information security, but during the past few years, human and organisational aspects have assumed an increasingly prominent role in discussions on securi-ty [1,2, 3, 4,19, 20, 21]. E-learning based information security education strives to raise the avvareness level of ali emp!oyees. The aim is to equip them vvith the necessary skills and knovvledge to meet the challenges that they may have to face in their everyday vvork [12]. The ultimate purpose of this paper is exploring the use of an electronic learning environment to enhance information security avvareness. 2 Methods and techniques used This study was carried out in the target organisation in 2002. The immediate goal was to investigate the information security knovvledge of the employees by means of questionnaires and intervievvs. The results were then used to create an educational programme to correct the perceived vveaknesses. As teaching material, the programme utilised various organisational guidelines complemented by educational materials compiled at the University of Oulu. In addition to the actual learning environment and its contents, the organisation has also implemented an automatic online assignment sheet for tracking and monitoring learning. This form was designed to auto-mate the learning process such that anyone who pos-sessed the necessary skills and knovvledge, could take the test and - on successful completion - be automat-ically exempted from having to go through the learning material. The system automatically handles regis-tration and also updates registry files, vvhen students pass the test. In essence, the environment enables company employees to study at their ovvn pace. VVhat it stili lacks is a revvarding system for employees vvho receive a good grade [14]. Research tends to progress from theory to practice. Having become familiar vvith information security from various perspectives including the user and end-user perspectives, vve decided to go the other way -from practice to theory. Our starting point vvas that, vvithin information security, relevant knovvledge usu-ally resides vvithin the organisation in question. VVhat an outsider, such as a consultant, can contribute is a model or a general framevvork for exploring, enhanc-ing and utilising this knovvledge. On this vievv, perti-nent information that is possessed by company em-ployees is collected and analysed by an outside consultant vvho introduces a theoretical framevvork for analysis and may also assist in the utilisation of the results of such analysis. The practice to theory approach is also supported by the fact that ali information security events com-prise a variety of aspects, some of vvhich are strongly in relief, vvhile others can best be described as vveak signals. Even these can be taken into account thanks to the increased computing povver of modern com- puters, vvhich allovvs the unique features of each information security incident to be analysed in detail. This study investigated the information security knovvledge of different employee groups using a semi-structured theme intervievv. At the same time, vve vvere able to establish vvhich areas of information security knovvledge needed improvement. This information formed the foundation for the design of the e-learning programme. Hovvever, before delving into these issues, let us first discuss information security avvareness in general. 3 Information securih/ avvareness On the basis of a series of practical studies, vve have come to the conclusion that there are several stages in hovv people respond to avvareness. It seems that there are three stages of avvareness that should be taken into account. We maintain that these stages constitute an implication relation, vvhere - vvithin practically every organisation - there are people at every stage, and the success of IT security avvareness correlates vvith progress tovvard the next stage. The stages of IT security avvareness are [7, 8, 9,12, 22, 23]: (ii) dravving people's attention to security issues, (iii) vvinning user acceptance, (iv) getting users to learn and internalise the neces-sary information security activities. The first stage includes dravving people's attention to information security-related issues and trying to catch their interest. The second stage involves user acceptance; having attracted the end-users' attention, it is important to get them to accept the organisational IT security policy. Finally, at the third stage, the end-users should have internalised the instructions they have received during their security-related education and should take corrective measures in accordance vvith the security policy. In this paper, the term 'avvareness' includes ali the aspects mentioned above. IT security avvareness should be comprehensive, vvell-organised and systematically executed from the start. In addition, the efficiency of ali actions should be measured to ensure the on-going development of the organisational IT security avvareness programme. As for our ovvn IT security avvareness programme in the university environment, vve have come to the re-alisation that a vvide range of tools and methods are necessary to implement security avvareness for different people in different environments and at different stages of avvareness. Security education is needed to convince every user of the importance of following guidelines and to make them avvare of the conse-quences of intentional violations of information secu-rity. Education is also needed to ensure that the achie-ved level of avvareness (as defined above) vvill be maintained. Various avvareness raising methods, such as campaigning and the so-called Hammer theory, are needed to provide incentives for end-users and to re-fresh the importance of these factors in the minds of people. And finally, avvareness, comprising education and training, should ensure that people internalise security guidelines and abide by them in their daily vvork. The avvareness programme of any industrial or-ganisation should follovv the framevvork developed in Reference [7, 8]: (i) Identify programme scope, goals and objectives. (ii) Identify training staff. (iii) Identify target audiences. (iv) Motivate management and employees. (v) Administer the programme. (vi) Maintain the programme. (vii) Evaluate the programme. The avvareness programme should be targeted for at least four different groups. These are: top management, IS management, end-users and IT/IS specialists. Of course, there is no exact formal classification for these groups and, as a result, the end-user group, for example, remains relatively vague. The IT security avvareness programme should be implemented at ali levels of the organisation, starting from the top management, vvho should be made avvare of the need to establish and maintain an organ-isational security policy [7]. Then comes the creation of a security model including IT security policies, the allocation of responsibilities, etc. IT security avvareness programmes are essential in keeping users in the "se-curity team" and in ensuring the overall success of the organisation's security strategy. Ali evidence shovvs that to function satisfactorily, a security programme must find support in ali parts of the organisation. Moreover, the top management has to accept the se-curity policy vvhole-heartedly and allocate resources and appropriate financial support accordingly. As stated earlier, the effectiveness of the measures taken during an avvareness programme should be evaluat-ed as objectively as possible. The problem is that most organisations do not provide feedback or measure the success of their IT security avvareness programme. The security management should react to feedback and consider necessary improvements. Feedback should be based on organisational and end-user vievvpoints and on the established results of particu-lar security measures (8). 4 Securitv iearning Understanding information security issues from the technical point of vievv is an advantage that employ-ees of the čase company have [10, 15]. Nevertheless, since they do not have a vvider perspective on other aspects of security, such as organisational or end-user related issues, they need information security training [11]. The problem is that, being small, the company does not have the resources to allovv its personnel to take time off from vvork to participate in security training [16]. This paper seeks to ansvver the question of vvhat technical tools the company could use in this situation. One solution is to resort to e-learning and con-struct an online Iearning environment. Many e-learning environments are realized by long distance net-vvorks, via the Internet, but our solution was to build an intranet-based environment, vvithin the company netvvork. Most e-learning Solutions consist of very sophisticated and complicated systems, filled vvith content that is more entertainment than vvork-orient-ed, but vve proposed a solution that is both simple and practical. In the long run, the project reported here aims to develop a five-level solution consisting of different guidelines custom-tailored for different groups. At the first stage of this research, the focus is on guidelines that apply to ali user groups. First, a questionnaire on currently prevalent practices is sent to every group. Then, having analyzed the results, the most important guidelines are collected for organisational use using the e-learning environment. It is important that these guidelines are easy to understand and follovv - and it vvould not hurt if they vvere presented in a humorous vvay [18]. In addition, it is vital that the information securi-ty education programme is automated and computer-supported as vvell as transportable to different environments, including those based on older systems. As a result, the e-learning environment can be transport-ed to other organisations vvorking in the same field. Moreover, as the basic guidelines pose no problems for employees vvith a deeper knovvledge of the sub- ject, they must have the option of going directly to the test part, vvithout having to trudge through the entire program me. 5 Requirements for the learning enuironment The starting point for this project vvas the fact the or-ganisation under study is a profit-seeking commercial enterprise. Aiming at improving the security level of this organisation, the project also offers it a competi-tive edge through the provision of more secure tele-communication Services. Technical Solutions, al-though constituting the foundation of security, are insufficient and must be incorporated into a vvider approach. In a drive to promote Information security across the organisation, the company initiated the e-learning project reported here. It seeks to find new, cost-effec-tive, ways of offering security education to company employees. A guiding principle is this undertaking is that the education offered must be meaningful and immediately relevant to the employees. In carrying out their everyday tasks, people tend to plače a high value on usability, sometimes at the expense of security. Sadly enough, the significance of Information security is often realized only after some mishap occurs. Another balancing act is frequently observed in the context of e-learning [13]. Striving tovvard a more ex-citing and entertaining approach, educators sometimes lose sight of their original purpose, and become entertainers rather than educators. From the organi-sational vievvpoint, the crucial question is vvhich is more beneficial for the functionality of the organisation: a learning environment that is highly enjoyable or a learning environment that is highly usahle and functional [5]? The organisation under study here has posed a number of requirements for its new e-learning pro-gramme. For a start, it has to run on ali Computer plat-forms used vvithin the company. In terms of structure, it has to be sufficiently simple to be reliable in ali en-vironments (16, 17). 6 Presentation and learning Creating a multimedia e-learning environment re-quires not only technical and content-related exper-tise, but also a pedagogical advisor. Chief among the tasks of this advisor is to devise ways of presenting learning materials in a manner that enables learners to assimilate new knovvledge into their previous knovvledge structures - and thereby understand what they have learned. Another function of the pedagogical advisor is to take account of different learning strategies and styles to maximise individual learning results. If no such advisor is available, and the design of learning materials if left to technical experts, for example, the various multimedia elements may have more entertainment than educational value [18]. Ali learners have their own learning strategies. Part of each individual's learning strategy is their learning style, vvhich is an essential element of the learning pro-cess. VVe ali have our own strengths, vvhich we rely on vvhen processing information. Some people are charac-terised as holistic, vvhile others are best described as analytic learners. The difference lies in the way they tend approach a task; holistic learners immediately strive for the big picture, vvhereas analytically-orient-ed learners favour a piecemeal approach. Content -Expert of Discipline Entertainment -Technical Expert Visual Character -Pedagogical Expert Minimum Learning -Comfort Maximum Learning -Understanding -Comprehension Figure 1 e-learning and multimedia. Also our senses play an important part in the learning process. VVe receive and process information on the basis of our Vision, hearing, tactile or kinetic sense. As a result, vve have preferences as to hovv vve vvant learning materials to be presented to us, hovv vve vvant to see, hear, feel or experience the materials. Schools depend heavily on Vision and hearing, at the expense of pupils vvho learn better by doing things, for instance. Some learners remember things as imag-es, others as stories. A third group consists of learners vvho like to try things out through trial and error. Ki-netically-oriented persons may memorise a telephone number or a melody, for example, as a sequence of finger movements, and learn certain things best vvhile jogging or biking. Some people prefer to discuss things vvith other people, others teach themselves by talking aloud. Most people have one or more pre-ferred senses for receiving and processing Information [16]. Learning styles based solely on one way of learn-ing are very uncommon, as most people have their own learning strategies based on their strengths, hab-its and preferences. Consequently, a learning environ-ment catering a large target group must be designed to accommodate a range of approaches and styles. 7 Significance of automated learning enuironment to the system The purpose of the e-learning project was to construct a learning environment that does not require any ad-ditional hardvvare or software. In addition, the environment must be accessible from ali workstations vvithin the organisation [17]. For best possible functionality, the adopted solu-tion seeks to minimise the effects of features that ex-ist solely to increase the entertainment value of the environment. A major concern was the fact that an increased degree of automation inevitably leads to larger program code vvhich, in turn, poses a threat to the stability and functionality of the entire system. These two basic requirements, accessibility and full functionality from ali vvorkstations, relate to the lev-els of programming languages. It is a vvell-established truth that the lovver the level of the used language, the faster the code and the smaller the memory require-ment. Such code is also more secure. Nevertheless, implementing any system involves a compromise be-tween automation and reliability, but the old adage "small is beautiful" is vvell worth bearing in mind. 8 Essential results When we set out to design the e-learning environment, it vvas assumed that the basic Information secu-rity guidelines of the organisation vvould be vvell-known by ali employees. Therefore, it was a quite a revelation when the first tests in January 2004 indicat-ed that some of the supposedly simple questions proved very hard to ansvver satisfactorily. It was also revealed by the theme interviews that a great number of employees had no clear under-standing of what information security is. AH employ-ee groups tended to describe it in terms of individual or isolated components. Moreover, about half of the intervievvees could not explain in vvhat ways information security issues would be relevant to their work. This shows that security education should start by breaking down the definition of information security and analysing hovv it affects everyday work. Feedback relating to the use of the e-learning sys-tem vvas mainly concerned vvith its technical imple-mentation. Typical comments include "it is slovv" and "it takes a long time to start". Generally, the learners either vvanted the multimedia components to load quicker or they vvanted more functionality, including muting or resolution changes on the fly. The actual content matter of the programme vvas not commented on. VVhat little feedback vvas received indicated that the intended practical approach vvas appreciated and that the learning topics vvere experi-enced as having a practical value. This relative lack of feedback may be explained by the fact that the learners did not have any expectations as to the content matter, since they vvere unfamiliar vvith the subject. Also, the design of content may have been better than the technical implementation. In general, the e-learning system vvas described as an interesting novelty and a number of learners indicated an interest to par-ticipate in similar training on other topics as vvell. With an average of 5 - 6 hours, many learners stated that they had used less time than expected on the tasks [6]. Measuring information security avvareness is a dif-ficult undertaking. One vvay of approaching it is to observe employees vvhile they are vvorking to estab-lish the degree to vvhich they follovv the given guidelines. Hovvever, this study investigated the topič through an intervievv conducted among the learners. These intervievvs started by exploring hovv the learners understood the concept of information security vvhich, after ali, constitutes the foundation of information security avvareness. The latter term refers to hovv vvell employees and members of society understand various information security threats and the related responsibilities. The results shovv that a high level of avvareness has been achieved vvhen ali personnel understand the meaning of information security in its full extent and apply this knovvledge in their vvork [6]. In addition, personnel must also be able to identify and manage a range of information security threats. Finally, they must also knovv vvhat to do to avert these threats. This bring us to the critical question: is it possible to achieve this goal using an online learning environment? Answering that question involves separating two different kinds of responsibility. Technical issues and softvvare concerns should be tackled by hardware and software manufacturers, vvhile issues relating to users and organisations are the province of education and are best dealt with by universities. It then follovvs that universities have the responsibility to define the struc-ture and content of information security studies. In a very broad sense, this involves taking responsibility for ensuring the vvellbeing of future society/ which is highly dependent or communication and computers. 9 Conclusions This paper discussed an e-learning environment for information security education, designed and con-structed by a small Finnish telecommunications com-pany. The experiences gathered so far indicate that the implementation of an extensive learning system of this kind must be based on simple Solutions that min-imise system load. It became clear during this study that, to be suc-cessful, e-learning requires that the designers and tu-tors are familiar with the learners' needs and learning styles. Diverse ways of presenting the learning mate-rials makes it easier for individuals vvith different learning styles to take in the information. VVhat ren-ders the entire task more challenging is that the content matter of information security is often fairly ab-stract, highlighting the importance of careful design and presentation. The education offered must provide a range of possibilities for interaction, because the chosen medium, online teaching, markedly lessens personal contact among teachers and learners. Other important aspect include the provision of support to the learners and ways of creating an inspiring atmo-sphere conducive to learning. Feedback provided by the teacher is an integral part of learning, and its role is even more important in online teaching, vvhere studies are usually conducted in (relative) isolation from other learners. Time must also be allocated to electronic communication betvveen the participants. And finally, attention must also be given to develop-ing the proficiency of the teachers and promoting their interaction. An interesting - and quite unexpected - finding vvas that the planners' assumptions about the level of security knowledge among company employees vvas fairly lovv. In the information age, every Citizen should have a basic understanding of information security, othervvise they vvill be vveak links in the chain, vulner-abilities that can be exploited. Increasing the level of security knovvledge necessitates the implementation of various kinds of information security avvareness programmes, an example of vvhich is provided by the e-learning environment described here. Acknouvledgements The authors wish to extend their thanks to Mrs Tiina Ramet, Mr Ilari Heikkinen and Mr Erkki Tuormaa, vvho have been responsible for the practical design and implementation of the e-learning system. References [1] BS7799-l:fi. Standard. - Information Security Management. Part 1: Gode of practice for information security management systems. Finnish standards association SFS, 15. February (1999). [2] BS7799-2:fi. Standard. Information Security Management. Part 2: Specifications for information security management systems. Finnish standards association SFS, 15. February (1999). [3] A Gode of Practice for Information Security Management, Department of Trade and lndustry. DISC PD003. British Standard Institution, London, UK. (1993). [4] Computer Security Handbook, The Practitioners Bible Computer Security Institute. Mac/Donnel Printers, USA. (1984). [5] Epelboin, Y. : E-learning: putting documents On the web - Do and Don’t. VVorkshop in the 8th Conference of European University Information Systems (EUNIS 2002). European University Information Systems (EUNIS) and University of Porto, Faculty of Engineering. June 19 - 22. Porto, Portugal. (2002). [6] Heikkinen, I., Ramet, T., “e-Learning as a part of information security education development from organisational point ofvievv". Oulu University. Oulu. May (2004) (in Finnish). [7] IS0-IEC-27, Guidelines for the Management of IT Security (GMITS): Part 1 - Concepts and models for IT Security. (1994). [8] IS0/IEC JTC1/SC27, Guidelines for the Management of IT Security (GMITS). (1995). [9] Kajava, J. & Siponen, M., "Effectively Implemented Information Security Avvareness - An Example from University Environment”. In Jan HP Eloff and Rossouvv von Solms, editors: Information Security - from Small Systems to Management of Secure Infrastructures. Proceedings of WG 11.2 and WG 11.1 of TC11 (IFIP TC-11 Sec’97, 13th International Information Security Conference). IFIFJ 13 - 16lh May, Copenhagen, Denmark. (1997). [10] Kajava, J., “IT Security Infrastructure - Opportunity or Threat for Future Society?" Politics & Internet. 2nd International Congress on Electronic Medla & Citizenship in Information Society. The Finnish National Fund for Research and Development (SITRA) on the initiative of the Committee for the Future of the Finnish Parliament. 6-9 January, Espoo, Finland. (1999). [11] Kajava, J., Varonen, R., "Information Security Education: From the End-User Perspective to Public Administration Applications". In Venvaltungs-informatik 2000: Venvaltungsinformatik in Theorie, Anwendung und Hochschulausbildung /3. Internationale Fachtagungen “Verwaltungsinformatik" der Gesellschaft fur Informatik (FTVI HBS 2000). Flerausgegeben von Hans-Jurgen Luttich und Claus Rautenstrauch. Otto-von-Guericke-Universitat Magdeburg. 11 - 13lh October. Flalberstadt, Germany. - mdv Mitteldeutscher Verlag GmbH Halle (Saale), Germany. (2000). [12] Kajava, J., Varonen, R., “Incorporating Information Security into University Infrastructure”. In Ligia Maria Ribeiro, Jose Marpues dos Santos (eds): The Changing Universities: The Challenge of New Technologies. The 8th Conference of European University Information Systems (EUNIS 2002). Proceedings. European University Information Systems (EUNIS) and University of Porto, Faculty of Engineering. June 19 - 22. Porto, Portugal. (2002). [13] Kajava, J., Pyy, J., Tuormaa, E., Heikkinen, I., Mukari, J., Ramet, T., “Education material produced by TIKo project". Oulu Telecom Pic. May 16. Oulu, Finland. (in Finnish). (2003). [14] Kajava, J., Tuormaa, E., Ramet, T., Heikkinen, I., Kuusijarvi, T., Polvi, M., "Automated online assignment sheet for tracking and monitoring e-Learning. EFo program." Oulu Telecom Pic. November 20. Oulu, Finland. (in Finnish). (2003). [15] Kajava, J., "Information Security Challenges for Users, End-Users and Organizations in the Beginning of the new Millennium” (Abstract in English). Administrative Studies Journal. Volume 19, Number2. Tampere, Finland. (2000). [16] Kajava, J., Varonen, R., Tuormaa, E. Nykanen, M., “Information Security Training through eLearning - Small Scale Perspective". In Eveline Riedling (ed.): V/EVVDET 2003. Vienna International Conference on eLearning, eMedicine, eSupport. Vienna University of Technology. Nov. 26. - 28. Vienna, Austria. (2003). [17] Kajava, J., Varonen, R., "e-Learning as a Tool: Framevvork for Building an Information Security Avvareness Programme for a Local Teleoperator". In Jeanne Schreurs and Rachel Moreau (eds.): Euromedia’2004. Tenth Annual Scientific Conference on Web Technology, New Medla, Communications and Telematics Theory, Methods, Tools and Applications. Huize Corsvvarem. Hasselt, Belgium. April 19 - 21. A Publication of EUROSIS. Ghent, Belgium. (2004). [18] Neal, L., Perez, R., Miller, D., “ eLearning and Fun”. CHI’04 SIG. ACM. Vienna, Austria. April 26 - 29. (2004). [19] “The NIST handbook, An Introduction to Computer Security”, NIST special publications. October. USA. (1995). [20] Parker, Donn B., "Computer Security Management". Prentice Hall, Reston, USA. (1981). [21] Royal Canadian Mounted Police, Security in the EDP Environment. Security Information Publication, Second Edition. Gendarmere Royale du Canada. Canada. (1981). [22] Thomson, M.E., von Solms, R., “An Effective Information Security Avvareness Program for industry". In Jan HP Eloff and Rossouvv von Solms, editors: Information Security -from Small Systems to Management ofSecure Infrastructures. Proceedings of WG 11.2 and WG 11.1 of TC11 (IFIP TC-11 Sec’97, 13th International Information Security Conference). IFIR 13 - 16th May, Copenhagen, Denmark. (1997). [23] Walsh, T., “Measuring the Effectiveness of Computer Security Training”. 23th Annual Security Conference and Exhibition. CSI. November 11 - 13. Chicago, II. (1996). Jorma Kajava graduated from the University of Oulu in 1976 (M.Sc., Dept. of Technical Physics, Control and Systems Engineering) and completed his Licentiate Degree in 1978 (Faculty of Technology, VVireless Telecommunications, Adaptive Antennas). Since then he has been in the employ of the University of Oulu in various positions, including Lecturer, Head of Laboratory, Acting Associate Professor and Acting Professor. His teaching experience includes not only the University of Oulu, but also the University of Lapland, the Raahe and Oulu Polytechnics as vvell as other institutes of education. Aside from his involvement in numerous international projects (including the European Commission's Information Society Technologies (IST) Programme), he has found the time to vvrite c. 350 articles, published in a variety of formats such as conference proceedings, journals, research reports, electronic publications, educational support materials and nevvspaper articles. Among his research interests are Computer ethics, information security and e-learning. Rauno Varonen has vvorked at the University of Oulu since his graduation in 1985 (M.A, Faculty of Humanities). He did his teacher training in 1985-1986 and completed his Licentiate Degree in 1996. VVorking as a Lecturer at the university's Language Center, he has a wide teaching experience. His publications include teaching materials and academic papers. One of his interests is e-learning, vvhich he approaches from the practitioner's vievvpoint. He is also a distinguished member of the Black Hole. RAZPRAVE B Portal Univerze v Mariboru Milan Ojsteršek9, Dejan Dinevski", Tomaž Klojčnik" 9Fakulteta za elektrotehniko, računalništvo in informatiko, Smetanova 17, 2000 Maribor "Univerza v Mariboru, Slomškov trg 15, 2000 Maribor ojstersek@uni-mb.si, dejan.dinevski@uni-mb.si, tomaz.klojcnik@uni-mb.si Povzetek Na Univerzi v Mariboru smo vzpostavili portal, ki omogoča zaposlenim in študentom dostop do različnih vsebin, njenega informacijskega sistema in podporo izobraževanju na daljavo. Do storitev portala lahko zaposleni in študenti dostopajo prek različnih elektronskih medijev (internet, mobilni telefoni, ki omogočajo WAP, infoterminali, dlančniki). Portal je integriran z informacijskim sistemom Univerze v Mariboru in omogoča upravljanje z dokumenti, učinkovito iskanje informacij, integracijo storitev in vsebin, predstavitev informacij v več jezikih, avtentikacijo in avtorizacijo dostopa do storitev in personalizacijo z vidika vsebine ter vizualnega izgleda. Portal smo dopolnili še s podpornim sistemom za izobraževanje na daljavo, ki omogoča študentom lažji dostop do študijskih gradiv, elektronsko oddajo nalog in elektronsko obveščanje o rezultatih opravljenih pedagoških obveznosti. Portal služi tudi za sistem komuniciranja med zaposlenimi in študenti. Podporni sistem za izobraževanje na daljavo vsebuje tudi elektronsko knjižnico učnih materialov, slovar izrazov, podporni sistem za učitelja, podporni sistem za administriranje portala in podporni sistem za študenta. Abstract The Portal of the Uniuersity of Maribor University of Maribor has established a portal, vvhich enables its students and employees to access to its information system, contents and distance learning support. Basic features of the portal are document management, search facility, integration of contents and Services, information categorization, independency of d ata from different user interfaces and electronic media, multi-lingual support, authorization of access to data and Services, contents and user interface personalization. The portal serves as a tool for communication among employees and students. The portal also includes a distance learning support Service, vvhich is integrated vvith the University of Maribor information system. The distance learning Service consists of lecturer support, študent support, administraticn support, digital library, and electronic dictionary parts. 1 Uvod Univerze po svetu se zmeraj bolj usmerjajo v informacijsko podporo izobraževanju in nudenju storitev izobraževanja na daljavo. Na ta način olajšamo študij »klasičnim« študentom, lahko pa omogočimo študij tudi precej večjemu številu ljudi. Na Univerzi v Mariboru smo se odločili za izdelavo lastnega portala, ki omogoča dostop do informacijskega sistema Univerze in vsebin, ki jih pripravljajo posamezne fakultete ter rektorat (novice, obvestila, objava rezultatov pedagoških obveznosti). Portal smo dopolnili še s podpornim sistemom za izobraževanje na daljavo, ki omogoča študentom lažji dostop do študijskih gradiv, elektronsko preverjanje in samo-preverjanje znanja, elektronsko oddajo nalog in elektronsko obveščanje o rezultatih opravljenih pedagoških obveznosti. Vzpostavitev podpornega sistema za e-izobraževanje je podprlo Ministrstvo za informacijsko družbo, razvoj programskega okolja pa je s ciljnim raziskovalnim projektom podprlo Ministrstvo za šolstvo, znanost in šport. Portal uporablja tudi storitve informacijskega sistema univerze (ISUM) [1], kar omogoča zaposlenim dostop do finančnih, kadrovskih in pedagoških podatkov. Študenti pa se lahko s pomočjo storitev ISUM elektronsko prijavijo ali odjavijo od izpitov, pregledujejo podatke o svojih ocenah, dobivajo SMS sporočila o rezultatih opravljenih pedagoških obveznosti itd. V drugem poglavju smo predstavili tehnološko realizacijo portala. Informacijski sistem Univerze v Mariboru je predstavljen v tretjem poglavju. V četrtem poglavju smo predstavili lastnosti okolja za podporo e-izobraževanja. Na koncu članka smo podali zaključne misli in napotke za nadaljnje delo. 2 Tehnološka realizacija portala Portal predstavlja povezovalni člen med vsebinami in storitvami, ki jih nudijo univerza in fakultete (slika 1). Omogoča: ■ upravljanje z dokumenti, • iskanje po vsebinah, ■ integracijo storitev ISUM, podpornega okolja za e-izobraževanje in vsebin, • predstavitev vsebin na različnih elektronskih medijih (internet, mobilni telefoni, infoterminali, dlančniki, v prihodnosti tudi govorni uporabniški vmesnik), Finančni informacijski podsistem Kadrovski informacijski podsistem Akademski informacijski podsistem Podpora izobraževanju na daljavo <-> O <-> Avtentikacijska storitev Potrditvena storitev Storitev poosebitve vsebine in izgleda Integracijska storitev Storitev uporabniškega vmesnika Portal Univerze v Mariboru Iskalna storitev Slika 1: Shematski prikaz informacijskega sistema Univerze v Mariboru « predstavitev informacij v tujih jezikih, • avtentikacijo in avtorizacijo dostopa do podatkov in storitev ter zagotavljanje varnosti, • poosebitev z vidika vsebine in vizualnega izgleda in . pošiljanje sporočil po elektronski pošti ali s pomočjo SMS sporočil. Vsebine predstavljajo različna besedila in večpredstavni dokumenti (slike, video posnetki, zvočni posnetki, animacije, predstavitve v MS Povverpointu, MS Excelove preglednice ...). S pomočjo storitev je možno kreiranje dinamične vsebine (npr. storitve omogočijo študentu prijavo na izpit) ali opravljanje določenih nalog (npr. obveščanje študentov o opravljenih vajah prek SMS). Portal shranjuje vsebine in storitve v hierarhično strukturo področij, ki jih lahko administrator tudi navzkrižno povezuje. Upravljanje z dokumenti Upravljanje z dokumenti omogoča vstavljanje, spreminjanje in brisanje besedilnih dokumentov, slik, zvoka, animacij ali videa. Vsaka sprememba dokumenta se beleži kot nova verzija dokumenta. S tem omogočimo uporabniku vpogled v zgodovino spreminjanja dokumentov. Po potrebi si lahko uporabnik (lastnik dokumenta) starejšo verzijo dokumenta tudi prenese iz strežnika. Aplikacija, ki informacijsko podpira vstavljanje dokumentov, beleži tudi, kdo in kdaj je spreminjal določen dokument. Portal omogoča tvorjenje in spreminjanje hierarhične strukture področij, na katera lahko vstavljamo vsebine in storitve. Omogoča tudi avtomatsko brisanje vsebin, ki niso več aktualne, in urejanje vsebin na enak način, kot je to možno v MS VVordu. Možno pa je tudi urejanje v obliki zapisa v jeziku HTML (HyperText Markup Language). V besedilna okna lahko dodajamo tudi slike, video, zvok, animacije, java programe, flash datoteke in hiperpovezave. Vsebino lahko v tekstovna okna prenašamo tudi iz drugih programov (npr. MS VVord, MS Excel) ali iz drugih spletnih strani na principu »povleci - spusti« (Cut and Paste). Sistem za upravljanje z dokumenti omogoča: . sočasno spreminjanje dokumenta enemu samemu uporabniku (check in/out dokumenta), . spremljanje verzij dokumenta, ■ zagotavljanje varnosti oz. omogočanje dostopa do dokumentov samo določenim uporabnikom oz. skupinam uporabnikov, ki imajo ustrezno definirane pravice dostopa, . spremljanje, kdo in kdaj je spreminjal določen dokument. Iskanje informacij Iskanje v portalih temelji na kategorizaciji podatkov na podlagi tako imenovanih metapodatkov. Iskalniki običajno preiskujejo spletne strani rekurzivno po principu iz spletne strani izvlečenih naslovov. Vsaka raziskana stran se indeksira, če je potrebno, primerno uteži, hkrati pa se analizira njena vsebina - tako da se ustvarjajo metapodatki. Metapodatke pa lahko pridobimo tudi iz šifrantov, ki podrobneje opišejo dinamično ustvarjeno vsebino. Naš portal omogoča oba načina določanja metapodatkov. Iskalnik je tesno povezan s storitvijo poosebitve in s storitvijo za dodelitev dostopa do portala in vrača podatke, do katerih lahko uporabnik dostopa in so zanj najbolj relevantni. Storitve sodelovanja Portal omogoča nabor integriranih storitev, ki podpirajo pretok informacij in podatkov med aplikacijami, uporabniki in procesi. Uporabniki želijo biti povezani med seboj. Pridobljene informacije želijo izmenjevati s sodelavci, na njihovi podlagi sprožiti akcijo itd. Portal omogoča skupinsko delo ter tako podpira sodelovanje med uporabniki v realnem času, da le-ti enostavno poiščejo sošolce ali profesorja ter z njim komunicirajo ne glede na to, kje se nahajajo. Te storitve omogočajo uporabnikom obveščanje o dosegljivosti sodelujočih v procesu učenja, izmenjavo dokumentov in aplikacij med njimi, pogovor idr. Zelo koristna je tudi zbirka nosilcev strokovnih znanj, v kateri lahko uporabniki poizvedujejo po osebah, znanjih, sposobnostih, izkušnjah, projektih, izobrazbi, delovnih mestih in drugih atributih. Tako zlahka pridejo do oseb, ki poznajo odgovor na njihovo vprašanje. Portal omogoča sodelovanje in upravljanje z dokumenti (Collab-orative authoring tools), klepetalnico, elektronski rokovnik (web organizer) in forum. Avtorizacija, avtentikacija in zaščita dostopov do podatkov in storitev Informacije v portalu morajo biti zavarovane pred nepooblaščenim dostopom, hkrati pa morajo omogočati enostaven in hiter dostop. Portal je integriran z avtentikacijskim in avtorizacijskim sistemom informacijskih storitev, ki jih omogoča informacijski sistem univerze. S strani uporabnika je omogočena le ena prijava v portal, pri tem pa storitev upravljanja dostopa do informacij zagotavlja dostop do vseh relevantnih informacij, do katerih ima uporabnik pooblastilo. Vsak uporabnik ima svojo vlogo v informacijskem sistemu (IS). Nekateri uporabniki lahko določene podatke samo gledajo, drugi lahko te podatke tudi spreminjajo, tretjim pa je dostop do njih onemogočen. Del podatkov IS pa je dostopen vsem uporabnikom interneta. Tak način dostopa do podatkov in funkcij lahko dosežemo samo, če se mora vsak uporabnik IS avtenticirati. Za študente in zaposlene je uporabljen način avtentikacije s pomočjo uporabniškega imena in gesla. V naslednji fazi pa se bo možno avtenticirati tudi s pomočjo digitalnega potrdila. Za dostop do storitev in vsebin, ki so javno dostopne, ni potrebno izvesti avtentikacije. Ko se uporabnik avtenticira, ga IS razvrsti v skupino uporabnikov. Razvrščanje uporabnikov v skupine poteka glede na vlogo, ki jo imajo v IS. Skupini uporabnikov IS omogoča dostop do podatkov in funkcij, ki jih lahko uporabljajo ali spreminjajo. Implementirali smo lastno avtentikacijsko storitev, ki omogočala centralizacijo osnovnih profilov uporabnikov z avtentikacijskimi podatki in zagotovlja poenoten sistem avtentikacije tako, da ga je možno enostavno integrirati v katerikoli informacijski sistem. Osnovne lastnosti avtentikacijskega sistema so: • vsak uporabnik ima osnovni profil s svojimi osebnimi podatki, ■ uporabnik definira pravice dostopa spletnih aplikacij do podatkov osebnega profila, ■ sistem ob prijavi posreduje globalni identifikator uporabnika, • poenotena avtentikacija, . enkratna prijava v vse informacijske sisteme, • enkratna odjava iz informacijskih sistemov, • globalna terminacija uporabniškega profila, • varna izmenjava podatkov med avtentikacijskim sistemom in informacijskimi sistemi, • enostavna integracija avtentikacijske storitve v informacijske sisteme. Osnovni profil hrani avtentikacijske podatke, kot so uporabniško ime in geslo, skrito vprašanje in skrit odgovor, ki lahko služi za primere, ko uporabnik pozabi geslo, in v primerih, kjer je potrebna dodatna avtentikacija in je treba poleg gesla vnesti še skrit odgovor. Pomemben podatek je identifikacijska številka uporabnika, ki služi za ustvarjanje posebnih profilov za potrebe posameznih spletnih storitev, kot so poosebitev izgleda oz. funkcionalnosti portala Univerze. Osebni podatki v profilu so ime, priimek, datum rojstva, spol, naslov prebivališča s pošto in državo, EMŠO, jezik, telefonska številka v stacionarnem omrežju in GSM, naslov elektronske pošte in naslov domače spletne strani. Podatki niso obvezni za vpis, razen avten-tikacijskih podatkov (to sta v našem primeru uporabniško ime in geslo). Uporabnik definira pravice dostopa do podatkov v profilu tako, da določi, ali se lahko podatek profila pošlje dalje. Uporabnik lahko dovoli pošiljanje podatkov iz svojega profila, prepove ali dovoli pošiljanje podatkov iz svojega profila samo v primeru, da informacijski sistem podatke potrebuje (avtentikacijski sistem ima informacijo o tem, katere podatke določen informacijski podsistem potrebuje). Globalni identifikator se ob avtentikaciji vedno posreduje informacijskemu sistemu, ki ga ta uporabi za lokalno identifikacijo in za kreiranje lastnih, specifičnih profilov v namen poosebitve vizualnega izgle-da ali storitev informacijskega sistema. Poenotena avtentikacija omogoča, da se vse prijave v vse sisteme izvajajo prek avtentikacijske storitve. Spletne aplikacije v tem primeru ne potrebujejo lastnih avtentikacijskih obrazcev. Enkratna prijava/odjava omogoča, da se uporabnik avtenticira v avtentikacijsko storitev enkrat, nakar se pri obisku drugih sistemov namesto uporabnika avtenticira avtentikacijska storitev, razen v primerih, če uporabnik poenostavljene prijave ne želi uporabljati oz. če informacijski podsistem zahteva uporabnikovo avtentikacijo (samo v primeru, ko gre za varnostno kritične vire). Odjava se sproži pri avtentikacijski storitvi, ki poskrbi za lokalno odjavo pri informacijskih sistemih. Globalna terminacija uporabniškega profila se proži pri avtentikacijski storitvi, ki avtomatsko obvesti vse informacijske sisteme, da uporabnik zahteva izbris profilov, vezanih nanj. Varna izmenjava podatkov med avtentikacijsko storitvijo in informacijskimi sistemi je zagotovljena z uporabo šifrirnih algoritmov, ki so zasnovani na sistemu javnih in privatnih ključev, med uporabnikom in avtentikacijskim sistemom pa z uporabo varnih komunikacijskih kanalov, kot je SSL. Enostavna integracija je implementirala v obliki modula, ki ga informacijski sistem uporabi v lastni implementaciji. Konkretno so pri razvoju ali nadgradnji obstoječih informacijskih sistemov razvijalci dobili paket, ki vsebuje programske module in navodila za integracijo in uporabo modula, ki komunicira z avtentikacijsko storitvijo. Posamezen informacijski sistem je potrebno le še registrirati v avtentikacijskem sistemu in izdelati javni ter privatni ključ, ki služi za šifriranje podatkov. S tem skrajšamo čas in stroške razvoja posameznega informacijskega sistema, hkrati pa povečamo varnost zasebnih podatkov, saj so občutljivi podatki skrb enega sistema ali manjšega števila sistemov. Tak avtentikacijski sistem lahko kasneje izpopolnjujemo, kar poveča varnost in vrednost celotne mreže storitve in informacijskih sistemov, čeprav ostalih informacijskih sistemov ne bi direktno modificirali. Poosebitev dostopa do podatkov in storitev Uporabniki portala so lahko bolj produktivni, če jim daje samo tiste vsebine in storitve, ki jih potrebujejo. Poosebitev dostopov do portala lahko rešuje uporabnik sam, tako da si določi, do katerih storitev bi rad imel dostop, ali pa to namesto njega naredi programska oprema, ki določa, katere informacije so zanj zanimive. Programska oprema, ki izvaja poosebitev, razvršča uporabnike v skupine, ki jih zanimajo podobne informacije. Za vsako skupino nato določa, katere informacije so za te uporabnike zanimive in zanje tudi prilagaja pogled nanje. Poosebitev [2] zahteva izgradnjo profila za vsakega posameznega uporabnika. Profil lahko določimo z uporabnikovim aktivnim sodelovanjem, lahko pa ga zgradimo ali dopolnimo in posodabljamo s pasivnim spremljanjem njegove aktivnosti na spletnem strežniku. Naš portal uporablja oba pristopa, saj imata oba svoje dobre (pa tudi slabe) strani. Prvi je sicer subjektiven, vendar omogoča, da uporabnik eksplicitno pove, kaj ga zanima, drugi pa se časovno spreminja. V splošnem so v procesu poosebitve (slika 2) potrebni trije koraki: priprava in pretvorba podatkov, odkrivanje vzorcev in priporočanje. Priprava podatkov je prva in bistvena faza, ki omogoča kasnejše odkrivanje znanja in analizo korakov. Zanesljivost zanimivih vzorcev, ki jih pridobimo prek algoritma za odkrivanje znanja, je močno odvisna od kakovosti podatkov. Učinkovitost priporočilnega sistema zagotovimo z izvajanjem v realnem času. V našem primeru se priporočanje izvaja v realnem času, medtem ko se fazi priprave podatkov in odkrivanja vzorcev izvajata s pomočjo opravil v ozadju. Za priporočanje potrebujemo sistem za delo z vsebino dokumentov, ki omogoča razvrstitev dokumentov po tematskih kategorijah in mehanizem za sledenje posameznemu uporabniku, ki izhaja iz naše komponente za beleženje Priprava podatkov Predobdelava vsebine Predobdelava uporabe Pnporotila Spletni strežnik Uporabnik Aktivna seja Zbirka epizod Vsebinski profili Izkopavanje vsebine in uporabe Slika 2: Proces poosebitve uporabnikovih akcij. Naloga priporočilnega sistema je, da izračuna množico priporočil, ki najbolj ustrezajo profilu trenutnega uporabnika. Poznamo dolgoročni in kratkoročni način priporočanja. V primeru, ko nimamo na voljo razpoznavalnega mehanizma, gre za kratkoročno spremljanje. Takšnega uporabnika sledimo s pomočjo fiksnega pomičnega okna. Velikost okna je ponavadi zelo majhna, ker uporabnik svoje navade pogosto hitro spreminja. Sledimo torej samo kratkoročni zgodovini. Gre za učinkovit in časovno kot tudi sicer učinkovit način, ko drugi pristopi zatajijo. Proces klasične poosebitve uporabnikov smo v integracijski storitvi nadgradili še s poosebitvijo uporabniškega vmesnika [3J. V ta namen sledimo uporabnikovim akcijam na samem uporabniškem vmesniku. Za vsak posamezni uporabniški vmesnik beležimo obnašanje uporabnika. Ob ponovnem prikazu istega vmesnika se ta uporabniški vmesnik lahko prikaže prilagojen za posameznega uporabnika, kar pomeni, da za določenega uporabnika ne prikažemo določenih gradnikov oziroma se spremeni vrstni red prikaza gradnikov. Na našem portalu smo združili oba klasična pristopa priporočanja, tj. s pomočjo preostalih uporabnikov oz. s širjenjem "od ust do ust" (collaborative filte-ring; CF) in s pomočjo vsebine medijev, ki ustrezajo uporabniškemu profilu (content-based approach) [5]. Pošiljanje sporočil po elektronski pošti in prek SMS Določene podatke uporabniki po predhodni naročitvi prejemajo po elektronski pošti (statistike, potrditev prijave na izpit, rezultati pisnih izpitov, kolokvijev ...) ali na mobilni telefon (pošiljanje SMS sporočil). Del podatkov portal avtomatsko pošilja tistim, ki so upravičeni do teh podatkov (npr. podatki o rezultatu pisnega dela izpita in datum ustnega zagovora se bodo po vnosu takoj poslali študentu). Nekatera obvestila so uporabnikom poslana samodejno, na osnovi njihovih vlog v okviru sistema, druga obvestila so uporabnikom poslana na njihovo željo. Seznam izbirnih obvestil je zabeležen v profilu vsakega uporabnika, kjer je zabeleženo tudi, kako želi prejemati obvestila. Običajni medij za pošiljanje obvestil je elektronska pošta, alternativni medij je SMS. Uporabnik lahko za sprejem izbirnih obvestil izbere en medij ali oba. Predstavitev vsebin v različnih elektronskih medijih Neodvisnost vsebine od njene predstavitve zagotavlja storitev uporabniškega vmesnika. Uporabniški vmesnik lahko izrišemo za različne platforme in za različne medije. Groba arhitektura storitve uporabniškega vmesnika je razvidna iz slike 3. STORITEV UPORABNIŠKEGA VMESNIKA PRIKAZOVALNIK »WINDOWS FORMS.NET« PRIKAZOVALNIK »HTML« PRIKAZOVALNIK »JAVA« ZUNANJI DOGODEK * PODATKI NOTRANJI DOGODEK Slika 3 Arhitektura storitve uporabniškega vmesnika Izdelali smo lasten jezik za opis uporabniškega vmesnika [3]. Zgledovali smo se po jezikih User Inter-face Marku p Language (UIML) [6] in Microsoft Exten-sible Application Marku p Language (XAML) [7]. Oba jezika imata skupno pomanjkljivost in sicer ne upoštevata lastnosti, da je potrebno z enim opisom uporabniškega vmesnika omogočiti prikaz uporabniškega vmesnika na katerikoli platformi in kateremkoli mediju. XAML je vezan na Microsoftovo platformo .NET in predvsem na en medij. UIML pa ima težavo, ker je preveč vezan na programski jezik Java, saj se pri definiciji gradnikov uporabniškega vmesnika sklicuje na imena predefiniranih java razredov. Strežnik dokumentov sprejema XML dokumente, ki so opisani v našem jeziku za definiranje uporabniškega vmesnika in jih preslika v ustrezen uporabniški vmesnik na ustrezni platformi. Prikazovalnik prejme od strežnika dokumentov dokument XML. Najprej v opisu preveri, za katero platformo se mora tvoriti uporabniški vmesnik. Če obstaja ustrezna vrsta prikazovalnika, strežnik dokumentov preusmeri dokument XML k ustreznemu prikazovalniku. Razširljivost storitve uporabniškega vmesnika se kaže ravno v tem, da je posameznih prikazovalnikov lahko neomejeno število. Slaba lastnost takšnega pristopa pa je ta, da je treba za vsako platformo in vsak medij posebej programirati ustrezen prikazovalnik. Ko izdelamo novi prikazovalnik, ga registriramo v centralni prikazovalnik. Integracija storitev in vsebin Posamezne storitve portala ne morejo delovati samostojno, zato potrebujemo storitev, ki omogoča integracijo storitev v portal. Iz slike 4, na kateri je prikazana arhitektura integracijske storitve, lahko vidimo, da so namenskim spletnim storitvam (storitve iz informacijskega sistema UPORABNIŠKEGA AVTENTIKACIJA AVTORIZACIJA PERSONALIZACIJA KOORDINACIJA STORITEV UPRAVITELJ STORITEV Slika 4: Arhitektura integracijske storitve Univerze in storitve portala za izobraževanje na daljavo) poleg integracijske storitve dodane še avtenti-kacijska, avtorizacijska in personalizacijska storitev. Dostop do posameznih spletnih storitev je lahko omejen z uporabniškim imenom in geslom ali digitalnim potrdilom, kar zahteva avtentikacijo in avtorizacijo. Posamezne storitve lahko nudijo tudi informacije, vezane na posameznega uporabnika. V ta namen smo dodali že obstoječo rešitev personalizacijske storitve in jo razširili s personalizacijo uporabniškega vmesnika. Naloga upravitelja storitev je, da na eni strani preveri uporabnika in njegove pravice ter ugotovi njegov interes za uporabo posamezne storitve. Na drugi strani pa mora najti pravo storitev oziroma zagotoviti ustrezen tok dogodkov v sami storitvi. Naloga koordinacijske storitve je povezava več storitev v procesni tok. Za opis procesnih tokov smo uporabili jezik Bus-siness Process Excecution Language (BPEL) [8). Tudi ta jezik temelji na tehnologiji XML. S pomočjo jezika BPEL opišemo koordinacijo spletnih storitev in procesnih tokov. WSDL vmesnik definira specifično uporabo dovoljenih operacij spletne storitve, medtem ko BPEL definira njihovo zaporedje uporabe. VVSDL opisuje javne vhodne in izhodne točke za vsak BPEL proces ter vse informacije o podatkovnih tipih, ki jih potrebujemo pri zahtevah med procesi. Upravitelj storitev je ključni element v integracijski storitvi. Je nadzornik in hkrati organizator vseh procesnih tokov, ki se izvajajo v integracijski storitvi. Upravitelj storitev je tudi edini, ki lahko komunicira s storitvijo uporabniškega vmesnika. Naloga upravitelja storitev se začne pri izbiri ustrezne spletne storitve v množici vseh spletnih storitev, ki so vključene v portal. Te odločitve ne sprejema upravitelj sam, ampak za ta proces poskrbi koordinacijska storitev. Ta vodi seznam vseh spletnih storitev, udeleženih v procesnem toku. Koordinacijska storitev tudi poskrbi, da ima vsaka storitev primerno razširjeno datoteko VVSDL., s katero opišemo vzajemno delovanje med njo in to spletno storitvijo. Koordinacijska storitev prav tako za vsako posamezno spletno storitev vodi podroben opis poslovnih procesnih tokov, saj lahko edino na ta način poskrbi za pravilno medsebojno delovanje spletnih storitev. Upravitelj storitev od koordinacijske storitve dobi informacijo o naslednjem procesu, ki se bo izvedel. Ko ima upravitelj informacijo o naslednji storitvi in procesu, od avtentikacijske in avtorizacijske storitve dobi podatke, ki jih posreduje storitvi. V odvisnosti od avtorizacijskih podatkov splet- na storitev vrne ustrezen odgovor. Dodatno lahko upravitelj storitev doda storitvi še podatke o poosebitvi za določenega uporabnika, v primeru da storitev podpira poosebitev. Na podlagi vseh teh vhodnih podatkov se lahko izvede klic procesa. Ko storitev vrne odgovor, upravitelj storitev pokliče storitev uporabniškega vmesnika. Njegova naloga je, da za določen proces na podlagi vhodnih parametrov opiše uporabniški vmesnik v primerni obliki. Storitev uporabniškega vmesnika in integracijska storitev sta povezani tako, da je upravitelj storitev iz integracijske storitve, povezan s strežnikom dokumentov iz storitve uporabniškega vmesnika. Ti dve storitvi si izmenjujeta zahteve prek spleta po naši lastni XML shemi (podrobnejši opis storitve uporabniškega vmesnika je podan v prejšnjem podpoglavju). Kako poteka komunikacija med uporabnikom in portalom? Uporabnik mora prožiti dogodek, s katerim prek izbranega medija posreduje zahtevo za izvajanje določene storitve. To zahtevo, ki je zapisana v obliki XML, prejme strežnik dokumentov in jo posreduje naprej upravitelju storitev. Naloga upravitelja storitev je, da ugotovi, katera spletna storitev bo prevzela izvajanje procesa. To nalogo izvaja koordinacijska storitev. Ta pravzaprav poišče celoten tok poslovnega procesa, ki se bo izvajal. Na podlagi te informacije upravitelj storitev preveri, če naslednji proces potrebuje avtentikacijo in avtorizacijo. V ta namen mora uporabiti posebni zunanji storitvi, ki to ugotavljata in mu po ugotovitvi, ali lahko uporabnik dostopa do storitve, posredujeta ustrezno informacijo. Upravitelj storitev pred končnim klicem metode spletne storitve preveri še v personalizacijski storitvi, če morda v profilu uporabnika obstajajo podatki o poosebitvi, ki so vezani na trenutno izvajajočo se storitev. S temi podatki in podatki o procesu storitve lahko sedaj izvedemo klic metode spletne storitve. Upravitelj storitev vodi za vsak proces posebej tudi podatke o uporabniškem vmesniku. V primeru, da nimamo vnaprej predvidenega uporabniškega vmesnika za določen proces, ga na podlagi vrnjenih rezultatov in seznama vhodnih podatkov avtomatično tvori upravitelj storitev (tvori dokument XML, opisan po naši shemi). Upravitelj storitev posreduje dokument XML prek spleta storitvi uporabniškega vmesnika. Tam ta dokument prejme strežnik dokumentov, ki dokument posreduje centralnemu prikazovalniku. Centralni prikazovalnik iz opisnega jezika razbere, na kakšni platformi se mora prikazati in v svojem seznamu posebnih prikazovalnikov poišče ustreznega. Če je platforma neznana oziroma centralni prikazovalnik ne najde primernega prikazovalnika, potem javi napako. V nasprotnem primeru opisni dokument XML posreduje posebnemu prikazovalniku. Prikazovalnik izdela uporabniški vmesnik, ki je posredovan uporabniku. Notranji dogodki se izvajajo interno na uporabniškem vmesniku. Zunanji dogodki pa se posredujejo strežniku dokumentov. Dogodki se posredujejo zopet v posebno oblikovanem dokumentu XML. V ta dokument se zabeležijo tudi vse spremembe vrednosti gradnikov. Strežnik dokumentov ta dokument XML posreduje nazaj integracijski storitvi. Tam dokument prevzame zopet upravitelj storitve. Iz dokumenta razbere, kateri dogodek se je prožil. Zopet od koordinacijske storitve prejme podatke o tem, za katero preslikavo dogodka v poslovni proces gre. Tukaj se proces delovanja upravitelja zopet ponovi in s tem se zaključi krog delovanja. 3 Informacijski sistem Univerze v Mariboru Univerza v Mariboru je pristopila k prenovi svojega informacijskega sistema (IS), ki nudi informacijsko podporo pri izvajanju pedagoškega, raziskovalnega in upravno-administrativnega procesa [1]. V okviru prenove, ki je potekala v letih 1999-2002, so: . prenesli obstoječe aplikacije informacijskega sistema na novo tehnologijo, . razvili informacijsko podporo znanstveno-razisko-valnemu procesu, elektronskemu poslovanju s partnerji v slovenskem prostoru in mednarodnemu sodelovanju, . izvedli izobraževanje delavcev univerze. Informacijski sistem je zasnovan modularno, kar pomeni, da so gradniki informacijskih podsistemov ločeni moduli, ki so medsebojno ustrezno povezani in uporabljajo skupno bazo podatkov, v kateri so odpravljena vsa podvajanja podatkov. Na ta način smo dosegli odprtost in enostavno prilagodljivost informacijskega sistema. Logično lahko arhitekturo IS predstavimo z informacijskimi podsistemi. IS tvori pet podsistemov, ki jih prikazuje slika 5. Kadrovski informacijski podsistem (KIPS) vodi evidenco o zaposlenih na Univerzi, ki jo sestavljajo osnovni podatki o zaposlenih, njihovih funkcijah na univerzi in na fakultetah, njihovih koeficientih za plačo, habilitacijah, nagradah in delovnih razmerjih. Podatke iz tega informacijskega podsistema uporablja portal za določanje avtorizacije dostopa do podatkov in storitev IS. Kadrovske podatke uporabljajo vsi informacijski podsistemi (IPS). Akademski informacijski podsistem (AIPS) vodi evidenco o študentih in izvajanju študijskega procesa. Sestavljajo ga vpisna evidenca, izpitna evidenca, predmetniki, najava študijskega procesa, evidenca pedagoških obveznosti, evidenca o postopkih, ki se izvedejo ob diplomah, magisterijih in doktorskih nalogah, izdelava različnih statistik, študentska anketa, evidenca izrednega študija in skupne funkcije. Finančni informacijski podsistem (FIPS) sestavljajo glavna knjiga, saldakonti, plače in drugi osebni prejemki, osnovna sredstva, stroškovno računovodstvo, obračun DDV, fakturiranje in finančni tokovi. Podporni podsistem (PPS) vključuje evidenco vodenja projektov in investicij, administracijo šifrantov, evidenco raziskovalnega dela, sistem za vodenje postopkov in pisarniško poslovanje, zbirko znanja s sistemom samopomoči, sistem elektronskega komuniciranja med študenti in zaposlenimi, podsistem za izobraževanje na daljavo ter portal. Odločitveni podsistem (OPS) je še v fazi izgradnje in je zasnovan za potrebe hitrih vpogledov v agregi-rane podatke za potrebe različnih analiz, ki so pomembne pri odločitvah vodstva fakultet in univerze. Za ta namen se na Univerzi v Mariboru vzpostavlja podatkovno skladišče, ki črpa podatke iz skupne podatkovne baze IS. PISUM Finančni IRS Podporni IPS Kadrovski IPS Akademski IPS Odločitveni IPS Slika 5: Informacijski podsistemi Posamezni IPS niso ločene enote. Med njimi zasledimo preseke - tako v podatkovnem smislu, kakor funkcijskem smislu (slika 6). Ločimo naslednje uporabnike IS: . študenti, e profesorji in asistenti, e delavci v administraciji, e predstojniki inštitutov, kateder ali laboratorijev članic UM, e vodstveni delavci, e zunanji uporabniki IS. e delavci, ki skrbijo za sistem interaktivne pomoči IS, . administratorji IS, e vzdrževalci IS, e obiskovalci, ki pridejo do podatkov iz IS prek svetovnega spleta. Vsak uporabnik ima določeno vlogo v IS, ki mu omogoča dostop do podatkov in funkcij IS. Pedagoški proces, ki na univerzi vključuje največje število subjektov (študenti in pedagoški kader), uporablja funkcije IS prek portala. Študentom je tako omogočeno, da opravijo formalnosti in najdejo potrebne informacije na enem mestu. Opravijo lahko elektronski vpis, izvedejo elektronsko prijavo (ali odjavo) izpita, preverijo svoje znanje, posredujejo svoje seminarske naloge profesorju po elektronski poti, elektronsko plačujejo svoje finančne obveznosti, zbirajo informacije o študijskem procesu (urniki, izpitni roki, govorilne ure, lokacije izvajanja študijskega procesa ...), predelujejo digitalno učno gradivo, ocenjujejo pedagoško delo z izpolnitvijo elektronskih anket in vprašalnikov ali si izpisujejo potrdila z elektronskim posredovanjem izdajateljem. Pedagoškemu kadru je na voljo enostavno spletno orodje za: e pregled informacij o stroških na stroškovnem mestu, e izvedbo izpita - pregled prijav, vnos ocen ..., - izdelavo opisov predmeta, študijskih obveznosti, povezav na elektronsko učno gradivo .... Funkcije IS, ki zahtevajo veliko posegov s tipkovnico, so za administrativne službe (študijski referati, kadrovske in računovodske službe) dostopne prek programske opreme, izdelane v tehnologiji uporab-nik-strežnik. 4 Izobraževanje na daljavo Univerza v Mariboru razvija lastno programsko okolje za podporo e-izobraževanju. Lasten razvoj je potreben zaradi možnosti integracije v obstoječi informacijski sistem univerze, zaradi uporabe slovenskega jezika in večjezičnosti ter zaradi možnosti razvoja lastnih modulov in servisov za e-izobraževanje. Programsko okolje je primerljivo z modernimi komercialnimi produkti (VVebCT, IBM Learning Space, Blackboard, Microsoft Class Server). Učna gradiva v portalu so predstavljena v obliki učnih enot (learning units), iz katerih je mogoče tvoriti poljubna hierarhično ali kako drugače organizirana učna gradiva (npr. v obliki grafa), ki so lahko vezana na skupino študentov ali pa so lahko prilagojena predhodnemu znanju posameznega študenta. Iz učnih enot je možno tvoriti poljubne učne vsebine, jih med seboj navzkrižno povezovati in določati zaporedje, v katerem jih mora študent predelati. Okolje tudi služi za sistem komuniciranja med zaposlenimi in študenti Slika 6: Preseki med IPS Univerze. Okolje vsebuje elektronsko knjižnico učnih materialov, slovar izrazov, podporni sistem za učitelja, podporni sistem za administriranje portala in podporni sistem za študenta. V letu 2005 bomo okolje nadgradili z možnostjo uvoza in izvoza podatkov v format SCORM, tako da bo možen enostaven prenos učnih vsebin v druga učna okolja. Programsko okolje daje študentu: . informacije o njegovem urniku predavanj in vaj ter pedagoškem osebju, . informacije o predmetih, ki jih posluša ter pripadajočih izpitnih rokih, . elektronsko prijavo/odjavo na izpite in pregled ocen izpitov, . elektronski vpis, ■ elektronsko izbiranje predmetov, • servisiranje zahtev po potrdilu o izpitih in frekven-tacijskem potrdilu, . dostop do obrazcev fakultet, ki so vezani na študente, ■ dostop do elektronskih študijskih gradiv za predmete, ki jih posluša, . možnost dodajanja komentarjev, zaznamkov in vprašanj profesorju ali asistentom k posameznim poglavjem učnega gradiva, . možnost dodajanja svojih elektronskih gradiv k posameznim poglavjem učnega gradiva, s možnost predlaganja novih pojmov za slovar strokovnih izrazov za učno gradivo, ■ možnost dodajanja svojih povezav k posameznim poglavjem učnega gradiva, . možnost samopreverjanja usvojenega znanja, . možnost elektronskega oddajanja vaj, seminarskih nalog, programov, . informacije o ocenah vaj, seminarskih nalog, kolokvijev, pisnih izpitov (obveščanje je možno prek spleta, WAP aplikacije, govorne aplikacije ali na zahtevo študenta prek SMS sporočila ali na podlagi pošiljanja SMS sporočila študentu), . informacije o datumu, uri in prostoru ustnih zagovorov vaj, seminarskih nalog, programov in izpitov (obveščanje je tako kot pri prejšnji alineji možno prek drugih medijev), . možnost sinhrone ali asinhrone komunikacije med pedagoškim osebjem in študenti v obliki foruma, spletne aplikacije, ki sprejema vprašanja ali klepetal niče, . možnost izpolnjevanja različnih anket in vprašalnikov o kakovosti pedagoškega procesa, . možnost iskanja določene informacije v slovarju ali v vsebini (razen za kviz), ■ dostop do podatkov oglasne deske: - pregledovanje obvestil o odpadlih predavanjih in vajah, - napoved vabljenih predavanj, dogodkov, zagovorov diplom, magisterijev itd., - zapisniki sestankov organov fakultet, univerze in drugih izobraževalnih organizacij ... Programsko okolje ponuja pedagoškemu osebju: . primerna sistematično strukturirana navodila za pripravo spletnih učnih gradiv in uporabe tehnologij izobraževanja na daljavo, « informacije o urniku predavanj in vaj, . dostop do obrazcev fakultet, ki so vezani na delavce fakultet, . informacije o študentih, ki jim predavajo ali vodijo vaje, . možnost dopolnjevanja osnovnih podatkov o predmetih in vajah, ki jih predavajo, . objavljanje elektronskih študijskih gradiv za predmete ali vaje pri predmetih, ki jih predavajo ali vodijo vaje (gradiva so lahko kateregakoli večpredstavnega tipa), . možnost uporabe vsebine poglavij učnih gradiv, vsebin vaj, domačih nalog, seminarskih nalog iz prejšnje generacije ali iz druge skupine v isti generaciji ali celo iz drugega predmeta, ki ga predava profesor, ■ možnost dodajanja literature k posameznim poglavjem in k celotni vsebini predmeta, ■ možnost pregledovanja slovarjev izrazov, . možnost tvorjenja slovarja izrazov ter povezovanja izrazov v slovarju, « možnost razvrščanja študentov v skupine, ■ definiranje vsebine vaj, seminarskih nalog, programov ali domačih nalog (vsebine so lahko vezane na točno določenega študenta, skupino študentov ali so enake za vse študente), ■ generiranje nalog iz nabora vnaprej pripravljenih nalog, ■ možnost dodajanja komentarjev k posameznim poglavjem učnega gradiva, . možnost dodajanja svojih elektronskih gradiv k posameznim poglavjem učnega gradiva, . možnost dodajanja svojih povezav k posameznim poglavjem učnega gradiva, ■ možnost dodajanja svojih povezav k celotni vsebini predmeta, . možnost definiranja elektronskih kvizov za študente, . pregledovanje in ocenjevanje elektronsko oddanih vaj, seminarskih nalog, programov prek spletne aplikacije, • možnost definiranja pravil ocenjevanja vaj, domačih nalog, skupne ocene ..., . določanje rokov oddaje posameznih vaj, zagovorov vaj, seminarskih nalog, programov, zagovorov ustnih izpitov, . vstavljanje informacije o ocenah vaj, seminarskih nalog, kolokvijev, pisnih izpitov, . vstavljanje informacije o datumu, uri in prostoru ustnih zagovorov vaj, seminarskih nalog, programov in izpitov, . možnost sinhrone ali asinhrone komunikacije med študenti v obliki foruma, spletne aplikacije, ki sprejema vprašanja ali klepetalnice, • možnost urejanja pogosto zastavljenih vprašanj iz celotnega nabora vprašanj študentov, ■ nalaganje informacije o študentih ali skupini študentov na dlančnik, . vpisovanje zabeležk o študentu prek dlančnika ali prek spletne aplikacije, • pošiljanje obvestil posameznim študentom, skupinam študentom ali vsem študentom, ki poslušajo predmet po elektronski pošti ali s pošiljanjem SMS, . možnost vodenja evidence o prisotnosti na vajah in predavanjih z uporabo spletne aplikacije ali dlančnika, ■ ocenjevanje vaj in ocenjevanje študentov na predavanjih z dlančnikom, . vodenje zabeležk o študentih prek dlančnika ali spletne aplikacije, . možnost dodajanja nalog z rešitvami, . možnost spremljanja statistike za posameznega študenta, skupine študentov ali vseh študentov (prisotnosti na vajah in predavanjih, število oddanih vaj, ocene kolokvijev, vaj, seminarskih nalog, domačih nalog, napredovanje študentov pri usva-janju učne snovi, ocene pri samopreverjanju) • pregledovanje prijav študentov v sistem. Programsko okolje omogoča administratorju: . dodeljevanje uporabniških imen, ■ generiranje novih predmetov, . določanje parametrov predmeta (način oddaje dokumentov, ocenjevanje ...), « povezovanje podatkov z novim predmetom (predmet, pedagoški delavci, študenti), . dodeljevanje dostopov študentov in pedagoškemu osebju do posameznih funkcij programskega okolja, ■ pregledovanje sistemskih sporočil, ■ pregledovanje prijav študentov v sistem. Portal omogoča tvorjenje svoje strukture portala za vsak predmet za vsako generacijo študentov oziroma za vsako skupino študentov znotraj generacije posebej. Beležiti moramo namreč zgodovino, saj drugače ne vemo, če je neki študent pred več leti opravil vaje ali predavanja. 5 Sklep V članku je predstavljen tehnični in vsebinski vidik izgradnje portala Univerze v Mariboru. Portal je integriran z informacijskim sistemom Univerze v Mariboru in programskim okoljem za podporo e-izobraže-vanju. Bralcu članka se najverjetneje poraja vprašanje zakaj smo se odločili za lasten razvoj portala, če pa obstaja že množica komercialno dostopnih produktov, s katerimi bi lahko dosegli enake učinke. Razlog je predvsem v lažji in boljši integraciji portala z drugimi podsistemi informacijskega sistema Univerze v Mariboru. Zaradi omejenih finančnih sredstev smo v izhodišču projekt prenove informacijskega sistema Univerze v Mariboru zasnovali tako, da so ga v največji meri izvajali strokovnjaki z univerze. Če bi hoteli doseči podobne funkcionalnosti s komercialno dosegljivimi produkti, bi to zahtevalo večja finančna sredstva, potrebna dodatna znanja sodelavcev na projektu, rezultat pa bi bil najverjetneje dosežen zunaj časovnih rokov, ki smo si jih zastavili na Univerzi v Mariboru. Portal je možno enostavno nadgraditi z novimi storitvami, ki bodo omogočale izmenjavo podatkov z drugimi informacijskimi sistemi (npr. zapise o študentih in zaposlenih, študijska gradiva), kar bo omogočilo lažjo izmenjavo študentov in profesorjev z drugimi univerzami in izvedbo kreditnega študija znotraj univerze in med univerzami. Portal in programsko okolje za podporo e-izobraževanju gradimo tako, da ga bo z manjšimi modifikacijami možno implementirati tudi v drugih (predvsem večjih) izobraževalnih institucijah. Pri uvajanju portala in ostalih informacijskih podsistemov ter okolja za podporo izobraževanju na daljavo smo naleteli na precej organizacijskih problemov. Eden izmed najbolj perečih problemov je bila vzpostavitev ažurne kadrovske evidence. Brez ažurne kadrovske evidence namreč nismo mogli vzpostaviti enotnega avten-tikacijskega sistema za zaposlene. Precejšen problem je bila tudi delna računalniška nepismenost zaposlenih na univerzi. Nekateri zaposleni še namreč niso znali v zadostni meri uporabljati programskega paketa MS Office, elektronske pošte in spletnega brskalnika. Slabo računalniško pismenost odpravljamo z izvajanjem internih izobraževalnih tečajev. Prav tako izvajamo tudi tečaje na področju uvajanja e-izobraževanja (priprava študijskih gradiv, uporaba okolja za podporo e-izobraževanju). Najhitreje so novosti in možnosti sprejeli izredni in redni študenti, saj jim sedanji sistem nudi dostop do vsebin in storitev informacijskega sistema univerze prek interneta, mobilnih telefonov in dlančnikov, kar jim prihrani čas in denar (npr. čas in stroški prevoza), ki bi ga potrošili, če bi želeli te storitve opraviti na fakulteti. Zahvala Projekt je bil realiziran s sredstvi, ki so jih prispevali na Univerzi v Mariboru, Ministrstvu za šolstvo znanost in šport in Ministrstvu za informacijsko družbo. Vsem se iskreno zahvaljujemo za finančno in organizacijsko podporo. Viri [1] KLOJČNIK, Tomaž, OJSTERŠEK, Milan, MASIČ, Štefan, HORVAT, Branko, SCHAFFRANIETZ, Ervin, BEDEKOVIČ, Violeta: Projekt RISUM : [razvojni projekt Prenove informacijskega sistema Univerze v Mariboru], Maribor: Univerza, Računalniški center, 1999-2001. [2] HORVAT, Branko. Spletno rudarjenje in personalizacija : magistrsko delo. Fakulteta za elektrotehniko, računalništvo in informatiko, Maribor: 2003. [3] GORENJAK, Borut. Univerzalni model za gradnjo uporabniških vmesnikov in integracijo spletnih storitev : magistrsko delo. Fakulteta za elektrotehniko, računalništvo in informatiko, Maribor, 2004 [4] BREZOVNIK, Janez. Izdelava sistema za upravljanje z digitalnimi identitetami: diplomsko delo univerzitetnega študijskega programa, Fakulteta za elektrotehniko, računalništvo in informatiko, Maribor, 2004. [5] YU, Philip S.: Data Mining and Personalization Technologies, 6th International Conference on Database Systems for Advanced Applications (DASFAA ’99), Hsinchu, Tajvan, 1999, str. 6-14. [6] UIML.org. Home of the User interface Markup Language. Dostopno na naslovu: http://www.uiml.org . Obiskano: 8. decembera 2004. [7] Microsoft. Longhorn Markup Language (code name »XAML«) Overview, april 2003. Dostopno na naslovu: http:// longhorn. msdn.microsoft.com/?// Ionghorn.msdn.microsoft.com/lhsdk/core/overviews/ about%20xaml.asox Obiskano: 8. decembra 2004. [8] T. Andrews, F. Curbera, H. Dholakia, Y. Goland, J. Klein, F. Leymann, K. Liu, D. Roller, D. Smith, S. Thatte, I. Trickovic, S. Weerawarana. Business Process Execution Language for Web Services Version 1. 1. november 2003. Dostopno na naslovu: http://www-106.ibm.com/developerworks/library/ws-bpel/. Obiskano: 2. julija 2004. Milan Ojsteršek je izredni profesor na Fakulteti za elektrotehniko, računalništvo in informatiko v Mariboru in vodja Centra za heterogeno procesiranje in računalniškega centra na tej fakulteti. Skupaj s sodelavci se ukvarja z razvojem porazdeljenih in spletnih aplikacij. Namen njegovega dela in dela Centra za heterogeno procesiranje je prenos najnovejših znanstvenih dosežkov in tehnologij v podjetja in na študente računalništva in informatike Fakultete za elektrotehniko, računalništvo in informatiko v Mariboru. Oejan Oinevski je docent in vodja Oddelka za informacijski in tehnološki razvoj na Univerzi v Mariboru. Zadolžen je za univerzitetne informacijske sisteme, prvenstveno pa za uvajanje informacijske podpore izobraževalnemu procesu na univerzi. Mag. Tomaž Klojčnik je predstojnik Računalniškega centra Univerze v Mariboru (RCUM). Ukvarja se predvsem s koordinacijo različnih projektov posodobitve informacijske in komunikacijske infrastrukture Univerze v Mariboru. RAZPRAVE B Vpliv spletnih portalov na kakovost visokošolske izobraževalne institucije Jaka Lindič, Aleš Popovič, Jurij Jaklič, Mojca Indihar Štemberger Faculty of Economics, University of Ljubljana, Kardeljeva ploščad 17, 1000 Ljubljana, Slovenia jakaJindic@ef.uni-lj.si, ales.popovic@ef.uni-lj.si, jurij.jaklic@ef.uni-lj.si, mojca.stemberger@ef.uni-lj.si Povzetek Tako kot druge organizacije se morajo tudi izobraževalne institucije prilagajati vse hitreje spreminjajočemu se okolju, ki prinaša vedno nove izzive. Pri uvajanju e-izobraževanja se na fakultetah srečujemo z mnogimi ovirami, ki jih lahko razdelimo v tehnološke in kulturne. Mnoge prednosti e-izobraževanja, kot npr. stroškovna učinkovitost, večja odzivnost na spremembe, ažurne vsebine, fleksibilnost pri dostopu in prinašanje vrednosti za uporabnika ne temeljijo zgolj na uporabi napredne tehnologije. Ne moremo pričakovati, da je tehnologija sama po sebi dovolj za spremembe v načinu dela ljudi. Tehnološke rešitve v obliki portalov, ki omogočajo integracijo razpršenih virov, so znane že nekaj let. V zvezi s temi rešitvami postaja področje njihove učinkovitosti in uporabnosti vse aktualnejše, saj integracija več ne zadostuje. Uporabniki želijo do informacij prihajati na različne načine - personalizirano. Članek obravnava področje uporabe interneta kot medija za doseganje enega izmed osnovnih ciljev izobraževalnih institucij, to je izboljšanje kakovosti. Prikazali bomo, kako visokošolsko izobraževalno okolje vpliva na doseganje tega cilja. Model smo praktično preizkusili na primeru Ekonomske fakultete Univerze v Ljubljani. Primer prikazuje tudi, da se spremembe nikoli ne zgodijo »čez noč«. Abstract The impact of web portals on quality of institutions of higher education Institutions of higher education are just like other organizations forced to adapt to the ever faster changing environment that brings many new challenges. There are several obstacles in the way of introducing e-learning in these institutions. We can divide them into technology-based and culturally based. Many benefits of e-learning such as cost-effectiveness, enhanced responsiveness to change, timely content, flexible accessibility, and providing value to the customer are not based only on use of high technology. We cannot expect that the use of advanced technology is enough to change the way we work as a human being. Technologic Solutions in form of portals have been knovvn for guite some years. A recurring problem has become efficiency and usefulness of these Solutions. Integration of dispersed sources is not sufficient. Individual users should obtain information in a variety of ways - in a personalized way. The paper will address the topič of using Internet as a medium to achieve one of the primary goals of institutions in higher education; that is quality improvement. We vvill shovv the influence of e-learning environment to achieving this goal. The model has also been tested in practice, at the Faculty of Economics at the University of Ljubljana. This čase has also proved that cultural changes never take plače over night. 1 Izzivi in priložnosti Izobraževalne institucije se vse bolj srečujejo z zahtevami po povečevanju operativne učinkovitosti in uspešnosti, ki vodi v vidnejše uspehe tako študentov kot tudi pedagogov. Visokošolske izobraževalne institucije se morajo tudi vse hitreje prilagajati spremembam v okolju (večanje števila študentov, večja odgovornost do skupnosti, kulturne spremembe, vseživljenjsko učenje, večja dostopnost tehnologije, novi in močnejši obstoječi konkurenti). Pomemben je tudi vpliv heterogenosti študentov, njihove informacijsko-komunikacijske opremljenosti, etnološkega ozadja, znanja in sloga učenja. Z združevanjem Evrope postajata ideja o popolni mobilnosti profesorjev in študentov ter konkurenca na področju izobraževanja močna in pomembna faktorja v deželah, za katere to v preteklosti ni bilo značilno. V kolikor želijo visokošolske institucije ostati konkurenčne morajo nenehno skrbeti za uvajanje in uporabo novih, inovativnih metod učenja in temeljito spreminjati načine izobraževanja. Prisiljene so v uporabo znanja in prenos izkušenj iz poslovnega sveta. Vse bolj se zavedajo, da niso pomembne zgolj in samo osrednje funkcije, temveč tudi podporne. Novi pristopi k učenju predstavljajo izzive in priložnosti tako za profesorje kot tudi za strokovno oz. administrativno osebje. E-izobraževanje dandanes običajno povezujemo z uporabi zahtevne tehnologije (širokopasovnih povezav, zmogljive strojne in programske opreme). Eden izmed večjih problemov je pomanjkanje virov, povezanih z informacijsko tehnologijo, tako tehničnega osebja kot tudi tehnologije. V drugem poglavju obravnavamo posebnost izobraževalnega okolja v luči e-izobraževanja. V tretjem poglavju predstavljamo model vpliva spletnih portalov na kakovost visokošolske izobraževalne ustanove. Sledi poglavje s predstavitvijo študije primera institucije, kjer je tovrstna rešitev uspešno vpeljana. V sklepu povzemamo naše izkušnje in poudarimo ključne dejavnike za uspešen razvoj, uvajanje in uporabo rešitve. 2 Visokošolsko izobraževalno okolje in e-izobraževanje E-izobraževanje je nadgradnja učenja in izobraževanja. Pogosto ga razumemo in opredelimo v smislu materialov, ki se prenašajo prek elektronskih medijev vključno z internetom, intraneti, ekstraneti, satelitskimi širokopasovnimi povezavami, avdio/video trakovi, interaktivno televizijo in CD-ROM-i [2]. E-izobra-ževanje lahko razumemo tudi kot uporabo interneta in z njim povezanih tehnologij za prenos materialov, podporo in izboljšavo poučevanja, učenja in ocenjevanja. Pri uvajanju e-izobraževanja v visokošolske ustanove se srečujemo s številnimi ovirami, ki so tehnološkega in kulturnega značaja. Tehnološki ponudniki se usmerjajo predvsem na tehnološki vidik e-izo-braževanja. Ponujajo visokotehnološke rešitve, ki omogočajo interaktivne izobraževalne materiale, običajno v večpredstavnostni obliki in v obliki predavanj, ki se prenašajo preko videokonferenčnih povezav. Ključna razlika med tradicionalnim učilniškim izobraževanjem in e-izobraževanjem je v mediju preko katerega izobraževanje poteka [3]. V tradicionalnem okolju ima pedagog popoln nadzor nad učnim okoljem. Pri e-izobraževanju pa je s pedagoškega vidika značilna predvsem zmanjšana možnost prilagajanja. Med tehnološke ovire štejemo predvsem dostop do omrežnih povezav. V zadnjem obdobju je izpostavljen predvsem vidik dostopnosti širokopasovnih povezav. Kljub temu, da se dostopnost širokopasovnih povezav v večini držav povečuje, ta še vedno ni dovolj visoka, da bi lahko e-izobraževanje temeljili na njej. V ZDA še vedno več kot 67 % uporabnikov uporablja povezave s hitrostjo do 56 Kbps [9]. V Sloveniji pa je delež uporabnikov širokopasovnih povezav 21% [8]. Druge tehnološke ovire so povezane s potrebami po specializirani strojni in programski opremi. Za izdelavo večpredstavnostnih učnih materialov namreč tipično potrebujemo posebno programsko opre- mo. Poleg tega je treba upoštevati tudi potrebe po posebnem znanju in izkušnjah. Pedagog mora imeti namreč posebna znanja, kako pripraviti večpredstavnostna gradiva. E-izobraževanje je namreč bistveno več, kot enostaven prenos knjig in drugih tiskanih gradiv v elektronsko obliko. Kljub temu, da na prvi pogled izgleda, da je ključni problem tehnologija, so po našem mnenju to v prvi vrsti ljudje. Tradicionalni način, na katerega smo pridobivali znanje in formalno izobrazbo, se zelo dolgo ni spremenil. Neracionalno je pričakovati, daje za spremembo načina razmišljanja in delovanja dovolj zgolj uporaba napredne tehnologije. Kulturne spremembe se nikoli ne zgodijo čez noč. Vseeno pa e-izobraževanje prinaša številne koristi vključno s stroškovno učinkovitostjo, večjo odzivnostjo na spremembe, konsistentnostjo odziva na spremembe, ažurnimi vsebinami, fleksibilnostjo pri dostopu in dodajanjem vrednosti za uporabnika [7]. Kot lahko vidimo ključne koristi niso povezane z uporabo napredne tehnologije. Glavna prednost e-izobraže-vanja je podpora učinkoviti komunikaciji med študenti, profesorji in strokovnimi službami. To pa vodi v učinkovitejše in uspešnejše poučevanje, učenje in ocenjevanje. Rešitev, ki jo predlagamo, je vpeljava spletnih portalov. Poslovna sfera se že leta srečuje s preobiljem informacij. S tehnološkim napredkom pa se to preobilje še stopnjuje. Rešitev, ki je znana že vrsto let, so spletni portali. Prepogosto so ti razumljeni predvsem v smislu tehnologije, ki pa predstavlja zgolj en vidik. Veliko pomembnejša je vsebina samega portala in procesi, ki so povezani z njim. S tehnologijo je po nekaterih ocenah povezanega približno tretjina dela za postavitev dobrega portala |5J. Kar portale razlikuje od statičnih spletnih strani je njihova značilnost, da vključujejo podatke iz različnih virov, v različnih oblikah in jih predstavljajo na poenoten konsistenten način, prek enotne točke dostopa. Z vidika uporabnika to pomeni, da predstavlja portal enotno izhodiščno točko za pokrivanje njegovih informacijskih potreb na nekem delovnem področju. V primeru izobraževalne institucije to npr. pomeni, da študentski portal podpira vse aktivnosti študenta v okviru izobraževalnega procesa in ne uporablja ločenih sistemov za različna opravila (dostop do gradiv, prijavljanja na izpite in drugo). Med tipične funkcionalnosti, ki jih mora vsebovati portal, štejemo varnost, omrežje, administrativna orodja, iskalna orodja, orodja za upravljanje z vse- binarni, poosebitve, razširljivost in enostavnost uporabe [6]. Najpomembnejši namen izgradnje spletnih portalov je izboljšanje učinkovitosti in uspešnosti zaposlenih. Učinkovitost izboljšujemo z večjo uporabnostjo (hitrejše in natančnejše pridobivanje informacij, hitrejše in pravilnejše opravljaje nalog) in zmanjšanjem odvečnih in ponavljajočih se postopkov (podatki naj se v sistem vnašajo samo enkrat, kjer nastanejo in ko nastanejo). Boljša učinkovitost zaposlenih ima številne pozitivne učinke. Namesto, da se zaposleni ukvarjajo z rutinskimi opravili, lahko koristneje uporabijo svoj čas (za pridobivanje novih znanj, optimizacijo drugih procesov itd.). Kot ugotavljajo raziskave na področju organizacijske teorije, zmanjšanje rutinskih opravil vodi v boljše zadovoljstvo pri delu. Vse to pa lahko zopet vodi v večjo uspešnost posameznikov in institucije v celoti. Pri tem je treba poudariti, da portali vse to zgolj omogočajo. Da bi portali dejansko vodili k dvigu kakovosti, je treba poskrbeti tudi za druge vidike, predvsem vsebine pa tudi uporabnost. 3 Model upliua spletne rešitve na kakovost visokošolske izobraževalne ustanove Pri uvajanju različnih informacijskih rešitev je pogosto težko pokazati neposredno povezanost med vlaganji oz. njihovimi rezultati (rešitvami) ter uspešnostjo (merljivimi rezultati). V nadaljevanju predstavljamo model povezanosti elementov portala in kakovostjo visokošolske izobraževalne institucije. Samo kakovost institucije lahko opredelimo na različne načine. Sestavljena je iz mozaika različnih področij: . kakovosti študija in pridobljenega znanja (zaposljivost študentov); . kakovosti pedagoškega procesa (prehodnost študentov med letniki, zadovoljstvo študentov); . kakovosti raziskovalnega dela pedagogov in študentov (npr. število objavljenih člankov v znanstvenoraziskovalnih revijah); . vpetosti institucije v poslovno in širše družbeno okolje (sodelovanje gostov iz prakse, prenos znanja oz. raziskovalnih izsledkov v prakso, povečanje pretoka znanja in idej); ■ vpetosti v mednarodno okolje (mednarodna izmenjava študentov in profesorjev); . poslovne uspešnosti (raziskave za trg, svetovalna in korporativna izobraževalna dejavnost). Spletne rešitve s posameznimi elementi, ki jo sestavljajo, omogočajo izboljšave na različnih področjih. SPLETNI ELEMENTI DVIG KAKOVOSTI IZBOLJŠAVE Slika 1: Povezanost med spletnimi elementi in dvigom kakovosti institucije Te izboljšave pa posredno ali neposredno omogočajo dvig kakovosti institucije (slika 1). Portali lahko vsebujejo različne vsebinske elemente, ki jih lahko razdelimo v tri skupine: pedagoško-raziskovalni, infor-macijsko-komunikacijski in administrativni (slika 2). V prvi skupini so elementi, ki so povezani z načrtovanjem predmeta, njegovim upravljanjem in sodelovanjem pri predmetu. Pedagogi lahko objavljajo obvestila, pripravijo terminski načrt in uporabljajo dokumentni sistem za objavljanje gradiv. Pedagogi, študenti in zunanji sodelavci (npr. gostje iz prakse) lahko skupaj sodelujejo v on-line diskusijah. Študenti lahko dostopajo do on-line študijske literature in virov (on-line baze člankov) in prek spleta opravljajo izpite. S pomočjo spletnih anket je možno pridobiti ocene študentov in posledično izboljšati pedagoški proces. Med informacijsko-komunikacijske elemente lahko štejemo različne informacije, povezane s študijem (npr. obvestila predmetov, terminski načrt, termin ogledov kolokvijev, aktualne spremembe govorilnih ur, ogled izpitov ipd.) in informacije na ravni posameznih enot (npr. enotami za mednarodno sodelovanje, poslovno sodelovanje, razvoj študentov ipd.) ali ravni fakultete (npr. informacije o dejavnosti alum-ni kluba, dejavnostih vodstva ipd.). V zadnji, a nič manj pomemben sklop elementov, lahko vključimo administrativne postopke. Študenti se lahko prijavijo na izpite, si ogledajo izpitni karton, izpolnjujejo in naročajo različne obrazce, poiščejo lahko zaposlitev ali študijsko prakso. Zaposlenih lahko npr. upravljajo s prejeto in poslano pošto, evidentirajo prisotnost ter spremljajo zadolžitve in naloge. Posamezni elementi na različne načine in v različnem obsegu vplivajo na kakovost institucije. Tako administrativni elementi vplivajo na hitrejše in učinkovitejše izvajanje administrativnih postopkov. Na ta način so zaposleni manj obremenjeni, poveča se zadovoljstvo študentov, stroški pa se znižajo. Tudi nekateri informativni elementi vplivajo na boljšo obveščenost in s tem pozitivno vplivajo na izvajanje procesov. S pomočjo spletnih anket lahko institucija učinkoviteje spremlja kakovost dela profesorjev in strokovnih JAVNE PORTAL ZA PORTAL ZA PORTAL ZA STRANI ŠTUDENTE SODELAVCE PODJETJA Pedagoško-raziskovalni načrtovanje predmetov upravljanje z gradivi diskusije (e-klepetalnice) on-line izpiti dostop do literature in virov spletne ankete podpora sodelovanju s podjetji Informativno-komunikacijski obveščanje študentov komunikacija med študenti, pedagogi, strokovnimi delavci informiranje o mednarodnem sodelovanju (izmenjave, poletne šole ...) informiranje o dejavnosti na področju osebnostnega razvoja študentov informiranje o dejavnosti Alumni kluba, inštitutov, enot, vodstva Adm inistra ti vrti prijavljanje na izpite, izpitni karton naročanje in on-line plačevanje obrazcev iskanje zaposlitev, praks evidenca klasične pošte evidenca prisotnosti evidenca zadolžitev in nalog poosebitev, uporabnost, tehnološka neodvisnost (platforma, brskalnik, pasovna širina) zmanjšanje obremenitve strokovnih delavcev zadovoljstvo študentov hitrejši postopki zmanjšanje stroškov izboljšana komunikacija večja mednarodna izmenjava študentov in učiteljev povezovanje fakultete z gospodarstvom vlaganja v podporo ključnim procesom (pedagoškemu, raziskovalnemu) posvečanje vsebini in ne administrativnim opravilom podpora pedagoškemu procesu možna bolj prilagodljiva organiziranost načrtovanje in spremljanje kakovosti Slika 2 Model vpliva spletnih portalov na kakovost visokošolske izobraževalne institucije delavcev. S tako pridobljenimi informacijami lahko nenehno izboljšuje svoje poslovanje. Z odpravo oziroma poenostavitvijo rutinskih opravil se lahko pedagogi namesto administrativnim opravilom bolj posvetijo vsebini, strokovni delavci pa podpori pedagoškega procesa. S posebnim portalom za podjetja lahko partnerji institucije dostopajo do življenjepisov študentov, izbirajo ustrezne študente in stopijo v kontakt z njimi, ponudijo strokovne prakse ipd. 4 Portali Ekonomske fakultete - spletna triada Ekonomska fakulteta v Ljubljani je med največjimi fakultetami v Sloveniji, saj v izobraževalnem procesu sodeluje več 10.000 dodiplomskih in skoraj 2000 podiplomskih študentov, zaposlenih pa je le nekaj več kot 220 delavcev, od tega 150 pedagoških, kar pomeni skoraj 80 študentov na pedagoškega delavca. V takšnih pogojih je zelo težko imeti s študenti oseben odnos in zagotoviti ustrezno kakovost študija. Povečanje kako- vosti pri takšnem številu študentov je mogoče doseči samo z ustrezno informacijsko podporo, saj je na fakulteti glede na število študentov malo zaposlenih. Za premostitev tega problema uporabljamo na fakulteti številne pristope, še zlasti pa namenjamo veliko pozornosti možnostim, ki jih omogočajo sodobne tehnologije z internetom na čelu in so dostopne prek fakultetnih portalov. Potreba po portalih izhaja tudi iz vizije Ekonomske fakultete, da bo »viden član skupine najkakovostnejših evropskih poslovnih in ekonomskih šol z jasno prepoznavnim pomenom za slovensko gospodarstvo in gospodarstvo osrednje in jugovzhodne Evrope in z najvišjimi mednarodnimi učnimi ter raziskovalnimi standardi, zaradi katerih bo skupaj s svojimi študenti in diplomanti privlačna tako za slovensko kot mednarodno gospodarstvo« [1]. To je mogoče doseči samo s povečevanjem kakovosti institucije kot celote, ne le izobraževalnega procesa. Zato zasnova portalov upošteva oziroma izhaja iz strateških usmeritev Ekonomske fakultete (slika 3), ki predstavljajo načine uresničevanja vizije. 4.1 Razvoj portalov Učinkovito podporo povečevanja kakovosti dajejo spletni portali Ekonomske fakultete, ki predstavljajo najvidnejši del informacijskega sistema fakultete. Njihovi začetki segajo v leto 1995, ko so za potrebe študija na daljavo nastale ene prvih fakultetnih spletnih strani v Sloveniji [4]. Te so na začetku študentom dajale predvsem koristne informacije v zvezi s študijem, predmeti in izpiti. Takrat je tudi bila razvita prva programska oprema, ki je študentom omogočila spletno prijavljanje na izpite ter vpogled v izpitne rezultate. Izkušnje, ki jih je fakulteta pridobila pri študiju na daljavo, je kmalu s pridom uporabila tudi pri rednem študiju. Tako so postopoma začeli nastajati portali Ekonomske fakultete. Pri njihovem razvoju so bila ves čas kot izhodišča na prvem mestu potrebe študentov in drugih uporabnikov. Uporabo portalov pri pedagoškem in drugih administrativnih procesih podpira in spodbuja tudi vodstvo fakultete, ki poleg drugih uporabnikov tudi tvorno sodeluje pri oblikovanju novih vsebin. To je v veliki meri prispevalo k dejstvu, da je uporaba portalov pridobila ustrezno mesto v običajnem, vsakodnevnem izvajanju procesov (pedagoških, raziskovalnih in drugih) na fakulteti, pri čemer vodstvo fakultete in njeni zaposleni v uporabi portalov vidijo tehnološko podporo uresničevanju vizije in izpolnjevanju poslanstva fakultete. Aktivna podpora vodstva, posluh za potrebe uporabnikov in skrbno načrtovano upravljanje z vsebinami so skozi čas omogočili izdelavo bogatejših portalov, ki na enem mestu združujejo različne vsebine, namenjene različnim ciljnim skupinam. Danes tako portale Ekonomske fakultete (slika 3) sestavlja spletna triada: portal za zaposlene, portal za študente in portal za podjetja. Kljub vsebinsko zaokroženim sklopom pa so naključnemu obiskovalcu ves čas na voljo splošne informacije o fakulteti, aktualnih novicah in dogodkih, študiju, pedagoških delavcih, predmetih in ostalih študijskih virih. Značilnost portala Ekonomske fakultete je tudi tesna prepletenost posameznih delov. Pri načrtovanju in razvoju se pojavlja težnja k cilju enkratnega vnosa informacij na mestu, kjer nastanejo. Na ta način je zagotovljena pravočasnost in ažurnost informacij. ŠTUDENTI PODJETJA SODELAVCI PORTALI STRATEGIJA Slika 3: Portali za različne javnosti podpirajo strategijo fakultete 4.2 Funkcionalnosti portalov Portal za zaposlene in druge sodelavce je fakulteta uvedla leta 2001. Zaposlenim omogoča opravljanje različnih opravil, tako vsakodnevnih kot tudi tistih, ki jih opravljajo bolj poredko. Za portal je značilna visoka stopnja personalizacije vsebin. Vsebina portala je prilagojena skupinam uporabnikov (npr. pedagogom, zaposlenim v referatu ali v drugih organizacijskih enotah ipd.), vsak posameznik pa lahko vsebino še nadalje prilagodi svojim željam ali potrebam, ne glede na to, ali so te trenutne ali trajne. Upravljanje z obvestili in dokumenti. Zaposlenim je omogočeno pregledovanje in objavljanje različnih obvestil in dokumentov (pravilnikov, navodil, zapisnikov, poročil...) ter določanje dostopa do le-teh. Medsebojna komunikacija. Predstavlja eno prvih predstavljenih rešitev v portalu in omogoča zaposlenim komunikacijo na medosebni ravni, ravni opredeljenih skupin (npr. vodstvo, posamezne katedre, referati, ipd.) ali na ravni fakultete. Pedagoška dejavnost. Pedagoškim delavcem je na preprost in učinkovit način omogočeno upravljanje z lastno pedagoško dejavnostjo. Tako lahko npr. pedagoški kader upravlja s predmeti (ureja podatke o predmetih, objavlja obvestila in gradiva za študente, ureja pogosto zastavljena vprašanja, upravlja s terminskim načrtom dela pri predmetu tako za predavanja kot vaje, upravlja s prijavami študentov na obveznosti pri predmetu in moderira razprave v klepe-talnicah oz. forumih predmetov). Upravljanje z vsebinami spletnih strani enot. Sodelavci enot in centrov fakultete lahko prek portala za zaposlene na enostaven in hiter način upravljajo z vsebinami in osnovno strukturo predstavitvenih strani svojih enot oz. centrov. Tako lahko npr. urejajo obvestila, objavljajo različna gradiva in poročila, sprejemajo prijave na dogodke ipd. Dostop do raziskovalnih podatkov. Za zaposlene, še posebej pa pedagoge, so na enem mestu zbrani dostopi do različnih raziskovalnih podatkov: baze zaključnih računov slovenskih podjetij, Centralne ekonomske knjižnice, Evropskega dokumentacijskega centra, inštitutov in drugih centrov fakultete za potrebe raziskovalnega dela. Finančni pregledi in evidence. Vključujejo finančne preglede lastnih raziskovalnih sredstev in drugih projektov, na katerih je sodelavec za tak pregled pooblaščen. Spletne evidence podpirajo zlasti fakultetne administrativne procese: evidenco prisotnosti nepe- dagoškega kadra, evidenco prispele, tranzitne in oddane pošte, evidence lastnih in tujih zadolžitev ter nalog, evidenco dejavnosti zaposlenih na domači instituciji in na drugih inštitucijah, evidence članstva v komisijah za zagovor zaključnih del. Za portal za zaposlene velja posebej poudariti, da je njegova uporaba zelo zaživela, saj nič več ne uporabljamo gradiv in obveščanja v pisni obliki. Portal za študente (Študent-net) je fakulteta uvedla leta 2003. Študentom omogoča, da prek enotne vstopne točke dostopajo do vsebin in orodij, ki jih potrebujejo pri svojem študiju. Tako imajo na enem mestu zbrane informacije, novice, obvestila, dokumente, študijska gradiva in klepetalnice, opravljajo lahko administrativne postopke (prijavljanje na izpite, ogled lastnih evidenc...), dostopajo do raziskovalnih podatkov ter komunicirajo s pedagogi. Študentski portal omogoča študentom dostop do vsebin glede na skupine uporabnikov (način študija, letnik, smer), podobno kot za portal za zaposlene, pa je tudi zanj značilna visoka stopnja personalizacije. Splošne novice in obvestila. Študentom so na enem mestu na voljo splošne novice in druge tematske novice, kot npr. novice Mednarodne pisarne, razpisi štipendij ter strokovnih praks, povpraševanja podjetij, novice Centra za svetovanje in razvoj študentov ter drugih organizacijskih enot. Dokumentni sistem. Omogoča povezave na različne dokumente, ki jih študent potrebuje med študijem (npr. pravilnike, navodila, zapisnike, različne obrazce ipd.). Komunikacijski sistem. Omogoča komunikacijo med študenti, skupinami študentov ter med študenti in pedagogi prek osebnega poštnega predala v portalu. V okviru komunikacijskega sistema je študentom na voljo tudi splošna klepetalnica, v kateri študenti med seboj izmenjujejo mnenja (študentski glas tako doseže tudi pedagoge ob sočasnem zagotavljanju anonimnosti študentov) in posredovanje pobud in predlogov odgovornim (študenti posredujejo svoje pobude in predloge odgovornim na fakulteti ter spremljajo odgovore nanje). Pregled lastnih predmetov. Omogoča študentom popoln nadzor nad dogajanjem pri lastnih predmetih (obveznih ali izbirnih). Pregled lastnih predmetov, ki ga lahko študent kadarkoli prilagodi svojim potrebam ali željam, predstavlja enega najpomembnejših modulov študentskega portala in med drugim omogoča povezave na spletne strani izbranih predmetov, dostop do obvestil predmetov, gradiv izbranih predmetov (npr. prosojnic predavanj, nalog za vaje, rešitev ipd.), klepetalnic pri predmetih, preverjanje znanja pri predmetih v obliki elektronskih izpitov in samopreverjanja znanja pri predmetih ter komunikacijo med študenti izbranega predmeta. Virtualni referat. Prek virtualnega referata so študenti neposredno povezani z delovnimi procesi v referatu za študijske zadeve. Ta jim omogoča spremljanje obvestil referata, komunikacijo z referatom, spremljanje objavljanje izpitnih rokov, prijavljanje na izpite, pregled statusa izpitnih prijav, odjavljanje od izpitov, pregled časov ter prostorov razpisanih izpitnih rokov, ogled lastnih izpitnih evidenc, vpis v višji letnih študija ipd. Studijski viri. Na tem mestu so zbrani študijski viri, ki jih študent pri svojem študiju potrebuje. Tako je npr. navedena študijska literatura z neposredno povezavo na založništvo fakultete, viri Centralne ekonomske knjižnice, Podatkovno analitičnega središča Ekonomske fakultete (PASEF), Evropskega dokumentacijskega centra, povezave na podatkovne vire v Sloveniji ter zbirke podatkov v tujini, poleg tega pa so predstavljene tudi študentske organizacije ter dejavnosti s področja delovanja fakultete. Študentom je na voljo tudi podatkovno skladišče PASEF-a, v katerem so shranjeni zaključni računi podjetij, temelji pa na tehnologiji sprotne analitične obdelave podatkov (OLAP). Do njega lahko uporabniki transparentno dostopajo kar skozi Študent-net. Pregled aktualnega dogajanja na fakulteti. Študenti lahko sprotno pregledujejo, kaj se trenutno dogaja na fakulteti: urnik pedagoškega procesa, zagovori diplomskih del, izvajanje obštudijskih seminarjev in delavnic in druga dogajanja. Portal za podjetja je najmlajši sklop spletne triade in je deloma še v razvoju. Osnovni namen tega portala je podpora sodelovanju med Ekonomsko fakulteto in podjetji na različnih nivojih in preko različnih fakultetnih centrov. Komunikacija z različnimi centri fakultete. Fakulteta sodeluje z gospodarstvom prek različnih centrov (Raziskovalnega centra, Pedagoškega centra, Centra za izpopolnjevanje in svetovanje, Centra za svetovanje in razvoj študentov). Podjetjem je prek portala omogočeno neposredno komuniciranje s posameznim centrom, izmenjava sporočil ter dokumentov s centrom in samostojno posodabljanje lastnih kontaktnih podatkov. Spremljanje poslovnega, raziskovalnega in akademskega sodelovanja. Podjetjem je na enostaven in pregleden način omogočen vpogled v stanje sodelovanja s po- samezno fakultetno enoto (npr. diplomska dela, projekti, seminarske naloge in poslovni primeri, gostovanja na predavanjih in vajah, obiski študentov v podjetjih, seminarji in delavnice za podjetja, ki jih organizira fakulteta ipd.). Izbira in spremljanje potencialnih kadrov. Prek dostopa do življenjepisov dodiplomskih in podiplomskih študentov lahko podjetje izbira kadre, spremlja njihovo delo in dosežke v času študija na fakulteti in neposredno komunicira z njimi. Hkrati lahko podjetja objavljajo prosta delovna mesta ali potrebe za občasna dela. S portalom za podjetja je fakulteta stopila korak bliže podjetjem in prek enotnega vstopnega mesta omogočila celovito spremljanje medsebojnega sodelovanja, komuniciranje na različnih ravneh ter izbiro potencialnih kadrov. 4.3 Izvedba Izvedba portalov je komponentno usmerjena s poudarjeno vlogo koristi za uporabnika. Vse kar je v portale vključeno, mora imeti za določenega uporabnika vrednost, to vrednost pa je potrebno s čimbolj smiselno uporabo tehnologije maksimizirati. Najmanjša enota portalov Ekonomske fakultete je portlet. Pri tem portlet razumemo kot najmanjšo vsebinsko zaključeno enoto, ki jo je mogoče uporabiti na portalu. Lahko gre za: ■ navadno spletno povezavo (lahko gre za statično spletno povezavo ali dinamično, ki je rezultat izvedbe programske logike - npr. povezava, ki v URL doda še posamezen poosebljen parameter); - enostaven spletni obrazec (iskanje po imeniku zaposlenih, iskalnik po dokumentnem sistemu, iskalnik zadnjih novic ipd.); • drugo spletno vsebino (npr. izpis finančnih podatkov, vendar le za področja, ki so za uporabnika aktualna in je avtoriziran za dostop do njih. V tem primeru do preverjanja pravice za dostop pride znotraj samega portleta.). Sami portleti so nato združeni v posamezne kategorije. Kategorija je vsebinsko zaključena celota (npr. pedagoška dejavnost, raziskovalna dejavnost, osebna izkaznica, kontakti, administracija, dokumenti, novice in obvestila itd.). Posamezna skupina uporabnikov ima lahko dostop do kategorije omogočen ali ne. Vsebina kategorij (portleti) je izbrana tako, da v danem trenutku najbolje omogočajo dosego ciljev (tako sistema, organizacije, kot tudi uporabnikov samih). Vsebino, ki bo uporabniku (neposredno ali prek skupine, katere član je) na voljo, določa skrbnik portala. Pri tem naj poudarimo, da gre za vsebinskega skrbnika urednika. Skrbnik izbere kategorije, ki bodo uporabniku dostopne, in tiste, ki bodo prikazane. Dostopne pomeni, da ima uporabnik pravico dostopa do kategorije in njene vsebine. Sam pa se odloči, ali bo v danem trenutku kategorijo uporabljal (prikazoval) ali ne. Skrbnik tudi smiselno (za skupine in uporabnike) razvrsti vsebino (z uporabo portletov) po posameznih kategorijah. Ena izmed ključnih značilnosti portalov je poosebitev. Portali Ekonomske fakultete so že poosebljeni oziroma prilagojeni posameznim vlogam uporabnikov, poleg tega pa omogočajo tudi avtonomno individualno poosebitev. Uporabnik lahko v skladu z zadnjima nivojema zaščite (dovoljenje za dostop do kategorij in dovoljenje za dostop do portletov) poljubno razvršča, prikazuje in izklaplja posamezne portlete in kategorije portala ter prilagaja nekatere vsebine (npr. izbira prikazanih predmetov). Pri portalih se uporablja večnivojska zaščita dostopa in centralni nadzor. Prvi nivo zaščite je dostop do portala. Pri prijavi sistem ugotovi, katerim skupinam uporabnik ustreza. Seveda mora imeti uporabnik tudi pravico za dostop in uporabo posameznega portleta. Portleti, za katere uporabnik nima dovoljenja, se v posamezni kategoriji ne pojavijo, tudi če je uporabniku dostop do nje omogočen. Na ta način lahko administrator vsebine za posamezno kategorijo predvidi več portletov, kot jih posamezni uporabnik dejansko vidi. Pri razvoju je vseskozi upoštevana specifičnost okolja, zlasti heterogenost uporabnikov, ki do portala dostopajo z različnih lokacij, ki so različno tehnološko opremljene. Tako je uporaba portala neodvisna od uporabljenih brskalnikov in prilagojena prenosu tudi na manj zmogljivih povezavah, ki so še vedno prevladujoča oblika dostopa do interneta v Sloveniji. Tako je rešitve je moč zadovoljivo uporabljati tudi pri klicnem dostopu s hitrostjo 28.800 Kb/s. 4.4 Uporaba Uporaba portala je zelo zaživela, saj nič več ne uporabljamo gradiv in obveščanja v pisni obliki. K temu je veliko pripomogla tudi podpora vodstva, ki aktivno sodeluje pri definiranju potreb za portal (aplikacije in vsebine) in pri stimulaciji uporabe portala med zaposlenimi. Trenutno portal za zaposlene redno uporablja 88 % zaposlenih in 83 % pedagogov. Statistika uporabe delov portala Ekonomske fakultete, ki so že izdelani, kažejo na visoko informacijsko osveščenost uporabnikov in visoko zanimanje tako SKUPINE #ID_Skupina Opis_Skupine PORTLET #ID_Portlet lme_Portlet URLPortlet UPORABNIK #ID_Uporabnik lme_Uporabnik KATEGORIJA #ID_Kategorija Opis SKUPINA-UPORABNIK #ID_Skupina #ID_Uporabnik PRIKAZ-KATEGORIJE #ID_Portlet #ID_Kategorija #ID Uporabnik_______ DOSTOP-PORTLET-SKUPINA #ID_Portlet #ID_Skupina DOSTOP-PORTLET-UPORABNIK #ID_Portlet #ID_Uporabnik PRIVZET l-PRIKAZ-KATEGORI JE #ID_Kategorija #ID Portlet DOSTOP-KATEGORIJA-UPORABNIK #ID_Kategorija #ID_Uporabnik_________ DOSTOP-KATEGORIJA-SKUPINA #ID_Kategorija ffID Skupina __________ KATEGORIJA-UPORABNIK #ID_Uporabnik #ID_Kategorija Slika 4: Poosebitvam prilagojen podatkovni model portala Ekonomske fakultete študentov kot tudi zaposlenih za uporabo informacijske tehnologije pri vsakdanjem delu. Tako danes že več kot 98 % študentov uporablja Student-net. V letu 2003 je vsak od njih v povprečju obiskal študentski portal 92-krat. Čeprav je portal že privzeto prilagojen posameznemu študentu, je 19 % študentov uporabilo možnost dodatne poosebitve glede na lastne potrebe in želje. Konec leta 2003 je bila opravljena študija uporabnosti študentskega portala, v okviru katere je bila opravljena tudi primerjalna analiza s še dvema slovenskima fakultetama. Rezultati so pokazali nekaj manjših uporabnostnih problemov študentskega portala Ekonomske fakultete, ki vplivajo na učljivost. S pomočjo tipičnih scenarijev smo testirali učinkovitost izkušenih uporabnikov. Študenti Ekonomske fakultete so bili pri uporabi svojega portala bistveno učinkovitejši kot študenti drugih dveh fakultet pri uporabi njihovega. Za uspešno opravilo nalog, ki so bile določene v scenarijih, so porabili od 69 do 78 % manj časa. 5 Sklep Vse prevečkrat smo zaradi dobaviteljev informacij-sko-komunikacijske tehnologije, ki poveličujejo njene zmožnosti in pomen, pod vtisom, da je le-ta samo po sebi dovolj za učinkovito in uspešno e-izobraževanje. Seveda pa informacijsko-komunikacijska tehnologija, npr. širokopasovne povezave, ni najpomembnejši vidik visokošolskega izobraževalnega okolja. Največja ovira pri razvoju tega okolja so kulturne spremembe, ki so za to potrebne. Spremeniti se morajo pogledi ljudi na izobraževalni proces in njihova pričakovanja, saj je e-izobraževanje mnogo več kot študij iz »elektronskih učbenikov«. E-izobraževanje razumemo kot uporabo interneta in z njim povezanih tehnologij za prenos materialov, podporo in izboljšavo poučevanja, učenja in ocenjevanja. Pri tem se nam zdi še zlasti pomemben vidik komunikacije med študenti in zaposlenimi na fakulteti. Pokazali smo, kako lahko uporaba spletnih rešitev pripomore k povečevanju kakovosti, ki je prav gotovo eden izmed temeljnih cilje vsake izobraževalne institucije. Uporaba portalov se je v primeru Ekonomske fakultete pokazala več kot smiselna, celo nujna. Zaradi enostavne uporabe in razbremenitve pri vsakdanjih opravilih so uporabniki sami hitro prepoznali prednosti, ki jih prinaša uporaba novih rešitev. Ob izdat- ni podpori vodstva in samoiniciativnosti uporabnikov smo lahko relativno hitro zagotovili tako uporabnike, kot tudi vsebine, ki jih uporabniki sami prispevajo v portal. Ključni dejavniki za uspešen razvoj, uvajanje in uporabo rešitve so bili: . podpora vodstva; . dejstvo, da smo v veliki meri uspeli zagotoviti to, da so informacije v sistem vnesene takrat, ko nastanejo, tam, kjer nastanejo - s tem smo uspeli zagotoviti ažurnost samih informacij; . enostavnost uporabe in intuitiven uporabniški vmesnik; * velik vpliv na produktivnost, kar je močno vplivalo na samoinciativnost uporabnikov in njihovo aktivno sodelovanje pri razvoju sistema (v obliki predlogov, idej, kritik, komentarjev). V prihodnosti želimo portalu dodajati nove vsebine, ki bodo vse od informacijske podpore vsakdanjim opravilom pa do integracij zunanjih podatkovnih virov. Želimo pa tudi slediti trendom v razvoju in predvsem dostopnosti tehnologije. Zlasti imamo v mislih dostop do obstoječih vsebin prek vse bolj popularnih in v ta namen uporabnih prenosnih naprav (GSM aparatov, dlančnikov). Seveda znova ugotavljamo, da je tudi pri povečevanju kakovosti izobraževalne institucije s pomočjo portalov bistvenega pomena to, da pri njihovi zasnovi izhajamo iz vizije oziroma strateških usmeritev organizacije. Tako rešitve lahko dejansko ustrezajo potrebam organizacije in uporabnikov. Viri [1] Ekonomska fakulteta: Poslanstvo in vizija [URL: http://www.ef.uni-lj.si], 30. 11. 2004. [2] Govindasamy 1, 2002. Successfull implementation of e-learning: Pedagogical considerations, The internet and higher education, No. 4., str. 287-299. [3] Hamid A. A., 2001. e-Learning: Is it the "e" or the learning that matters?, The internet and higher education, No. 4., str. 311-316. [4] Indihar Štemberger M., Jaklič J.: VVhat kind of web based information system students need?, Zbornik 4. mednarodne izobraževalne računalniške konference MIRK '99, 1999. [5] Nielsen J. 2003. Jakob Nieisen's Alertbox, Intranet Portals: A Tool Metaphor for Corporate Information, [URL: http://www.useit.com/alertbox/20030331.html], 31. 3. 2003. [6] Raol M. J. et al., 2002. An Identification and classification of enterprise portal functions and features, Industrial Management & Data Systems, Volume 102, Number 7, str. 390-399. [7] Sanderson R E., 2002. E-learning: strategies for delivering knovvledge in the digital age, The internet and higher education, No. 5., str. 185-188. [8] Slovenian Ministry of Information society: Slovenia has reduced the lag in Internet usage compared to EU (in Slovene), [URL: http://mid.gov.si/mid/mid.nsf/0/ 6327C8407CE4276BC1256E240044D504], 23. 1. 2004. [9] Web Site Optimization, 2002. VVeb Connection Speed Trends - United States Users, [U RL: http://www.websiteoptimization.com/bw 0301.html], 31. 3. 2003. Aleš Popovič je asistent na Ekonomski fakulteti Univerze v Ljubljani. Na dodiplomskem študiju vodi vaje na poslovno-informacijski smeri. Raziskovalno se ukvarja z modeliranjem in simulacijami poslovnih procesov ter informacijsko tehnologijo v izobraževanju. Kot sodelavec Inštituta za poslovno informatiko sodeluje na projektih prenove in informatizacije poslovanja. Mag. Jaka Lindič je zaposlen na Ekonomski fakulteti Univerze v Ljubljani kot asistent za področje poslovne informatike. Raziskovalno se ukvarja s področjem elektronskega poslovanja, predvsem s poslovnimi modeli za elektronsko poslovanje. Sodeloval je pri številnih projektih s področja razvoja spletnih rešitev. Doc. dr. Jurij Jaklič je predavatelj predmetov s področja poslovne informatike na Ekonomski fakulteti Univerze v Ljubljani. Je tudi sodelavec Inštituta za poslovno informatiko, v okviru katerega je sodeloval pri več aplikativnih projektih s področja strateškega načrtovanja informatike in prenove poslovnih procesov. Njegovo področje raziskovanja so zlasti ravnanje s podatki in njihova uporaba za poslovno odločanje, modeliranje in simulacija poslovnih procesov. Več let je vodil projekt razvoja portalov Ekonomske fakultete, v letu 2004 pa projekt razvoja spletne rešitve terminološkega slovarja informatike Islovar. Doc. dr. Mojca Indihar Štemberger je docentka za poslovno informatiko na Ekonomski fakulteti v Ljubljani, kjer je leta 2000 doktorirala. Na dodiplomskem in podiplomskem študiju sodeluje kot predavateljica pri več predmetih, raziskovalno pa se ukvarja s prenovo poslovnih procesov, sistemi za podporo odločanju, e-poslovanjem ter uporabo informacijske tehnologije pri izobraževanju. Sodeluje tudi pri več aplikativnih projektih s področja prenove poslovnih procesov in strateškega načrtovanja informatike, ki jih izvaja Inštitut za poslovno informatiko na Ekonomski fakulteti. Že nekaj aktivno sodeluje pri organizaciji posvetovanja Dnevi slovenske informatike, saj je tri leta vodila organizacijski odbor, letos pa vodi programskega. RAZPRAVE 0 Spletni portal kot informacijski vir za spodbujanje razvoja in raziskovanja e-izobraževanja v Sloveniji Lea Bregar, Ekonomska fakulteta, Univerza v Ljubljani, lea.bregar@ef.uni-lj.si Margerita Zagmajster, Andragoški center RS, margerita.zagmajster@acs.si Marko Papič, Fakulteta za elektrotehniko, Univerza v Ljubljani, marko.papic@ltfe.org Povzetek Spletni portali se uveljavljajo kot pomembna informacijska podpora v razvoju izobraževanja, njihov pomen pa se še povečuje. Prispevek obravnava uporabnost spletnega portala kot orodja za spodbujanje razvoja in raziskovanja e-izobraževanja v Sloveniji. Razvoj portala o e-izobraževanju je eden od podprojektov, ki so potekali v obdobju 2002-2004 v okviru projekta Poučevanje in učenje na daljavo, ki ga je financiralo Ministrstvo za šolstvo, znanost in šport. Prispevek preučuje konceptualna vprašanja spletnih izobraževalnih portalov in v tem okviru analizira vlogo spletnega portala o izobraževanju v Sloveniji. Predstavljena so tudi razvojna strategija, vsebina in tehnična podpora portala o e-izobraževanju v Sloveniji. Abstract IfUcb Portal as Information Resource far Encouraging E-learning Development and Research in Slovenja Web portals have become important information source in supporting development of education and their importance is stili grovving. The paper vvill focus on the implementation of portal as a means of encouraging development and research of e-learning in Slovenia. The development of e-learning portal is one of the sub-projects vvithin the project Distance Learning in Slovenia run in the period 2002 -2004 and financed by the Ministry of Education, Science and Šport. In the paper, the concept and the role of e-learning portal in general and in Slovenia vvill be discussed. The development strategy, content and technical support of e-learning portal, developed in Slovenia vvill also be presented. UVOD Nezadržen razvoj tehnologije v zadnjih letih in intenzivne družbene spremembe vse bolj uveljavljajo sodobne fleksibilne in dinamične oblike študija kot alternativo tradicionalnemu izobraževalnemu modelu. Proces uvajanja informacijske in telekomunikacijske tehnologije (ITkT) v izobraževanje se je pričel najprej na področju študija na daljavo (ŠND), v zadnjih letih pa uporaba sodobne tehnologije vse bolj prodira tudi v tradicionalno izobraževanje. Priča smo tako imenovani spremembi izobraževalne paradigme, kjer učitelj ni več izključni monopolist nad znanjem, ampak je znanje prisotno v globalnem omrežju. Razmerja udeležencev izobraževalnega procesa se v teh razmerah dramatično spreminjajo: učitelj postaja vse bolj moderator izobraževalnega procesa in svetuje učencem, kako priti do pravih informacij in kako iz teh informacij kreirati novo znanje, učenec pa dobiva v izobraževalnem procesu aktivno vlogo. Stapljanje ŠND in tradicionalnega izobraževanja se v novih tehnoloških in družbenih razmerah izraža z različnimi izvedbenimi inačicami novih oblik izobraževanja, ki so navadno poimenovane po svojih osnovnih značilnostih kot odprto izobraževanje (angl. open learning), fleksibilno izobraževanje (angl. flexible learning) ali porazdeljeno izobraževanje (angl. distri-buted learning). V zadnjem času pa se je uveljavil izraz e-izobraževanje (angl. e-learning), ki je v najsplošnejši rabi sinonim za izobraževanje, podprto z uporabo sodobne ITkT.1 E-izobraževanje se v razvitem svetu vse bolj uveljavlja in nezadržno širi. Razvoj e-izobraževanja je povezan z inoviranjem pedagoških pristopov, študijskih pripomočkov, gradiv in orodij za izvajanje pedagoškega procesa; med slednjimi zavzemajo pomembno mesto portali. Četudi so se portali najprej razvili v poslovnem svetu, postajajo vse bolj zanimivo sredstvo inoviranja izobraževalnih procesov.1 2 Namen tega prispevka je predstaviti pojem, vlogo in izhodišča za razvoj spletnih portalov v sodobnem 1 Podrobneje o opredelitvi pojma e-izbraževanje v prispevku Bregar, L., Zagmajster M.: Portals as a Means of Innovating Education (7th Adult Education Collo-quium, 2004). 2 O/sen navaja, da se v letnem pregledu Educause 2002 institucionalni Izobraževalni portali uvrščajo kratkoročno med deset najpomembnejših tehnoloških izzivov. izobraževanju in na tej podlagi prikazati in ovrednotiti razvojno delo pri snovanju in izvedbi spletnega portala o e-izobraževanju v Sloveniji. Pojem in vloga izobraževalnih portalov Kaj so pravzaprav portali? Slovar slovenskega knjižnega jezika razlaga portal kot 'arhitektonsko poudarjen vhod v stavbo: portal stare katedrale; portal palače' skratka, portal pomeni širok, impresiven, jasno prepoznaven vhod v prostor. Metaforična uporaba besede portal v obravnavanem kontekstu torej aludira na portal kot vstopno točko, ki nam na široko odpre vrata v brezmejni prostor medmrežja. Vendar ima beseda portal v informacijskem smislu dodatno pomensko dimenzijo, ki je sam uveljavljeni pomen besede portal ne vsebuje, in sicer, da portal odpira vrata organiziranih potovanj po internetu, prirejenih potrebam posameznega obiskovalca. To specifično pomensko lastnost e-portalov poudarjajo tudi nekateri tuji pojmovniki s področja informatike.3 Learning Circuits Glossary definira portal kot spletno mesto, ki deluje kot 'dveri' za celoten internet ali določen vsebinski segment interneta. CISCO Glos-sary označuje portal kot specifičen izsek spletnega mesta, ki usklajuje zahteve posameznika z razpoložljivo informacijsko ponudbo. V splošnem povezujejo portali raznolike informacijske vire v enotno centralizirano ('one-stop') spletno stran. Na tak način predstavljajo orodje za obvladovanje nepregledne množice spletnih informacij in hkrati orientacijsko točko, ki preprečuje brezciljno tavanje in izgubljanje uporabnikov na spletu. Raznovrstnost uporabnikovih interesov seveda zahteva, da portali prilagajajo izbor informacijskih virov potrebam posameznikov in jim tako dajejo na ogled le zanje zanimive informacije (tako imenovane osebne nastavitve). Vse več portalov omogoča personalizaci-jo, ki pomeni posredovanje različnih osebnih podatkov. Povzamemo torej lahko, da je portal tisti spletni segment, ki združuje in povezuje informacije ter jih prikazuje na način, ki ustreza potrebam posameznikov ali skupin glede na njihove preference oz. funkcije (Dolphin, 2002). Portali so se razvili iz spletnih strani znanih iskalnikov (na primer Yahoo, Excite; Lycos) in ponudnikov internetnih storitev (na primer AOL, Earthlink, Prodi- gy). Vendar uporabnost portalov bistveno presega vsebino URL strani. Portal je osnovna točka, sidro ali mesto, kamor se vrača uporabnik interneta. To je hkrati mesto, kjer shranjuje informacije in od koder komunicira z drugimi (Looney in Lyman, 2000). V praksi pogosto naletimo, da običajne spletne strani razglašajo za portale. Za razumevanje vsebine pojma portalov je bistveno razlikovanje med pojmi internetna spletna stran, intranet in portal.4 Dolphin (Dolphin, 2002) opozarja, da je mejo med intranetom in portalom težko postaviti in ugotavlja, da lahko intranet označimo za portal, kadar združuje in povezuje informacije iz različnih (notranjih in zunanjih) virov. Portale lahko v grobem obravnavamo kot splošne portale in kot specializirane portale. Splošni portali, kot na primer Yahoo, Excite, CNET, AOL, BBC portal ali Najdi.si v Sloveniji, ponujajo vrsto storitev, od različnih novic s področja, športa, vremena, prometa, do storitev elektronske pošte, klepetalnic in, najpomembneje, iskanja informacij. Baza podatkov, ki jo je mogoče pregledovati z različnimi iskalniki, je navadno rezultat sodelovanja z upravljalcem večjih iskalnikov ali direktorjev, kot na primer PAST, Google ali Looksmart. Specializirani portali so namenjeni posebnim interesnim skupinam (angl. community portals) ali določenim skupinam potrošnikov (angl. consumer portals). Portali potrošnikov so v glavnem komercialno usmerjeni k ciljem, da z ustrezno organizacijsko in vsebinsko prilagojeno informacijsko ponudbo pridobijo čim večji del internetnega prometa potencialnih kupcev. Portali, ki se nanašajo na specialne interesne skupine, pa običajno vsebujejo ustrezno organizirane informacije o vsebinsko zanimivih relevantnih temah (Looney in Lyman, 2000). Izobraževalne portale najdemo tako med portali skupnosti in tudi med portali potrošnikov. Learning Circuit Glossary definira izobraževalne portale kot spletne strani, ki omogočajo učečim oz. organizacijam dostop do izobraževalnih vsebin iz različnih virov. Ponudniki izobraževalnih portalov se imenujejo tudi povezovalci vsebin (angl. aggregators), distributerji (angl. distributors) ali gostitelji (angl. hosts). Butcher (Butcher, 2002) razvršča izobraževalne portale v tri skupine: • povezovalni portali (angl. netvvorking portals), 3 Slovar informatike (Islovar), ki ga je izdalo Slovensko društvo INFORMATIKA kot poskusni snopič leta 2004, ne vsebuje izraza 'portal 4 Podrobno razlago razlik med navedenimi pojmi je mogoče najti v članku: Christopher G. Connolly: From Static Web Site to Portals. . organizacijski ali institucionalni portali, . portali, usmerjeni k virom za izobraževanje (angl. resource-based portals). Povezovalni portali zagotavljajo različnim skupinam udeležencev izobraževalnega procesa (izobraževalci, učeči, menedžerji, administrativo osebje) osrednje mesto, s katerega dostopajo do raznovrstnih izobraževalnih orodij in pripomočkov. Kot primere zanimivih izobraževalnih povezovalnih portalov naj omenimo e-learning europa, E-content village, Edus-capes. Tipična sestavina povezovalnih portalov je rubrika viri (angl. resources), ki je pogosto razčlenjena v več kategorij, na primer povezave, novice, informacije o razvojnih dosežkih ali aktivnostih organizacije, diskusijske skupine, tehnična in strokovna pomoč. Portali navadno vsebujejo tudi originalno pripravljene slovarje, direktorije, tezavre, pojmovnike, sheme in druga informacijska orodja. Praviloma je večina informacij na portalu prosto dostopna, specializirane in bolj poglobljene informacije pa so praviloma dostopne naročnikom proti plačilu. Med izobraževalnimi portali so najbolj pogosto zastopani organizacijski (institucionalni) portali visokošolskih izobraževalnih ustanov. Osnovna funkcija takih portalov je promoviranje in posredovanje izobraževalnih programov. Kot primere institucionalnih visokošolskih izobraževalnih portalov lahko navedemo portale: University of VVashington, Open Uni-versity (International Center for Distance Learning), Ekonomska fakulteta Univerze v Ljubljani. Ti portali vsebujejo praviloma osnovne informacije o organizaciji, poslanstvu in strategiji ustanove, ustanoviteljih, kadrih; pomemben del vsebine predstavljajo informacije o proizvodih in storitvah ustanove, s katerimi želijo pritegniti pozornost potencialnih kupcev oziroma uporabnikov storitev. Portali, usmerjeni k izobraževalnim virom, omogočajo dostop do različnih spletnih informacijskih virov; praviloma vsebujejo ustrezna iskalna orodja, povezave k drugim informacijsko zanimivim spletnim stranem in možnost naročanja na izbrane storitve. Posebnost portalov, usmerjenih k virom, je ravno omejitev dostopa na podlagi plačila storitev oz. sklenitve posebnega naročniškega razmerja. V mnogih primerih je k virom usmerjeni (plačljivi) portal sestavina povezovalnega portala (kot npr. Eduscape). Strategija razvaja izobraževalnih portalov Prvi korak v razvoju portala je neodvoumna opredelitev ciljev in strategije razvoja portala. Preden se torej odločimo, katere funkcionalnosti in katere storitve bo portal zagotavljal, je potrebna strateška odločitev, čemu naj pravzaprav portal služi: ali lažjemu in bolj organiziranemu dostopu do vsebin, razpoložljivih kjerkoli na spletu, ali pa organiziranemu ponujanju lastne vsebine, katere posrednik ali tvorec je skrbnik portala. Prva možnost zadeva v glavnem povezovalne, druga pa organizacijske portale. Seveda pa v praksi odločitev za eno ali drugo možnost ni izključujoča in v procesu razvoja portalov prihaja praviloma do prepletanja oz. nadgrajevanja obeh možnosti. Poleg te splošne dileme, ki je v končnem pogojena z osnovnim poslanstvom skrbnika portala,5 je treba pri načrtovanju portala opredeliti osnovne skupine uporabnikov portala. Četudi je videti na prvi pogled zamisel o oblikovanju univerzalnega portala, ki bi bil zanimiv za vsakogar (ki se ukvarja z izobraževanjem), privlačna, je vendarle treba opredeliti ciljne skupine, ki jim bo prilagojena vsebina in struktura portala. Od tu dalje je potreben še razmislek o vrsti zunanjih okoliščin, ki bodo v končnem oblikovale podobo portala (npr. stopnja razširjenosti ITkT in dostopnosti do interneta nasploh in med ciljnimi skupinami, raven informacijske in internetne pismenosti, splošno poznavanje problematike, ki jo pokriva portal, razpoložljivost finančnih virov in njihova dolgoročna stabilnost, skrbništvo in polnjenje portala, pogoji dostopa do portala, avtorske pravice itd.). Ovrednotenje vseh navedenih elementov bo v končnem determiniralo nabor funkcij oz. storitev, ki jih bo portal omogočal. V preglednici 1 prikazujemo najznačilnejše storitve izobraževalnih portalov,6 razvrščene glede na temeljne funkcije v tri osnovne skupine: vsebinske storitve, storitve, namenjene upravljanju z vsebino, in komunikacijske storitve. Seveda so pogoj za učinkovito delovanje izbranih storitev portala ustrezne tehnološkeO rešitve in podpora. 5 S tega vidika je pomembno predvsem, ali so skrbniki portala javne, neprofitno usmerjene ustanove in združenja ali pa zasebna, tržno usmerjena podjetja. 6 Podrobneje so storitve izobraževalnih portalov opisane v Butcher (2002) in v Butters (2003). Preglednica 1: Najznačilnejše storitve izobraževalnih portalov Vsebina Upravljanje z vsebino Komunikacije Spletni katalogi Baze informacij Elektronska pošta Spletni izobraževalni programi Taksonomija Klepetalnice Elektronska knjižnica Dodajanje vsebin Videokonference Novice Urejanje vsebin Diskusijski forum Osebne nastavitve Pogoji dostopa Personalizacija Iskanje Razvoj portala je torej večstopenjski proces, ki se začenja z opredelitvijo glavnih strateških elementov, to je opredelitvijo ciljev in poslanstva portala, ki upošteva tudi analizo okolja. Strategija se nato uresničuje z izbiro ustreznih storitev in funkcionalnosti, ki v končnem postavljajo okvire potrebni tehnološki podpori. Na podoben način smo se lotili razvoja spletnega portala e-izobraževanja v Sloveniji. V nadaljevanju najprej opisujemo strateška izhodišča, zunanje okoliščine ter vsebinsko zasnovo in izvedbo portala, prispevek pa zaključujemo s predstavitvijo tehničnih značilnosti portala in možnosti njegovega nadaljnjega razvoja. Razvoj portala o e-izobraževanju v Sloveniji Razvoj portala o e-izobraževanju7 je bil eden od ciljev projekta Poučevanje in učenje na daljavo (Celovita uvedba e-izobraževanja na nacionalni ravni).8 Poglavitni cilj projekta je bil pripraviti nacionalno strategijo za sistematično uvajanje e-izobraževanja v Sloveniji. Strategija naj bi vsebovala priporočila za nadaljnji razvoj e-izobraževanja v Sloveniji z različnih vidikov, kot so organizacijski, didaktični, ekonomski, tehnični, pravni ipd. Vsi našteti vidiki naj bi služili kot podlaga za bolj sistematično uvajanje e-izobraževanja na različnih ravneh izobraževanja (osnovnošolsko, srednješolsko, visokošolsko in izobraževanje odraslih). Projekt je finančno podprlo Ministrstvo za šolstvo, znanost in šport, koordiniral pa ga je Laboratorij za telekomunikacije na Fakulteti za elektrotehniko Univerze v Ljubljani. V projekt je bilo vključenih 15 partnerjev iz Slovenije, večinoma izobraževalne ustanove ali institucije nacionalnega pomena na področju izobraževanja.9 Med izobraževalnimi institucijami je bilo največ visokošolskih ustanov, kar je vplivalo tudi na zasnovo in strukturo portala. Pričakovani pozitivni učinki projekta so večje možnosti za izobraževanje s pomočjo sodobne informacijske in telekomunikacijske tehnologije, uvajanje novih fleksibilnih oblik dostopa do strokovnega znanja tako za strokovnjake kot tudi za širšo javnost in vzpostavljanje novega učinkovitega kanala za promocijo e-izobraževanja in spodbujanje inovacij v izobraževanju. Projektne aktivnosti so potekale sočasno v trinajstih sklopih, ki so še nadalje vsebinsko razdeljeni v pod-sklope. Eden od podsklopov se nanaša na razvoj spletnega portala o e-izobraževanju. Portal o e-izobraževanju10 naj bi služil kot vir informacij in znanja več ciljnim skupinam, ki zajemajo tako institucije kot posameznike, ki jih zanima e-izobraževanje (udeleženci v izobraževanju; učitelji; nosilci razvoja e-izobraževanja, ki želijo osvežiti svoje znanje ali pridobiti novega za nadaljnji razvoj e-izobraževanja; vodstveni delavci, odgovorni za razvoj izobraževanja v Sloveniji itd.). Za razvoj spletnega portala o e-izobraževanju so bile v projektu odgovorne naslednje institucije: Andragoški center Republike Slovenije in Ekonomska fakulteta Univerze v Ljubljani za vsebinski del portala ter Laboratorij za telekomunikacije, Fakulteta za elektrotehniko Univerze v Ljubljani za tehnično postavitev portala. 7 Informacije v portalu se nanašajo tako na ŠND kot na e-izobraževanje. Oba pojma se danes v mnogih primerih prepletata. 8 Projekt se je zaključil oktobra 2004. 9 Več informacij o projektu je na voljo na domači strani projekta http://www.ltfe.org/crp. 10 Domača stran portala je http://www.e-studij.net. Portal o e-izobraževanju bi lahko označili kot povezovalni portal z močno komponento značilnosti portala, usmerjenega k virom za izobraževanje. Glede na to usmeritev portala je bila prioriteta v razvoju vsebinskih storitev. Za razvoj portala so bili odgovorni trije partnerji projekta, vsi drugi partnerji v projektu pa so imeli možnost, da prispevajo k vsebinski graditvi portala (članki o SND in e-izobraževanju, naslovi zanimivih spletnih strani ipd.). Cilj portala je omogočiti dostop do sistematično urejenega izhodišča za pridobivanje različnih informacij s področja e-izobraževanja. Nekatere so bile posebej pripravljene za potrebe portala (npr. seznam tiskanih publikacij in revij), medtem ko so bile druge zbrane z različnih mednarodnih in nacionalnih virov o e-izobraževanju. Portal je obogatila tudi zbirka informacij na spletni strani Nacionalne projektne enote za študij na daljavo - NCP (http://www.uni-lj.si/ncp/).11 Ker je bila večina informacij NCP zbrana konec devetdesetih let, je bilo treba vse te informacije preveriti oz. posodobiti, saj mnoge povezave niso bile več aktivne ali ustrezne z vidika portala. Večina informacij v portalu je bila zbrana iz mednarodnih virov. Nekatera mednarodna združenja, v katera je včlanjen Andragoški center, redno posredujejo zanimive informacije s področja e-izobraževanja. Poleg tega so se informacije za portal zbirale tudi iz profesionalnih elektronskih mrež, v okviru katerih njihovi člani redno izmenjujejo zanimive informacije in primere dobre prakse. Vsebina portala je bila pripravljena oz. selekcionirana z namenom, da bi zadovoljili potrebe različnih ciljnih skupin bodisi institucij bodisi posameznikov, ki jih zanimajo različni vidiki e-izobraževanja (študenti, potencialni študentje, učitelji, tutorji, strokovnjaki, ki želijo pridobiti nova znanja ali osvežiti svoje znanje, vodilno osebje v izobraževalnih institucijah, tisti, ki so odgovorni za razvoj izobraževanja v Sloveniji ipd.). Portal tudi omogoča pridobivanje informacij kot podlago za bolj poglobljeno raziskovanje in razvojno delo na različnih področjih e-izobraževanja. Pri vsebinski zasnovi portala smo izhajali iz splošne opredelitve pojma e-izobraževanje kot izobraževanja, katerega bistvena sestavina je uporaba sodobne informacijske in telekomunikacijske tehnologije. V 11 portalu smo skušali zajeti pomembne vire s področja e-izobraževanja, čeprav to morda ni razvidno iz konkretnega poimenovanja posameznega spletnega naslova. Tako smo v portal uvrstili npr. institucije, ki so se razvile iz študija na daljavo, a imena niso spremenile (npr. Open University, EADTU). Informacije v portalu so razvrščene v več vsebinskih sklopih in podsklopih: . ponudniki: izobraževalne ustanove, ki ponujajo e-izobraževanje v Sloveniji in tujini; . združenja: mednarodna in nacionalna združenja na področju e-izobraževanja; . publikacije (povezave na elektronske publikacije in seznam tiskanih publikacij); . elektronske revije specializirane za ŠND in s prispevki o ŠND; . tiskane revije specializirane za ŠND in s prispevki o ŠND; « članki (slovenski in tuji); . konference, povezane z e-izobraževanjem, v letih 2003, 2004 in 2005; « viri informacij: o e-izobraževanju na internetu (portali, diskusijske skupine); . razvoj: informacije potrebne za razvoj e-izobraže-vanja (zanimivi projekti, demo spletni učbeniki, informacije o programih usposabljanja in izobraževanja s področja e-izobraževanja, slovarji in pojmovniki); . specializirane teme: povezave na specializirana vsebinska področja, kot so razvoj programov, študijska podpora, menedžment, kakovost in ostalo; b domače iniciative na področju e-izobraževanja (gre večinoma za različne projekte s področja e-izobraževanja; v okviru nekaterih razvijajo tudi spletne učbenike oz. krajše izobraževalne programe). Poleg vsebinskih storitev omogoča portal minimum komunikacijskih storitev. Obiskovalci portala lahko kontaktirajo začasne skrbnike portala, pridobivajo ustrezne novice, se vključujejo v diskusijski forum in iščejo določene informacije. Razvoj portala o e-izobraževanju je potekal v letih 2003 in 2004. V letu 2003 je bila izvedena prva faza projekta, v kateri so bile opravljene naslednje aktivnosti: opredelitev strategije razvoja portala z analizo okolja, določitev funkcionalosti portala, specifikacija 11 Nacionalna projektna enota za študij na daljavo (NCP) je bila nacionalni koordinator na področju študija na daljavo v okvirne programa Phar (Phare Mutti-counlry Programme tor Distance Education) v drugi polovici devetdesetih let. NCP je imel sedež na Ekonomski fakulteti Univerze v Ljubljani do konca leta 2001. V letih 2002 in 2003 so se nekatere aktivnosti NCP izvajale na Andragoškem centru Republike Slovenije. vsebinskih zahtev portala, specifikacija tehničnih zahtev portala, proučitev možnosti izvedbe znotraj obstoječega portala www.ltfe.org in predlog tehnične rešitve portala, tehnična postavitev portala, uskladitev vsebinske zasnove s tehnično postavitvijo portala ter poskusno polnjenje portala. V letu 2004 so odgovorni partnerji v projektu preverjali funkcionalnost portala in predlagali tehnične in vsebinske spremembe in dopolnitve. Na podlagi usklajenega dogovora odgovornih partnerjev je Laboratorij za telekomunikacije izpeljal večino predlaganih tehničnih rešitev. Portal je bil tudi vsebinsko dopolnjen (število spletnih povezav in informacij je od 300 v letu 2003 naraslo na 582 v jeseni 2004). V preglednici 2 prikazujemo strukturo portala in število spletnih povezav oz. informacij po posameznih vsebinskih sklopih oz. podsklopih portala. Preglednica 2 Število spletnih povezav/informacijskih enot po posameznih sklopih in podsklopih v portalu o c-izobraževanju (http://uuuvuv.e-studij.net) Vsebinski sklop Vsebinski podsklop Števila povezav oz. informacij 1. Ponudniki domači 2 tuji 90 2. Združenja nacionalna 11 mednarodna 20 3. Publikacije elektronske 16 tiskane 28 4. Elektronske revije specializirane za ŠND 33 s prispevki o ŠND 38 5. Tiskane revije specializirane za ŠND 30 s prispevki o ŠND 18 6. Članki slovenski 0 drugi 21 7. Konference 2003 10 2004 23 2005 14 8. Viri informacij portali 56 diskusijske skupine 12 9. Razvoj projekti 31 demo spletni učbeniki 9 izobraževanje 30 slovarji in pojmovniki 8 10. Specializirane teme razvoj programov 13 študijska podpora 6 menedžment 3 kakovost 19 ostalo 17 11. Domače iniciative 24 SKUPAJ 582 Tehnološka podpora Pri snovanju tehnološke rešitve spletnega portala smo izhajali iz osnovnih izhodišč strategije razvoja in finančnih omejitev projekta. To je zahtevalo učinkovito implementacijo z upoštevanjem naslednjih usmeritev: ■ tehnološka rešitev je morala biti robustna ter nad-gradljiva in odprta za enostavno dodajanje novih funkcionalnosti; . tehnološka rešitev je zahtevala enostavno administriranje in urejanje. Pri razvoju portala smo upoštevali tudi druge zahteve, ki so značilne za implementacijo spletnih aplikacij in bodo opisane v nadaljevanju prispevka. Pristop k razvoju tehnološke rešitve portala je temeljil na izkušnjah in znanju, ki smo ga v Laboratoriju za telekomunikacije Fakultete za elektrotehniko v preteklosti pridobili z razvojem kompleksnih spletnih aplikacij.12 Izhajali smo iz splošnega tehnološkega koncepta internetnih portalov (Zebec, 2001). Razvoj tehnološke rešitve je potekal v štirih fazah: • funkcionalna specifikacija in načrtovanje podatkovnega modela, . implementacija tehnološke rešitve, ■ testiranje, ■ evalvacija. Za uspešno implementacijo je bila najbolj pomembna prva faza razvoja portala, v kateri so bile izbrane tehnologije portala. Izhodišče za izbor tehnologij portala so predstavljali osnovni koncept portala in njegova funkcionalna opredelitev. Tehnologije portala so sestavljali aplikacijski, spletni in podatkovni strežnik. Pri izboru tehnologij smo upoštevali še predvideno obremenitev portala ter zahteve po hitrem in enostavnem razvoju rešitve. Zaradi enostavnosti ter možnosti učinkovite nadgradnje so bile izbrane rešitve komercialnega ponudnika Microsoft. Celotna rešitev deluje na strežniku Microsoft 2000 Server. Strežnik je bil izbran zaradi možnosti uporabe storitev indeksiranja in iskanja, ki so že vključene v rešitev. Še bolj pomemben razlog je bil predvidena migracija na strežnik Microsoft server 2003, ki kot del funkcionalnosti portala omogoča po potrebi enostavno vključitev številnih storitev. Kot spletni strežnik je bil uporabljen 12 Te aplikacije so predstavljene na portalu o telekomunikacijah in tehnologijah Laboratorija za telekomunikacije na Fakulteti za elektrotehniko (http:// www.ltfe.org), na spletni strani E-CHO: internetna platforma za e-izo-braževanje (http://dl.ltfe.org/) in na spletni strani Laboratorija za telekomunikacije na Fakulteti za elektrotehniko (http://www-lt.fe.uni-lj.si/). Microsoft IIS (Internet Information Server). Relacijska baza podatkov je bila implementirana s programom Microsoft Access 2000. Razlog za implementacijo v omenjenem programu je predvsem izjemna enostavnost implementacije. Po drugi strani pa predvideno število uporabnikov portala v začetni fazi ne zahteva kompleksnejše baze podatkov. Program omogoča tudi sorazmerno preprosto migracijo na zmogljivejši relacijski podatkovni strežnik Microsoft SQL 2000. V drugi fazi razvoja portala so bile izvedene naslednje aktivnosti: postavitev tehnološke infrastrukture (strežniki), implementacija poslovne logike in implementacija relacijske baze podatkov. Implementacija poslovne logike je bila izvedena s pomočjo tehnologije ASP (Active Server Pages), ki se izvaja na IIS spletnem strežniku. Poslovna logika skrbi predvsem za: . obdelavo zahtev in podatkov uporabnikov ter upravljanje s podatki (branje, vpis in urejanje podatkov v bazi); ■ procesiranje odzivov (izdelava dinamičnih spletnih strani za uporabnike portala); ■ personalizacijo (prilagoditev vsebine in storitev portala, uporaba skritih polj, sej in piškotkov). Pomemben poudarek je bil tudi na implementaciji administracije portala-urejanju vsebine. Celotno urejanje se izvaja s pomočjo spletnega vmesnika, ki omogoča nadzorovano, enostavno urejanje vsebine z naprednimi možnostmi dodajanja šifrantov, dodatnih polj v tabelah s podatki ipd. Datoteke, kot so članki, prispevki, predstavitve, je možno na strežnik nalagati s pomočjo spletnega vmesnika, prenos pa poteka preko FTP (File Transfer Protocol) protokola. Veliko število informacij, ki so dostopne na portalu, zahteva strukturiran in sistematski dostop, kar smo dosegli z domišljeno izdelavo funkcionalne specifikacije. Ob tem so zelo pomembni mehanizmi iskanja po vsebini portala. V fazi implementacije je bilo potrebno implementirati dve vrsti iskanja: po podatkih v bazi ter po vsebini datotek (člankov, prispevkov in predstavitev). V prvem primeru je bil implementiran iskalni mehanizem na dveh ravneh, in sicer na nivoju celotne baze podatkov ter na nivoju posameznih funkcionalnih komponent portala. Za iskanje po vsebini je bil integriran že obstoječi programski modul, ki omogoča iskanje po vsebini .pdf, .doc, .ppt ter drugih tipov dokumentov. Testiranje portala je bilo opravljeno skupaj s partnerji v projektu, ki so predvsem ocenjevali funkcional- nost portala in preprostost njegove uporabe. Testna uporaba portala je prinesla tudi precej izboljšav in dopolnitev z vidika predstavitve vsebine portala. Perspektive Portal je bil zasnovan z namenom, da bo redno vzdrževan in polnjen z dodatnimi informacijami (s kratkim opisom informacij, ki so na voljo v portalu, kot npr. vloga posameznega mednarodnega združenja ipd.). Sedaj vsebuje portal skoraj 600 spletnih povezav oz. informacij, vendar pa to še zdaleč ne zajema vseh relevantnih informacij s tega področja (npr. niso zajete vse relevantne domače iniciative). Poleg tega se ves čas pojavljajo nove informacije, ki bi bile zanimive za objavo v portalu, kot npr. izid novih publikacij, objava novih konferenc, izvajanje novih nacionalnih in tujih projektov, pojav novih ponudnikov programov e-izobraževanja ipd. Redno vzdrževanje portala zahteva tudi preverjanje obstoječih spletnih povezav, saj nekatere spletne povezave čez čas niso več aktivne ali pa se spremeni njihova namembnost (npr. neka institucija, ki smo jo uvrstili med portale, preneha delovati kot portal, če niso zagotovljena redna finančna sredstva in reducira svojo dejavnost na svetovanje). Redno vzdrževanje portala zahteva določena finančna sredstva, ki pa zaenkrat za nadaljevanje dela na portalu še niso bila zagotovljena. Bodočnost portala je v veliki meri odvisna od dogovora med ustreznimi partnerji o potrebnosti tovrstnega portala v Sloveniji in rednega dotoka finančnih sredstev, kar bi omogočalo tekoče vzdrževanje portala in tehnično spopol-njevanje. Možnosti za tehnično izboljšavo portala vidimo predvsem v prilagajanju funkcionalnosti portala zahtevam tako imenovanega uporabnika naslednje generacije, ki ima ob osnovni zahtevi po dostopu informacij na portalu tudi dodatne zahteve (po mobilnosti, enakih pogojih dostopnosti, personalizaciji in večjezikovnosti). Uresničevanje teh zahtev predpostavlja integrirano, kompleksnejšo in hkrati preprosto tehnično rešitev. Mobilnost pomeni povečanje dostopnosti informacij portala tudi iz različnih mobilnih terminalov, kar je že danes zahteva uporabnikov mlajše generacije. Enaka dostopnost za vse in uporabnost portala bo prav tako temelj bodočega razvoja. Številne raziskave kažejo, da se povprečna starost uporabnikov veča, nove generacije starejših pa bodo dobro seznanjene z uporabo sodobnih tehnologij. V ta namen bo potrebno razviti tehnično rešitev, ki bo omogočala uporabo portala za različne ciljne skupine uporabnikov. Izbrana tehnološka rešitev omogoča migracijo na nove tehnologije, predvsem XML (eXtensible Markup Lan-guage), XSL (eXtensible Stylesheet Language) in CSS (Cascading Style Sheets), ki omogočajo raznovrstne predstavitve brez potrebe po izdelavi različnih oblik enakega dokumenta. Personalizacija se ob prilagajanju vsebine nanaša tudi na predstavitev vsebine uporabnikom s posebnimi potrebami (npr. slepi in slabovidni, uporabniki s slabimi motoričnimi sposobnostmi). Ob uporabi primernih XSL predlog je mogoče predstavitev slik zamenjati s tekstovnimi opisi ter na ta način omogočiti uporabo tekstovnih brskalnikov, povezanih s sistemi za sintetiziranje govora TTS (Text-To-Speech System) ali uporabo Braillovih prikazovalnikov. Podobno omogočajo XSL predloge prikaz kontrastnih grafičnih vmesnikov, vmesnikov z večjim besedilom in ikonami, ki uporabnikom z motoričnimi težavami omogočajo lažjo navigacijo in iskanje informacij po portalu. Ne nazadnje je pomembna lastnost portala večjezičnost vmesnika in vsebine. Podpora večjezikovno-sti je mogoče doseči s shranjevanjem besedil, opisov ikon in slik grafičnega vmesnika različnih jezikov v posebne XML datoteke. Viri in literatura Bregar, L.; Zagmajster M.: Portals as a Means of Innovating Education (Adult Education Colloquium 2003. Current issues in adult learning and motivation. 7m Adult Education Colloquium; editors: Marko Radovan, Neda Dordevič. Ljubljana : Andragoški center Republike Slovenije = Slovenian Institute for Adult Education, 2004. Butcher, Neil: Best Practice in Education Portals. Research Document Prepared for the Commonvvealth of Learning and School Net Africa. Commonvvealth of Learning. October, 2002. httn://www.col.org/Consultancies/ 02EducationPortals.htm (10. 02. 2003). Butters, Geoff: What Features in a Portal? Ariadne Issue 35, 2003. httn://www.ariadne.ac.uk/issue35/butters/ (1. 09. 2003). CISCO. Internet Learning Solutions Group E-learning Glossary. httn://www.cisco-com/warp/public/10/wwtraining/ elearning/ndf/elearn_glossarv.pdf (12. 09. 2003). Conolly C., Christopher: From Static Web Site to Portal. Villanova University from EDUCAUSE Revievv http://facultv.weber.edu/deisler/svllabus2002.htm (12. 09. 2003). Dolphin, lan; Miller, Paul in Sherratt, Robert: Portals, Portals, Everywhere. Ariadne Issue 33, 2002. http://www.ariadne.ac.uk/issue33/portals/ E-CHO: internetna platforma za e izobraževanje. http://dl.ltfe.org/ (1. 12. 2004) Glossary of Technical and Distance Education Terms. http://www.knowledgeabilitv.biz/weblearning/ (10. 09. 2003). Islovar. Slovar informatike. Slovensko društvo INFORMATIKA. Poskusni snopič. Ljubljana, 2004. Kaplan-Leiserson, E. E-Learning Glossary. 2002 http://www.learningcircuits.org/glossarv.html (9. 01. 2002). Laboratorij za telekomunikacije na Fakulteti za elektrotehniko. http://www-lt.fe.uni-li.si/. (1. 12. 2004) Looney, Michael in Lyman, Peter: Portals in Fligher Education, EDUCAUSE Review, July/August, 2000. http://facultv.weber.edu/deisler/svllabus2002.htm (25. 08. 2003). Norman N., Michele: Portal Technologv: Into the Looking Glass. Converge Magazine. Special Publication, 2003. Olsen, Florence: The Power of Portals. The Chronicle of Fligher Education. August, 2002. Portal o telekomunikacijah in informacijskih tehnologijah. http://www.ltfe.org/ (1. 12. 2004) JISC. Joint Information Systems Committee. UK Council for Fligher Education. http://www.iisc.ac.uk/dner/development/ lestategv.html. (25. 08. 2003). Project Distance Learning in Slovenia www.ltfe.org/crn/ (5. 09. 2003). Project Proposal Distance Learning in Slovenia Zebec, Luka: (Poučevanje in učenje na daljavo, Celovita uvedba e- Internetni portali; Diplomsko delo, Fakulteta za izobraževanja na nacionalni ravni). Laboratory for elektrotehniko, Ljubljana 2001. Telecommunications, Faculty for Electrical Engineering, University of Ljubljana). 2002. Lea Bregar je doktorica ekonomskih znanosti, zaposlena na Univerzi v Ljubljani, kjer kot izredna profesorica poučuje statistiko na Ekonomski fakulteti. Bila je pobudnica in vodja projekta uvajanja študija na daljavo na Ekonomski fakulteti v Ljubljani in vodja prve faze projekta Phare programa študija na daljavo v Sloveniji. Je avtorica številnih člankov s področja študija na daljavo, predstavljenih na srečanjih strokovnjakov v Sloveniji in v tujini ter objavljenih v domačih in tujih strokovnih ter znanstvenih publikacijah. Razvila je vrsto študijskih gradiv s področja statistike med njimi tudi spletni učbenik ekonomske statistike v slovenskem in angleškem jeziku. Leta 1999 je za svoje delo na področju študija na daljavo prejela Sokratovo odličje za visokošolsko didaktiko. Mag. Margerita Zagmajster se že nekaj let ukvarja s študijem na daljavo. Od leta 1991 do 1993 je na Centru za razvoj univerze delala kot raziskovalka v projektu Uvajanje visokošolskega študija na daljavo na slovenske visokošolske ustanove. Leta 1994 se je zaposlila na Nacionalni projektni enoti za študij na daljavo (NCR) na Ekonomski fakulteti. Konec leta 1997 je bila imenovana za vodjo NCP. Od začetka leta 2002 je zaposlena na Andragoškem centru Republike Slovenije, kjer se ukvarja z e-izobraževanjem. Od aprila 2003 dalje je namestnica direktorice. Je avtorica vrste člankov s področja študija na daljavo in e-izobraževanja, objavljenih oz. predstavljenih na konferencah doma in v tujini. Marko Papič jediplomiral leta 2000 in magistriral leta 2003 na Fakulteti za elektrotehniko Univerze v Ljubljani s temo Celovite rešitve e-izobraževanja. Že od leta 1997 dela v Laboratoriju za telekomunikacije na Fakulteti za elektrotehniko Univerze v Ljubljani (LIFE). Njegovo pedagoško, raziskovalno in razvojno delo je povezano z načrtovanjem in implementacijo internetnih aplikacij. Je avtor več strokovnih prispevkov in soavtor sistema za upravljanje e-izobraževanja in upravljanje izobraževalnih vsebin E-CHO, razvitega na LIFE. Aktivno sodeluje tudi pri izvedbi več razvojno-raziskovalnih projektov in aplikativnih projektov, povezanih z industrijo, in pri izobraževalnih aktivnostih LTFE. RAZPRAVE B Uporaba podatkovnih skladišč v univerzitetnem okolju: primer Univerze v Ljubljani Viljan Mahnič, Marko Poženel Univerza v Ljubljani, Fakulteta za računalništvo in informatiko, Tržaška 25, Ljubljana Viljan.Mahnic@fri.uni-lj.si, Marko.Pozenel@fri.uni-lj.si Povzetek V članku opisujemo projekt izgradnje podatkovnega skladišča, ki poteka na Univerzi v Ljubljani z namenom, da bi vzpostavili enoten vir podatkov za razne analize študijskega procesa. V prvem delu članka je opisan namen projekta in arhitektura predlaganega podatkovnega skladišča. Nato sledi podrobna predstavitev dimenzijskih podatkovnih modelov za posamezna področna podatkovna skladišča in opis orodij, ki jih uporabljamo za realizacijo. Na koncu podajamo še pregled možnih analiz in nekaj tipičnih vzorcev poročil, ki so na voljo uporabnikom. Ključne besede: podatkovno skladišče, področno podatkovno skladišče, dimenzijski podatkovni model. Abstract Data uvarehousing in universitg environment: the čase of the Universitg of Ljubljana We describe a data vvarehouse project that has been started at the University of Ljubljana with the aim of obtaining unified and integrated source of data for various analyses of the educational process. A description of the scope of the project and the overall data vvarehouse design is first given, follovved by a detailed description of the underlying dimensional model and implementation tools. Finally, a survey of possible analyses is given and some typical end user reports are described. Keywords: data vvarehouse, data mart, dimensional model. 1 Uuod Od začetka devetdesetih let prejšnjega stoletja, ko je Bill In-mon [6] izoblikoval koncept podatkovnih skladišč, je skladiščenje podatkov postalo ena izmed najpomembnejših vej na področju informacijskih sistemov [2]. Mnoga velika podjetja so pričela graditi obsežna podatkovna skladišča, ki služijo kot vir podatkov za sisteme za podporo odločanju, in mnogim izmed njih se investicije bogato obrestujejo [17]. Tudi v univerzitetnih okoljih smo priča različnim projektom s tega področja [14,1, 5, 3,11]. Medtem ko Stevenson [ 14] opisuje predvsem izkušnje in kritične dejavnike uspeha pri izgradnji podatkovnega skladišča na eni izmed avstralskih univerz, je v [1] predstavljen vsedržavni projekt izgradnje podatkovnega skladišča za potrebe francoskih univerz. V [3] je osrednja pozornost namenjena zgodnejšim fazam v življenjskem ciklu razvoja podatkovnega skladišča, ostali projekti pa obravnavajo podatkovna skladišča za posamezna področja. Tako je v [5J predstavljeno podatkovno skladišče za spremljanje raziskovalne dejavnosti, v [11] pa podatkovno skladišče za analizo učinkovitosti e-izobraže vanj a. V prispevku bomo predstavili projekt izgradnje podatkovnega skladišča, ki poteka na Univerzi v Ljubljani z namenom, da bi vzpostavili enoten vir podatkov za razne analize študijskega procesa. Članek je sestavljen iz petih delov. V drugem delu opisujemo namen projekta in arhitekturo celotnega podatkovnega skladišča. V tretjem in četrtem delu sta podrobno predstavljeni področni podatkovni skladišči s podatki o vpisanih študentih in diplomantih, ki sta bili realizirani najprej. V petem delu so opisana orodja, ki smo jih uporabili pri realiziciji, v šestem delu pa je podan pregled možnih analiz in nekaj tipičnih vzorcev poročil, ki so na voljo uporabnikom. 2 Namen projekta in zasnova podatkovnega skladišča Končni cilj našega projekta je izgradnja celovitega podatkovnega skladišča za področje študijske informatike, ki bo sestavljeno iz verige štirih področnih podatkovnih skladišč (angl. data marts): področnega podatkovnega skladišča za analizo prijav za vpis, področnega podatkovnega skladišča za analizo vpisnih podatkov, področnega podatkovnega skladišča za analizo opravljanja študijskih obveznosti in področnega podatkovnega skladišča za analizo podatkov o diplomantih [10]. Ker je Univerza v Ljubljani sestavljena iz 26 članic, ki imajo vsaka svoj informacijski sistem, je za izgradnjo podatkovnega skladišča potrebno najprej izločiti ustrezne podatke iz informacijskih sistemov posameznih članic, jih prečistiti in preoblikovati ter nato naložiti v posamezna področna podatkovna skladišča. Arhitektura predlaganega podatkovnega skladišča je prikazana na sliki 1. Za realizacijo smo izbrali strategijo "od spodaj navzgor" [16, 9, 15], ki omogoča postopno izgradnjo posameznih področnih podatkovnih skladišč, ki jih nato povežemo v celovito rešitev s pomočjo med seboj skladnih skupnih dimenzijskih tabel (angl. con-formed dimensions). V primerjavi s strategijo "od zgoraj navzdol", ki jo zagovarja Inmon [7], nam ta pristop omogoča, da hitreje, z manj stroški in manj tveganja pridemo do otipljivih rezultatov. Seveda pa je treba že od začetka posvetiti posebno pozornost načrtovanju skupnih dimenzijskih tabel [10]. Izgradnjo celotnega podatkovnega skladišča smo tako zasnovali kot iterativen proces, v okviru katerega je moč priti do končne rešitve s pomočjo manjših 4-8-mesečnih projektov, ki dajejo otipljive rezultate takoj in (vsaj v začetni fazi) temeljijo na dobro definiranih poslovnih procesih s stabilnim virom podatkov [9]. V skladu s temi priporočili smo najprej realizirali področno podatkovno skladišče za analizo vpisnih podatkov. To področje smo izbrali iz dveh razlogov: . Obstaja enoten vir podatkov - obrazec "Vpisni list", ki je za vse članice enak, čeprav ga posamezne članice obdelujejo na različne načine in z različnimi programi. . Na ravni univerze je bila jasno izražena potreba po pregledu nad stanjem vpisa na posameznih članicah. Na ta način smo dosegli, da je bil projekt na začetku osredotočen na en sam poslovni proces z dobro definiranim virom podatkov, ki lahko pomembno prispevajo k boljšemu poslovanju univerze. Nato smo realizirali še področno podatkovno skladišče za analizo podatkov o diplomantih, medtem ko je realizacija preostalih področnih podatkovnih skladišč (za analizo prijav za vpis in opravljenih študijskih obveznosti) predvidena v nadaljevanju projekta. Ocenjujemo, da realizacija področnega podatkovnega skladišča s podatki o prijavah za vpis ne bi smela predstavljati velikih težav, saj gre za poslovni proces, ki je strogo centraliziran in enoten za celotno univerzo. Veliko več problemov pa pričakujemo pri realizaciji področnega podatkovnega skladišča za spremljanje VIRI PODATKOV PODROČJE ZA ČIŠČENJE PODATKOVNO SKLADIŠČE PREDSTAVITVENA PLAST IN PREOBLIKOVANJE PODATKOV izvleček Članica 1 poizvedba izvleček poizvedba Članica 2 poizvedba polnjenje, prenos izvleček članica 26 Uporabniške aplikacije (SQL, ORACLE Portal) Standardna poročila (ORACLE Discoverer Repository) Orodja za ad hoc poizvedovanje (ORACLE Discoverer Desktop) Področno pod. skladišče #1: Prijave za vpis Področno pod. skladišče #3: Izpitna evidenca Področno pod. skladišče #4: Podatki o diplomah ROLAP arhitektura, zvezdna shema Področno pod. skladišče #2: Vpisni podatki Polnjenje področnih podatkovnih skladišč Čiščenje podatkov, odstranjevanje duplikatov, preverjanje kakovosti, preoblikovanje podatkov, ažuriranje dimenzij Shramba: tekstovne datoteke, ORACLE 9i Orodja: Oracle VVarehouse Builder OEM opravljanja študijskih obveznosti, saj bodo tu prišle do izraza vse specifičnosti posameznih članic. Za realizacijo podatkovnega skladišča smo izbrali orodja podjetja Oracle. Podatke iz informacijskih sistemov posameznih članic dobimo v obliki tekstovnih datotek, ki jih očistimo, preoblikujemo in naložimo v podatkovno skladišče s pomočjo orodja Oracle Ware-house Builder |12]. Za dostop do podatkov uporabljamo Oracle Discoverer [13], zahtevnejša poročila pa smo sprogramirali v programskem jeziku PLVSQL. 3 Področno podatkovno skladišče za analizo vpisnih podatkov Logični načrt področnega podatkovnega skladišča za analizo vpisnih podatkov prikazuje zvezdna shema na sliki 2. Sestavljajo jo tabela dejstev in 11 dimenzijskih tabel. Za zrno tabele dejstev smo izbrali vpis enega študenta, ki je prikazan kot dogodek na prese- čišču naslednjih dimenzij: študent, čas (tj. študijsko leto), zavod (tj. fakulteta, akademija ali visoka šola, na katero se je študent vpisal), študijski program, letnik, način študija (redni ali izredni), stopnja študija (visokošolski strokovni, univerzitetni, magistrski, doktorski), skupina (če so študenti v okviru istega letnika in študijskega programa razdeljeni na več skupin), vrsta vpisa, prehrana v času študija in bivanje v času študija. Dimenziji čas in letnik nimata atributov, zato sta predstavljeni kot izrojeni dimenziji (angl. degen-erate dimensions). Zanju obstaja samo ključ v tabeli dejstev, ne pripada pa jima samostojna dimenzijska tabela. Tabela dejstev Tabela dejstev predstavlja množico razmerij M:N med prej omenjenimi dimenzijami, vsebuje pa samo dve merljivi dejstvi: znesek šolnine in datum, ko je bila šol- # stopnjajd STOPNJA # bivanjejd bivanjejme BIVANJE # prehranajd prehranajme PREHRANA # nacin_studija_id nacinjme NAČIN ŠTUDIJA # vrstavpisajd vrstajme VRSTA VPISA # skupina_vpisa_id skupinavpisajme SKUPINA_VPISA # zavodjd zavodjme naslov ZAVOD ŠTUDIJSKIPROGRAM # studijski_program id stud_program ime smerjme izbirna_skupina Jme # studentjd ime naslov postnastevilka država datum_rojstva srednja_sola uspeh_v_sred_soli poklic ŠTUDENT # letnik (izroj) # študijskojeto (izroj) # studentjd # nacin_studijajd # vrsta vpisa id # studijski_programJd # zavodjd # bivanjejd # prehranajd # skupina_vpisajd # stopnjajd solnina_SIT datumplacila placnik_solnine FACT VPIS nina plačana. To pomeni, da večina aplikacij, ki uporabljajo to področno podatkovno skladišče, izvaja samo štetje zapisov. Kljub majhnemu številu merljivih dejstev (tabele dejstev, ki ponazarjajo dogodke, običajno nimajo merljivih dejstev) pa lahko s pomočjo te tabele dobimo odgovore na številna vprašanja, npr.: . Koliko študentov se je vpisalo na posamezno članico ali v posamezen študijski program? . Kakšna je struktura vpisanih študentov glede na končano srednjo šolo, poklic (ki ga imajo po končani srednji šoli), uspeh v srednji šoli, način študija, vrsto vpisa ipd.? . Se število študentov na posameznih članicah oziroma študijskih programih povečuje ali zmanjšuje? . Kako napreduje v višje letnike izbrana generacija študentov? . Iz katerih krajev prihajajo študentje, ki so vpisani na posamezno članico ali študijski program? . Kje študentje prebivajo in se hranijo v času študija (v študentskem domu, pri starših, v podnajemniškem stanovanju itd.)? Dimenzija študent Dimenzijska tabela študent vsebuje podatke o vseh študentih, ki so vpisani na Univerzo v Ljubljani. Vsaka vrstica ustreza enemu študentu in vsebuje njegove osebne podatke. Podatki o končani srednji šoli (ime srednje šole, uspeh v zadnjem letniku in na maturi, poklic po končani srednji šoli) omogočajo, da primerjamo uspešnost študentov na univerzi z njihovim srednješolskim profilom. Po drugi strani pa podatki, kot so poštna številka, občina stalnega bivališča in regija predstavljajo hierarhijo, ki je koristna pri analizah geografskega izvora študentov. Dimenzija čas Gledano samo s stališča področnega podatkovnega skladišča za analizo vpisnih podatkov je samostojna dimenzijska tabela čas nepotrebna, ker zadostuje, da imamo študijsko leto kot ključ izrojene dimenzije v tabeli dejstev. Dimenzija študijski program Ker so študijski programi navadno sestavljeni tako, da se (praviloma v višjih letnikih) lahko delijo na več smeri, vsaka smer pa še na več izbirnih skupin, je ta dimenzija zasnovana tako, da vsaka vrstica tabele predstavlja eno izbirno skupino. Več izbirnih skupin, ki pripadajo isti smeri, lahko povežemo med seboj na nivoju smeri, več smeri, ki pripadajo istemu študijskemu programu, pa na nivoju študijskega programa. Opisana hierarhija študijski program - smer - izbirna skupina omogoča enostavno izdelavo poročil na različnih ravneh podrobnosti, ki je v terminologiji podatkovnih skladišč znana pod imenom vrtanje navzdol (angl. drill dovvn) oziroma vrtanje navzgor (angl. drill up). Dimenzija zavod Dimenzija zavod opisuje posamezne članice ljubljanske univerze. Trenutno univerzo sestavlja 26 članic. Dimenzija letnik Dimenzija letnik je izrojena dimenzija, saj je atribut letnik študija, ki je sestavni del primarnega ključa v tabeli dejstev, edini atribut te dimenzije. Uporablja se kot ključ za grupiranje tistih študentov, ki so vpisani v isti letnik. Dimenzija način študija Dimenzija način študija je majhna dimenzija, ki opisuje vse možne načine študija, npr. redni, izredni (v preteklosti tudi iz dela, ob delu). Dimenzija vrsta vpisa Dimenzija vrsta vpisa opisuje vse možne vrste vpisa, npr. prvi vpis v letnik, ponovni vpis v letnik, evidenčni vpis itd. Dimenzija stopnja študija Dimenzija stopnja študija opisuje vse možne stopnje študija (npr. visokošolski strokovni, univerzitetni, magistrski, doktorski študij) in s tem določa vrsto diplome, ki jo študent dobi po končanem študiju. Dimenzija skupina Dimenzija skupina omogoča podrobnejši opis različnih skupin študentov v okviru istega letnika in študijskega programa. Skupine so odvisne od organizacije študija na posameznih članicah in jih lahko definiramo na podlagi različnih kriterijev, npr. glede na kraj izvajanja študija (v Ljubljani ali v različnih dislociranih oddelkih), glede na vrsto študija (redni, izredni), glede na predhodni potek študija (običajno študij, nadaljevalni študij) itd. Dimenzija prehrana v času študija Dimenzija prehrana v času študija opisuje različne možnosti, ki so na voljo študentom za prehranjevanje v času študija, npr. v študentskem domu, pri starših, v lastnem gospodinjstvu itd. Dimenzija bivanje v času študija Dimenzija bivanje v času študija opisuje različne vrste nastanitve v času študija, npr. v študentskem domu, pri starših, v podnajemniškem stanovanju itd. 4 Področno podatkovno skladišče za analizo podatkov o diplomantih Logični načrt področnega podatkovnega skladišča za analizo podatkov o diplomantih je prikazan na sliki 3. Sestavljajo ga tabela dejstev in 9 dimenzijskih tabel. Zrno tabele dejstev predstavlja diploma enega študenta, ki je prikazana kot dogodek na presečišču devetih dimenzij. Tabela dejstev vsebuje naslednja merljiva dejstva: številko diplome, datum zagovora, oceno diplomske naloge, oceno zagovora, povprečno oceno izpitov in vaj, leto pričetka študija itd. Dimenzijske tabele pa predstavljajo dimenzije študent, zavod, študijski program, način študija, stopnja študija, poklic, vrsta zaposlitve, nameravana zaposlitev in družinske razmere. S pomočjo tega področnega podatkovnega skladišča lahko dobimo odgovore na različna vprašanja, povezana s podatki o diplomantih, npr.: . Koliko študentov je diplomiralo na posameznih članicah univerze? ■ Kolikšno je število diplomantov na posameznih študijskih programih, smereh in izbirnih skupinah? e Kolikšen je povprečen čas študija pri posameznih generacijh študentov (na posameznih članicah oziroma študijskih programih)? ŠTUDIJSKI PROGRAM # studijski_program_id stud_program_ime smerjme izbirnaskupina Jme VRSTA_ZAPOSLITVE # vrsta_zaposlitve id vrsta_zaposlitve_ime POKLIC # poklicjd poklicjme NAMERAVANA ZAPOSLITEV # namera_zaposl id namera_zaposl ime STOPNJA # stopnja_id stopnjajme K IZ IZ |/ N —K FACT DIPLOME # studentjd # nacin_studija_id # druz_razmere_id # studijski_program_id # zavodjd # vrsta_zaposlitve_id # poklicjd # namera_zaposlJd # stopnja id stevilka_diplome povprecjejzpitov povprecjevaj ocena_zaklj_studija datum_zaklj_studija ocenadiplnaloge leto_pricetka_studija N-N— ŠTUDENT # studentjd ime naslov postna_stevilka država datum_rojstva srednja_sola uspeh_v_sred_soli poklic NAČIN_ŠTUD!JA h # nacin_studijajd nacinjme DRUŽINSKE J3AZM ERE # druz_razmerejd druzinske_razmerejme ZAVOD # zavodjd zavodjme naslov . Kako uspešni so izredni študenti v primerjavi z rednimi? . Kakšna je povprečna ocena študentov na različnih članicah, študijskih programih, smereh in izbirnih skupinah? . Kje se nameravajo diplomanti zaposliti? . Kakšne so družinske razmere diplomantov? Dimenzijske tabele študent, zavod, študijski program, način študija in stopnja študija so skupne za obe področni podatkovni skladišči, zato so fizično realizirane samo enkrat in delujejo kot "lepilo", s katerim sta obe področni podatkovni skladišči povezani med seboj. Z njihovo pomočjo lahko izvajamo t. i. vrtanje počez (angl. drill across) in tako generiramo poročila, ki vključujejo podatke iz obeh zvezdnih shem. Poleg že omenjenih skupnih dimenzij nastopajo v področnem podatkovnem skladišču s podatki o diplomantih še štiri nove dimenzije: nameravana zaposlitev, družinske razmere, poklic in vrsta zaposlitve. Vsaka od teh dimenzij je predstavljena z ustreznim šifrantom, ki ga uporablja Statistični urad Republike Skovenije (SURS). Dimenzija nameravana zaposlitev S pomočjo te dimenzije lahko analiziramo, kje se nameravajo zaposliti diplomanti po končanem študiju: v Sloveniji, v tujini, so že zaposleni, se ne nameravajo zaposliti, še ne vedo, kje se bodo zaposlili. Dimenzija družinske razmere Dimenzija družinske razmere omogoča, da za vsakega diplomanta zabeležimo, kakšne so njegove družinske razmere v času diplome: ali živi sam ali pri starših, ali je poročen in ali ima otroke. Dimenziji poklic in vrsta zaposlitve Dimenziji poklic in vrsta zaposlitve sta pomembni za analizo podatkov o diplomantih, ki so študirali ob delu. Omogočata, da diplomante razvrstimo glede na delo, ki so ga opravljali med študijem in glede na vrsto zaposlitve. Vsaka vrstica v dimenziji poklic ustreza eni skupini poklicev, skladno s standardno klasifikacijo poklicev SURS. Vsaka vrstica v dimenziji vrsta zaposlitve pa predstavlja eno izmed mogočih vrst zaposlitve glede na to, kje so bili diplomanti zaposleni: v družbi oziroma podjetju, v lastnem podjetju, kot samostojni podjetniki - posamezniki, v svobodnem poklicu itd. 5 Opis orodij za realizacijo V splošnem velja, da za realizacijo podatkovnega skladišča potrebujemo sistem za upravljanje podatkovne baze, orodja za izločanje, preoblikovanje in nalaganje podatkov (angl. ETL tools) in orodja za predstavitev podatkov končnim uporabnikom (angl. data access tools) [9J. 5.1 Sistem za upravljanje podatkovne baze in fizični načrt Pri izboru sistema za upravljanje podatkovne baze se navadno odločimo za tisti sistem, ki je predpisan kot interni standard organizacije, za katero razvijamo podatkovno skladišče. Vsako odstopanje namreč zahteva tehtno utemeljitev. Zato smo izbrali Oracle DBMS, ki je predlagan kot interni standard za razvoj vseh novih aplikacij na ljubljanski univerzi. Fizični načrt podatkovnega skladišča in polnjenje skladišča s podatki smo realizirali z orodjem Oracle VVarehouse Builder [12]. Oracle VVarehouse Builder podpira tako dimenzijski kot relacijski podatkovni model in tako omogoča, da kreiramo vse objekte, ki so potrebni za fizično realizacijo: dimenzijske tabele, tabele dejstev, podatkovne kocke, uporabniške poglede, povezave med podatki ipd. Najprej je treba kreirati dimenzijske tabele. V vsaki dimenziji lahko definiramo več hierarhij, ki predstavljajo temelj za vrtanje navzdol in navzgor. Kreiranju dimenzijskih tabel sledi kreiranje tabele dejstev, kjer določimo ključe vseh dimenzij in merljiva dejstva. Ko je definirana celotna zvezdna shema, definiramo še relacijske objekte, ki tvorijo področje za čiščenje in preoblikovanje podatkov. Ti objekti so tabele, sekvence, procedure in funkcije, ki se uporabljajo med preoblikovanjem. Na podlagi teh definicij Oracle VVarehouse Builder kreira ustrezne fizične objekte. 5.2 Preoblikovanje podatkov in polnjenje podatkovnega skladišča Viri podatkov za naše podatkovno skladišče so transakcijski sistemi na posameznih članicah univerze. Ker se informacijski sistemi članic med seboj razlikujejo in so realizirani z različnimi orodji (npr. Oracle, Microsoft SQL Server, Clipper), smo se odločili, da ne bomo posegali neposredno v njihove podatkovne baze, ampak zahtevamo, da vsaka članica posreduje svoje podatke v obliki tekstovnih datotek v vnaprej predpisanem formatu. Te datoteke zbiramo in z njimi polnimo podatkovno skladišče v vnaprej predpisanih časovnih intervalih. Za področno podatkovno skladišče z vpisnimi podatki so ti intervali bolj gosti v času vpisa (tj. septembra in v začetku oktobra), medtem ko se med študijskim letom vpisni podatki praktično ne spreminjajo. Področno podatkovno skladišče s podatki o diplomantih pa osvežujemo vsak mesec. Odločitvi za uporabo tekstovnih datotek sta botrovala še dva razloga: tekstovne datoteke so preproste in se jih da enostavno kreirati, Oracle pa ima na voljo učinkovita orodja za njihovo nalaganje v relacijske tabele. Med postopkom preoblikovanja podatkov se tekstovne datoteke s podatki posameznih članic najprej naložijo v relacijske tabele s pomočjo orodja Oracle SQL*Loader. Pri tem SQL Loader preveri format podatkov in prisotnost vseh obveznih atributov. Nepopolne vrstice in vrstice z neustreznim formatom se izločijo in zabeležijo v posebnem dnevniku obdelave, ki služi kot osnova za odpravo napak. V naslednjem koraku preverimo veljavnost podatkov (ali so njihove vrednosti znotraj predpisane domene in ustrezajo dogovorjenim poslovnim pravilom) in referenčno integriteto. Nazadnje opravimo še kontrolo podvajanja in izločimo duplikate. Tudi v tem koraku se napačni podatki skupaj z ustreznimi sporočili o napakah zapišejo na posebno datoteko, ki se potem uporabi pri njihovem čiščenju. Podatki, ki so uspešno prestali vse kontrole, se na koncu naložijo v podatkovno skladišče. Med nalaganjem se najprej osvežijo dimenzijske tabele, nato pa še tabela dejstev. V primeru sprememb v dimenzijskih tabelah nove vrednosti "povozijo" stare, kar ustreza tipu 1 počasi spreminjajočih se dimenzij [8). Do takih sprememb največkrat pride v dimenziji študent, medtem ko so ostale dimenzije relativno majhne in se le redko spreminjajo. Celoten postopek preoblikovanja in nalaganja podatkov v področno podatkovno skladišče s podatki o vpisu je prikazan na sliki 4. Proces l_txt_files sproži nalaganje tekstovnih datotek v relacijske tabele. Preslikava check_data preveri veljavnost podatkov, referenčno integriteto in morebitna podvajanja. V primeru napake se sproži procedura err_check, ki v poseben dnevnik obdelave zapiše vrsto napake in podatke, pri katerih je bila napaka ugotovljena. Proces l_dimensions sproži osveževanje dimenzij. Sestavljen je iz več pod-procesov (angl. child processes) in preslikav (angl. mappings), ki osvežujejo posamezne dimenzije. Preslikava fact_vpis_map na koncu osveži tabelo dejstev. Proceduri err_ldims in warn_ldims služita za obravnavo napak pri osveževanju dimenzijskih tabel. V primeru usodne napake procedura errjdims prekine postopek polnjenja in zapiše ustrezno obvestilo v dnevnik obdelave. Procedura warn_ldims pa samo zapiše opozorilo in nadaljuje s polnjenjem. Podobno nalogo opravljata proceduri err fact in warn_fact pri polnjenju tabele dejstev. Na enak način je realizirano tudi preoblikovanje podatkov in polnjenje področnega podatkovnega skladišča s podatki o diplomantih. START ERR CHECK WARN LDIMS 'ND_ERROR ERR LDIMS ERR FACT ► —► L_TXT_FILES CHECK_DATA L_DIMENSIONSN) WARN FACT FACT_VPIS_MAP Slika 4: Postopek preoblikovanja in nalaganja podatkov 5.3 Dostop do podatkov Podatkovno skladišče samo po sebi ni koristno, če ne moremo na primeren način prikazati podatkov, ki so shranjeni v njem. V našem primeru so poročila, ki jih potrebujejo končni uporabniki, realizirana na tri načine: . kot vnaprej definirane uporabniške aplikacije, napisane v jeziku PL/SQL; ■ kot vnaprej definirana poročila, zgrajena z orodjem Oracle Discoverer in shranjena v repozitoriju; . kot ad boe poizvedbe, ki jih po potrebi generiramo z Oracle Discovererjem. Prvo možnost uporabljamo za zahtevna poizvedovanja, ki jih je težko realizirati z običajnimi orodji za povpraševanje in generiranje poročil. Druga možnost je primerna za večino standardnih poročil, medtem ko se tretje možnosti poslužujemo v primeru, ko se zahteve za neko poročilo pojavijo spontano. Orodje za dostop do podatkov Oracle Discoverer (13J sestavljata dve komponenti: Discoverer Administrator in Discoverer Desktop. Discoverer Administrator je namenjen računalniškim strokovnjakom in se uporablja za vrsto nalog, kot so npr. vzdrževanje meta podatkov (tj. določanje dimenzij in kock), nadzor nad dostopom in vzdrževanje agregatov. Vsi metapodatki so shranjeni repozitoriju, imenovanem Discoverer End User Layer, ki predstavlja jedro sistema za dostop do podatkov v podatkovnem skladišču. Končni uporabniki in analitiki uporabljajo Discoverer Desktop. Le-ta dostopa do metapodatkov repozitoriju, ki jih je pripravil Discoverer Administrator. Analitiki lahko generirajo poročila, ne da bi znali programirati, in jih shranijo v repozitoriju, od koder jih lahko ponovno uporabijo, kadarkoli želijo. Poročila, ki jih generira Discoverer Desktop so parametrizirana, z vrtanjem navzgor in navzdol pa lahko spreminjamo stopnjo podrobnosti podatkov, vrtimo dimenzije ter spreminjamo izgled poročila. Rezultate poročila lahko predstavimo tudi v grafični obliki in jih izvozimo v druga orodja (npr. Excel, glej sliko 9) za nadaljnjo obdelavo. 5.4 Integracija s pomočjo Oracle Portala Slaba stran orodja Discoverer Desktop je, da mora biti nameščeno lokalno na uporabnikovem računalniku, poročila, ki jih izdelamo z drugimi orodji (npr. v PL/ SQL), pa moramo poganjati iz drugih programov. Da bi lahko dali končnim uporabnikom celovito rešitev, ki bi omogočala dostop do podatkovnega skladišča prek ene same vstopne točke, smo se odločili za integracijo v okolju Oracle 9iAS Portal [4]. V okviru portala smo izdelali aplikacijo, ki omogoča dostop do podatkovnega skladišča prek svetovnega spleta in povezuje v enovito rešitev vsa poročila ne glede na to, s katerim orodjem so bila izdelana. Vsa poročila (vnaprej sprogramirana v PLVSQL in avtomatično generirana z orodjem Discoverer) so dostopna prek enotnega uporabniškega vmesnika, tako da uporabniku ni treba vedeti, kakšna je njihova dejanska realizacija. Oracle 9iAS Discoverer uporablja iste metapodat-ke kot Discoverer Desktop, zato lahko do poročil, ki so shranjena v repozitoriju, dostopamo prek svetovnega spleta, ne da bi jih spreminjali. Analitiki in programerji lahko pripravljajo poročila in jih shranjujejo v repo-zitorju s pomočjo ustrezne okenske aplikacije, medtem ko jih končni uporabniki lahko uporabljajo prek svetovnega spleta. Zahtevna poročila pa lahko realiziramo kot dinamične strani v PL/SQL. 6 Pregled analiz in tipičnih poročil za končne uporabnike V tem delu podajamo pregled najpomembnejših analiz, ki jih omogoča naše podatkovno skladišče. Zaradi večje preglednosti smo analize grupirali v 4 skupine: . analize, ki omogočajo pregled nad številom vpisanih študentov in številom diplomantov na posameznih članicah, . podrobne analize vpisnih podatkov s poudarkom na analizi prehodnosti iz letnika v letnik in trendih vpisa, . podrobne analize podatkov o diplomantih s poudarkom na dolžini študija in ocenah, doseženih med študijem, . ad hoc analize, ki nastajajo zaradi specifičnih potreb posameznih članic. Analize iz prve skupine so razmeroma enostavne in se jih da učinkovito realizirati z Oracle Discovererjem, vendar so za vodstvo univerze zelo pomembne, saj je šele izgradnja podatkovnega skladišča omogočila celovit pregled nad vsemi članicami. Glede na avtonomijo, ki jo imajo posamezne članice, in dejstvo, da ima vsaka od njih svoj informacijski sistem, to prej ni bilo možno. Kot primer te vrste analiz navajamo poročila, ki prikazujejo število vpisanih na posameznih članicah v določenem študijskem letu in omogočajo vrtanje navzdol, tako da lahko dobimo podatke o vpisu na različnih stopnjah podrobnosti: . za članico kot celoto, ■ po posameznih študijskih programih, ki jih izvaja določena članica, - po smereh znotraj študijskega programa, ■ po izbirnih skupinah znotraj vsake smeri, . po letnikih in študijskih programih. Primer vrtanja navzdol prikazujejo slike 5, 6 in 7. Medtem ko so na sliki 5 prikazani samo sumarni podatki o številu vpisanih na posameznih članicah, je iz slike 6 razvidno število vpisanih po posameznih študijskih programih, iz slike 7 pa tudi število vpisanih na posameznih smereh študija. Univerza e l fuhlfatii Število vpisanih Študentov po članicah Študijsko leto: 2003 ▼ Akademija za glasbo Ljubljana Akademija za gled..radlo,film In TV Akademija za likovno umetnost Lj. Biotehnlika fakulteta Ekonomska fakulteta Ljubljana Fakul. za gradbeništvo In geodezijo Fakulteta za arhitekturo Fakulteta za družbene vede Lj. Fakulteta za elektrotehniko 1/TOrTTTTTrfTTTflr Fakulteta za kemijo In kem. tehn. Fakulteta za matematiko Infizlko Fakulteta za pomorstvo In promet Fakulteta za računalništvo In Informatiko Fakulteta za socialno delo Fakulteta za strojništvo Ljubljana Fakulteta za Šport Ljubljana Fakulteta za upravo iMmam 4021 15 417 87 87 395 j 16 411 3.155| 264 3.419 5.693 j 3.167 8.860 1.558 249 1.807 847 i 52 899 3.661 784 4.435 2.1251 59 2.184 1.040 j 32 1.072 1.369 132 1.501 963i 57 1.020 13277 784 2.061 1.404 49 1.453 607 528 1.135 1.754 73 1.827 945 123 1.068 1.267 2.113 3.360 Slika 5: Število vpisanih po posameznih članicah. Prvi stolpec prikazuje število rednih, drugi stolpec število izrednih in tretji stolpec skupno število študentov v študijskem letu 2003/04. I; ni verza t /juh.‘jaiti Število vpisanih po članicah in študijskih programih Št vpisanih redni študij Izredni študij I It i 2.125 ELEKTROTEHNIKA UN ir: 1.102" > ELEKTROTEHNIKA VS 1023 Fakulteta za računalništvo in informatiko! 1 404 ► RAČUNAL IN INFORMATIKA UN i 808 ► RAČUNAL IN INFORMATIKA VS H 596 Medicinska fakulteta Ljubljana ii i £ a MEDICINA-V18 u 1 3211 > STOMATOLOGIJA- Vis 364! Skupaj vsi 5214 S 25 z.tet 1.102 1.082 1.453 812 621 1.685 1.321 364 5.322 Slika 6: Primer vrtanja navzdol: število vpisanih v posamezne študijske programe na izbranih članicah Univerza število vpisanih po članicah m študijskih programih r IjtMjani Pagu Remi: | ["g rvrrrrrMM IIBIIDCBIU H EltSTU! Ml 2.125 59; 2.184 ► ELEKTROTEHNIKA UN 1.102 1.102 ► Avtomatika 194 194 > Elektronika 124 124 - Močnostna elektrotehnika 106 106 f NI smeri 536 536 Telekomunikacije 142 142 1.082 > ELEKTROTEHNIKA VS 1.023 59 ► Avtomatika 150 10 160 ► Elektronika 133 26 159 ► Energetska teh. In evt. post. 145 11 156 ► NI smeti 194 394 k Telekomunikacije i 7 12 149 ► Zagotavljanje kakovosti 64 j 1.404’ 64 1.453 . RAČUNAL. IN INFORMATIKA UN i 832 Slika 7: Nadaljevanje vrtanja navzdol: število vpisanih po posameznih smereh študija V to skupino sodijo tudi posebne analize števila vpisanih na Filozofsko fakulteto, za katero je značilen dvopredmetni študij, ki omogoča, da študenti izberejo poljubno kombinacijo dveh študijskih programov. Te analize omogočajo pregled nad vsemi izbranimi kombinacijami in vrtanje navzdol po obeh študijskih programih. Analize iz druge skupine skušajo dati odgovore na dve vrsti vprašanj: . Kako določena generacija študentov, ki so vpisani v neki študijski program, napreduje iz letnika v letnik? . Kako se spreminjajo trendi vpisa oziroma zanimanje študentov za študij na posameznih fakultetah? Primer analize, ki daje odgovor na prvo vprašanje, je prikazan na sliki 8. Iz slike je jasno razviden tipičen problem univerzitetnega študija v Sloveniji, to je izredno velik osip študentov na prehodu iz prvega v drugi letnik. m Univerza f.jtthljcutf Spremljanje napredovanja generacije Slika 8: Napredovanje izbrane generacije študentov Primer analize, ki daje odgovor na drugo vprašanje, pa je na sliki 9. Slika jasno kaže na upad zanimanja za študij tehnike po osamosvojitvi Slovenije in spremembi družbenega sistema. Šele v zadnjih leteh se je situacija nekoliko popravila. V tretjo skupino spadajo analize, ki prikazujejo podatke o dolžini študija in uspešnosti posameznih generacij diplomantov. Primer take analize je prikazan na sliki 10. Število vpisanih na študijski program ELEKTROTEHNIKA 1995/96 1997/98 1999/00 2001/02 2003/04 1993/94 Študijsko leto Slika 9 Število vpisanih na univerzitetni študij elektrotehnike v letih 1993-2003 j|i < Čas trajanja študija Pa^eltemi- flf Akademija /a glasbo Ljubljane CERKVENA GLASBA VIS !GLASBENA PEDAGOGIKA-VIS 7.50! GODALA IN DR INSTR. S STR -VIS 6jb5! INSTRUMENTI S TIPKAMI • VIS 6.46: KOMPOZICIJA IN GIASB.TEOR.-V1S 6.06! PETJE-VIS 4.25! PIHALA. TROBILA IN TOLKALA VIS 7.15! Povprečje: li.12| Akademija za gled.,iadlo,film In TV DRAMATURGIJA 6.41: 'DRAMSKA IGRA IN UMETNIŠKA BES. 732| ifilvskaIm TELEVIZIJSKA RE2UA 7.75! GLEDALIŠKA IN RADIJSKA RESJA 7/5! Povpmčja: 7.3tj Slika 10: Trajanje študija v letih za posamezne študijske programe na izbranih članicah Zadnjo skupino tvorijo analize, ki nastajajo spontano kot rezultat zahtev, ki se pojavljajo med vsakodnevnim poslovanjem. Te analize skušamo realizirati takoj, ko se pojavi tovrstna potreba, z uporabo Oracle Discovererja. Primer take analize prikazuje slika 11. Analiza je nastala kot posledica zahteve Fakultete za računalništvo in informatiko, ki je želela podrobneje analizirati strukturo vpisanih v prvem letniku visokošolskega strokovnega študija glede na poklic, ki ga r t ime™ Števila vpisanih študentov glede na srvdnjelolski poklic v Kiuhijam Page Itenrs; 1k.70.06 EKONOMSKO KOME RC. Tl HNIHod 1991 5.26.01 RAČUNALNIŠKI TCHNIK 5.25.38 EL EKTROTEMMK ELEKTRONIK 5.99.11 GIMNAZIJSKI MATURANT 20 < 5.73.15 POSLOVNI TEHNIK (3*2) 599.31 TEHNIŠKA GIMNAZIJA 5.45.01 GRAFIČNI TERN« Slika 11: Struktura vpisanih v 1. letnik visokošolskega strokovnega študija računalništva glede na poklic po končani srednji šoli imajo študenti po končani srednji šoli. Analiza je dala zanimive rezultate: največ študentov prihaja iz ekonomske srednje šole, šele nato sledijo gimnazijski maturanti in računalniški tehniki. Ta in podobne analize dajejo vodstvu fakultete možnost, da sprejme ustrezne odločitve: lahko se odloči za prilagoditev vsebine nekaterih tehničnih predmetov (npr. osnove programiranja in osnove arhitekture računalniških sistemov) predznanju študentov, ki so končali program ekonomsko-komercialni tehnik, ali pa predlaga spremembo pogojev za vpis v ta študijski program tako, da bi se zmanjšal vpis študentov, ki nimajo predhodne tehnične izobrazbe. 7 Sklep Zaradi decentralizirane organizacije je izgradnja podatkovnega skladišča za Univerzo v Ljubljani še posebej pomembna, saj predstavlja podatkovno skladišče sredstvo za integracijo podatkov, ki sicer nastajajo in se obdelujejo v okviru informacijskih sistemov posameznih članic. Na ta način je vodstvu univerze omogočen vpogled v poslovanje univerze kot celote, ki pred izgradnjo podatkovnega skladišča ni bil možen. Zaradi heterogenih virov podatkov (informacijski sistemi posameznih članic se med seboj razlikujejo) pa je izgradnja podatkovnega skladišča zahtevna in tvegana naloga. Izkušnje namreč kažejo, da napor za pripravo podatkov narašča eksponentno s številom različnih izvornih sistemov [9]. Da bi zmanjšali tveganje in čim prej prišli do otipljivih rezultatov, smo izbrali pristop "od spodaj navzgor", ki predvideva postopno izgradnjo posameznih področnih podatkovnih skladišč in njihovo povezovanje prek skupnih dimenzijskih tabel. Najprej smo realizirali področno podatkovno skladišče z vpisnimi podatki, saj za to področje obstaja enoten in razmeroma stabilen vir podatkov - obrazec Vpisni list. Temu smo nato dodali še področno podatkovno skladišče s podatki o diplomantih. V članku je podrobno predstavljen logični podatkovni model za obe področni podatkovni skladišči in opisan postopek njune realizacije s pomočjo orodij iz družine Oracle. Končni cilj projekta pa je izgradnja verige področnih podatkovnih skladišč, s pomočjo katerih bo moč spremljati študijski proces kot vrednostno verigo, ki se prične s prijavo za vpis na univerzo, nadaljuje z vpisom in opravljanjem izpitov v posameznih letnikih ter konča z diplomo. Literatura [1] Desnos, J.-F. A Data Warehouse for French Universities. V: J. Knop, R Schirmbacher in V. Mahnič (ur.). The Changing Universities - The Role of Technology, Gesellschaft fur Informatik, Bonn, 2002, str. 146-152. [2] Eckerson, W. W. Evolution of Data VVarehousing, The Trend Tovvard Analytical Applications, Boston, MA: The Patricia Seybold Group (April 28, 1999), str. 1-8. [3] Cardoso, E., Galhardas, E., Trigueiros, M. J., Silva, R. A Decision Support System for IST Academic Information. V: Beyond the Netvvork - Innovative IT Services, Proceedings of the 9th International Conference of European University Information Systems, Amsterdam, julij 2003, str. 416-427. [4] Greenvvald R., Milbrey J., Oracle 9iAS Portal Bible, John Wiley & Sons, 2001. [5] Flory, A., Soupirot, R, Tchounikine, A. Design and Implementation of a Data VVarehouse for Research Administration Universities. V: J. Knop, R Schirmbacher in V. Mahnič (ur.). The Changing Universities - The Role of Technology, Gesellschaft fur Informatik, Bonn, 2002, str. 259-267. [6] Inmon, B. Building the Data VVarehouse, QED Publishing Group, 1992. [7] Inmon, B. Building the Data VVarehouse, Third Edition, John Wiley & Sons, 2002. [8] Kimball, R. et al. The Data VVarehouse Toolkit, John Wiley & Sons, 1996. [9] Kimball, R. et al. The Data VVarehouse Lifecycle Toolkit, John Wiley & Sons, 1998. [10] Mahnič, V. Data vvarehouse: a tool for analysing study process as a value Chain. V: Beyond the Netvvork -Innovative IT Services, Proceedings of the 9th International Conference of European University Information Systems, Amsterdam, julij 2003, str. 124-130. [11] Oliveira, C. C., Domingues, M. Multidimensional Analysis of Administrative Data in eLearning Systems. V: V. Mahnič in B. Vilfan (ur.) IT Innovation in a Changing VVorld, Proceedings of the lOth International Conference of European University Information Systems, Bled, Slovenija, 29. junij-2. julij 2004, str. 172-178. [12] Oracle, Oracle9i VVarehouse Builder User’s Guide, Release 2 (9.0.4), 2003. [13] Oracle, 0racle9i Discoverer Plus User’s Guide, Version 9.0.2, 2002. [14] Stevenson, D. Data VVarehouse and Executive Information Systems - Ignoringthe Hype. V: J-F. Desnos in Y. Epelboin (ur.). European Cooperation in Higher Education Information Systems, Grenoble, Francija, September 1997, str. 202-207. [15] VVatson, H. J., Wixom, B. H., Buonamici, J. D., Revak, J. R. Sherwin-Williams’ Data Mart Strategy: Creating Intelligence across the Supply Chain, Communications of the Association for Information Systems, Vol. 5, Article 9, May 2001. [16] VVatson, H. J. Recent Developments in Data VVarehousing, Communications of the Association for Information Systems, Vol. 8, 2001, pp. 1-25. [17] VVatson, H. J., Goodhue, D. L., Wixom, B. H. The Benefits of Data VVarehousing: Why Some Organizations Realize Exceptional Payoffs, Information & Management, Vol. 39, 2002, pp. 491-502. Marko Poženel je diplomiral leta 2001 in magistriral leta 2004 na Fakulteti za računalništvo in informatiko Univerze v Ljubljani, kjer je tudi zaposlen kot asistent. Ukvarja se s podatkovnimi skladišči in razvojem spletnih informacijskih sistemov. Poleg pedagoškega in raziskovalnega dela aktivno sodeluje tudi pri prenovi informacijskega sistema za področje študijske informatike na ljubljanski univerzi. Viljan Mahnič je izredni profesor in predstojnik Laboratorija za tehnologijo programske opreme na Fakulteti za računalništvo in informatiko Univerze v Ljubljani. V letih 1999-2003 je bil tudi prodekan za pedagoško delo. Ukvarja se z razvojem programske opreme za računalniško podprte informacijske sisteme s posebnim poudarkom na informacijskih sistemih za področje visokega šolstva. Od leta 1996 je predstavnik Slovenije v EUNIS (European University Information Systems Association), od leta 2002 pa tudi član sveta direktorjev omenjene organizacije. RAZPRAVE B Obvladovanje tveganj pri uporabi informacijske tehnologije v univerzitetnem okolju Nataša Žabkar, Viljan Mahnič Univerza v Ljubljani, Fakulteta za računalništvo in informatiko natasa.zabkar@email.si, viljan.mahnic@fri.uni-lj.si Povzetek Vse večja uporaba informacijskih tehnologij (IT) v univerzitetnem okolju zahteva, da zagotovimo ustrezno stopnjo kakovosti, varnosti in zaupanja v rezultate pri uporabi IT. Vse to lahko dosežemo z upravljanjem IT. Pomemben del le-tega pa je obvladovanje tveganj, ki izvirajo iz uporabe IT. Namen tega prispevka je predstaviti pristop k obvladovanju IT tveganj, ki temelji na ogrodju za upravljanje informacijske tehnologije COBIT in je nadgrajen z uporabo "Standarda za obvladovanje tveganj" in standarda BS 7799. Najprej podamo pregled navedenih treh pristopov in potem opišemo naš pristop. Na koncu podamo še zgled, kako bi lahko uporabili predlagani pristop na primeru informacijskega sistema univerze za področje študijske informatike. Ključne besede: COBIT, "Standard za obvladovanje tveganj", BS 7799. Abstract IT Risk Management in the Universitg Environment The increasing use of information technology (IT) in the university environment raises the importance of achieving quality and security, as well as satisfying fiduciary reguirements of IT usage. These goals can be achieved through IT governance, an important part of vvhich is IT risk management. The aim of this paper is to present an approach to IT risk management that is based on the IT governance framevvork COBIT and refined using of the standards “A Risk Management Standard" and BS 7799. We first give an overvievv of these three approaches and then describe our approach. Finally, we give an example of its usage in the Študent Records Information System. Keywords: COBIT, “A Risk Management Standard", BS 7799. 1 Uvod Univerzitetni informacijski sistem je zelo pomemben za doseganje ciljev univerze, zato predstavlja pomembno sredstvo, ki ga je treba ustrezno varovati. Upravljanje informacijske tehnologije (angl. information technologg governance) in obvladovanje tveganj informacijske tehnologije (angl. IT risk management) nam pri tem lahko pomagata. Za upravljanje IT je odgovorno poslovodstvo. Upravljanje IT zajema vodenje, organizacijsko strukturo in procese, ki zagotavljajo, da IT univerze ohranja in razširja strategijo in cilje univerze [16]. Dva glavna cilja upravljanja IT sta: • zagotoviti, da bodo pričakovanja glede uporabe IT izpolnjena; . zagotoviti, da bodo tveganja, povezana z uporabo IT ustrezno obvladovana. V tem prispevku se bomo osredotočili na drugi cilj. Obvladovanje tveganj IT dodaja in ohranja vrednost organizacije [01]. Ohranjanje ali varovanje vred- nosti sredstev zajema tudi kontrole, s katerimi znižujemo tveganja na stopnjo, ki jo je opredelilo poslovodstvo v procesu obvladovanja tveganj. Eden izmed pogojev za ustrezno upravljanje IT je sistematični pristop k obvladovanju tveganj. Poznamo več pristopov, ponavadi pa se poslovodstvo odloči za tisto kombinacijo obstoječih pristopov, ki je po njegovi presoji za organizacijo najbolj ustrezna. V finančnih organizacijah je obvladovanje tveganj določeno z zakonom, za razliko od univerzitetnega okolja, kjer je odločitev glede obvladovanja tveganj prepuščena poslovodstvu. Slovenska zakonodaja med drugim1 določa, da morajo banke v poslovanju upoštevati slovenska standarda SIST BS 7799-2:2003 in SIST ISO/IEC 17799:2003, ki ju izdaja slovenski inštitut za standardizacijo oziroma drug pooblaščeni organ (UL RS št. 83/2004, 29.07.2004). Zahteva po obvladovanju tveganja je opredeljena v standardu BS 7799-2:2002 [05] v poglavju A.4.2 "Vzpostavitev in upravljanje SUVI (sistema za upravljanje varovanja informacij)". Obvladovanje tveganj je velikega pomena v bankah, kjer kakovost obvladovanja tveganj vpliva na zahteve glede najnižje zakonske kapitalske obveznosti za kritje tveganja. Tveganja IT uvrščamo med operativna tveganja, ki so predmet Novega baselskega sporazuma (New Basel Capital Accord) oziroma Basel II [04]. Spremljevalne dokumetne odprtega tipa, kot so "Postopki dobre prakse za obvladovanje in nadziranje operativnega tveganja" [03], je mogoče uporabiti tudi v drugih okoljih, npr. prvo načelo: "Nadzorni svet bi moral pomembnejše vidike operativnih tveganj banke obravnavati kot posebno in obvladljivo skupino tveganj ter sprejeti in občasno preverjati strategijo banke v odnosu do operativnih tveganj. Strategija naj bi odražala odpornost banke do teh tveganj in njeno poznavanje in razumevanje posebnih značilnosti tovrstnih tveganj. Potrditi oz. sprejeti bi moral tudi osnovno obliko organiziranosti za obvladovanje operativnega tveganja in zagotoviti, da uprava dejansko izvaja svoje naloge v zvezi z obvladovanjem tega tveganja." Namen tega prispevka je predstaviti metodo za obvladovanje tveganj IT, ki bi bila primerna za univerzitetno okolje. Čeprav za univerze uporaba prej omenjenih standardov ni predpisana z zakonom, menimo, da je uporaba le-teh lahko v pomoč pri uvajanju obvladovanja tveganj IT v univerzitetnem okolju. V naslednjem razdelku bomo opredelili obvladovanje tveganj in predstavili nekatere možne rešitve za zmanjšanje tveganj IT. Potem bomo predstavili naš pristop k obvladovanju tveganj IT kot eno izmed mogočih rešitev (razdelek 3) in podali zgled uporabe tega pristopa (razdelek 4). Na koncu bomo podali sklepne ugotovitve. 2 Dbuladouanje tveganj IT Obstaja več definicij tveganja, npr. "možnost, da se zgodi nekaj, kar bo vplivalo na cilje" [02]. V tem prispevku bomo uporabili naslednjo definicijo: "kombinacija verjetnosti dogodka in njegovih posledic (ISO/ IEC Guide 73)" [01], ker vključuje pozitiven in negativen vidik tveganja. 1 Obstaja tudi več definicij obvladovanja tveganj. Ena izmed njih je "kultura, procesi in strukture, ki so usmerjeni k uspešnemu obvladovanju možnih priložnosti in neželenih učinkov" [02]. V tem prispevku bomo uporabili naslednjo definicijo: "proces, v katerem se organizacija metodično ukvarja s tveganji za vsako aktivnost in sicer z namenom doseganja stalne koristi v okviru vsake posamezne aktivnosti ter za portfelj vseh aktivnosti" [01] in sicer zato, ker poudarja doseganje ciljev. Obvladovanje tveganj v splošnem je opisano v dokumentu "Standard za obvladovanje tveganj" (angl. "A Risk Management Standard") [01 ], ki je odprt standard in so ga razvile večje organizacije za obvladovanje tveganj v Veliki Britaniji. Podobno velja za avstralsko-no-vozelandski standard AS/NZS 4360:1999 "Obvladovanje tveganj" [02], ki pa je zaprt standard. Oba standarda podajata splošno ogrodje za obvladovanje tveganj, ki ni odvisno od posamezne panoge. Pred kratkim je bil objavljen še en dokument, ki opisuje ogrodje za obvladovanje tveganj v podjetjih - COSO-ERM: "Enterprise Risk Management Framevvork" [09] in je prav tako splošne narave. Do sedaj smo opredelili obvladovanje tveganj v splošnem. V tem prispevku se bomo ukvarjali z obvladovanjem tveganj IT, ki je del splošnega obvladovanja tveganj. Obvladovanje tveganj IT je usmerjeno predvsem na operativna tveganja, ki so v Basel II [03] opredeljena na naslednji način: "tveganje izgube zaradi neustreznih ali neuspešnih notranjih postopkov, ljudi in sistemov ali zaradi zunanjih dogodkov". Nekateri primeri operativnih tveganj so: prekinitev poslovanja in sistemske napake (napake v strojni in programski opremi, telekomunikacijski problemi, izpadi sistema itn.), napake pri izvedbi procesov in upravljanju postopkov (napačen vnos podatkov, vzdrževanje ali polnjenje podatkov v bazo, napačno delovanje sistema/modela, vzdrževanje referenčnih podatkov, napačni podatki o komitentu itn.), poškodbe fizičnih sredstev (potresi, požari, poplave itn.) in drugi. Obstaja večje število dokumentov, ki opisujejo proces obvladovanja tveganj IT, nekateri pa se nanašajo predvsem na varnostna tveganja IT: 1 Slovenska zakonodaja določa, da morajo prireditelji pri trajnem prirejanju klasičnih iger na srečo pri uporabi programske, računalniške, mrežne in telekomunikacijske opreme upoštevati določila slovenskega standarda s področja varovanja informacij (UL RS št. 70/2000, 8. 8. 2000); družbe za upravljanje morajo pri svojem poslovanju smiselno upoštevati slovenski standard PSIST BS 7799 Kodeks varovanja informacij (UL RS št. 80/2003, 14. 8. 2003); klirinška družba mora pri poslovanju upoštevati slovenski standard PSIST BS 7799 (UL RS št. 7/2003, 23. 01. 2003); pri družbah za izdajo elektronskega denarja mora revizor v dodatku revizorjevega poročila oceniti zlasti usklajenost s slovenskim standardom PSIST BS 7799 (UL RS št. 87/2002,17.10. 2002). • COBIT: Kontrolni cilji za IT in sorodne tehnologije (angl. "Control Objectives for Information and Re-lated Technology") [07]; . PD 30002:2002: Vodič za oceno tveganj po BS 7799 (angl. "Guide to BS 7799 Risk Assessment") [23]; - NIST 800-300: Vodič za obvladovanje tveganj za sisteme informacijske tehnologije - priporočila Nacionalnega inštituta za standarde in tehnologijo [21]; e ISO/IEC TR 13335-n: Informacijska tehnologija -Smernice za obvladovanje varnosti IT (angl. "Information Technology - Guidelines for the manage-ment of IT security" [13]; . HB 231:2000: Smernice za obvladovanje tveganj informacijske varnosti (angl. "Information Securi-ty Risk Management Guidelines") [10]; . CCTA Metoda za analizo in obvladovanje tveganj [25]; . Microsoft Operations Framevvork v3.0: Obvladovanje tveganj v operativi [20]. Podrobnejši pregled drugih dokumentov s področja obvladovanja IT je podan v [18], opis enega izmed pristopov ("Analiza varnostne ogroženosti") pa v [17]. V naslednjem razdelku bomo podali kratek opis treh standardov oziroma smernic, ki smo jih uporabili pri oblikovanju našega pristopa: COBIT [07], "Standard za obvladovanje tveganj" [01] in BS 7799 [05]. Želeli smo uporabiti samo odprt pristop, opisan v COBIT-u, vendar smo ugotovili, da potrebujemo bolj podroben opis procesa obvladovanja tveganj. Tega smo našli v odprtem pristopu, opisanem v "Standardu za obvladovanje tveganj". Vendar pa je ta standard splošne narave, mi pa smo potrebovali smernice za obvladovanje tveganj IT. Le-te smo našli v zaprtem pristopu BS 7799, ki je zelo razširjen in velja za najboljšo prakso na področju varnosti IT. 2.1 COBIT: POB “Oceniti tveganja” COBIT [07] je izdal Inštitut za upravljanje IT in predstavlja zbirko dokumentov, ki so najboljša praksa za upravljanje IT, kontrolo in zagotavljanje. Večina komponent COBIT je odprtega tipa. COBIT ima 34 procesov in za vsak proces so opredeljeni podrobni cilji. Eden izmed teh procesov je P09: "Oceniti tveganja" (oznaka P09 je okrajšava za "Planiranje in organizacijo", kar je ena od štirih domen, v katere so razvrščeni vsi procesi v COBIT-u). Proces P09 ima na nižjem nivoju 8 kontrolnih ciljev [07]: • P09.1: Ocena poslovnih tveganj (vzpostavitev ogrodja za sistematično oceno tveganj); e P09.2: Pristop k oceni tveganj (opredelitev obsega, metodologije, odgovornosti in veščin); e P09.3: Opredelitev tveganj (poslovnih, regula-tivnih, pravnih, tehnoloških, povezanih s poslovnimi partnerji in s človeškimi viri); e P09.4: Merjenje tveganj (kvalitativno in kvantitativno rangiranje tveganj); e P09.5: Plan aktivnosti za obravnavanje tveganj (izogibanje, blažitev, prevzem ali prenos tveganja); • P09.6: Prevzem tveganja (formalen prevzem preostalega tveganja); e P09.7: Izbira kontrol (kontrole, ki imajo največje koristi in najmanjše stroške - angl. "quick vvin"); e P09.8: Zavezanost oceni tveganj (spodbujanje uporabe ocene tveganja). Primerjava COBIT-a in standardov ISO/IEC 17799:2000 ter ISO/IEC TR 13335 (in drugih) je podana v [08]. Prednosti uporabe pristopa COBIT za obvladovanje tveganj IT sta: e primernost za organizacije, ki že uporabljajo COBIT; e primernost za brezplačen prenos znanja (odprt pristop). Pomanjkljivosti uporabe pristopa COBIT pa sta: . zahtevnost in pomanjkanje formalnega izobraževanja za organizacije, ki še ne uporabljajo CO-BIT-a; e uporaba COBIT-a ni tako razširjena kot uporaba BS 7799. 2.2 “Standard za obuladouanje tveganj” (S0T) Standard za obvladovanje tveganj (SOT) [01] je odprt standard, ki so ga razvile večje organizacije za obvladovanje tveganj v Veliki Britaniji: (1) Inštitut za obvladovanje tveganj (IRM), (2) Združenje menedžerjev za zavarovanja in tveganja (AIRMIC) in (3) ALARM Nacionalni forum za obvladovanje tveganj v javnem sektorju (ALARM). Standard za obvladovanje tveganj predstavlja najboljšo prakso, ki jo organizacije lahko uporabijo za primerjavo oziroma merjenje. V skladu s tem standardom je proces obvladovanja tveganj sestavljen iz naslednjih korakov: . Korak 1: Strateški cilji organizacije; e Korak 2: Ocena tveganja; e Korak 3: Poročanje in komuniciranje o tveganjih (Grožnje in priložnosti); . Korak 4: Odločitev; . Korak 5: Obravnavanje tveganj (izbira in uvedba ukrepov za obravnavanje tveganj, stroški in koristi kontrol); ■ Korak 6: Poročanje o preostalem tveganju (notranje, zunanje); . Korak 7: Nadzor in pregled procesa obvladovanja tveganj (spremembe, zagotavljanje). Drugi korak ima naslednje podkorake: . Korak 2.1: Analiza tveganj; . Korak 2.1.1: Opredelitev tveganj (strateška, operativna, finančna, obvladovanje znanja, skladnost); . Korak 2.1.2: Opis tveganj (strukturiran format, ki zajema naziv, obseg, naravo, deležnike, kvantifikacijo, tolerance/odnos do tveganj (angl. risk tole-rance/appetite), obravnavanje tveganj in kontrolne mehanizme, možne aktivnosti za izboljšavo, razvoj strategije in politike); . Korak 2.1.3: Ocena tveganja (kvantitativna, semi-kvantitativna, kvalitativna); • Korak 2.2: Ovrednotenje tveganj (primerjava ocenjenih tveganj glede na izbrani kriterij, stroški/koristi, regulativne zahteve, socioekonomski in okoljski dejavniki). Prednosti uporabe SOT sta: ■ enostavnost; . primernost za brezplačen prenos znanja (odprt pristop). Pomanjkljivosti pristopa SOT pa sta: . ne vsebuje posebnosti obvladovanja tveganj IT; . uporaba SOT ni tako razširjena kot uporaba BS 7799. 2.3 Standard BS 7799-2:2002 Standard BS 7799-2:2002 "Sistemi za upravljanje varovanja informacij - specifikacija s smernicami za uporabo" |05] opredeljuje naslednje korake vzpostavitve sistema za upravljanje varovanja informacij (SUVI): . Opredeliti namen SUVI; . Opredeliti politiko SUVI; ■ Opredeliti sistematičen pristop k ocenjevanju tveganja; . Določiti tveganja; • Oceniti tveganja; . Določiti in ovrednotiti možnosti za obravnavanje tveganja; . Izbrati kontrolne cilje in kontrole za obravnavanje tveganj; . Pripraviti izjavo o primernosti; ■ Pridobiti odobritev vodstva za preostala predlagana tveganja in odobritev za uvedbo in izvajanje SUVI. V dokumentu PD 3002: 2002 [23] so podane smernice za uporabo standarda BS 7799. V skladu s PD 30002:2002 je proces obvladovanja tveganj sestavljen iz naslednjih korakov: . Korak 1: Opredelitev sredstev (izhod: popis sredstev, lokacij in lastnikov); . Korak 2: Vrednotenje sredstev (izhod: pomen vsakega sredstva); . Korak 3: Opredelitev varnostnih zahtev (izhod: seznam groženj in ranljivosti za vsako sredstvo, pravne/pogodbene in poslovne zahteve za vsako sredstvo); ■ Korak 4: Ocena varnostnih zahtev (izhod: ocena za vsako varnostno zahtevo); - Korak 5: Izračun varnostnih tveganj (izhod: seznam izmerjenih tveganj za vsako sredstvo); ■ Korak 6: Opredelitev in ovrednotenje možnosti za obravnavanje tveganj (izhod: možnosti obravnavanja tveganja za vsako tveganje); . Korak 7: Izbor varnostnih kontrol (izhod: izbrane kontrole za vsako tveganje). Prvi korak je v [12] predstavljen z uporabo procesnega pristopa: . Korak 1.1: Opredelitev poslovnih procesov znotraj obsega; . Korak 1.2: Opredelitev povezav med izbranimi procesi; . Korak 1.3: Opredelitev sredstev za izbrane procese: informacijski vhodi, izhodi, zapisi in viri (človeški viri, okolje, oprema, orodja, komunikacije in drugo). Razumevanje in komunikacijo pri začetnih korakih je mogoče izboljšati z grafično predstavitvijo procesov in sredstev. Prednosti pristopa BS 7799 so: ■ razširjenost uporabe in določila v zakonodaji; . podprtost z ustrezno dokumentacijo in izobraževanjem; ■ možnost certificiranja. Pomanjkljivosti pristopa BS 7799 pa sta: . ni primeren za brezplačen prenos znanja (zaprt pristop); b omejen je samo na varnostna tveganja. 3 Opis pristopa “UN-0T” Pristop "UN-OT" (univerzitetno okolje - obvladovanje tveganj), ki ga predlagamo za obvladovanje tveganj IT v univerzitetnem okolju, temelji na pristopu COBIT in je nadgrajen z uporabo pristopov SOT in BS 7799. Pristop "UN-OT" vključuje tiste dele prej omenjenih pristopov, ki so po našem mnenju najbolj primerni za uporabo v univerzitetnem okolju. Pristop COBIT smo izbrali za osnovo zato, ker je odprt in ker imamo na univerzi že nekaj izkušenj z njegovo uporabo. Da bi zmanjšali pomanjkljivost glede zahtevnosti, smo ga nadgradili z uporabo pristopa SOT, ki je zelo enostaven za uporabo. Ker pa SOT ni prilagojen za tveganja IT, smo končno prilagoditev izvedli z uporabo pristopa BS 7799. V okviru pristopa "UN-SOT" smo proces obvladovanja tveganj razdelili na 7 korakov, katerih opis sledi v nadaljevanju. Pri vsakem koraku je v oklepaju naveden pristop, ki je bil uporabljen kot osnova za njegovo oblikovanje. . Korak 1: Strateški cilji organizacije na področju IT (pristop SOT); . Korak 2: Opredelitev in ovrednotenje sredstev (pristop BS 7799); . Korak 3: Ocena groženj in ranljivosti (pristop BS 7799); . Korak 4: Merjenje tveganj (pristopi COBIT, SOT, BS 7799); . Korak 5: Prevzem tveganj (pristopi COBIT, SOT, BS 7799); . Korak 6: Obravnavanje tveganj (pristopi COBIT, SOT, BS 7799); . Korak 7: Nadzor in pregled (pristop SOT). 3.1 Strateški cilji organizacije na področju IT Proces obvladovanja tveganj se prične z opredelitvijo strateških ciljev organizacije na področju IT [Ol j, ki so ponavadi navedeni v ustreznih strateških dokumentih. V tem koraku opredelimo cilje in jim določimo prioriteto: zelo visoka (ZV), visoka (V), srednja (S) in nizka (N). Za cilje z najvišjo prioriteto opredelimo procese. En cilj ima lahko več procesov: za vsak proces najprej opredelimo njegovo prioriteto, nato pa določimo še povezave med procesi [12]. Pri tem nam je lahko v pomoč grafična predstavitev obsega v obliki diagrama procesov. Rezultat prvega koraka je register ciljev in procesov. Register ciljev in procesov vključuje številko cilja, naziv cilja in njegovo prioriteto. Za vsak cilj so v registru navedeni procesi, ki so potrebni za doseganje tega cilja. Opis vsakega procesa obsega številko procesa, naziv procesa in njegovo prioriteto. Viri za obvladovanje tveganja so pogosto omejeni in ponavadi ni mogoče izvesti ocene tveganj za vse cilje že pri prvem poskusu. Zato izberemo cilje in procese, ki imajo najvišjo prioriteto in so v našem obsegu. 3.2 Opredelitev in ovrednotenje sredstev V tem koraku najprej opredelimo sredstva za izbrane procese: informacijske vhode, izhode, zapise in vire (človeške vire, okolje, opremo, orodja, komunikacije in drugo). Potem določimo pomen vsakega sredstva: zelo visok (ZV), visok (V), srednji (S) ali nizek (N). Pravilnost ocene pomena preverijo lastniki procesov in poslovodstvo [12). Rezultat opredelitve in ovrednotenja sredstev je register sredstev, v katerem so za vsak proces iz koraka 1 navedena pripadajoča sredstva (številka in naziv sredstva), njihova lokacija, lastnik in pomen. 3.3 Ocena groženj in ranljivosti Standardi, ki obravnavajo obvladovanje tveganj IT, vključujejo opredelitev groženj in ranljivosti. Povezava med tveganjem, grožnjo in ranljivostjo je podana v [13]: tveganje je možnost, da bo določena grožnja izrabila ranljivost sredstva ali skupine sredstev in povzročila škodo ali uničenje sredstev. Grožnja je možen vzrok neželenega incidenta, ki ima lahko za posledico škodo na sistemu ali v organizaciji (npr. požar v sistemski sobi). Ranljivost je pomanjkljivost sredstva ali skupine sredstev, ki jih lahko grožnja izrabi [13] (npr. pomanjkanje protipožarne zaščite v sistemski sobi). Nekateri seznami splošnih groženj in ranljivosti so odprtega tipa, npr. [22], [19] in [11]. V tem koraku opredelimo grožnje in ranljivosti za sredstva, ki so navedena v registru sredstev. Za namen tega prispevka bomo kombinacijo grožnje in ranljivosti poimenovali škodni dogodek. Za vsak škodni dogodek moramo oceniti verjetnost, da se bo zgodil, ter posledice tega dogodka. V oceno groženj in ranljivosti lahko vključimo oceno priložnosti (pozitivni vidik tveganja). V tem primeru moramo oceniti verjetnost, da se bo priložnost realizirala ter posledice njene realizacije. Rezultat ocene groženj in ranljivosti je register groženj in ranljivosti, v katerem so za vsako sredstvo iz koraka 2 navedene vse grožnje (številka grožnje in naziv grožnje), za vsako grožnjo pa vse ranljivosti (številka ranljivosti, naziv ranljivosti). Vsako kombinacijo grožnje in ranljivosti označimo kot škodni dogodek ter ocenimo njegovo verjetnost in možne posledice. 3.4 Merjenje tveganj V četrtem koraku izračunamo tveganje glede na vrednosti sredstev, groženj in ranljivosti. Izračun tveganja je lahko kvalitativen ali kvantitativen. V pristopu UN-OT smo uporabili kvalitativen način, ki je predstavljen v tabeli 1. Vsak element tabele predstavlja stopnjo tveganja v odvisnosti od verjetnosti, da pride do nekega škodnega dogodka, in posledic, ki jih ta škodni dogodek ima za organizacijo.2 Če je npr. verjetnost dogodka visoka in posledica srednja, je stopnja tveganja visoka. Rezultat merjenja tveganj je register tveganj, ki za vsak škodni dogodek iz koraka 3 vsebuje izračunano stopnjo tveganja tega dogodka [12]. Tabela 1: Merjenje tveganj Verjetnost /Posledica Nizka Srednja Visoka Zelo visoka Nizka Nizka Srednja Srednja Visoka Srednja Srednja Srednja Visoka Visoka Visoka Srednja Visoka Visoka Zelo visoka Zelo visoka Visoka Visoka Zelo visoka Zelo visoka 3.5 Prevzem tveganj V petem koraku poslovodstvo določi stopnjo tveganja, ki je še sprejemljiva. Stopnja sprejemljivega tveganja določa profil tveganj, ki je osnova za profil kontrol (korak 6). Uporabili smo stopnjo sprejemljivega tveganja, ki je podana v tabeli 2. Če je stopnja tveganja nizka ali srednja, potem bo poslovodstvo sprejelo tveganje. Če pa je stopnja tveganja visoka ali zelo visoka, potem poslovodstvo tveganja ne bo sprejelo. Tabela 2: Stopnja sprejemljivega tveganja Verjetnost /Posledica Nizka Srednja Visoka Zelo visoka Nizka Nizka Srednja Srednja Visoka Srednja Srednja Srednja Visoka Visoka Visoka Srednja Visoka Visoka Zelo visoka Zelo visoka Visoka Visoka Zelo visoka Zelo visoka Rezultat tega koraka je dopolnjen register tveganj, v katerem je za vsako tveganje dodana še stopnja sprejemljivega tveganja. Tako dopolnjenen register predstavlja t. i. "profil tveganj", ki prikazuje, katera tveganja je poslovodstvo sprejelo in katerih ne [12]. 3.6 Obravnavanje tveganj V tem koraku poslovodstvo izbere način obravnavanja tveganj. Možni načini obravnavanja so štirje (angl. "4T"): . zmanjšanje tveganja (angl. treat); ■ prenos tveganja (angl. transfer); . izogibanje tveganju (angl. terminate) in . sprejem tveganja (angl. tolerate). Za tveganja, za katera je poslovodstvo izbralo prvi način (tj. zmanjšanje tveganja), lahko izberemo kontrole iz standardov oziroma smernic, kot so:3 . BS 7799 [05]; . COBIT [07]; « ISF: "The standard of good practice for Information security" [14]; . BSI: "The Baseline Protection Manual" [06]; . OIT: "Information Security Guideline for NSW Government - Part 3: Information security baseline Controls" [22]; • SSE-CMM: "System Security Engeneering Capabil-ity Maturity Model" [15] in drugi. Rezultat obravnavanja tveganj je register tveganj, ki poleg elementov, navedenih v točki 3.5, vključuje še način obravnavanja in kontrole, stopnjo zagotavljanja ter stopnjo preostalega tveganja. 3.7 Nadzor in pregled Z nadzorom pridobimo zagotovilo, da so kontrole ustrezne in da zaposleni razumejo in izvajajo predpisane postopke [01]. Tveganja niso nikoli statična, zato je potreben nadzor in pregled tveganj, ki zagotavlja ažurnost registra tveganj. Rezultat obravnavanja tveganj je register tveganj, ki poleg elementov, navedenih v točki 3.6, vključuje še dopolnitve, pripravljene na osnovi poročil o nadzoru in pregledu. 4 Primer uporabe pristopa UN-OT Uporabo pristopa UN-OT bomo podali na namišljenem primeru informacijskega sistema za področje študijske informatike. 2 Vrstice tabele predstavljajo stopnjo verjetnosti, da pride do škodnega dogodka, stolpci pa resnost posledic, ki jih le-ta povzroči. 3 V ta namen so uporabne tudi naloge za pridobitev certifikatov s področja varnosti Informacij I24j. 4.1 Strateški IT cilji organizacije Izhajali bomo iz predpostavke, da je eden izmed ciljev univerze nuditi uporabnikom (predvsem profesorjem in študentom) visoko kakovost administrativnih storitev. Ta cilj je povezan z informacijskim sistemom za področje študijske informatike, ki je del univerzitetnega informacijskega sistema in vsebuje naslednje module: . obdelava vpisnih podatkov (zajem podatkov o vpisanih študentih, seznami vpisanih študentov, razna statistična poročila); . izpitna evidenca (razpisovanje izpitnih rokov, pri-javaljanje na izpite, podatki o doseženih ocenah); . evidenca diplomantov (administrativni postopki od dviga teme do zagovora, izdelava priloge k diplomi, seznami diplomantov); - analize uspešnosti študija (prehodnost iz letnika v letnik, napredovanje čiste generacije, analiza opravljanja izpitov pri posameznih predmetih, povprečne ocene, rang lestvica študentov). Informacijski sistem je realiziran kot spletna aplikacija, ki uporabnikom omogoča oddaljen dostop do podat- kov, kar je še posebej pomembno za študente in profesorje, ki lahko uporabljajo sistem od koderkoli, pomembno je le, da imajo na razpolago dostop do interneta. Za doseganje na začetku omenjenega cilja so najpomembnejši tisti procesi, v katere je vključenih največ uporabnikov. V našem primeru sta to obdelava vpisnih podatkov in izpitna evidenca, ker vključujeta komunikacijo s profesorji in študenti, ki pričakujejo dogovorjeni nivo storitev. Rezultat tega koraka je register ciljev in procesov, podan v tabeli 3. Na enak način bi lahko opisali še druge cilje in za vsak cilj določili procese, ki so potrebni za njihovo realizacijo. 4.2 Opredeliteu in ovrednotenje sredstev Rezultat tega koraka je register sredstev, podan v tabeli 4. Vrednost sredstev se nanaša na pomembnost sredstev pri izvajanju izbranih procesov, kar je možno zapisati v komentarju. Vrednosti sredstev naj bi določili lastniki procesov in poslovodstvo. Na koncu je podan rang vsakega sredstva, ki odraža prioriteto tega sredstva. ID Cilja Opis Prioriteta ID procesa Opis Prioriteta Komentar 1 2 3 4 5 6 7 C001 Zagotoviti uporabnikom visoko kakovost administrativnih storitev Zelo visoka P001 Obdelava vpisnih podatkov Zelo visoka P002 Izpitna evidenca Zelo visoka Problemi v preteklosti Drugi cilji Tabela 3: Korak 1: Strateški IT cilji organizacije ID Sredstva Opis Lastnik Lokacija Pomen sredstva Rang Komentar 1 2 3 4 5 6 7 5001 Programi za vodenje izpitne evidence Vodja oddelka IT Strežnik fakultete Zelo visoka 1 Ključna komponenta 5002 Strežnik Vodja oddelka IT Sistemska soba fakultete Visoka 2 5003 Podatki o izpitnih rokih Vodja študentske pisarne Študentska pisarna Visoka 3 5004 Podatki o študentih, ki so prijavljeni na izpit Vodja študentske pisarne Študentska pisarna Visoka 4 5005 Podatki o vpisanih študentih Vodja študentske pisarne Študentska pisarna Srednja 5 5006 Zaposleni v študentski pisarni Študentska pisarna Visoka 6 Druga sredstva 4.3 Ocena groženj in ranljivosti V tem koraku opredelimo grožnje in ranljivosti za vsako sredstvo. Za vsak škodni dogodek (kombinacija grožnje in ranljivosti) ocenimo verjetnost in posledico. Ocene podajo lastniki in uporabniki sredstev. Zgled za sredstvo S001 je podan v tabeli 5, ki je del registra groženj in ranljivosti. 4.4 Meritev tveganj Sedaj moramo določiti stopnjo tveganja za vsak škodni dogodek. Stopnjo tveganja izračunamo kot produkt verjetnosti dogodka in posledice dogodka (glej tabelo 1). V tabeli 6 je podan zgled meritve tveganj za škodne dogodke D001 (napaka v programski opremi kot posledica nizke kakovosti specifikacij programske opreme), D002 (napaka v programski opremi kot posledica nizke stopnje sodelovanja z uporabniki) in D003 (napaka v programski opremi kot posledica nizke stopnje kakovosti testiranja programske opreme), do katerih lahko pride zaradi grožnje GODI (napake v programski opremi) in ranljivosti R001 (nizka kakovost specifikacij programske opreme), R002 (nizka stopnja sodelovanja z uporabniki) in R003 (nizka stopnja kakovosti testiranja programske opreme). 4.5 Prevzem tveganja V praksi bi bilo predrago, če bi se ukvarjali z vsemi tveganji. Zato poslovodstvo določi pomembnost tveganj in prioriteto porabe pogosto omejenih virov z namenom izboljšanja stopnje tveganja. ID dogodka Verjetnost Posledica Izračunana stopnjatveganja (2*3) Komentar 1 2 3 4 5 D001 Zelo visoka Zelo visoka Zelo visoka Ključna komponenta D002 Zelo visoka Zelo visoka Zelo visoka D003 Zelo visoka Zelo visoka Zelo visoka Ključna komponenta Tabela B: Korak 4: Merjenje tveganj za dogodke D001, DD02 in D003 Stopnja sprejemljivega tveganja določa stopnjo tveganja, ki ga je poslovodstvo še pripravljeno sprejeti. Če stopnja sprejemljivega tveganja ni enaka stopnji izračunanega tveganja, nastopi razkorak, ki ga skušamo premostiti v koraku obravnavanja tveganj. Navedeno lahko zapišemo v obliki formule: Razkorak = + Izračunana stopnja tveganja - Stopnja sprejemljivega tveganja V tabeli 7 je podan zgled za dogodke DOGI, D002 in D003. Za dogodka DOGI in D003 je stopnja sprejemljivega tveganja nizka, za dogodek D002 pa je stopnja sprejemljivega tveganja srednja. To pomeni, da bo poslovodstvo moralo ukrepati tako, da se bo izračunana stopnja tveganja znižala in postala enaka sprejemljivi, tj. nizka za dogodka DOGI in D003 oziroma srednja za dogodek D002. Da bi premostilo razkorak, lahko poslovodstvo visoka in zelo visoka tveganja zmanjša, prenese ali se jim izogne. ID Grožnje Grožnja ID Ranljivosti Ranljivost Dogodek Verjetnost Posledica 1 2 3 4 5 6 7 G001 Napake v programski opremi R001 Nizka kakovost specifikacij programske opreme D001 Zelo visoka Zelo visoka R002 Nizka stopnja sodelovanja z uporabnikom D002 Zelo visoka Zelo visoka R003 Nizka kakovost testiranja programske opreme D003 Zelo visoka Zelo visoka G002 Uporabniške napake R004 Nizka kakovost funkcije nudenja pomoči D004 Srednja Srednja R005 Nizka kakovost navodil D005 Srednja Srednja G003 Napake v podatkih R006 Nizka kakovost vhodnih kontrol D006 Srednja Zelo visoka R007 Nepričakovane vrednosti D007 Nizka Zelo visoka Druge grožnje ID dogodka Izračunana stopnja tveganja Stopnja sprejemljivega tveganja Komentar 1 2 3 4 D001 Zelo visoka Nizka Razkorak (Zelo visoka - Nizka) D002 Zelo visoka Srednja Razkorak (Zelo visoka - Srednja) D003 Zelo visoka Nizka Razkorak (Zelo visoka - Nizka) Tabela 7: Korak 5: Stopnja sprejemljivega tveganja za dogodke D001, D002 in 0003 4.6 Obravnavanje tveganj Potem ko je bila v koraku 5 določena stopnja še sprejemljivega tveganja, v koraku 6 izberemo tveganja, s katerimi se bomo najprej ukvarjali. Ker že imamo profil tveganj (korak 5), lahko ustrezno prilagodimo profil kontrol. Kontrole izberemo tako, da je stopnja tveganja, ki še ostane po uvedbi ustrezne kontrole, manjša ali enaka stopnji sprejemljivega tveganja. Navedeno lahko zapišemo v obliki formule: Stopnja preostalega tveganja = + Izračunana stopnja tveganja - Stopnja zagotavljanja Kontrole, s katerimi želimo doseči zahtevano stopnjo zagotavljanja, lahko izberemo iz ogrodja COBIT, standarda BS 7799 ali drugih dokumentov, navedenih v točki 3.6. Izbor ustreznih kontrol opravi poslovodstvo. V tabeli 8 je prikazan del registra tveganj, iz katerega so razvidne kontrole, ki lahko pripomorejo k zmanjšanju tveganja zaradi dogodka D003. Pri določitvi kontrol smo izhajali iz naslednjih procesov ogrodja COBIT [07j: - COBIT AI5: "Namestiti in potrditi sisteme" ter . COBIT AI6: "Obvladovati spremembe". V teh procesih so vključene naslednje kontrole: ■ distribucija programske opreme je dovoljena samo po izvedenem testiranju; ■ testiranje se izvaja v okolju, ki ustreza produkcijskemu okolju; . napake po testiranju se analizirajo in izvedejo se ustrezne aktivnosti. 4.7 Nadzor in pregled V tem koraku izvajamo nadzor in pregled tako, da analiziramo incidente in ugotavljamo stopnjo skladnosti s standardi in postopki. Eden izmed možnih rezultatov je del registra tveganj, podan v tabeli 9. 5 Sklep Dva osnovna cilja upravljanja IT sta: zagotoviti, da bo uporaba IT dala pričakovane rezultate, in zagotoviti, da bodo tveganja IT ustrezno obvladovana. Uspešno obvladovanje tveganj IT je pomembno za univerzo, ker pomaga dodati in zaščititi vrednost njenih sredstev, kot je univerzitetni informacijski sistem. V prispevku smo predstavili pristop k obvladovanju tveganj IT v univerzitetnem okolju, ki smo ga poimenovali UN-OT. Naš pristop temelji na odprtem ogrodju za upravljanje informacijske tehnologije COBIT in je nadgrajen z uporabo odprtega standarda 10 dogodka Izračunana stopnja tveganja Stopnja sprejemljivega tveganja Kontrole Stopnja zagotavljanja Stopnja preostalega tveganja Komentar 1 2 3 n 5 6 7 D003 Zelo visoka Nizka COBIT AI5, AIB Distribucija programske opreme je dovoljena samo po izvedenem testiranju Visoka Nizka (Zelo visoka - Visoka) Hitra izboljšava (ang. quick win! COBIT AI5, Al6 Testiranje se izvaja v okolju, ki ustreza produkcijskemu okolju Zelo visoka Nizka (Zelo visoka - Zelo visoka) Višji stroški priprave ustreznega testnega okolja COBIT AI5, AI6 Napake po testiranju se analizirajo in izvedejo se ustrezne aktivnosti Srednja Srednja (Zelo visoka - Srednja) Reaktivni pristop ID dogodka Izračuoana stopnja tveganja Stopnja sprejemljivega tveganja Kontrole Stopnja zagotavljanja Stopnja preostalega tveganja Nadzor in pregled 1 2 3 4 5 6 7 0003 Zelo visoka Nizka COBIT AI5, AI6 Distribucija programske opreme je dovoljena samo po izvedenem testiranju Visoka Nizka Testiranje se izvaja vedno. COBIT AI5, AI6 Zelo visoka Testiranje se izvaja v okolju, ki ustreza produkcijskemu okolju Nizka Okolje, ki ustreza produkcijskemu, bo pripravljeno do roka X. COBIT AI5, Al6 Napake po testiranju se analizirajo in izvedejo se ustrezne aktivnosti Srednja Srednja Vzroki napak niso bili ugotovljeni za X % vseh napak. Tabela 9: Korak 7: Nadzor in pregled za dogodek 0003 "Standard za obvladovanje tveganj " (SOT) in zaprtega standarda za varovanje informacij BS 7799. Da bi ilustrirali ustreznost pristopa UN-OT za univerzitetno okolje, smo predstavili njegovo uporabo na primeru informacijskega sistema za področje študijske informatike. V prikazanem primeru smo se lotili zmanjševanja stopnje tveganja napak v programski opremi z uvedbo kontrol, ki zagotavljajo višjo kakovost testiranja programske opreme. Literatura [01] AIRMIC, ALARM, IRM: "A Risk Management Standard". The Association of Insurance and Risk Managers (AIRMIC), ALARM The National Forum for Risk Management in Public Sector, The Institute of Risk Management (IRM), Velika Britanija, (2000). www.airmic.com,www.alarm-uk.com,www.theirm.org [02] AS/NZS 4360:1999 “Risk Management”. Australian standards, Australija, (1999). [03] Basel Committee on Banking Supervision: “Sound Practices for the Management and Supervision of Operational Risk", (February 2003). www.bis.org/publ/bcbs96.pdf Prevod Banke Slovenije: www.bsi.si/html/basel2/03_aktivnosti/dokumenti/ Operativno%20tveganje_bs-nbp.pdf [04] Basel Committee on Banking Supervision: "The New Basel Capital Accord - Annex 7: Detailed loss event type classification”, (April 2003). www.bis.org/publ/cp3annex.pdf Prevod Banke Slovenije: www.bsi.si/htm l/basel2/05_publikacije/dokumenti/C/ povzetki/Operativno%20tveganje_CP_3.pdf [05] BS 7799-2:2002: “Sistemi za upravljanje varovanja informacij - specifikacije s smernicami za uporabo", slovenski prevod BS 7799-2:2002: “Information security management systems - Specifications with guidance for use" (British Standard Institute). Inštitut za informacijsko varnost, Šempeter pri Gorici, 2003. [06] BSI: “The Baseline Protection Manual". Das Bundesamt fur Sicherheit in der Informationstechnik (BSI), Nemčija. www.bsi.de/gshb/english/download/index.html [07] “COBIT 3rd edition: Control Objectives for Information and Related Technology". IT Governance Institute, ZDA (2000). www.isaca.org,www.itgi.org [08] "COBIT Mapping: 0verview of International IT Guidance". IT Governance Institute, ZDA, (2004). www.itgi.org [09] COSO-ERM: “Enterprise Risk Management Framework". The Committee of Sponsoring Organizations of the Treadway Commission, ZDA, 2004. www.coso.org/ [10] HB 231:2000 "Information Security Risk Management Guidelines". Australian standards, Australija, (2000). [11] ICAT: "Metabase of Computer vulnerabilities". NIST, ZDA. http://icat.nist.gov/icat.cfm [12] "Implementing BS 7799-2: 2002”. British Standard Institution, Delegate VVorkbook for IT06, Issue 9, (september 2002). [13] ISO/IEC TR 13335-n “Information Technology -Guidelines for the management of IT Security". ISO/IEC, Switzerland, (1998). [14] ISF: : "The standard of good practice for Information security". Information Security Forum, ZDA (2003). www.securityforum.org/html/frameset.htm [15] ISSEA: “System Security Engeneering Capability Maturity Model” (SSE-CMM - ISO/IEC 21827) The International Systems Security Engineering Association (ISSEA). www.sse-cmm.orgWlib.asp [16] IT Governance Institute: "IT Governance Executive Summary". IT Governance Institute, USA. www.itgi.org [17] Jaušovec, Matjaž, Brumen, Boštjan, VVelzer - Družovec, Tatjana: “Analiza varnostne ogroženosti". Uporabna informatika, Ljubljana, letnik 2003, št. 2, str. (61-67). [18] Lalovič, Dušan: “Sistematični pristopi obvladovanja varnosti informacijskih sistemov združb’’. Univerza v Ljubljani, Fakulteta za računalništvo in informatiko, magistrska naloga (2003). [19] MITRE: “Common Vulnerabilities and Exposures". MITRE, ZDA. http://cve. mitre.org/cve/ [20] MOF: “Risk Management Discipline for Operations". Microsoft Operations Framevvork v3.0, ZDA (January 2004) http://wvwv.microsoft.com/techneVitsolutions/cits/mo/ mof/mofrisk.mspx [21] NIST: “Risk Management Guide for Information Technology Systems - Recommendations of the National Institute of Standards and Technology". National Institute of Standards and Technology, ZDA (2001). http:// csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [22] OIT: "Information Security Guideline for NSW Government". Department of Commerce, Office of Information Technology, Australia. www.oit.nsw.gov.au/contenV2.3.Guidelines.asp [23] PD 3002:2002 “Guide to BS 7799 Risk Assessment". British Standards Institution, UK, (2002). [24] SANS-GIAC: “Seminarske naloge". The SANS (SysAdmin, Audit, Network, Security) Institute, GIAC (Global Information Assurance Certification), ZDA. http://www.giac.org/GCIH.php [25] Šinigoj, Aleksander: “CRAMM kot orodje za oceno in upravljanje s tveganji". Slovenski inštitut za revizijo in slovenski odsek ISACA, Zbornik referatov 10. mednarodne konference o revidiranju in kontroli informacijskih sistemov (Čatež, 24.-26. 09. 2002), str. 315-324 (2002). Nataša Žabkar je diplomirala leta 1989 na Fakulteti za računalništvo in informatiko in magistrirala leta 1998 na Ekonomski fakulteti Univerze v Ljubljani. Ukvarja se predvsem z revizijo informacijskih sistemov. Na tem področju je leta 2000 pridobila naziv preizkušeni revizor informacijskih sistemov leta in leta 2001 naziv “CISA - Certified Information Systems Auditor". Viljan Mahnič je izredni profesor in predstojnik Laboratorija za tehnologijo programske opreme na Fakulteti za računalništvo in informatiko Univerze v Ljubljani. V letih 1999-2003 je bil tudi prodekan za pedagoško delo. Ukvarja se z razvojem programske opreme za računalniško podprte informacijske sisteme s posebnim poudarkom na informacijskih sistemih za področje visokega šolstva. Od leta 1996 je predstavnik Slovenije v EUNIS (European University Information Systems Association), od leta 2002 pa tudi član sveta direktorjev omenjene organizacije. Spoštovane bralke in spoštovani bralci, člani uredništva revije Uporabna informatika vam želimo uspešno in ustvarjalno novo leto 2005 NOVE KNJIGE K RAZVOJU TELECENTROV V SLOVENIJI K razvoju telecentrov v Sloveniji / Janez Bešter idr. / Vintar, Jelka; Jeraj, Dimitrij (ur. J/ Maribor: samozal. D. Jeraj; Ljubljana: Bons /2004 / ISBN 961 -90755-2-8 / 263 str. Knjiga je nastala u okviru dolgoročnega projekta Telecenter, ki naj bi v slovensko okolje, predvsem v bolj oddaljena naselja, vnesel elemente informacijske družbe. Po besedah urednikov je bil njun namen, da bi problem osvetlili z različnih vidikov in bi bila vsebina knjige dovolj izzivalna in dovolj informativna, da bi pritegnila somišljenike in partnerje, ki jih projekt potrebuje za uresničitev. Avtorji prispevkov, ki obravnavajo tematiko z različnih vidikov in iz izkušenj v praksi, so informatiki, sociologi, komunikologi, arhitekti, izobraževalci idr., dva tuja avtorja pa poročata o izkušnjah uvajanja telecentrov v tujini. Telecenter je javni prostor, opremljen z informacijsko in komunikacijsko tehnologijo, ki omogoča občanom medsebojno komuniciranje, pa tudi dostop do podatkov in informacij. V svetu se telecentri pod raznimi imeni in v različnih oblikah [civilna mreža, odprta mreža, komunalni računalniški center, javno dostopna mreža, kiberkavarna, telekoča, televas) uveljavljajo že dvajset let, v Sloveniji pa so malo poznani in pretežno na eksperimentalni ravni. Kot pravita urednika, je osnovna usmeritev uvajanja telecentrov preseganje oddaljenosti, posredno pa je to lahko tudi ena od pomembnejših rešitev za trajnostni razvoj in s tem tudi za izboljšanje kakovosti življenja. V uvodnem poglavju z naslovom Zaostritev zamisli razpravlja Dimitrij Jeraj o pojavnih oblikah telecentrov in njihovih značilnostih ter procesih razvijanja, tako npr. o avtonomni in virtualni skupnosti, središču virtualne skupnosti, modulih kot programu telecen-tra, osrednji dejavnosti, telenaselju. Naslovi poglavij lepo predstavljajo razdelitev vsebine: 1. Problem bivanja zunaj mestnih središč 2. Avtonomna skupnost - poti do nje 3. Telecenter - pot do avtonomije 4. Približevanja telecentra človeku. Prispevki avtorjev so zelo raznoliki, pač glede na strokovno usmeritev pisca. Prav interdisciplinarni pristop k razvoju informacijske družbe, s številnimi vprašanji, ki jih odpira, je zanimiv. Srečujemo se s številnimi novimi pojmi, kot so socialni kapital, občanske informacijske mreže, ekonaselja, portal lokalne skupnosti, skrita znanja, računalniško posredovana komunikacija. Pomembna začetna vsebina telecentrov je izobraževanje, zato mu je v knjigi posvečena posebna pozornost. Zanimiv je prispevek Billa Murraya, ki predstavlja zaključke iz obsežnega poročila o razvoju telecentrov v svetu in trendih razvoja ter razpravlja o vlogi telecentra v skupnosti, o njegovem delovanju in ekonomski upravičenosti. Nenavadna oprema in fotografije izredno lepo dopolnjujejo besedilo.Izid knjige je finančno podprlo Ministrstvo za informacijsko družbo. K. Puc KOLEDAR PRIREDITEV IPSI-2005 6.-9. jan. 2005 Big Island Havvaii, ZDA IPSI www.internetconferenneR.nRt, IPSI-2005 17.-20. feb. 2005 Amalfi, Italija IPSI www.internetconferences.net ASYNC-2005 14.-16. mar. 2005 New York, ZDA IEEE htto://vlsi. cnrnRll.edu/asvnc2005/ ISPASS-2005 20.-22. mar. 2005 Austin, ZDA ISPASS htto://isoass.nra VVCCE 2005 - VVorld Conference on Computers in Education 4.-7. jul. 2005 Južna Afrika IFIP htto://www.wcce2005.ora.za 2004 - številka 4 - letnik XII P 0 R A B N a INFORMATIKA 259 Včlanite se v Slovensko društvo INFORMATIKA Pristopna izjava Želim postati član Slovenskega društva INFORMATIKA Prosim, da mi pošljete položnico za plačilo članarine SIT 6.700 [kot študentu SIT 2.900) in me sproti obveščate o aktivnostih v društvu. (ime in priimek, s tiskanimi črkami) (poklic) (domači naslov in telefon) (službeni naslov in telefon) (elektronska poštaJ Datum: Podpis: Članarina SIT 6.700,- (plačljiva v dveh obrokih) vključuje tudi naročnino za revijo Uporabna informatika, študenti imajo posebno ugodnost: plačujejo članarino SIT 2.900,-in za to prejemajo tudi revijo. Izpolnjeno naročilnico ali pristopno izjavo pošljite na naslov: Slovensko društvo INFORMATIKA, Vožarski pot 12, 1000 Ljubljana. Lahko pa izpolnite obrazec na domači strani društva: http://vvvvvv.drustvo-informatika.si --------------------X Naročilnica na revijo UPORABNA INFORMATIKA Revijo naročam(o) O s plačilom letne naročnine SIT 5.900 I I izvodov po pogojih za podjetja SIT 17.800 za eno letno naročnino in SIT 11.900 za vsako nadaljnjo naročnino I I po pogojih za študente letno SIT 2.800 (ime in priimek, s tiskanimi črkami) (podjetje) (davčna številka) (ulica, hišna številka) (pošta) Datum: Podpis: Naročnino bomo poravnali najkasneje v roku 8 dni po prejemu računa. INTERNET Vse bralce revije obveščamo, da lahko najdete domačo stran društva na naslovu: http://wvvw.drustvo-informatika.si Obiščite tudi spletne strani mednarodnih organizacij, v katere je včlanjeno naše društvo: IFIP. www.ifip.or.at, ECDL: www.ecdl.com, CEPIŠ www.cepis.com Popoln E-Business Suite Trženje Projekti Prodaja Finance in računovodstvo Ena baza Kadri podatkov Naročanje Nabava Storitve Oskrbovalne verige Proizvodnja Vse aplikacije zasnovane enotno. Vse informacije na enem mestu. ORACLE www.oracle.si NARODNA in univerzitetna knjižnica B Razprave Markuš Aleksy, Ingo Bayer, Tilo Dickopp, Axel Korthaus IB-CUE - Theoretical Concept and Implementation Aspects for a Softuuare-based Information System for Innovatiue Budgeting in a Competitiue Uniuersitg Enuironment Pascal Aubry, Vincent Mathieu, Julien Marchal ESUP-Portail: open source Single Sign-On uvith CAS (Central Authentication Service) Jorma Kajava, Rauno Varonen Information Securitg e-Learning - from Practice to Theory Milan Ojsteršek, Dejan Dinevski, Tomaž Klojčnik Portal Univerze v Mariboru Jaka Lindič, Aleš Popovič, Jurij Jaklič, Mojca Indihar Štemberger Vpliv spletnih portalov na kakovost visokošolske izobraževalne institucije Lea Bregar, Margerita Zagmajster, Marko Papič Spletni portal kot informacijski vir za spodbujanje razvoja in raziskovanja e-izobraževanja v Sloveniji Viljan Mahnič, Marko Poženel Uporaba podatkovnih skladišč v univerzitetnem okolju: primer Univerze v Ljubljani Nataša Žabkar, Viljan Mahnič Ubvladovanje tveganj pri uporabi informacijske tehnologije v univerzitetnem okolju ISSN 131A-1AA2 B Nove knjige B Koledar prireditev