it,
centri ECDL
EGDL [European Computer Driving License), Id ga v Sloveniji imenujemo evropsko računalniško spričevalo, je standardni program usposabljanja uporabnikov, ki da zaposlenim potrebno znanje za delo s standardnimi računalniškimi programi na informatiziranem delovnem mestu, delodajalcem pa pomeni dokazilo o usposobljenosti. V Evropi je za uvajanje, usposabljanje in nadzor izvajanja ECDL pooblaščena ustanova ECDL Fundation, v Sloveniji pa je kot član CEPIŠ (Council of European Professional Informatics) to pravico pridobilo Slovensko društvo INFORMATIKA. V državah Evropske unije so pri uvajanju ECDL močno angažirane srednje in visoke šole, aktivni pa so tudi različni vladni resorji. Posebno pomembno je, da velja spričevalo v 158 državah, ki so vključene v program ECDL Doslej je bilo v svetu izdanih že več kot 8,5 milijonov indeksov, v Sloveniji več kot 12.700 in podeljenih več kot 7.800 spričeval. Za izpitne centre v Sloveniji je usposobljenih 23 organizacij, katerih logotipe objavljamo.
VIZIJA RAZVOJA
soF="r
IZOBRAŽeVANJE INFORMACIJSKg STORITVG


Män
togQa, 4.0.0.
M
IMFOmmCUSKE TEMMOLOGIJE
ICOPf^
LJUDSKA aidovscina
UJD5KA UMIVEHZA MURSKA BOBUTA
VSEBINA
UPORABNA
INFORMATIKA
2009 ŠTEVILKA4 OKT/NOV/DEC LETNIKXVII ISSN 1318-1882
Uvodnik
Znanstveni prispevki
Boštjan Grašič, Vili Podgorelec, Marjan Heričko:
Primerjava pristopov!(razvoju ontologij	215
Strokovni prispevki
Franc Brcar, Silvo Lah:
Vloga in položaj službe za informatiko v novem tisočletju	232
Janez Černi:
Kako prenoviti proces informiranja in komuniciranja	240
Tadej" Prešeren, Marko Bajec: ■ ■
Celovit pristop.obvladovanja.mobilnih naprav.	~ ~ ......255
Aleš Zelenik, Zdenko Mezgec:
Zašiita negotovinskih oblik plačevanja	265
Informacije
Iz Islovarja	279
Poročilo o simpoziju DACHS 2009	281
Koledar prireditev	283
UPORABNA
INFORMATIKA
2009 ŠTEVILKA« OKT/NOV/DEC LETNIK XVII ISSN 1318-1882
Ustanovitelj in izdajatelj
Slovensko društvo INFORMATIKA Revija Uporabna informatika Vožarski pot 12.1000 Ljubljana
Predstavnik
Niko Schlamberger
Odgovorni urednik
Jurij Jaklič
Pomočnik odgovornega urednika
Rok Rupnik
Uredniiki odbor
Marko Bajec, Vesna Bosilj - Vukšič, Gregor Haue, Jurij Jaklič, Milton Jenkins, Andrej Kovačič, Katarina Puc, Vladislav Rajkovič, Heinrich Reinermann, Ivan Rozman, Rok Rupnik, Niko Schlamberger, John Taylor, Mirko Vintar, Tatjana Welzer Družovec
Recenzenti
Marko Bajec, Marko Bohanec, Vesna Bosilj - Vukšič, Dušan Caf, Srečko Devjak, Tomaž Erjavec, Matjaž Gams, Izidor Golob, Tomaž Gornik, Janez Grad, Miro Gradišar, Jozsef Györkös, Marjan Heričko, Mojca Indihar Štemberger, Jurij Jaklič, Milton Jenkins, Andrej Kovačič, Jani Krašovec, Katarina Puc, Vladislav Rajkovič, Heinrich Reinermann, Ivan Rozman, Rok Rupnik, Niko Schlamberger, Tomaž Turk, Mirko Vintar, Tatjana Welzer Družovec, Lidija Zadnik Stirn, Alenka Žnidaršič
Vabilo avtorjem
Tehnična i
Mira Turk Škraba
Oblikovanje
Bons
Ilustracija na ovitku: Luka Umek za BONS
Prelom in tisk
Boex DTR d. o. o., Ljubljana
550 izvodov
Naslov uredništva
Slovensko društvo INFORMATIKA LJredništvo revije Uporabna informatika Vožarski pot 12,100G Ljubljana www. uporabna-informatika.si
Revija izhaja četrtletno. Cena posamezne številke je 20,BB EUR. Letna naročnina za podjetja 83,46 EUR, za vsak nadaljni izvod 58,48 EUR, za posameznike 33,81 EUR, za študente in seniorje 14,81 EUR.
Revijo sofinancira Javna agencija za raziskovalno dejavnost.
Revija Uporabna informatika je od številke 4/VII vključena v mednarodno bazo INSPEC.
Revija Uporabna informatika je pod zaporedno številko 666 vpisana v razvid medijev, ki ga vodi Ministrstvo za kulturo.
© Slovensko društvo INFORMATIKA
V	reviji Uporabna informatika objavljamo kakovostne izvirne članke domačih in tujih avtorjev z najširšega področja informatike v poslovanju podjetij, javni upravi in zasebnem življenju na znanstveni, strokovni in informativni ravni; Se posebno spodbujamo objavo interdisciplinarnih člankov. Zato vabimo avtorje, da prispevke, ki ustrezajo omenjenim usmeritvam, pošljejo uredništvu revije po elektronski pošti na naslov ui@drustvo-informatika.si ali po pošti na naslov Slovensko društvo INFORMATIKA, Vožarski pot 12,1000 Uubljana.
Avtorje prosimo, da pri pripravi prispevka upoštevajo navodila, objavljena v nadaljevanju.
Za kakovost prispevkov skrbi mednarodni uredniški odbor. Članki so anonimno recen-zirani, o objavi pa na podlagi recenzij samostojno odloča uredniški odbor. Recenzenti lahko zahtevajo, da avtorji besedilo spremenijo v skladu s priporočili in da popravljeni članek ponovno prejmejo v pregled. Uredništvo pa lahko še pred recenzijo zavrne objavo prispevka, če njegova vsebina ne ustreza vsebinski usmeritvi revije ali če članek ne ustreza kriterijem za objavo v reviji.
Pred objavo članka mora avtor podpisati izjavo o avtorstvu, s katero potrjuje originalnost članka in dovoljuje prenos materialnih avtorskih pravic. Nenaročenih prispevkov ne vračamo in ne honoriramo. Avtorji prejmejo enoletno naročnino na revijo Uporabna informatika, ki vključuje avtorski izvod revije in še nadaljnje tri zaporedne številke. S svojim prispevkom v reviji Uporabna informatika boste prispevali k širjenju znanja na področju informatike. Želimo si čim več prispevkov z raznoliko in zanimivo tematiko in se jih že vnaprej veselimo.
Uredništvo revije
Navodila avtorjem člankov
članke objavljamo praviloma v slovenščini, članke tujih avtorjev pa v angleščini. Besedilo naj bo jezikovno skrbno pripravljeno. Priporočamo zmernost pri uporabi tujk in -kjer je mogoče - njihovo zamenjavo s slovenskimi izrazi. V pomoč pri iskanju slovenskih ustreznic priporočamo uporabo spletnega terminološkega slovarja Slovenskega društva Informatika Islovar [www.islovar.org).
Znanstveni članek naj obsega največ 40.000 znakov, strokovni članki do 30.000 znakov, obvestila in poročila pa do 8.000 znakov.
Članek naj bo praviloma predložen v urejevalniku besedil Word (*.doc ali ®.docx) v enojnem razmaku, brez posebnih znakov ali poudarjenih črk. Za ločilom na koncu stavka napravite samo en prazen prostor, pri odstavkih ne uporabljajte zamika. Naslovu članka naj sledi za vsakega avtorja polno ime, ustanova, v kateri je zaposlen, naslov In elektronski naslov. Sledi naj povzetek v slovenščini v obsegu 8 do 10 vrstic in seznam od 5 do 8 ključnih besed, ki najbolje opredeljujejo vsebinski okvir članka. Pred povzetkom v angleščini naj bo še angleški prevod naslova, prav tako pa naj bodo dodane ključne besede v angleščini. Obratno pa velja v primeru predložitve članka v angleščini.
Razdelki naj bodo naslovljeni in oštevilčeni z arabskimi številkami. Slike in tabele vključite v besedilo. Opremite jih z naslovom in oštevilčite z arabskimi številkami. Vsako sliko in tabelo razložite tudi v besedilu članka. Če v članku uporabljate slike ali tabele drugih avtorjev, navedite vir pod sliko oz. tabelo. Revijo tiskamo v črno-beli tehniki, zato barvne slike ali fotografije kot original niso primerne. Slik zaslonov ne objavljamo, razen če so nujno potrebne za razumevanje besedila. Slike, grafikoni, organizacijske sheme ipd. naj imajo belo podlago. Enačbe oštevilčite v oklepajih desno od enačbe.
V	besedilu se sklicujte na navedeno literaturo skladno s pravili sistema APA navajanja bibliografskih referenc, najpogosteje torej v obliki: (Novak & Kovač, 2008, str. 2351. Na koncu članka navedite samo v članku uporabljeno literaturo in vire v enotnem seznamu po abecednem redu avtorjev, prav tako v skladu s pravili APA. Več o APA sistemu, katerega uporabo omogoča tudi urejevalnik besedil Word 2007, najdete na strani http://owl.english.purdue.edu/owl/resource/560/01/.
Članku dodajte kratek življenjepis vsakega avtorja v obsegu do 8 vrstic, v katerem poudarite predvsem strokovne dosežke.
Spoštovane bralke in bralci.
Konec leta pogosto doživljamo kot prelomnico, ko se ozremo nazaj in skušamo oceniti, kakšno je bilo leto, kaj so bili uspehi, kje so bile težave in ali smo uspeli izpolniti pričakovanja oz. - kot bi rekli v poslovnem svetu - ali smo uspeli doseči planske cilje. Za pravkar iztekajoče se leto velja vsesplošno prepričanje, daje bilo težko in zahtevno. To nedvomno drži. Pa vendar ...
Ponudniki rešitev in storitev na področju informatike, s katerimi sem se v preteklih mesecih pogovarjal, pravijo, da se organizacije bolj previdno odločajo za nove projekte. Opažajo, da so naročniki precej bolj zahtevni pri utemeljevanju novih projektov, pri pogajanjih, pri nadzoru kakovosti, pri priznavanju dodatnih del itn. Posebno spodbudno je, da tovrstna opažanja o večji pozornosti pri investicijah v informatiko prihajajo tudi iz javne uprave.
Organizatorji večine posvetovanj in konferenc so se v preteklem letu srečevali s težavami pri ohranjanju števila udeležencev iz preteklih let. Udeleženci so bili zaradi varčevanja veliko bolj izbirčni pri odločanju o udeležbi in zagotovo je ključni kriterij odločanja dodana vrednost za udeleženca in posredno za organizacijo. Zato so se morali organizatorji posebno potruditi, da so ponudili prave vsebine, ki so bile podane na pravi način. Tudi v prihodnjem letu bo podobno. In dobro je tako.
Torej je kriza na področju informatike - kot velja za vse krize in na vseh področjih - pravzaprav tudi spodbuda za iskanje novih priložnosti, ki so lahko zelo raznolike. V enem od podjetij pravijo, da je zdaj - ko je povpraševanje manjše in dela manj - priložnost, da uporabnike bolj vključijo v razvoj informatike.
Leta 2009 v Uporabni informatiki ni bilo revolucionarnih sprememb. Ocenjujemo, da glede na namen in naravo revije bistvena sprememba usmeritve revije ne bi bila ustrezna. To pa ne pomeni, da ne iščemo novih priložnosti.
V	uredniškem odboru se vedno sprašujemo o možnostih, kako bi revijo naredili še bolj zanimivo in jo tako še bolj približali bralcem. Spremembe morda navzven niso vedno takoj vidne, saj so pogosto povezane z zahtevami za prispevke, s postopki njihovega recenziranja in izbora, vendar verjamemo, da bodo na daljši rok dosegle svoj namen. Tako so bralci že pohvalili raznolikost in zanimive prispevke v prejšnji številki. Tudi tokrat so prispevki vsebinsko zelo pestri: od bolj strateških vprašanj o novi vlogi službe za informatiko prek obravnave specifičnih vprašanj prenove procesa komuniciranja in informiranja v organizaciji do prispevkov s področja informacijske tehnologije, ki obravnavajo razvoj ontologij, obvladovanje mobilnih naprav ter varnostna vprašanja pri negotovinskem plačevanju. Verjamem, da bo vsak našel kaj zanimivega in uporabnega zase.
V	letu 2010 vam želimo obilo novih priložnosti in veliko zanimivega branja v Uporabni informatiki.
Jurij Jaklič, odgovorni urednik
Slovensko društvo INFORMATIKA
zbira na podlagi 53.člena statuta in pravilnika o priznanjih predloge za
PRIZNANJA SLOVENSKEOA DRUŠTVA INFORMATIKA
1.	Priznanje se lahko podeli posamezniku ali pravni osebi za:
I> dosežke na področju uporabne in znanstvene informatike ter vidne prispevke na področju razvoja informacijske družbe in razvoja novih načinov in tehnologij dela na področju informatike,
l> dolgoletno uspešno delo v društvu ali v drugih društvih, ki so sodelovala z društvom pri
programskih vprašanjih, t> razvoj mednarodnega sodelovanja in izmenjavo dosežkov na tem področju, I> izjemne dosežke na področju razvoja konceptov, programskih orodij, naprav in tehnologij
v zvezi z informatiko, 1> uspešno sodelovanje z društvom,
l> publicistično delo na področju informatike in informacijske družbe in t> izjemne dosežke na področjih, ki zadevajo vprašanja informatike.
2.	Predlog mora vsebovati: podatke o prejemniku priznanja,
l> opis dosežka, I> predlagano priznanje, dokazila o dosežku, podatke o predlagatelju.
Podrobni pogoji so navedeni v pravilniku na naslovu http://www.drustvo-informatika.si.
Predloge pošljite do vključno 30. januarja 2010 na naslov:
Slovensko društvo INFORMATIKA Vožarski pot 12 1000 Ljubljana .
z oznako »PRIZNANJA 201 □«
ali na elektronski naslov: info@drustvo-informatika. si
Predloge bo v skladu s pravilnikom obravnavala korrüsija za priznanja in jih s svojim mnenjem posredovala izvršnemu odboru društva. Priznanja bodo javno podeljena na posvetovanju Dnevi slovenske informatike aprila 2010.
ZNANSTVENI PRISPEVKI
B Primerjava pristopov k razvoju ontologij
Boštjan Grašič, Vili Podgoreiec, Marjan Heriči<o
Univerza v Mariboru, Falculteta za ele!<trotehnil<o, računalništvo in informatiko, Smetanova ul. 17, 2000 Maribor bostjan.grasic@uni-mb.si, vili.podgorelec@uni-mb.si, marjan.hericko@uni-mb.si
Izvleček
Vse večjo prisotnost in pomembnost ontologij pri razvoju sodobnih informacijskih rešitev potrjuje tako število raziskovalnih projektov, ki temeljijo na ontologijah, kot vse večje število komercialnih produkcijskih rešitev, ki omogočajo delo z ontologijami in semantičnimi tehnologijami. Kljub precejšni razširjenosti izraza ontologija, ostajajo bistvo in namen v precejšni meri napačno razumljeno. Prvi del prispevka predstavlja ozadje termina ontologija ter izpostavlja pomen ontološkega inženirstva - discipline za razvoj ontologij. V drugem delu predstavimo aktualne pristope k razvoju ontologij in rezultate primerjave različnih pristopov k razvoju ontologij.
Abstract
COMPARISON OF ONTOLOGY OEVELOPEMENT APPROACHES
Ontologies are becoming an important part of contemporary information systems. The importance of the ontologies is proved by the number of research projects dealing with ontologies, as well as by the number of proprietary solutions that are supporting ontologies in production environments. However, the term ontology is still often misunderstood. The first part of this paper describes the essence and the background of ontologies, it compares ontologies with well known terms from ontological engineering and highlights the importance of ontological engineering. The second part of the paper describes the most important approaches to ontology development, and presents the results of the comparative analysis of ontology development approaches.
1 UVOD
Izraz ontologija se je pojavil že v antični filozofiji, lio so z ontologijami skušali izraziti bistvo stvari. Osnovna naloga ontologij je bila odgovoriti na vprašanja, kot so: Kaj so stvari oz. kaj je njihovo bistvo? Ali ostane bistvo stvari nespremenjeno tudi, ko se spreminjajo? Kako lahko klasificiramo stvari/entitete, ki se pojavljajo na svetu? Ali obstajajo koncepti stvari [knjiga, drevo, miza ipd.) tudi zunaj našega razuma ali je to le naš konstrukt? (Gomez-Perez, Corcho, & Fernandez-L6pez, 2004)
V sklopu računalništva in informatike so se ontologije začele pojavljati v devetdesetih letih 20. stoletja. Nastopale so v podobni vlogi kot v antiki, vendar je bil njihov cilj namesto človeka računalnik. Osrednje vprašanje je postalo, kako stroju predstaviti bistvo stvari, da bo lahko s procesom sklepanja prišel do novih spoznanj in koristnih informacij. Najprej so se začele ontologije uporabljati na področju umetne inteligence v sklopu predstavitve znanja (angl. knowledge representation).
Namen predstavitve znanja je izraziti znanje o svetu tako, da bodo lahko računalniki obdelovali to znanje in nad njim izvajali proces sklepanja (Davis,
Shrobe, & Szolovits,..I993)._Osnova. podlaga za to je formalna predstavitev znanja, sveta oz. okolja. S procesom sklepanja na podlagi formul, funkcij ali pravil detereministično pridobivamo nove izjave o svetu oz. okolju - novo znanje. Vizija predstavitve znanja je omogočiti strojem, tj. računalnikom, sklepanje o svetu, ki naj bo kar se da podobno sklepanju, ki ga opravljajo človeški možgani (Davis et al., 1993).
Za formalno predstavitev znanja uporabljamo več tehnik. V zametkih področja predstavitve znanja so uporabljali predvsem semantične mreže, pravila in logiko (Davis et al., 1993). Zadnje čase v ospredje prehajajo ontologije, ki temeljijo na različnih formalizmih logike (opisna logika, logika okvirjev ipd.) (Gomez-Perez et al., 2004). Poseben razcvet in prepoznavnost so ontologije doživele z razvojem semantičnega spleta, saj so eden njegovih ključnih elementov.
Izzive razvoja ontologij in zagotavljanja interope-rabilnosti naslavlja področje ontološkega inženirstva (angl. ontological engineering), ki skuša razvoj ontologij spremeniti iz spretnosti v inžeiurstvo. Ontološko inženirstvo po Gomez (Gomez-Perez et al., 2004) je »nmožica aktivnosti, ki zadevajo razvojni proces
ontologij. Življenjski cikel ontologij ter metodologije, orodja in jezike za razvoj ontologij«.
članek predstavlja in analizira najsodobnejše pristope k razvoju ontologij. Drugi razdelek opisuje področja uporabe ontologij, v tretjem je zgoščeno predstavljeno področje predstavitve znanja, medtem ko četrti podaja definicijo ontologij, jih klasificira in navede jezike za implementacijo. Peti razdelek podaja primerjavo med ontologijami in obstoječimi koncepti iz programskega inženirstva, šesti predstavlja pomembnejše metode in metodologije za razvoj ontologij, v sedmem so podani rezultati primerjave pristopov k razvoju ontologij.
2 VLOGA ONTOLOGIJ V INFORMACIJSKIH SISTEMIH
Ontologije se uporabljajo predvsem v aplikacijah in informacijskih sistemih, pri katerih je poudarek na znanju. Najdemo jih lahko v tako imenovanih sistemih znanja, ekspertnih sistemih, portalih, pri katerih je pomembna informacijska vrednost podatkov in njihova soodvisnost, ter vedno pogosteje tudi pri dinamični integraciji podatkov. Ontologije niso primerne za opravila, pri katerih je v ospredju procesna obdelava podatkov, ali kot nadomestilo podatkovnih skladišč.
Uporabne so v informacijskih sistemih, v katerih je ključnega pomena in vrednosti znanje, ki je zajeto v samem informacijskem sistemu. Prednost ontologij pred klasičnimi programskimi jeziki je, da so namenjene in narejene izključno za predstavitev znanja. Zaradi tega lahko z njimi bolje in bolj preprosto predstavimo znanje, ki je potrebno v informacijskem sistemu. Omogočajo boljši pregled nad znanjem in preprostejše upravljanje ter vzdrževanje znanja v informacijskem sistemu. Pri uporabi klasičnih programskih jezikov je znanje pogosto prepleteno z aplikacijsko logiko. Prepletenost znanja in aplikacijske logike otežuje proces upravljanja z znanjem ter hkrati zmanjšuje organizacijsko agilnost. Namen ontologij ni nadomestitev konvencionalnih programskih jezikov (kot so npr. C++, Java, C#, PHP), temveč njihova dopoliütev. Ontologije služijo kot medij za predstavitev in izmenjavo znanja, konvencionalni programski jeziki pa za implementacijo aplikacijske logike ter za procesiranje podatkov (procesiranje, ki ne temelji na procesu sklepanja).
Informacijski sistemi, ki temeljijo na ontologijah, že prehajajo v produkcijska okolja. V nadaljevanju
na kratko povzemamo dva primera uporabe ontologij v uspešnih in priznanih evropskih podjetjih. V priznanem proizvajalcu avtomobilov so vpeljali inteligentni sistem, ki pomaga pri testiranju elektronike za nove avtomobile. Elektronski sestavi v modernih avtomobilih so zelo kompleksni in prepleteiü med seboj. Pregled nad celotnim delovanjem takšnega elektronskega sestava je skoraj nemogoč. Ker je v sodobnih vozilih elektronski sestav tako rekoč osrednja točka avtomobila, je zanesljivo delovanje avtomobila odvisno od zanesljivosti elektronskega sestava. Z uporabo ontologij so uspeli eksplicitno definirati predvideno in zahtevano obnašanje komponent ter njihovo povezavo z drugimi komponentami. Celoten sistem znatno olajša proces testiranja ter izboljša predvidljivost obnašanja elektronskih sestavov (Syl-datke, Chen, Angele, Nierlich, & Ullrich, 2007).
Naslednji primer uporabe ontologij v realnih okoljih najdemo pri priznanem proizvajalcu industrijskih robotov. S pomočjo ontologij so modelirali obnašanje in napake robotov ter njihovih sestavrvih delov. Sistem je namenjen identifikaciji in odpravi mehanskih ter programskih okvar industrijskih robotov. Sistem služi za zajem in izmenjavo ekspertnega znanja o okvarah robotov (Nierlich 2007).
3 PREOSTAVITEV ZNANJA
Glavni namen, s katerim se ukvarja področje predstavitve znanja, je snovanje računalniških sistemov, ki so sposobni sklepati po strojno berljivi predstavitvi sveta, in sicer čim bolj podobno človeškemu sklepanju. Davis opisuje predstavitev znanja kot nadomestek realnosti, znotraj katerega opišemo stvari oz. podamo izjave o svetu in omogočimo strojno sklepanje o svetu (Grimm, Hitzler, & Abecker, 2007). Tehnologije, ki to omogočajo in se pogosto uporabljajo za namene predstavitve znanja, so semantične mreže, pravila in logika.
3.1 Semantične mreže
Semantične mreže se osredinjajo na izražanje takso-nomskih struktur kategorij objektov in relacij med njimi. Semantična mreža je usmerjen graf, katerega vozlišča predstavljajo koncepte, povezave pa relacije med njimi. Omogočajo strukturno predstavitev izjav znotraj neke domene. Semantična mreža na sliki 1 predstavlja znanje iz domene poslovrüh potovanj, ki je zajeto v naslednjem prostem besedilu (Grimm et al., 2007):
Primer 1: Znanje, predstawljeno s prostim besedilom
Delavci, ki so zaposleni pri pravnih osebah, so fizične osebe. Pravne in fizične osebe so subjekti. Pravne osebe rezervirajo potovanja za svoje zaposlene. Potovanja so lahko leti ali potovanja z vlakom. Vsako potovanje se začne ali konča v mestu, kije bodisi v EU ali ZDA. Pravne osebe se nahajajo na poljubni lokaciji. Pravna oseba FERIje rezervirala let FL7007 iz Londona v New York za Janeza Novaka.
Delavec		FERI	Let
	EU Mesto		ZDA Mesto
is A
is A
Janez Novak
London
seKonča
New York
mogoče procesirati strojno. Za formalno predstavitev
Slika 1: Primer semantiine mreže, ki vsebuje znanje iz primera 1
3.2 Pravila	_ .
Druga možnost stmkturirane predstavitve znanja	pravil uporabljamo logiko, sama konverzija je precej
so pravila. Pravüa izražajo vzročnost in imajo ob-	preprosta. Za zgornji primer bi bila predstavitev zna-
liko konstruktov IF-THEN. Pravila, predstavljena v	nja v obliki pravil takale: primeru 2, so zapisana v neformalni obliki in jih ni
Primer 2: Predstavitev znanja iz primera 1 z uporabo pravil
1.	IF nekaj je let THEN je tudi potovanje.
2.	IF neka fizična oseba prisostvuje na potovanju, ki ga je rezervirala neka pravna oseba THEN; ta fizična oseba je zaposlena pri tej pravni osebi.
3.	FACT^ oseba JanezNovak prisostvuje na letu, ki ga je rezervirala pravna oseba FERI. A. IF začetna in končna lokacija potovanja sta blizu THEN potovanje je z vlakom.
Semantične mreže so uporabne za namene takso-	staviti znanje iz semantičnih mrež. Obratna relacija
nomizacije konceptov in relacij med njimi. Njihova	ni mogoča. Tako recimo semantične mreže ne omo-
šibkost je pri izražanju natančnejše specifikacije kon-	gočajo predstavitve znanja, ki je izraženo z zadnjim
ceptov in relacij med njimi. S pravili je mogoče pred-	pravilom iz primera 2.
FACT označuje dejstvo, to je znanje, ki je znano 2e pred izvajanjem pravil (eksplicitno znanje).
3.3 Logika
Semantične mreže in pravila lahko formalno predstavimo z uporabo logike. Brez natančne formalizacije je predstavitev znanja neopredeljiva in dvoumna kar onemogoča strojno procesiranje. Logika je sredstvo, s katerim lahko predstavimo tako semantične mreže kot pravila na formalen način in s tem omogočimo strojno procesiranje. Ni nujno, da se pri predstavitvi znanja omejimo samo na konstrukte semantičnih mrež ali pravil, uporabimo oz. definiramo lahko poljubne logične izraze. Najpogostejše vrste logike, ki se uporabljajo za predstavitev znanja, so logika prvega reda, opisna logika, predikatna logika, F-logika in Hornova pravila (Grimm et al., 2007).
4 ONTOLOGIJE
Ontologije so eden od načinov predstavitve znanja. Za formalen zapis pogosto uporabljamo opisno logiko, F-logika, opisno logiko v kombinaciji s Hornovi-mi pravili ali logično programiranje. V akademskem svetu še ni bil dosežen konsenz o splošni definiciji ontologij. Najbolj sprejeta in tudi citirana definicija je Gruberjeva iz leta 1993: »Ontologija je eksplicitna specifikacija konceptualizacije.«^ (Gruber, 1993)
Na definicijo je bilo podanih precej komentarjev, predvsem glede izrazov specifikacija in konceptuali-zacija, saj naj ne bi bila dovolj pomensko polna. Borst je leta 1997 dopolnil Gruberjevo definicijo ontologije: »Ontologije so definirane kot formalna specifikacija skupne konceptualizacije.«^ (Borst, 1997)
Obe definiciji so združili in razložili Studer idr. (Studer, Benjamins, & Fensel, 1998): »Ontologija je formalna in eksplicitna specifikacija skupne koncep-tualizacije«, pri čemer posamezne termine interpretirajo takole:
■	konceptualizacija se nanaša na abstraktni model nekega pojava v svetu na podlagi identificiranih konceptov tega pojava;
■	eksplicitna pomeni, da so tipi uporabljenih konceptov in omejitve pri njihovi uporabi eksplicitno definirani (omejitev je npr., da se koncepta Let in PotovanjeZVlakom izključujeta);
" formalna se nanaša na dejstvo, naj bi bila ontologija strojno berljiva, kar izključuje naravni jezik;
■	skupna odraža stališče, naj ontologija zajema splošno oz. skupno znanje, to je znanje, ki ni last-
no posamezniku, temveč ga je sprejela določena
skupina ljudi.
Ontologija ni samo računalniška predstavitev znanja neke domene, temveč izraža neko stopnjo konsenza o znanju iz te domene (Studer et al.., 1998). Gomez idr. poudarjajo, da neki domenski model ni nujno ontologija zaradi tega, ker je predstavljen v ontološkem jeziku (npr. Ontolingua ali Web Ontology Language (OWL)), iz enakih razlogov, kot ni neki program sistem znanja samo zaradi tega, ker je napisan v prologu (Gomez-Perez et al., 2004).
Za naš primer iz domene poslovnih potovanj lahko rečemo, da je ta model ontologija takrat, ko ga bomo formalno zapisali in ko bo med uporabniki tega modela dosežen konsenz o znanju, ki je zajeto v ontologiji. Studer (Studer et al., 1998) navaja, da naj bo konsenz odvisen od konteksta; če npr. razvijamo ontologijo o boleznih za bolnišnico, mora biti dosežen konsenz med vsemi zdravniki te bolnišnice, če pa razvijamo nacionalni bibliografski sistem, naj bo dosežen konsenz na nacionalni ravni - vsak uporabnik naj bi sprejel ontologijo kot veljavno.
4.1 Vrste ontologij
Lassila in McGuiness sta se zaradi različne, pogosto tudi napačne uporabe izraza ontologija odločila kategorizirati vse vrste njegovih pojavitev (Lasilla & McGuinness, 2001). Ontologije sta klasificirala kot linearen spekter glede na bogatost in izraznost njihove interne strukture. Slika 2 prikazuje, da bolj kot se pomikamo po premici v desno, bolj bogata je ontologija. Točke na premici predstavljajo pogoste specifikacije ontologij, na katere so naleteli avtorji. Prečna črta razmejuje umestnost uporabe izraza ontologija.
Najbolj osnovna oblika, ki so jo avtorji zasledili pri uporabi izraza ontologija, je nadzorovano besedišče, ki predstavlja samo končni niz izrazov. Pomensko polnejši je slovar, ki predstavlja seznam terminov in njihovih pomenov. Takšna predstavitev daje več informacij, ki pa pogostno niso enoumne (en termin lahko označuje dve pomensko različni stvari).
Leksikoni oz. tezavri predstavljajo dodatno se-mantiko v obliki relacij med termini. Tezavri ponujajo informacije o sopomenkah in niso tipično organizirani v hierarhijo.
2 An ontology is an explicit specification of a conceptualization. ' Ontologies are defined as a formal specification of a shared conceptualisation.
Termini/ slovar
Neformalen "is-a"
Formalni primerki
Vrednostne omejitve
Splošne logične omejitve
Nadzorovan besednjak
Leksikon (tezavri)
Formalen "is-a"
Okvirji in lastnosti
Raznolikost, inverzija, del- celota
Slika 2: Kategoriiacija ontologij po Lasilla in lUcGuiness
Neformalna hierarhija »is-a« predstavlja neformalno generalizacijo, kar pomeni, da ni nujno, da je pripadnik specifičnega razreda hkrati tudi pripadnik generičnega (nadrejenega) razreda. Formalne hierarhije »is-a« vsebujejo striktne relacije »podrazred«, v katerih mora biti pripadnik specializiranega koncepta obvezno tudi pripadnik generalnega koncepta.
Formalni primerki nadgrajujejo striktne hierarhije »is-a« tako, da dosledno ločijo med koncepti in njihovimi primerki (razredi in objekti). Okvirji in lastnosti gredo korak naprej s specifikacijo lastnosti, ki jih imajo lahko koncepti in objekti. Kompleksnejše vrste ontologij še natančneje definirajo koncepte, primerke in njihove soodvisnosti (v obliki logičnih omejitev, relacij ipd.).
4.2 Jeziki za implementacijo ontologij
Jezike za implementacijo ontologij lahko delimo na tradicionalne in označevalne. Večina tradicionalnih in začetnih označevalnih jezikov ni pogosto uporabljanih. Najsodobnejši in trenutno najbolj razširjeni ontološki jeziki so Resource Description Framework (RDF) (Manola & MUler, 2004) in RDF Schema (RDFS), OWL (McGuinness, 2004) ter Web Service ModeUng Language (WSML). Cordoso je leta 2007 izvedel anketo o uporabljenosti ontoloških jezikov in orodij med 700 raziskovalci ter razvijalci na področju semantičnega spleta. Rezultati raziskave so prikazani na slikah 3 in 4; slika 3 prikazuje razširjenost uporabe posameznih ontoloških jezikov, slika 4 pa razširjenost uporabe orodij za razvoj ontologij. Podrobnejša analiza je na voljo v Gomez-Perez et al. (2004).
OWL ROF Schema Description Logic DAML+OIL F-logic WSML Ontolingua/KIF Common Logic Semantic Net SHOE OKBC CycL XOL OCML Loom Other
i
3170
33,7 =32,6 2,6 =J2,2 31,9 31,9 31,7 10,9 10,9 10,9
□ 12,0 3 11,8
311,8
164,9
375,
10
20
30	40	50
Uporablja anketirancev (%)
60
70
80
Slika 3: Uporaba jeziliow za razvoj ontologij (Cardoso, 2007)*
OWL je naslednik jezika DAML+OiL; Description Logic ni jezik, temveč je vrsta logike, ki jo med dmgimi uporablja tudi OWL.
Swoop -
AltovaSemanticWOrksZOOe Dnigo OilEd OntoSludio IsaVlz" WebODE" OntoBuilder' WSMO Studio Top Braid Composer' pOWL
15,5
□ 4,9
□	3,7
□	3,7
2,8 □ 1,6
]13,6
368,2
10
20
30	40
Uporablja anl<etirancev(%)
SO
60
70
Slika 4: Uporaba orodij za razvoj ootologi] (Cardoso, 20071
5 ONTOLOGIJE IN KLASIČNI KONCEPTI PROGRAMSKEGA INŽENIRSTUA
v nadaljevanju bomo podali primerjavo med ontologijami in poznanimi koncepti s področja programskega inženirstva (metamodel, podatkovni model, objektni model).
5.1 Ontologije in metamodeli
Model je abstrakcija stvarnosti, metamodel predstavlja dodatno abstrakcijo, ki označuje lastnosti modela samega (Söderström, Andersson, Johannesson, Perjons, & Wangler, 2002). Medtem ko nekateri avtorji (Söderström et al., 2002) primerjajo metamodele z ontologijami, jih drugi uvrščajo med ontologije (OMG, 2005). Po našem mnenju je primernejša umestitev ontologij med modele, ontološke jezike pa lahko smatramo kot ontološke metamodele. Izhajamo iz osnovne definicije predstavitve znanja, ki pravi, da je predstavitev znanja nadomestek realnosti (torej model), ki omogoča izvajanje procesa sklepanja nad dejstvi predstavljenimi znotraj njega (Davis et al., 1993). Ontologije kot tehnika oz. metoda predstavitve znanja nastopajo v enaki vlogi.
Ker so ontologije zelo fleksibilne, lahko nekatere nastopajo tudi v vlogi metamodelov (npr. ontologije za izdelavo ontologij). Object Management Group (OMG) je izdelal metamodele najbolj razširjenih ontoloških jezikov (OWL, RDF, RDF-Schema) (OMG, 2005) ter jih povezal z drugimi metamodeli (UML, objektni metamodel, entitetnorelacijski metamodel).
5.2	Ontologije in podatkovni modeli
Podatkovni modeli (npr. entitetnorelacijski model) vsebujejo z vidika razvijalca samo za namen aplikacije omejen pogled na svet. Ko se zahteve aplikacije spremenijo, se spremenita tudi vidik in podatkovni model. V splošnem morajo imeti ontologije lastnost deljenosti (glej definicijo v poglavju 4) - biti morajo splošne in vsebovati več pogledov na realnost. Zaradi tega ob spremembi zahtev ni treba spreminjati ontologije, če se svet oz. stvarnost, ki jo opisuje, ni spremenila (Tran, Lewen, Haase, 2007).
Pomembna razlika med ontologijami in podatkovnimi modeli je tudi ta, da ontologije omogočajo proces sklepanja in pridobivanja novih dejstev, medtem ko so podatkovni modeli statični in vsebujejo zgolj podatke, ki smo jih vstavili eksplicitno (Tran et al., 2007). Namen ontologij ni nadomestiti podatkovne modele oz. baze. Nasprotno, namen ontologij je dopolniti njihovo funkcionalnost. Zadnje čase je vse bolj razširjena preslikava med podatkovnimi modeli in ontologijami (npr. Bizer & Cyganiak (2006)), ki omogoča dostop do relacijskih podatkov s semantičnimi tehnologijami.
5.3	Ontologije in objektni modeli
Ontologije in objektni modeli imajo podobne koncepte in mehanizme. Objektni modeli imajo razrede, katerih ekvivalent pri ontologijah so koncepti. Ekvivalent atributom objektov so lastnosti konceptov. Pomembna razlika med ontologijami in objektnimi
modeli je, da objektni modeli definirajo obnašanje objekta, medtem ko ontologije sploh ne obravnavajo obnašanja razredov. Oba pristopa vsebujeta dedovanje, vendar je v primeru objektnih modelov bolj napredno (polimorfizem, dinamično povezovanje). V primeru objektnih modelov se pri dedovanju podedujejo vse lastnosti razreda vključno z obnašanjem. Pri dedovanju v okviru ontologij koncepti podedujejo samo lastnosti starševskega koncepta (brez logičnih omejitev in dodatnih specifikacij) (Tran et al., 2007).
Sklenemo lahko, da oba pristopa predstavljata neko domeno oz. del stvarnosti, vendar z drugačnim namenom. Objektni model ima bolj napredne koncepte za specifikacijo obnašanja, kar omogoča procesiranje podatkov, ki jih zahteva aplikacija. Ontologije se osredinjajo na modeliranje splošnega znanja o svetu (stvarnosti). Ontološki jeziki (npr. OWL) ponujajo bolj izrazne konstrukte za doseganje tega cilja (npr. operacije množic za kompleksne izraze nad razredi, karakteristike lastnosti, več vrst omejitev ipd.) (Tran et al., 2007).
Ontologije in objektni modeli imajo različne -komplementarne namene. Kadar je potrebno napredno procesiranje podatkov, so primernejši objektni modeli, medtem ko so ontologije primernejše za bolj izrazno modeliranje znanja (Tran et al., 2007).
6 PRISTOPI K RAZVOJU ONTOLOGIJ
v nadaljevanju opisujemo pristope za razvoj ontologij kronološko glede na njihov nastanek. Pri vsakem pristopu bomo opisali glavne korake ter poudarili novosti, ki jih je uvedel posamezen pristop. Zaradi prevelike razlike v ravneh specifikacije pristopov bomo pri vsakem opisali samo korake, procese, faze ali opravila.
6.1 Uschold-Kingova metoda
Ushold in King sta svoj pristop označila kot metodo, kljub temu jo več virov navaja kot metodologijo (Cardoso (2007), Corcho, Fernändez-Löpez, Gomez-Perez (2003), Gomez-Perez et al. (2004)). Pristop predstavlja prvo metodologijo za razvoj ontologij. Slika 5 prikazuje procese metodologije.
Identifikacija namena
		Gradnja			
Zajemanje		Kodiranje	—►	Integracija	
Vrednotenje
Dol<umentiranje
Slika 5: Procesi Uschold-Kingove metode razvoja ontologij
Proces identifikacije namena
Glavni cilj procesa je razjasniti, zakaj razvijamo ontologijo, kakšna je predvidena uporaba ontologije in kateri so glavni pojmi domene ontologije. V okviru poslovnih potovanj bi to bili pojmi Potovanje, Lokacija, Pravna oseba. Fizična oseba.
Proces gradnje
Proces gradnje je sestavljen iz treh aktivnosti. 1. Zajemanje ontologije - aktivnost vsebuje naslednja opravila: (i) identifikacija glavnih konceptov in relacij domene, (ii) izdelava natančnih in eno-immih tekstovnih definicij konceptov in relacij, (iii) identifikacija pogojev, ki se nanašajo na identificirane koncepte in relacije, in (iv) doseganje sporazuma o rezultatih prejšnjih opravil.
Za identifikacijo konceptov v ontologiji avtorji
predlagajo tri pristope (Gomez-Perez et al., 2004):
•	od spodaj navzgor - identifikacija najbolj specifičnih elementov (npr. Let, EUMesto), ki jih nato generaliziramo v bolj abstraktne koncepte,
•	od zgoraj navzdol - identifikacija najbolj abstraktnih konceptov (npr. Subjekt, Lokacija), ki jih nato specializiramo v bolj specifične koncepte,
•	iz sredine navzven - identifikacija jedra osnovnih terminov (npr. PravnaOseba, Let, Lokacija), ki jih nato po potrebi specializiramo in generaliziramo. Ta pristop prestavlja ravnovesje med prej omenjenima pristopoma in je najpogosteje uporabljeni pristop.
2.
3.
Kodiranje - dejanska implementacija ontologije v ontološkem jeziku. Metodologija ne predvideva ali predlaga uporabe specifičnega jezika. Integracija - integracija ontologije z drugimi ontologijami.
Proces vrednotenja
Vrednotenje ontologij se osredinja na ocenjevanje ontologij. Če želimo uporabiti neko ontologijo - bodisi lastno ali od drugih avtorjev -, je koristno preveriti kakovost vsebine, torej definicij konceptov, taksono-mije in aksiomov. Metodologija ne specificira koraka podrobno, temveč ga samo omenja.
Proces dokumentiranja
Proces podaja priporočila za dokumentiranje ontologij, ki so različna glede na namen ontologije. Tudi
tega procesa metodologija ne specificira podrobno, temveč ga samo navaja.
6.2 Griininger-Foxoua metodologija
Grüninger-Foxova metodologija izhaja iz izkušenj, pridobljenih pri razvoju sistemov znanja, ki uporabljajo logiko prvega reda. Razvijalcem ontologij predlagajo, da začnejo z intuitivno identifikacijo glavnih scenarijev, ki so mogoči za uporabo ontologije. Uporabljajo t. i. kompetenčna vprašanja (KV)®, ki določajo obseg ontologije. Na podlagi kompetenčnih vprašanj in odgovorov nanja poteka ekstrakcija glavrüh konceptov, njihovih lastnosti, relacij in formaliüh aksiomov ontologije. Kompetenčna vprašanja služijo kot smernice pri razvoju ontologije. Procesi metodologije so prikazani na sliki 6.
Motivacijski scenarij
Neformalna kompetenčna vprašanja
Identifikacija intuitivno možnih aplikacij In rešitev
Formalna terminologija
Identifikacija povpraševanj:
-	odgovori: aksiomi
formalne definicije
-	vprašanja: terminologija
X
Neformalna kompetenčna vprašanja

Formalni aksiomi
Predelava konsistenčnih težav z upoštevanjem aksiomov v ontologiji.
Teoremi popolnosti
Pogoji pod katerimi so rešitve vprašanj popolne.
Definirani s stavki logike prvega reda z uporabo predikatov ontologije.
Objekti
Atributi Relacije'
	Konstantne Spremenljivke
	
	Funkcije Predikati
	
Slika 6: Procesi Grüninger-Fo
! metodologije
Proces identifikacije motivacijskih scenarijev Razvoj ontologij poteka na podlagi scenarijev, ki so povezani z načinom uporabe ontologij v aplikacijah. Ti scenariji vsebujejo množico ontoloških zahtev, ki morajo biti izpolnjene po formalni implementaciji. Motivacijski scenariji vključujejo množico intuitivno možnih rešitev k problemom, ki jih naslavljajo scenariji. Te rešitve neformalno nakazujejo semantiko objektov in relacij, ki bodo kasneje zajeti v ontologiji.
Tehniko kompetenčnih vprašanj povzen^ajo tudi sodobne metodologije.
Proces definicije neformalnih kompetenčnih vprašanj Na podlagi motivacijskih scenarijev poteka definicija neformalnih kompetenčnih vprašanj. Neformalna kompetenčna vprašanja so izražena v naravnem jeziku in predstavljajo vprašanja, na katera mora ontologija ponuditi odgovore, ko bo izražena v formalnem jeziku. Kompetenčna vprašanja imajo vlogo specifikacije zahtev, na podlagi katerih lahko kasneje vrednotimo ontologijo. Uporabna so za pridobivanje predpostavk, omejitev, potrebnih vhodnih podatkov ipd.
Proces specifikacije formalne terminologije Razvijalec ontologij lahko uporabi neformalna kom-petenčna vprašanja za ekstrakcijo vsebine ontologije; identificira koncepte, atribute, relacije in jih predstavi v logiko prvega reda. Rezultat procesa so formalno definirani koncepti, njihovi atributi in relacije ter taksonomija konceptov.
Proces oblikovanja formalnih kompetenčnih vprašanj Metodologija predvideva pretvorbo neformalnih kompetenčnih vprašanj v formalna. Za formalno predstavitev se uporabi logika prvega reda in koncepti ter relacije, definirane v prejšnjem procesu. Tako definirana formalna kompetenčna vprašanja se lahko neposredno uporabijo pri vrednotenju implementirane ontologije v obliki testov.
Proces specifikacije formalnifi aksiomov V tem procesu definiramo aksiome, ki specificirajo definicijo terminov v ontologiji in omejitve njihove interpretacije. Metodologija predpisuje uporabo logike prvega reda, tipični aksiomi so aksiomi generalizacije (je_podrazred), lahko pa podamo kakršne koli druge omejitve (npr. lete lahko rezervira podjetje samo za svoje zaposlene).
Proces specifikacije teoremov popolnosti
Ko so bila kompetenčna vprašanja formalno definirana, je treba definirati pogoje, pod katerimi so te
rešitve popolne. Te definicije služijo kot osnova za specifikacijo teoremov popolnosti.
6.3 Metodologija methontology
Metodologija methontology izvira iz standarda IEEE za razvoj procesov življenjskih ciklov programske opreme. Standard opisuje aktivnosti, ki jih je koristno izvajati pri razvoju življenjskih ciklov programske opreme (osnovne aktivnosti standarda so zajete v tabeli 1 v poglavju 7) (IEEE, 2006). Metodologija definira aktivnosti razvoja ontologij na podlagi navedene specifikacije. Metodologija methontology ne podaja strogega vrstnega izvajanja aktivnosti, vendar jih namesto tega združuje v skupine in dopušča njihovo vzporedno izvajanje.
Aktivnosti so združene v tri skupine: (i) uprav-Ijalske aktivnosti, (ii) razvojne aktivnosti in (iii) podporne aktivnosti. Upravljalske in podporne aktivnosti tečejo vzporedno z razvojnimi aktivnostmi - intraodvisnost. Življenjski cikel razvoja ontologij po tej metodologiji temelji na principu razvijajočih prototipov. To pomeni, da vsaka nova verzija dodaja ali odvzema termine oz. koncepte. Metodologija dopušča izvajanje aktivnosti razvoja ontologije sočasno z aktivnostmi razvoja druge ontologije, od katere je odvisen razvoj prve ontologije, t. i. interodvisnost. Avtorji kot primer ponujajo prepleten razvoj ontologij, pri čemer lahko ena skupina razvija ontologijo za neko domensko področje (npr. letalski poleti), ki jo
Planiranje
Upravljalske aktivnosti
Nadziranje
Zagotavljanje kakovosti
Razvojne aktivnosti
Konceptualizacija i
Formalizacija
I
Implementacija —»| Vzdrževanje

Podporne aktivnosti
	PririnhivanjR 7nanja	
________ -	Integracija	
- ------	Vrednotenje	-
--------- ___-—1_	Dokumentiranje	=C>
—	Upravljanje konfiguracij	
		
Slika 7: Procesi in aktivnosti metodologije methontology
uporabijo v ontologiji druge domene (npr. poslovna potovanja).
Proces razvoja ontologij in njegove aktivnosti so prikazane na sliki 7. Razvojni proces se začne s planiranjem - naredimo načrt izvajanja aktivnosti. Uprav-Ijalske aktivnosti vsebujeta dve aktivnosti, ki tečeta vzporedno z razvojem ontologije, to sta (i) nadziranje izvajanja načrtovanih aktivnosti ter (ii) preverjanje kakovosti produktov, ki so rezultat posamezne aktivnosti.
Razvojni proces predvideva linearno izvajanje aktivnosti, ki se ponavljajo z vsako iteracijo. Ni nujno, da se v vsaki iteraciji izvedejo vse aktivnosti, lahko se izvedejo samo tiste, ki so pomembne za posamezno iteracijo. Aktivnost specifikacije odgovarja na vprašanja, zakaj razvijamo ontologijo, kdo so njeni uporabniki, kakšna je predvidena uporaba ontologije (uporabijo se lahko kompetenčna vprašanja). Posebnost metodologije methontology je proces konceptu-alizacije.
Metodologija ne priporoča neposredne predstavitve v konkretnem formalizmu ali ontološkem jeziku, temveč vnaša t. i. vmesno predstavitev v obliki konceptualnega modela, ki naj bi olajšal težave pri napakah v konceptualni zasnovi in olajšal spremembe. Določene nejasnosti, ki se pojavljajo v konceptuahiem modelu, lahko odpravimo z opcijsko aktivnostjo formalizacije. Tako nastali formalni konceptualni model lahko v procesu implementacije preslikamo v konkretno ontologijo, ki je zapisana v enem od ontoloških jezikov.
6.4 Metodologija On-To-Knowledge
Metodologija On-To-Knowledge (OTKM) je nastala v okviru projekta On-To-Knowledge,^ katerega cilj je bil aplikacija ontologij k elektronsko dostopnim informacijam za izboljšanje kakovosti upravljanja znanja v velikih in distribuiranih organizacijah (Sure, Staab, & Studer, 2004). Metodologija je sestavljena iz petih glavnih korakov, ki so prikazani na sliki 8 in podrobneje opisani v nadaljevanju.
Aplikacija za
upravljanje
znanja
Identifikacija:
1.težav	in priložnosti
2.	osredotočenosti na upravljanje znanja
3.	On-To-Knowledge orodij
5.	Zajemanje specifikacije zahtev in ORSD
6.	Izdelava polformalnega opisa ontologije
7.	Preoblikovanje polformalnega opisa ontologije
8.	Formalizacija
v ciljno ontologijo
g. Izdelava prototipa
4. Ljudi
10.	Ovrednotenje osredotočeno na tehnologije
11.	Ovrednotenje osredotočeno na uporabnika
12.	Ovrednotenje osredotočeno na ontologijo
13.	Uporabitev ontologije
14.	Upravljanje evolucije in vzdrževanje
Slika 8: Procesi in aktivnosti metodologije On-To-Knowledge (prirejeno po Sure et al. (2004))
® www.ontoknowledge.org
Faza 1: Študija izvedljivosti
Metodologija On-To-Knowledge povzema študijo izvedljivosti po metodologiji CommonKADS, ki je bila narejena za sisteme za upravljanje z znanjem in se osredinja na celotno aplikacijo in ne samo na ontologijo. Služi kot osnova za proces zagona.
Faza 2: Zagon
V	fazi zagona se začne dejanski razvoj ontologije. Razvoj se začne z dokumentom specifikacije zahtev ontologije (ontology requirements specification document - ORSD). ORSD opisuje, kaj naj podpira ontologija, skicira predvideno aplikacijo ontologije, smernice razvoja, vire znanja in potencialne uporabnike. Pri specifikaciji lahko uporabimo tudi kompetenčna vprašanja. ORSD naj služi kot vodnik razvijalcu ontologije, kot pripomoček za identifikacijo konceptov, relacij ter hierarhične strukture.
Ta faza predvideva izdelavo polformalne ontologije v sodelovanju z domenskimi eksperti. Ko so zahteve zadovoljivo specificirane, metodologija dopušča prehod v naslednjo fazo. Zadovoljivo se smatra takrat, kadar ni več potrebe po dodatnem pridobivanju ali analiziranju znanja. Seveda lahko zmeraj v kakšni kasnejši fazi nastopi potreba po dodatnem pridobivanju znanja. Za takšne primere metodologija omogoča povratne zanke.
Faza 3: Preobliloivanje
V	fazi preoblikovanja formaliziramo polformalno ontologijo. Metodologija predvideva izgradnjo tak-sonomije. V kombinaciji s polformalno ontologijo lahko uporabimo tudi pristop generiranja ontologije, ki pospeši gradnjo. Ko je definirana taksonomija, metodologija predlaga dodajanje relacij k taksonomiji. V tej fazi se pogosto pojavi pojavijo odprta vprašanja, zaradi tega metodologija predvideva konzultacije z domenskimi eksperti.
Rezultat te faze je ciljna ontologija. Ključno vprašanje, ki se pojavlja v tej fazi je, ali ciljna ontologija izpolnjuje zahteve, ki so bile zajete v fazi zagona. Prva verzija ontologije služi za razvoj prototipa aplikacije, ki jo uporabimo za vrednotenje.
Faza 4: Vrednotenje
Faza vrednotenja se osredinja na vrednotenje aplikacije s treh vidikov: (i) tehnološkega, (ii) uporabniškega in (iii) z vidika ontologije. Ovrednotenje s tehnološkega vidika vsebuje vrednotenje lastnosti
generiranih ontologij (sintaksa, semantika) in vrednotenje tehnoloških lastnosti (npr. interoperabilnost, performanse, skalabilnost). Z uporabniškega vidika vrednotimo zadovoljstvo uporabnikov z aplikacijo za upravljanje z znanjem, medtem ko za vrednotenje z vidika ontologij uporabimo pristope vrednotenja ontologij.
Izhod iz te faze je ovrednotena ontologija. Glavno vprašanje ob koncu te faze je, ali razvita ontologija izpolnjuje vse kriterije, ki so relevantni za aplikacijo ontologije. Če je odgovor pritrdilen, lahko začnemo z namestitvijo ontologije v produkcijski sistem. Pogosto je treba opraviti več ciklov preoblikovanja in vrednotenja, da bi dosegli načrtovano stopnjo.
Faza 5: Aplil<acija in evolucija
Zadnja faza vsebuje aplikacijo ontologije v produkcijske sisteme. Evolucija v okviru OTKM je definirana kot organizacijski proces, ki vsebuje striktna pravila za procese posodabljanja, vstavljanja in brisanja ontologij. V okviru te faze je treba določiti, kdo je odgovoren za vzdrževanje, kako se izvaja ter v kakšnih časovnih intervalih.
Glavno odločitev te faze predstavlja vprašanje, kdaj začeti naslednji evolucijski cikel ontologije. Evolucijski cikel predstavlja novo različico ontologije.
6.3.1 Diligent
Metodologija DILIGENT se precej razlikuje od do sedaj opisanih pristopov. Metodologija ima naslednje posebnosti (Pinto, Tempich, & Staab, 2004):
■	Do sedaj opisani pristopi k sistemom znanja so se predvsem osredinjali na centraliziran razvoj ontologij. DILIGENT v nasprotju z obstoječimi pristopi uvaja porazdeljen razvoj ontologij, v katerega so lahko vključeni vsi deležniki ontologije (razvijalci, domenski eksperti, uporabniki).
■	Obstoječe metodologije se osredinjajo predvsem na kontrolne sezname, ki nadzorujejo razvojni proces. DILIGENT uvaja dinamičen model razvoja ontologij, t. i. argumentacijski razvoj ontologij (ARO), ki ne predvideva striktruh pravil, temveč določa ogrodje, na podlagi katerega poteka argumentacija doseganja konsenza in uvajanja sprememb pri gradnji ontologij.
■	Do sedaj opisane metodologije se v večini osredinjajo zgolj na začetni razvoj ontologij oz. sistemov znanja. Ko je ontologija razvita, doseže v večini modelov svojo zadnjo fazo. DILIGENT predstav-
Ija sklenjen življenjski cikel, v katerem ontologija nikdar ne preide v končno fazo, temveč predvideva stalno razvijajoče se ontologije. Izraz DILIGENT je akronim, ki karakterizira namen metodologije, in sicer: porazdeljeno, šibko nadzorovano in razvijajoče inženirstvo ontologij (angl. Distributed, Loosely-controlled and evolvInG Engineering of oNTologies). Metodologija je sestavljena
iz osnovnega procesa DILIGENT ter argumentadj-skega procesa. Prvi proces opisuje gradnjo ontologij po tej metodologiji, medtem ko se drugi osredinja na učinkovito argumentiranje pri procesu razvoja ontologije, kar poveča učinkovitost samega razvoja ontologij z boljšo komunikacijo in s tem boljše doseganje konsenza. Proces razvoja po metodologiji DILIGENT je prikazan na sliki 9.
Q
Uporabnik ontologije
Domenski eksi
@®
S®

Ontološki inženir
O

/
\
^ Inženir znanja
(D®

Uporabnik ontologije 1
Uporabnik ontologije n
yx
Uredniki
nadzornega odbora
Slika 9: Procesi razvoja po metodologiji DIUGENT (prirejeno po Pinto et al. (20041)
Osnovni proces razvoja ontologij sestavlja pet glavnih aktivnosti: (i) gradnja, (ii) lokalna prilagoditev, (iii) analiza, (iv) revizija in (v) lokalna posodobitev. Proces razvoja se začne tako, da domenski eksperti, uporabniki, inženirji znanja in ontološki inženirji zgradijo začetno ontologijo. Gradnja naj bi potekala v t. i. on-line načinu razvoja, v katerem imajo omenjeni deležniki ontologije na razpolago sodelovalna orodja za razvoj ontologije. Razvoj poteka po sodelovalnem principu razvoja, in sicer na podlagi vodene argumentacije, na katero se osredinja argu-mentacijski proces.
Ko je razvita prvotna različica ontologije, jo lahko uporabniki začnejo uporabljati in lokalno prilagajati glede na svoje potrebe. Tako lahko nastane več različic ontologije. Glavni odločitveni korak je, katere funkcionalnosti bo vsebovala naslednja osrednja oz. skupna različica. Uporabniki pošljejo svoje
predloge vključno z argumenti urednikom nadzornega odbora.
Nadzorni odbor spremlja razvoj skupne ontologije, prav tako preučuje argumente za spremembe in izvaja odločitve o naslednjih različicah skupne ontologije. Metodologija nalaga odboru redno revizijo skupne ontologije, ki zagotavlja, da se lokalne ontologije ne oddaljijo preveč od skupne verzije. Po izdaji nove verzije se pričakuje, da uporabniki posodobijo svoje lokalne ontologije tako, da so skladne s skupno različico, kar zagotavlja kompatibilnost in hkrati omogoča nadaljnjo evolucijo ontologije.
6.5 Metodologija NeOn
Metodologija NeOn nastaja v okviru projekta NeOn, ki ga financira Evropska skupnost v okviru 6. okvirnega programa (predvideni zaključek projekta je marec 2010). Cilj projekta je »... razvoj prve storit-
veno usmerjene, odprte infrastrukture in povezane metodologije za podporo razvoja življenjskih ciklov naslednje generacije semantičnih aplikacij ...«, pri čemer bodo »... aplikacije temeljile na omrežju kon-tekstno povezanih ontologij, ki izpostavljajo lokalno konsistentnost«.
V okviru projekta nastaja metodologija za razvoj ontologij. NeOn se ne osredinja na razvoj posameznih ontologij, temveč množice oz. omrežja medsebojno povezanih ontologij. Podobno kot DILIGENT se tudi NeOn oddaljuje od statičnih ontologij in zagovarja neprenehoma razvijajoče se ontologije na podlagi sodelovalnega razvoja.
Metodologija še ni povsem razvita, zaradi tega jo bomo po prvotni različici specifikacije, ki je izšla februarja 2008 (Suarez-Figueroa et al., 2008), ter po opisu aktualne definicije razvojnega procesa in življenjskega cikla omreženih ontologij v okviru metodologije NeOn (Suarez-Figueroa et al., 2007). Avtorji metodologije navajajo naslednje razloge za razvoj nove metodologije (Suarez-Figueroa et al., 2008):
■	Obstoječe metodologije ne obravnavajo smernic za razvoj ontologij s ponovno uporabo in reinže-nirstvom ontologij ter ponovno uporabo obstoječih virov znanja, ki je splošno sprejeto v neki domeni.
■	Metodologijam primanjkujejo smernice za kon-tekstualno povezavo obstoječih ontologij in njihovo vključevanje z obstoječimi ontologijami, ki so lahko v stalni evoluciji.
■	Obstoječe metodologije ne obravnavajo procesa razvoja ontologij z enakim pristopom in granu-larnostjo, kot to počno metodologije razvoja programske opreme.
Avtorji predvidevajo, da bodo semantične aplikacije prihodnosti vsebovale veliko število ontologij, ki so vgrajene v ontološka omrežja. Zaradi tega izpostavljajo tri glavne dimenzije projekta NeOn: (i) sodelovanje, (ii) kontekst in (i) dinamičnost. Če želimo doseči omrežje ontologij, je edini način sodelovalni pristop, ki omogoča distribuiran razvoj ontologij med heterogenimi in geografsko porazdeljenimi skupinami domenskih ekspertov, ontoloških inženirjev ter uporabnikov. Medtem ko se sodelovanja dotika DILIGENT, noben od dosedanjih pristopov ne obravnava zadovoljivo konteksta in dinamičnosti.
Osnovni koncepti v metodologiji so povzeti po že opisanih metodologijah (študija izvedljivosti, kompetenčna vprašanja, sodelovanje, argumentacija, vrednotenje). Metodologija gradi na obstoječih metodologijah, obstoječih metodah za pridobivanje znanja, na podlagi dobrih praks pri razvoju ontologij ter na preteklih izkušnjah pri razvoju ontologij v okviru različnih evropskih in nacionalnih projektov. Pri projektu sodeluje večina ključnih raziskovalnih institucij s področja semantičnega spleta in ontološkega inženirstva (med drugimi tudi Inštitut Jožef Stefan).
V okviru projekta nastaja tudi orodje, ki bo omogočalo hiter razvoj ontologij po metodologiji NeOn. To je novost glede na obstoječe pristope, saj nobeden od dosedanjih pristopov ni bil neposredno podprt s prirejenim razvojnim orodjem oz. okoljem. Velika šibkost projekta NeOn je velika količina in nepreglednost dokumentacije. Rezultati in koncepti projekta so porazdeljeni po večtisočstranski množici dokumentov brez dokumenta, ki bi povzemal rezultate projekta in omogočal hiter vstop.
7 PRIMERJAVA PRISTOPOV
Če primerjamo različne pristope, opazimo določen linearen trend, kako so novi pristopi povzemali od obstoječih. Na podlagi analize pristopov smo jih uvrstili v tri skupine: (i) začetne metodologije, (ii) metodologije intenzivnega raziskovanja in (iii) zrele metodologije. Začetne metodologije so se osredi-njale predvsem na problematiko predstavitve znanja in temeljijo pretežno na izkušnjah pri gradnji sistemov znanja. Pri teh metodologijah je večji poudarek na razvoju izoliranih sistemov, ki temeljijo na znanju .
Metodologije intenzivnega raziskovanja izhajajo iz izkušenj začetnih metodologij ter spoznanj iz vse bolj aktivnega raziskovanja na področju ontologij. Ta vrsta metodologij se predvsem osredinja na razvoj velikih ontologij iz nič. Pristopi v tem obdobju podrobneje naslavljajo aktivnosti upravljanja razvoja ontologij. Zrele metodologije za razvoj ontologij naslavljajo razvoj med seboj povezanih ontologij (omrežene ontologije), poudarjajo sodelovalni pristop razvoja ter izpostavljajo dinamično komponento ontologij (evolucija).
Slika 10 prikazuje umestitev opisanih pristopov v predstavljene kategorije. Za vsak pristop je izpostavljena pomembna tehnika, ki jo je uvedel pristop
■ IEEE standard za razvoj življenjskih ciklov programske opreme '* ORSD - dokument specifikacije zahtev ontologij
Slika 10: Kategorizacija pristopov k razvoju ontologij
in ki je imela vpliv pri razvoju naslednjih pristopov. Puščice med pristopi ponazarjajo povzemanje tehnik. Iz slike lahko razberemo, da je metodologija NeOn edina zrela metodologija in da glede na povzete tehnike predstavlja dejansko fuzijo dosedanjih pristopov k razvoju ontologij. Ob tem je treba dodati, da metodologija NeOn še ni dokončana. Uporaba vseh tehnik tako še ni natančno specificirana, je pa predvidena.
V tabeli 1 je prikazana primerjava metodologij glede na standard za razvoj procesov življenjskih ciklov programske opreme IEEE (IEEE, 2006). Stolpec v tabeli, ki je označen z 'lastnost', predstavlja aktivnosti, ki jih predpisuje specifikacija. Za vsako aktivnost vsake metodologije je določeno, ali metodologija predlaga aktivnost, jo opisuje, natančno določa ali sploh ne obravnava. Iz tabele je razvidno, da so začetne metodologije precej šibke na področju upravljalskih in podpornih aktivnosti. Metodologije intenzivnega raziskovanja z izjemo metodologije DILIGENT naslavljajo osrednje aktivnosti, vendar jih preveč pogosto samo predpisujejo in premalo podrobno opisujejo. Primerjava je dodelana in prirejena po Gomez-Perez et al. (2004).
Na podlagi tabele 1 je mogoče ugotoviti, da metodologije Methontology, On-To-Knowledge in NeOn bistveno bolj celovito obravnavajo razvoj ontologij kot druge tehnike. Glede na lastnosti bi bila najbolj priporočljiva uporaba metodologije NeOn. Zaradi še nezaključenega projekta in preveč obsežne ter razpršene dokumentacije bi bilo za realne projekte trenutno vredno izbrati Methontology ah On-To-Knowledge ter jo kombinirati z določenimi spoznanji projekta NeOn. Komponente NeOn, ki bi jih bilo vredno vključiti, so ponovna uporaba ter dokumenti specifikacije zahtev ontologij, kot jih definira NeOn.
Preglednica 2 podaja primerjavo metodologij s stališča metodologije NeOn (Suarez-Figueroa et al., 2008). Kot je iz preglednice razvidno, nobena od obstoječih metodologij z izjemo DILIGENT metodologije ne naslavlja aspektov, ki jih naslavlja prvotna verzija metodologije NeOn. DILIGENT sicer zelo obširno naslavlja sodelovanje, vendar je tako rekoč to tudi edino področje, ki ga podrobno opredeljuje ta metodologija. V preglednico niso vključene druge metodologije, ker nobena od njih ne naslavlja izpostavljenih aspektov.
Tabela 1: Primerjava metodologij po specifikaciji razvoja tivljeojskili cililov programsiie opreme IEEE'
Lastnost	Uschold &King	Grüninger & Fox	Methontoiogy	On-To-Knowledge	Diligent	NeOn
> Planiranje	BO	BO	Predlaga	Opisano	BO	Opisano
.S. Š Nadzor	BO	BO	Predlaga	Opisano	Opisano	Zahteva
Zagotovitev kakovosti	BO	BO	Predlaga	Opisano	Opisano	Zahteva
? štodlja okolja S i-	BO	80	BÜ	Predlaga	BO	Zahteva
« i študija izvedljiv.	BO	BO	BO	Opisano	BO	Zahteva
^ ^ Specifikacija	Predlaga	Podrobno opisano	Podrobno opisano	Podrobno opisano	BO	Podrobno opisano
Konceptualizacija	BO	Podrobno opisano	Podrobno opisano	Predlaga	BO	Zahteva
§ i Formalizacija	BO	Podrobno opisano	Opisano	Opisano	Predlaga	Zahteva
Implementacija	Predlaga	Podrobno opisano	Podrobno opisano	Opisano	Opisano	Zahteva
5 Vzdrževanje 3 ^	BO	BO	Predlaga	Predlaga	Predlaga	Zahteva
™ .s. Uporaba	BO	BO	BO	Predlaga	BO	BO
^ Pridobivanje znanja	Predlaga	Predlaga	Podrobno opisano	Opisano	BO	Delno opisano
.§- Vrednotenje	Predlaga	Podrobno opisano	Podrobno opisano	Predlaga	Predlaga	Zahteva
S Integracija	Predlaga	Predlaga	Predlaga	Predlaga	BO	Podrobno opisano
^ Upravljanje konfiguracije	BO	BO	Opisano	Predlaga	Predlaga	Zahteva
1 Dokumentiranje	Predlaga	Predlaga	Podrobno opisano	Opisano	Predlaga	Zahteva
Spajanja in razvrščanje	BO	BO	BO	BO	BO	Opisano
						
Lastnost	Methontology		On-To-Knowledge	Diligent	NeOn (ver. 1)	
		Dime	inzije NeOn			
Sodelovanje	Ni obravnavano		Ni obravnavano	Obravnavano	Zgolj omenjeno	
Kontekst	Ni obravnavano		Ni obravnavano	Ni obravnavano	Ni obravnavano	
Dinamičnost	Zgolj omenjeno		Zgolj omenjeno	Zgolj omenjeno	Ni obravnavano	
Podrobne smernice procesov in aktivnosti						
Specifikacija	Predlagana zgolj kompetenčna vpr		Predlagana zgolj kompetenčna vpr	Ne predvideva te aktivnosti	Podrobno podano	
Ponovna uporaba neontoloških virov	Ni omenjeno		Ni omenjeno	Ni omenjeno	Podano	
Reinženirstvo neontoloških virov	Ni omenjeno		Ni omenjeno	Ni omenjeno	Podano v preliminarni obliki	
Ponovna uporaba ontologij	Podan zgolj seznam aktivnosti		Podano zgolj priporočilo	Ni omenjeno	Podano	
Ponovna uporaba načrtovalskih vzorcev	Ni omenjeno		Ni omenjeno	Ni omenjeno	Podano v preliminarni obliki	
Ciljne skupine						
Ciljna skupina	Ontološki inženirji in raziskovalci		Ni ciljana na ontološke inženirje in raziskovalce	Domenski eksperti Ontološki Inženirji in uporabniki in raziskovalci		
BO - Brez obravnave.
8	SKLEP
Razvoj ontologij je zahtevno opravilo, ki ne zahteva samo domenskega znanja, temveč tudi znanje o formalni predstavitvi znanja, poznavanje ontoloških jezikov, znanje o upravljanju razvojnega procesa ter ne nazadnje znanje o sodelovanju med ljudmi (za razvoj ontologij je treba doseči konsenz). Da bi lahko obvladovali to kompleksnost, je modro uporabiti metodologije za razvoj ontologij, ki usmerjajo razvojni proces in nas tako hitreje pripeljejo na cilj, razvite ontologije pa so bolj kakovostne.
Na podlagi spremembe metodologij in aktivnosti na področju inženirstva ontologij je mogoče zaznati trend, da se ontologije pomikajo iz večjih izoliranih ontologij v množico manjših med seboj povezanih ontologij, ki se nenehno razvijajo. Sodobni pristopi uvajajo sodelovalni princip, po katerem člani razvojne skupine na različnih lokacijah skupno razvijajo ontologijo. Te spremembe vnašajo še večjo pomembnost sistematiziranega pristopa k razvoju ontologij.
Trenutno ne obstaja celovita metodologija, ki bi naslavljala ključne aspekte razvoja ontologij. Slednje se odraža tudi v nizki stopnji uporabe metodologij pri razvoju ontologij. Najboljši približek je metodologija NeOn, ki vse te aspekte naslavlja le delno. Žal je še zmeraj v razvojnem obdobju. Po drugi strani pa metodologija NeOn že sedaj vsebuje precej kaotično in obsežno zbirko informacij. Metodologiji, ki najbolje naslavljata omenjene kriterije in se nahajata v končni različici, sta On-To-Knov^^ledge in methonto-logy. Omenjeni metodologiji trenutno najbolj celovito in pregledno naslavljata celotni razvojni cikel ontologij.
9	LITERATURA
[1]	Bizer, C. R., Christian. (2006). D2R Server-publishing relational databases on the Semantic Web (poster). In 5tli International Semantic Web Conference.
[2]	Borst, W. N. (1997). Constmction of engineering ontologies. Unpublished doctoral dissertation. University of Twente.
[3]	Cardoso, J. (2007). The semantic web vision: Where are we? Intelligent Systenfis, IEEE, 22 (5), 84-88.
[4]	Corcho, O., Fernändez-Löpez, M., & Gömez-Perez, A. (2003). Methodologies, tools and languages for building ontologies, where is their meeting point? Data & Knowledge Engineering, 46 (1). 41-64.
[5]	Davis, R., Shrobe, H., & Szolovits, P. (1993). What is a knowledge representation? A\ Magazine, 14 (1), 17-33.
[6]	Farquhar, A., Fikes, R.. & Rice, J. (1996). The ontolingua server: a tool for collaborative ontology construction. In International journal of human-computer studies.
[7]	Genesereth, M. R., & Fikes, R. E. (1992). Knowledge interchange format, version 3.0. reference manual. (Tech. Rep.). Stanford University.
[8]	Gömez-Perez, A., Corcho, O., & Fernendez-Lopez, M. (2004). Ontologicalengineering:withexamplesfromtheareasof knowledge management, e-commerce and the semantic web. First edition (advanced information and knowledge processing). Springer.
[9]	Grimm, S., Hitzler, R, & Abecker, A. (2007). Semantic Web Services: Concepts, technologies, and applications. In R. Studer, S. Grimm, & A. Abecker (Eds.), (p. 51-105). Springer-Verlag New York, Inc.
[10]	Gruber, T. R. (1993). A translation approach to portable ontology specifications. Knowledge Acquisition, 5,199-220.
[11]	IEEE (2006). IEEE standard for developing a software project life cycle process. (2006). IEEE Std 1074-2006 (Revision of IEEE Std 1074-1997), 1-104.
[12]	Lassila, O., & McGuinness, D. L. (2001). The role of frame-based representation on the semantic web (Tech. Rep. No. KSL-01-02). Stanford: Stanford University.
[13]	Manola, F, & Miller, E. (Eds.). (2004). RDF Primer World Wide Web Consortium.
[14]	McGuiness, D. L. (2004). OWL Web Ontology Language. W3C Recommendation.
[15]	Nierlich, A. (2007). Kuka roboter gmbh rolls out the advanced version of kuka.expert plus to customer service employees woridwide.
http://www.ontoprise.de/en/home/news/news-en/kuka/.
[16]	Object Management Group (2005). Ontology definition meta-model, third revised submission to OMG/rfp ad/2003-03-40. www.omg.org/docs/ad/05-08-01 .pdf.
[17]	Pinto, H. S., Tempich, C., & Staab, S. (2004). Diligent: Towards a fine-grained methodology for distributed, loosely-controlled and evolving engingeering of ontologies. In R. L. de Mantaras & L. Saitta (Eds.), Proceedings of the 16th European Conference on Artificial Intelligence (ECAI 2004), pp. 393-397. Valencia, Spain: lOS Press.
[18]	Studer, R., Benjamins, R., & Fensel, D. (1998). Knowledge engineering: Principles and methods. Data & Knowledge Engineering, 25 (1-2), 161-198.
[19]	Suarez-Flgueroa, M. del C., Cea, G. A. de. Bull, C., Caraccio-lo, C., Dzbor, M., Gömez-Perez, A., et al. (2007). D5.3.1 NeON development process and ontology life cycle (NeOn Project Deliverable No. D5.3.1). Unlversldad Politecnica de Madrid.
[20]	Suarez-Flgueroa, M. del C., Cea, G. A. de. Bull, C., Dellschaft, K., Fernändez-Löpez, M., Garcia, A., et al. (2008). D5.4.1. NeON methodology for building contextualized ontology networks (NeOn Project Deliverable No. D5.4.1). Unlversldad Politecnica de Madrid.
[21]	Sure, Y., Staab, S., & Studer, R. (2004). On-to-knowledge methodology (OTK). In S. Staab & R. Studer (Eds.), Handbook on ontologies (p. 117-132). Springer.
[22]	Syldatke, T, Chen, W., Angele, J., Nierlich, A., & Ullrich, M. (2007). How ontologies and rules help to advance automobile development. In Advances in Rule Interchange and Applications (Vol. 4824/2007, pp. 1-6). Springer Berlin / Heidelberg.
[23]	Söderström, E., Andersson, B., Johannesson, P., Perjons, E., & Wangler, B. (2002). Towards a framework for comparing process modelling languages. In Advanced Information systems engineering (Vol. 2348/2002, pp. 600-611). Springer Berlin / Heidelberg.
[24]	Tran, T., Lewen, H., & Haase, P (2007). On the role and application of ontologies in information systems. In 5th IEEE International Conference on Research, Innovation and Vision for the Future (p. 14-21).
Boštjan Grašič je diplomiral leta 2006 na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Je študent doktorskega študijskega programa na omenjeni fakulteti in hkrati študent na znanstvenem magistrskem programu na Ekonomsko-poslovni fakulteti Univerze v Mariboru. Zaposlen je kot mladi raziskovalec na Fakulteti za elektrotehnika, računalništvo In informatiko. Njegovo raziskovalno področje obsegajo semantični splet in semantične
tehnologije, semantične spletne storitve ter razvoj naprednih inteligentnih sistemov. Je avtor več znanstvenih prispevkov na domačih In tujih konferencah.
■
Vili Podgorelec je izredni profesor s področja informatike na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru, kjer predava na programih računalništvo in informatika, informatika in tehnologije komuniciranja, medijske komunikacije in bioinformatika. Raziskovalno se ukvarja predvsem s področji inteligentnih sistemov, Inovativnih informacijskih rešitev, semantičnih tehnologij in teorije kompleksnosti, ki jih aplicira predvsem v programskem inženirstvu in medicinski informatiki. Je avtor mnogih člankov z omenjenih raziskovalnih področij v uglednih mednarodnih revijah, vabljeni predavatelj na več konferencah ter predsednik oz. član programskih odborov in soorganizator nekaj mednarodnih znanstvenih konferenc. Sodeloval je v več domačih in mednarodnih znanstvenoraziskovalnih projektih ter v aplikativnih projektih za industrijo.
■
Marjan Heričko je redni profesor in vodja laboratorija za informacijske sisteme na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Njegovo raziskovalno-razvojno delo obsega vse vidike razvoja informacijskih rešitev in storitev s poudarkom na metodologijah razvoja, ponovni uporabi, metrikah, upravljanju znanja, storitvenem inženirstvu in storitveni znanosti. Je strokovni koordinator slovenske tehnološke platforme za programsko opremo in storitve (NESSI Slovenija], predsednik konference OTS Sodobne tehnologije in storitve ter mednarodne konference CSS Collaboration, Software and Services in Information Society, vodja in koordinator mnogih domačih in mednarodnih projektov.
STROKOVNI PRISPEVKI
B Vloga in položaj službe za informatiko v novem tisočletju
Franc Brcar
REVOZ, d. d., Belokranjska 4, 8000 Novo mesto franc.brcar@renault.com
Silvo Lah
Novoles, d. d., Na žago 6, 8351 Straža silvo.lah@novoles.si
Izvleček
Tradicionalni pogled na informacijsko tehnologijo ni več ustrezen glede na zahteve trga. Podatkovno usmerjenost mora podjetje nadomestiti s procesno usmerjenostjo. Pomembna je zaveza k stalni rasti in k zadovoljevanju potreb kupcev. Z zniževanjem cen je informacijska tehnologija postala dosegljiva vsem in ne predstavlja več konkurenčnih prednosti podjetju. Informacijska tehnologija postane blago in nujen strošek poslovanja. S tem se vloga in položaj informatike v poslovanju bistveno spremeni. Informacijska tehnologija ni več strateški dejavnik poslovanja. Procesi postanejo osnova strategiji. Čedalje večjo vlogo dobiva menedžment poslovnih procesov, ki edini lahko dolgoročno zagotavlja uspešno poslovanje. Podjetje mora za dosego svojih ciljev izrabiti tudi možnosti, ki jih ponuja zunanje izvajanje poslovnih procesov.
Ključne besede: informatika, informacijska tehnologija, menedžment poslovnih procesov, celovite programske rešitve, zunanje izvajanje poslovnih procesov.
Abstract
THE ROLE AND POSITION OF INFORMATICS IN THE NEW MILLENNIUM
The traditional view of information technology does not meet the requirements of market any more. In enterprises data orientation must be replaced by process orientation. The obligation of permanent growth and of keeping the customers satisfied and their needs fulfilled is important for each enterprise. With lower prices information technology grew attainable to everybody and does not mean a competitive advantage of an enterprise any more. Information technology became a merchandize and an inevitable cost of operation. Thus, the role and position of the informatics In the business operation has changed essentially. The information technology is no more a strategic factor of business operation. The processes become the basis of strategy. The business process management becomes more and more important and it alone can ensure successful business operation on a long-term basis. To attain its goals the enterprise must also take advantage of business process outsourcing. Keywords: informatics, information technology, business process management, enterprise resource planning, business process outsourcing.
1 UVOD	Postavimo hipotezo, da se je položaj informatike
S prihodom nowega tisočletja so se pojauili nekateri duomi o	oz. službe za informatiko v zadnjih letih bistveno usemogočnosti informacijske tehnologije Uafarmation Tech- spremenil in da nima več strateške vloge v podjet-
flo/ogy, IT). Najbolje je ta razmišljanja opisal Carr (2003;	ju. V članku bomo razložili in dokazali navedeno
20041, ki trdi, da informacijska tehnologija ni tako pomemh-	hipotezo. Namen članka je spodbuditi razmišljanja
na, kot trdijo nekateri. Je nujno potrebna za konkurenčnost,	o vlogi in položaju informatike. Samo pravilno ume-
ne nudi pa sama po sebi konkurenčne prednosti. Nekatera	ščena v poslovanje je lahko učinkovita in uspešna,
podjetja so si na začetku razvoja informacijske tehnologije	V nasprotnem primeru ima podjetje z informatiko
zagotovila konkurenčno prednost. To je uspelo podjetjem, ki	previsoke stroške. O vlogi informatike obstaja precej
so pokazala nadpovprečno stopnjo inovativnosti in ki so znala	strokovne Uterature, kar dokazuje, da je raziskovanje
izkoristiti moč nove tehnologije pred konkurenti. Ta podjetja	na tem področju dinamično. Mnenja so zelo različna,
je konkurenca praviloma hitro dohitela in nekatera tudi pre-	pogosto diametralno nasprotna. Ugotovitve, zbrane
hitela. Oanes je informacijska tehnologija dosegljiva skoraj	v članku, so rezultat opazovanj in analiz razvoja in
vsem po sprejemljivih cenah. Zaradi tega mora podjetje svojo	stanja informatike v nekaj večjih slovenskih podjet-
konkurenčno prednost razvijati v osnovni dejavnosti, to je v	jih. Cilj raziskovanj na to temo mora biti optimalna
razvoju in inovativnosti osnovnih poslovnih procesov.	organiziranost informatike.
V drugem razdelku opišemo razvoj in vlogo informatike do konca drugega tisočletja. V tem obdobju so imela podjetja lastniško opremo, ki je lahko zagotavljala konkurenčno prednost. Značilna je bila podatkovna usmerjenost in zadovoljevanje uporabniških potreb. V tretjem razdelku nakažemo, kakšna je vloga informatike danes in kakšna bo v prihodnje. Ugotavljamo, da je informacijska tehnologija nujno potrebno orodje za delo, ki omogoča konkurenčnost, ne omogoča pa konkurenčnih prednosti. Za današnji čas je značilna procesna usmerjenost in orientiranost h kupcu. Na koncu podamo sklepno misel.
2 Vloga informatike v prvih petdesetih letih
Razvoj informacijske tehnologije se je začel po letu 1950. Do začetka novega tisočletja je sledil izredno hiter razvoj. Do danes ni še nobeni novi tehnologiji uspel tako hiter napredek v tako kratkem časovnem obdobju. To obdobje lahko poimenujemo prvih petdeset let informacijske tehnologije, ki se je končalo s prihodom novega tisočletja in z gospodarskim zlomom »dot.com«. Ta kriza je povzročila propad mnogih tehnoloških podjetij in splošno gospodarsko krizo. Okrevanju je sledilo novo obdobje, ki ga lahko poimenujemo naslednjih petdeset let ali drugih petdeset let razvoja informacijske tehnologije. Če za prvih petdeset let trdimo, da je šlo za pretirano evforijo okoli informacijske tehnologije, lahko upravičeno pričakujemo v naslednjih petdesetih letih višjo stopnjo zrelosti razvoja. To bo pomenilo nižji tempo sprememb, a zato višjo stopnjo optimizacije in racionalizacije.
Za prvih petdeset let so značilne tri etape. V prvi etapi so podjetja začela uporabljati vehke centralne računalnike, ki so omogočili avtomatizacijo ročnega dela. Praviloma so imela podjetja organizirane službe za informatiko, tako da so sama razvijala s programskimi orodji aplikativne rešitve. V drugi etapi, v osemdesetih letih, je prišlo do množične uporabe osebnih računalnikov. Osebni računalniki so informacijsko tehnologijo približali uporabnikom s svojimi pozitivnimi in negativnimi posledicami. Kot pozitivno posledico lahko štejemo popularizacijo uporabe pisarniških orodij, kot negativno posledico pa težavno upravljanje in nadzor. V zadnji, tretji etapi v devetdesetih letih je prišlo do množične uporabe medmrežja (internet). Spremembe so se pokazale v intenzivnejšem sodelovanju med poslovnimi partnerji in pojavile so se povsem nove oblike poslovanja, kot je npr. elektronsko trgovanje (e-commerce).
V prvih petdesetih letih je bil najvišji menedž-ment naklonjen uvajanju in uporabi informacijske tehnologije. Splošno prepričanje je bilo in je še danes, da informacijska tehnologija pozitivno vpliva na poslovanje podjetja in na njegovo produktivnost. Podjetja so informatizirala poslovanje, uvajala nove informacijske sisteme in vzdrževala obstoječe. Investicije v strojno in programsko opremo so bile visoke. Lep primer je razvoj in menjavanje različic operacijskega sistema Windows in posledično sinhrono nadgrajevanje procesnih enot ter s tem povezani stroški. Klasično organizirane službe za informatiko imajo visok strošek dela, saj je potrebna zastopanost vseh poklicev. Zaradi vse bolj turbulentnega in tekmovalnega tržnega okolja se je pojavil pritisk na stroške, povezane z informatiko. Čedalje pogosteje se najvišji menedžment sprašuje, ali so tako visoki stroški res potrebni in aU pridobitve opravičujejo stroške. Spremembo v miselnosti najvišjega menedžmenta so povzročila tudi razočaranja v preteklosti zaradi nerealnih pričakovanj ob informatizaciji poslovanja in sanü uporabi informacijske tehnologije.
2.1 Podatkovna usmerjenost
Večina podjetij ima informatiko. Imena so različna: avtomatska obdelava podatkov (AOP), ekonomsko-račimski center (ERC), informacijski center (IC), informatika in organizacija (lO), informacijska tehnologija (IT) ali služba za informatiko. Vsa ta poimenovanja kažejo na podatkovno usmerjenost informatike. Podatki oz. informacije so v središču dogajanja. Osnovna funkcija informatike je vnos, prikaz, hramba, obdelava in prenos podatkov. Za podatkovno usmerjenost je značilno, da procesi nimajo ustrezne vloge oz. da med procesi in podatki ni ustrezne povezanosti. Ta povezanost sicer obstaja prek statičnih podatkovnih modelov, kar pa se v današnjih časih kaže za premalo fleksibilno.
Programski paketi imajo svoje omejitve. Programske rešitve, zgrajene na podlagi podatkovnih modelov, so približek dejanskega stanja. Težave nastopijo ob spremembi procesa, saj pogosto programske rešitve ne morejo slediti temu. Podatkovni modeli in podatkovne strukture so relativno statični, zato navadno sledi paradoks prilagajanja procesov programskim rešitvam. Pogosto zaradi aplikativnih omejitev sploh ne moremo izvesti sprememb procesov.
Tradicionalna vloga informatike v podjetju je izpolnjevanje uporabniških potreb in je usmerjena k
uporabniku. Vsako podjetje ima v organizacijski strukturi vse glavne poslovne funkcije in podporne aktivnosti. Informatika dobiva zahteve od vseh poslovnih funkcij in od vseh podpornih aktivnosti. Iz tega sledi, da je spekter zahtev zelo širok in da morajo informatiki imeti širok razpon znanja. Izkaže se, da tega znanja ni nikoH dovolj in da imajo zaradi tega informatiki in uporabniki obilo težav. Znano je tudi, da imajo uporabniki neskončno mnogo želja. Vse naštete probleme lepo opiše Kovačič (1992, str. 113) v ugotovitvi, da uporabniki pogosto od informatike zahtevajo nekaj, dobijo nekaj drugega in potrebujejo povsem nekaj tretjega. Orientiranost h kupcu in povečevanje vrednosti za kupca bo moralo postati eno od temeljnih vodil podjetja in informatike.
2.2 Konkurenčne prednosti
Za podjetja v prvih petdesetih letih razvoja informacijske tehnologije je značilna lastniška informacijska infrastruktura, to je centralni računalnik z operacijskim sistemom, bazo podatkov in celovito programsko rešitvijo (Enterprise Resource Planning, ERP). Informatika ima strokovnjake za celotno strojno in programsko podporo, tako da so intervencije zunanjih izvajalcev redke. Če je podjetje samo razvijalo celovito programsko rešitev po posameznih poslovnih funkcijah, je pogosto nastajal problem podvajanja podatkov in problem povezljivosti. Ta problem odpravljajo programski vmesniki {Enterprise Application Integration, EAI), a je cena nabave, izdelave in eksplo-atacije visoka. Znotraj celovitih programskih rešitev je povezljivost zagotovljena, problemi pa se pojavijo pri povezljivosti navzven.
Prenova poslovnih procesov in informatizacija poslovanja je dolgotrajen in zelo zahteven projekt, ki traja več kot eno leto. Angažirana je celotna informatika in še precejšnje število zaposlenih iz drugih služb. Prenovo poslovnih procesov lahko izvedemo brez prenove informacijske tehnologije, če procesi niso informatizirani ali če informatizacija ni potrebna. Pogosteje izvedemo prenovo poslovnih procesov in informatizacijo poslovanja. Poudariti je treba, da je prenova poslovnih procesov nujno potrebna pred informatizacijo poslovanja, sicer bodo rezultati nezadovoljivi. Če prenova poslovnih procesov ni temeljita, ugotovimo nekompatibilnost med celovito programsko rešitvijo in procesi. V tem primeru imamo dve možnosti. Da dobavitelj prilagodi celovito programsko rešitev našemu procesu, kar je pogo-
sto predrago ali neizvedljivo, ali pa da spremenimo proces, kar ni niti poceni niti preprosto. Pogosteje se odločimo za drugo možnost. Ta pristop je daleč od sistematične prenove poslovnih procesov. Žabjek, Kovačič in Indihar - Štemberger (2008) navajajo, da tudi do 90 odstotkov informacijskih projektov uvajanja celovitih programskih rešitev ni uspešnih po kriterijih stroškov, rokov in kakovosti. Kako izboljšati to stanje, je že dolgo odprto vprašanje. Avison in Fitzgerald (2006) navajata kar 29 tehnik in 21 metodologij gradnje informacijskih sistemov. Očitno uporaba vseh teh tehnik in metodologij ne zagotavlja izboljšanja stanja. Vzroke moramo iskati v nezadostni pripravi informacijskih projektov, v nezadostnem strokovnem znanju in v pomanjkljivem projektnem menedžmentu.
Za tradicionalno organizirana podjetja je značilna šibka povezanost med procesi in informatiko. Posledica tega je, da informatiki dobro poznajo programerska orodja, ne poznajo pa procesov. Ko se pojavi potreba po informatizaciji procesa, informatik zahteva od uporabnika detajlni opis. Informatik brez stalnega sodelovanja uporabnika sploh ni sposoben informatizirati procesa. Pri takem načinu dela je velika možnost nesporazumov. Do tega ne bi prihajalo, če bi informatiki bolje poznali poslovne procese. Še bolj zapletena zadeva je v primeru uvajanja celovite programske rešitve. Tradicionalno so nosilci teh projektov informatiki z nezadostnim znanjem poslovnih procesov. Nekaj upanja na boljše čase obeta procesna usmerjenost podjetja in menedžment poslovnih procesov (Business Process Management, BPM). Jeston in Nelis definirata menedžment poslovnih procesov kot najvišjo stopnjo združitve procesov, kakovosti in avtomatizacije (2008b, str. 278).
3 ULOGA INFORMATIKE V NASLEDNJIH PETDESETIH LETIH
Podjetja se nahajajo v hiperkonkurenčnem tržnem okolju. Če žeUjo obstati na trgu, morajo stalno skrb posvečati stroškom, rokom in kakovosti. Tem pogojem so se morali prilagoditi tudi proizvajalci strojne in programske računalniške opreme. Na eni strani se zmogljivost strojne in programske opreme povečuje, na drugi strani pa se cene stalno znižujejo. Zaradi tega je informacijska tehnologija postala dosegljiva skoraj vsem. Vprašanje je, aU lahko informacijsko tehnologijo že označimo za blago široke potrošnje. Za vsako tehnologijo lahko definiramo življenjski ci-
klus. V začetku je nova tehnologija draga, nestabilna in polna pomanjkljivosti. V tem obdobju je dostopna le nekaterim. Sledi obdobje zrelosti. Cene se znižajo, kakovost in zanesljivost delovanja se povečajo. Tehnologija postane dostopna vsem, torej postane blago. Zadnje obdobje je obdobje zatona. Če se pojavi nova tehnologija, ki uspešno nadomesti staro, stara izgine iz prizorišča. Vse to velja tudi za informacijsko tehnologijo, vprašanje je le, v kateri fazi se trenutno nahaja. Podjetja z jasno vizijo, ki znajo predvideti dogajanja v prihodnosti, lahko prihod nove tehnologije izkoristijo sebi v prid. Če podjetje uspe novo tehnologijo zadržati zase, pomeni to konkurenčno prednost. Seveda si mora podjetje prizadevati, da to prednost ohrani čim dlje. Poleg tega se mora podjetje zavedati, da bo pod velikim pritiskom posnemovalcev, tj. konkurentov, ki tudi želijo uporabljati novo tehnologijo. Podjetja, ki so prva na določenem področju, imenujemo pionirji. Na pionirje preži mnogo nevarnosti. Ker je nova tehnologija draga in nestabilna, ima podjetje z uporabo velike stroške. Lahko se pokaže, da nova tehnologija ni perspektivna, ali pa se pojavi še novejša tehnologija, ki jo izkoristijo konkurenti. Tako stanje lahko povzroči propad podjetja. Tudi če si podjetje ustvari konkurenčno prednost, mora to prednost zadržati dovolj dolgo, da se povrne vloženi denar. Posnemovalci vedno usvojijo novo tehnologijo in to ob nižjih stroških od pionirjev. Tehnologijo, do katere ima podjetje ekskluzivno pravico, imenujemo lastniška tehnologija. Ko pa je dostopna vsem, jo imenujemo infrastrukturna tehnologija. Informacijska tehnologija ima lastnosti infrastrukturne tehnologije. Je blago, dostopna je skoraj vsem, stopnja zrelosti in stopnja standardizacije sta visoki in uveljavljena je uporaba najboljše prakse (best practice). Posledica tega je, da lastništvo nad določeno strojno ah programsko opremo ne zagotavlja konkurenčnih prednosti (Carr, 2003). Podjetje se mora razlikovati od konkurentov. Imeti mora najboljši, najcenejši ali drugačen izdelek, tako da s tem pritegne kupce. Smith in Fingar (2003b, str. 99) tudi zaključujeta, da za uspeh ni pomembna tehnologija, pomembni so poslovni procesi. Porter (1998, str. XV) ugotavlja, da aktivnosti (procesi) povzročajo stroške za podjetje in dodano vrednost za kupca ter da so glavni dejavniki konkurenčnih oz. tekmovalnih prednosti.
Informacijska tehnologija je že dosegla visoko stopnjo zrelosti. Napredek na področju strojne opreme je neverjeten tako na področju zmogljivosti pro-
cesorjev, kapacitete diskov, zmogljivosti prenosa podatkov mrežnih komponent in vse ostale opreme. Še posebno je treba poudariti zanesljivost delovanja strojne opreme. Podobno stanje je na področju programske opreme. Zmogljivost in zanesljivost delovanja programske opreme je na bistveno višji ravni kot v preteklosti. Posledica tega je, da imajo mnoga podjetja slabo izkoriščene strojne in programske zmogljivosti. Izkoriščenost procesnih enot na osebnih računalnikih je nizka. Po nekaterih ocenah kar 70 odstotkov vsebin na diskih v okolju PC nima nobene povezave z dejavnostjo podjetja (Carr, 2003, str. 49). Gre za razvedrilne vsebine. Najvišji menedžment mora začeti razmišljati, kako bolje izkoristiti vse te zmogljivosti. Ena od možnosti je daljše časovno obdobje uporabe strojne in programske opreme. Stroške lahko znižamo tudi z ukirütvijo nakupa priznanih znamk strojne opreme. Na področju programske opreme lahko uporabljamo LINUX, OpenOffice in MySQL, torej opremo, ki je brezplačna. Cena premijskih blagovnih znamk z namenom prestiža je previsoka.
3.1 Procesna usmerjenost
Cilj podjetja je, da je uspešno. Uspešnost si lahko zagotovi le tako, da je na trgu drugačno, tj. boljše od konkurence. V vseh pogledih mora podjetje napredovati, rasti in se razvijati. Jasno izdelan strateški poslovni načrt podjetja je ključnega pomena. Sestavni del tega načrta je tudi strateški poslovni načrt razvoja informatike. Pogosto informatika nima vizije in ustreznega poslovnega načrta ali pa poslovni načrt ni usklajen s strateškim poslovnim načrtom podjetja. Spany (2003, str. 17) navaja, da je takih podjetij kar 80 odstotkov. Usmerjenost h kupcu in zaveza k čim višji dodani vrednosti za kupca morata biti strateški usmeritvi. Procesna usmerjenost mora zamenjati podatkovno usmerjenost informatike. BPM na prvo mesto postavlja procese in pomeni doseganje ciljev podjetja z menedžmentom in kontrolo temeljnih poslovnih procesov, povzemata Jeston in Nelis (2008a, str. 11). Kot smo ugotovili, diferenciacijo med podjetji lahko dosežemo le z inovacijami, z ustvarjanjem novih procesov, s prenovo obstoječih in z ukinjanjem nepotrebnih. Kot sta zapisala Rummler in Brache že leta 1995 (str. 45), je uspešnost podjetja odvisna od uspešnosti njegovih procesov. Samo zniževanje stroškov ne zadostuje. Podjetje v procesih išče konkurenčne prednosti. Pomembna je celotna vrednostna veriga {value chain). Z vpeljavo menedžmenta
poslovnih procesov klasična funkcionalna organiziranost ni več ustrezna, vpeljati je treba matrično organiziranost. Procesni menedžerji skrbijo za poslovne procese, ki pogosto zajemajo več poslovnih funkcij. Nekateri procesi so lahko izločeni iz vrednostne verige, ker se izvajajo pri poslovnem partnerju. Vse navedeno pomeni precejšnjo spremembo na področju procesne kulture podjetja. Pred uvedbo menedžmenta poslovnih procesov mora podjetje narediti temeljito prenovo poslovnih procesov, kar je prvi pogoj za uspešno vpeljavo. Spanyi (2007, str. 77) predlaga pet etap za uvedbo menedžmenta poslovnih procesov. Te etape so: (1) definicija, (2) analiza, (3) konstrukcija, (4) uvedba in (5) menedžment. Prve štiri prenovijo poslovne procese, peta pa skrbi za stalno izpopolnjevanje. Najpomembnejši je stalni napredek. Smith in Fingar (2003a, str. 89-94) navajata osem aktivnosti v življenjskem ciklu poslovnega procesa znotraj menedžmenta poslovnih procesov: (1) raziskava, (2) konstrukcija, (3) vpeljava, (4) izvajanje, (5) interakcija, (6) merjenje, (7) kontrola in (8) analiza. Izpopolnjevanje procesov izvajamo s postopkom optimizacije, tako da ponavljamo aktivnosti od 2 do 8.
Fleksibilnost zastarelih rešitev ERP je povsem nesprejemljiva. Za informatizacijo celotnega poslovanja podjetja potrebujemo leto ali dve. Uvajanje večjih sprememb traja nekaj mesecev do pol leta. Že za manjše spremembe posameznih aplikativnih programov potrebujemo več mesecev. Prilagodljivost celovitih rešitev ERP, kot je npr. SAP, je bistveno boljša. Vanje je vgrajena najboljša praksa in zasnovani so parametrično. Ob spremembi procesa v rešitvi ERP izvedemo ustrezne nastavitve odgovarjajočih parametrov. Kljub temu je razvoj procesov relativno omejen. Harmon (2007, str. 447) vidi rešitev teh težav v BPMS (Business Process Management Suit/System), ki združuje: (1) krmiljenje izvajanja delovnih procesov {Workflow Management Systems, WFMS) in upravljanje z dokumenti {Document Management System, DMS), (2) orodja za integracijo aplikacij -EAl, (3) orodja za modeliranje poslovnih procesov in (4) nove internetne tehnologije {Service Oriented Architecture, SOA). Jezik menedžmenta poslovnih procesov {Business Process Management Language, BPML) omogoča sprotno izvajanje poslovnega modela, kar pomeni, da lahko programske rešitve v realnem času sledijo spremembam poslovnega procesa. V tem primeru govorimo o dinamičnem oz. iz-
vajalnem modelu. Menedžment poslovnih procesov uvaja nov profil poklica. To je konstruktor poslovnih procesov. Odgovornost za konstrukcijo poslovnih procesov prevzamejo skrbniki poslovnih procesov od informatikov.
3.2 Zunanje izvajanje poslovnih procesov
Zunanje izvajanje poslovnih procesov {outsourcing, Business Process Outsourcing, BPO) in globalno zunanje izvajanje poslovnih procesov {offshore outsourcing) sta se pojavila z globalizacijo gospodarstva. Tako se je pojavilo tudi zunanje izvajanje informatike {Information Technology Outsourcing, ITO). Če proces ni pomemben za poslovanje, ga lahko podjetje izloči iz vrednostne verige, tako da ga odda zunanjemu izvajalcu. Če pa je proces pomemben za poslovanje in se podjetje kljub temu odloči za zunanje izvajanje, je pričakovanje podjetja v tem, da si bo znižalo stroške, da si bo zagotovilo višjo kakovost izdelka ali storitve, ali da podjetje z zunanjim izvajanjem pridobi sinergijske učinke z dobaviteljem. V splošnem zunanje izvajanje pomeni, da izdelavo izdelka ali storitev izločimo iz svoje vrednostne verige, izdelek pa izdeluje ali storitev zagotavlja dobavitelj oz. poslovni partner. Nič nenavadnega ni, da podjetje išče svoje konkurenčne prednosti v zunanjem izvajanju informatike. V prvih petdesetih letih razvoja informacijske tehnologije je bilo tako razmišljanje nepojmljivo. Prevladovalo je prepričanje, da je informatika takega strateškega pomena, da jo mora podjetje v popolnosti nadzorovati in upravljati samo. Danes se največja svetovna podjetja odločajo za BPO in ITO. Pozitivni učinek zunanjega izvajanja je tudi v tem, da se po oddaji del podjetje lahko popolnoma posveti svoji osnovni dejavnosti in ne izgublja denarja in energije s postranskimi aktivnostmi. Nekatera podjetja se odločajo tudi za zunanje izvajanje procesov osnovne dejavnosti. Brown in Wilson (2005, str. 42-44) sta definirala deset argumentov za zunanje izvajanje poslovnih procesov: (1) hitrejši reinženiring procesov, (2) dostop do novih tehnologij, (3) pridobitev denarja s prodajami, (4) sprostitev notranjih resursov, (5) ponovni razmislek o problemih, (6) osredinjanje na osnovno dejavnost, (7) sprostitev denarnih sredstev, (8) znižanje operativnih stroškov, (9) zniževanje rizikov in (10) dostop do novih resursov. Kot navajajo Power, Desouza in Bonifazi (2006, str. 3-5) so ključni za uspeh BPO: (1) podjetje, (2) dobavitelj in (3) projekt. Kompleksnost projekta se poveča z zahtevnostjo
procesa, z ravnjo v proces integriranega znanja, s potekom procesa prek več poslovnih funkcij, s številom akterjev, z dislokacijo akterjev in tudi z vključenostjo več podjetij.
Ugotovili smo, da lahko obravnavamo informacijske tehnologije kot blago. Postavimo trditev, da je lahko vsak proces blago in da je mogoče z njim trgovati. Če se na trgu pojavijo ponudniki poljubnega izdelka ali storitve, lahko ta izdelek ali storitev smatramo za blago. Tako je lahko blago izračun osebnih dohodkov, izdelava dohodninskih napovedi, zaposlovanje v podjetju ipd. Vzpostavitev zunanjega izvajanja informatike je zahteven projekt. Razdelimo ga lahko na tri etape: (1) zasnova, (2) izvedba in (3) upravljanje. Pod upravljanjem zunanjega izvajanja procesa razumemo aktivnosti nadzora in aktivnosti stalnega napredka. Trg deluje v smeri širjenja zunanjega izvajanja, saj se je pojavilo že precej ponudnikov aplikativnih storitev (.Application Service Provider, ASP) in ponudnikov poslovnih storitev {Business Service Provider, BSP). Zanimivo bi bilo izračunati, kakšen bi bil prihranek na ravni države, če bi imeli nekaj ponudnikov, ki bi za vsa slovenska podjetja izvajala izračun osebnih dohodkov. Lahko pa razmišljamo še bolj pogumno. Zakaj ne bi dobavitelju zaupali tudi strateškega upravljanja in strateškega odločanja o informacijski tehnologiji, če je to cenejše, hitrejše in boljše? Gullen in Willcocks (2003, str. 3) poudarjata, da ITO pomeni strateški menedžment oskrbovanja z informacijskimi storitvami in strateško partnerstvo med podjetjem in dobaviteljem.
3.3 Nova vloga in položaj informatike
Roach (1994) je odkril t. i. paradoks produktivnosti, ki pravi, da investicije v informacijsko tehnologijo nimajo vpliva na produktivnost podjetja. Keen je leta 1997 (str. 3) opisal paradoks procesa, ki pravi, da kljub bistvenem povečanju uspešnosti in učinkovitosti procesa ni garancije, da bo prišlo do povečanja uspešnosti podjetja. Strassmann (1997) pravi, da
ni korelacije med stroški za informacijske tehnologije in profitom podjetij. Poleg tega (2002) trdi, da so v preteklosti podjetja pozabljala na ekonomsko racionalnost pri investicijah. Zanj je odločilna donosnost naložbe (Return On Investment, ROI). Phillips (2002) je v intervjuju z Larryjem Ellisonom zapisal: »Mnoga podjetja preveč investirajo v informacijsko tehnologijo in premalo dobijo.« McKinsley Global Institute (2002) ugotavlja, da ni korelacije med investicijami v informacijsko tehnologijo in produktivnostjo podjetja. Renault se je odločil za zunanje izvajanje informatike. Podpisal je pogodbo s Hew-lett-Packardom za področje PG in strežnike, z Atos Originom za nadzor sistemov in s GSG (2008) za razvoj programskih rešitev. S temi ukrepi si obeta znižanje stroškov za tretjino. Poleg tega je prišlo do standardizacije opreme in do enake ravni podpore v vseh tovarnah.
V tabeli 1 prikazujemo oceno stroškov za informatiko. Obravnavamo tri velikostne razrede podjetij - do 1000, 2000 do 3000 in več kot 3000 zaposlenih. Glede na število zaposlenih predpostavimo število informatikov. Povprečno neto plačo ocenimo 1.500 do 2.000 evrov. Temu ustreza strošek dela za delodajalca - 3.000 do 4.000 evrov. Pomnožimo število informatikov, strošek dela za delodajalca na mesec z 12. Tako dobimo strošek dela za celotno informatiko na leto. Investicije ocenimo na 200.000, 400.000 in 600.000 evrov na leto. Tako vidimo, da so stroški okvirno 500.000,1,000.000 in 1,500.000 evrov na leto. To so vrednosti, nad katerimi se je vredno zamisliti. Če je podjetje imelo v osemdesetih letih VAX/VMS, TOTAL in PMPS ter trideset programerjev za Gobol in je razvijalo ves informacijski sistem, je to bilo upravičeno. Če je to podjetje v devetdesetih letih prešlo na UNIX, ORAGLE in je trideset programerjev uporabljalo SQL, Forms in Developer za razvoj aplikacij, tudi lahko razumemo. Če pa ima danes to podjetje celovito programsko rešitev SAP, pa informatika v takem obsegu brez dvoma ni potrebna.
Tabela 1: Stroiki infonnatiliB slovenskih podjetij
Število	Število	Straiek dela/leto	Investicije	Celotni stroški
zaposlenih	informatikov	[1.000 €1	11.000 €1	(1.000 €1
Do 1000	5-10	180-480	200	500
1000-2000	10-20	3B0-9B0	400	1.000
2000-3000	20-30	720-1.440	600	1.500
V preteklosti je imela informatika poseben, privilegiran položaj v podjetju. Pripisoval se ji je strateški pomen za poslovanje. Danes najvišji menedžment razmišlja drugače. Informatika sploh ni pomembna. Pomembno je, da omogoča nemoteno poslovanje podjetja in da imamo z njo čim manj stroškov. Kadar se pogovarjamo o informatiki, se pogovarjamo o problemih in stroških, povezanih z njo. To je nesprejemljivo. Ena od realnih možnosti je zunanje izvajanje informatike. Telegraf, teleks, elektrika, para in vse ostale tehnologije so v začetku pogumnim podjetjem nudila konkurenčne prednosti. To je veljalo tudi za informacijsko tehnologijo. Danes so vse te tehnologije na voljo vsem po dostopnih cenah. Vse te tehnologije ne nudijo nobenih konkurenčnih prednosti; preprosto so postale strošek poslovanja, ki ga mora plačati vsako podjetje, če se želi obdržati na trgu. Nekatere tehnologije so postale povsem nepomembne, druge so preprosto izginile s trga, ker so se pojavile novejše in naprednejše. Vse to se dogaja in se bo dogajalo tudi z informacijsko tehnologijo. S pojavom cenenih spominskih modulov že lahko napovemo izginotje diskov. Še pred nekaj leti bi bila taka napoved utopija, danes pa je realnost. Ali že lahko napovemo izginotje službe za irvformatiko?
Nov položaj in vloga informatike v podjetju zahteva bistven premik v miselnosti informatikov. Nekateri težko razumejo, da se je obdobje »belih halj« in informatike kot »možganskega centra« za vedno končalo. Preskok iz podatkovne v procesno usmerjenost pomeni spremembo kulture podjetja. Uvedba menedžmenta poslovnih procesov in vpeljava procesne kulture pomenita tudi organizacijske spremembe, predvsem odmik od klasične hierarhične funkcionalne organiziranosti k matrični organiziranosti. Zrelost informacijske tehnologije je že tako visoka, da so nekateri tradicionalni poklici začeli izginjati. Sistemski inženir in skrbnik baze podatkov sta taka primera. Zaradi stabilnosti strojne in programske opreme se je bistveno zmanjšal obseg dela, povečala pa se je tehnična zahtevnost dela. Zaradi stroškov je pogosto smiselno ukiniti te poklice, saj podjetje ne more pokrivati vseh znanj, specializirani dobavitelji pa imajo ta znanja.
Z uvedbo projektnega menedžmenta so mnoga podjetja uvedla projektne pisarne. Slovensko združenje za projektni menedžment ponuja izobraževanje in izdaja certifikate. Analogija med procesnim in projektnim menedžmentom je sama po sebi umevna.
Podjetja, ki so že začela z vpeljevanjem menedžmenta poslovnih procesov, ustanavljajo procesne pisarne (process office) ali centre odličnosti (centre of excellence). Procesne pisarne združujejo procesne menedžerje in jih podpirajo. Informatizacija poslovnih procesov je bila vedno v domeni informatike. Z vpeljavo menedžmenta poslovnih procesov bodo skrbruki procesov dobili orodje za konstrukcijo poslovnih procesov. Prevzeli bodo tudi vodilno vlogo pri prenovi poslovnih procesov in pri informatizaciji poslovanja. Obseg klasičnega modeliranja poslovnih procesov in klasičnega programiranja aplikacij se bo zmanjšal in v prihodnosti popolnoma izginil. Filiale skupine Renault nimajo več potreb po lastnem razvoju in programiranju. Lokalne aplikacije so tako rekoč ukinjene. Ta proces se je že začel v vseh globaliziranih podjetjih. Klasično organizirane službe za informatiko bodo izginile, če se ne bodo dovolj hitro preoblikovale. Ta prehod zahteva kadrovsko prenovo. Procesne pisarne zahtevajo strokovnjake, ki dobro poznajo procese in imajo znanja s področij menedžmenta, informatike, ekonomike in drugih ved.
4 SKLEP
Prenova poslovnih procesov in informatizacija poslovanja sama po sebi ne pomenita konkurenčnih prednosti za podjetje, omogočata pa konkurenčnost. Uvedba celovite programske rešitve tudi samodejno ne pomeni povečanja produktivnosti podjetja. Konkurenčno prednost si lahko podjetje zagotovi le z inovativnostjo na področju poslovnih procesov. Podjetje mora imeti učinkovitejše procese kot konkurenti. Podjetje si mora dolgoročno zagotoviti konkurenčno prednost, in sicer s sistemom stalnega napredka poslovnih procesov, to je z vzpostavitvijo menedžmenta poslovnih procesov.
V preteklosti je imela informatika neverjetno privilegiran položaj. Globalna ekonomska kriza, ki bo verjetno še trajala, bo menedžment prisilila v racionalizacijo na vseh področjih poslovanja. Tradicionalno zaščitena in nedotakljiva informatika se temu ne bo izognila. Hipotezo, da je informatika izgubila svoj strateški položaj, najbolje dokazujejo podjetja, ki se odločajo za delno ali popolno zunanje izvajanje informatike. Gullen in WUlcocks (2003, str. XVII) ocenjujeta, da je bil globabii trg ITO leta 2006 190 milijard dolarjev in da se povečuje.
Ker informacijska tehnologija ne zagotavlja konkurenčnih prednosti, se je njen pomen bistveno zmanj-
Šal. Vsako podjetje jo mora imeti, da obstane na trgu. Postala je nujen strošek poslovanja. Pretirana informatizacija in pretirana odvisnost proizvodnje lahko povzročita večje stroške od koristi. Postala je blago široke potrošnje. Cene so se znižale in dostopnost se je povečala. Narava dela v službah za informatiko se je tudi bistveno spremenila. Žal je čedalje manj strokovnega dela, čedalje več pa je organizacijskega in administrativnega dela. Menedžment ima številne možnosti za optimizacijo delovanja informatike.
Naloga najvišjega menedžmenta je, da temeljito razmisli o vlogi informatike v podjetju. Večina podjetij bo morala na novo definirati strateški poslovni načrt in še posebej strateški poslovni načrt razvoja informatike. Pomembna je njena ustrezna umestitev v poslovanje. Najpomembnejše poslanstvo podjetja je zadovoljevanje kupcev in ustvarjanje dobička. Ta dva cilja lahko podjetje doseže le z učinkovitim in uspešnim menedžmentom poslovnih procesov, ki pa zahteva korenite organizacijske spremembe. Podjetjem, ki se bodo hitro prilagodila novim pogojem poslovanja, se obeta lepa prihodnost.
5 LITERATURA IN VIRI
[1]	Avison, D., & Fitzgerald, G. (2006). Information Systems Development: methodologies, techniques & tools (4th ed.). Maidenhead: IVIcGraw-HIII Education.
[2]	Brown, D., & Wilson, S. (2005). The Black Bool< of Outsourcing: Wow to Manage the Changes, Challenges, and Opportunities (reprint 2008). Hoboken: John Wiley & Sons.
[3]	Carr, N. G. (2003). IT Doesn't Matter. Harvard Business Review, 81(5), 41^9.
[4]	Carr, N. G. (2004). Does IT matter? Information technology and the corrosion of competitive advantage. Boston: Harvard Business School Press.
[5]	CSC (2008). Renault Sharpens Global IT Focus. Najdeno 11. 6. 2009, na http://www.csc.com /manufacturing/case_studi-es/9448-renault_sharpens_globalJt_focus.
[6]	Gullen, S. & Willcocks, L. (2003). Intelligent IT outsourcing: eight building blocl<s to success (reprint 2006). Oxford, Burlington: Buttenworth-Heinemann.
[7]	Harmon, P. (2007). Business Process Change: A Guide for Business Managers and BPM and Six Sigma Prof^sionals (2nd ed.). Burlington: Morgan Kaufmann Publishers.
[8]	Jeston, J., & Nells, J. (2008a). Business Process Management: Practical Guidelines to Successful Implementations (2nd ed.). Oxford, Burlington: Buttenworth-Heinemann.
[9]	Jeston, J., & Nelis, J. (2008b). Management by Process: A roadmap to sustainable Business Process Management. Oxford, Burlington: Buttenworth-Heinemann.
[10]	Keen, P. G. W. (1997). The Process Edge: Creating Value Where It Counts. Boston: Han/ard Business School Press.
[11]	Kovačič, A. (1992). Podatkovni prototipni pristop h gradnji informatike. Doktorska disertacija. Univerza v Ljubljani, Ekonomska fakulteta, Ljubljana.
[12]	McKinsley Global Institute (2002). Whatever happened to the New Economy?. Najdeno 11.6. 2009 na http://www.mckin-sey.com/mgi/publications/new_economy.asp
[13]	Phillips, T. Oulij 2002). The Bulletin Interview: Larry Ellison. The Computer Bulletin. Najdeno 11.6. 2009 na http://web. archive.org/web/20040618052456re_/ www.bcs.org/publi-cat/ebull/july02/intervie.htm.
[14]	Porter, M. E. (1998). Competitive advantage: Creating and sustaining superior performance. New York: Free Press.
[15]	Power, M. J., Desouza, K. 0., & Bonifazi, C. (2006). The Outsourcing Handbook: How to Implement a Successful Outsourcing Process (reprint 2008). London, Philadelphia: Kogan Page.
[16]	Roach, S. (19. 9.1994). Premier 100: Lessons of the productivity paradox. Computerworid, str. 55.
[17]	Rummler, G. A., & Brache, A. P. (1995). Improving performance: How to Manage the White Space on the Organization Chart (2nd ed.). San Francisco: Jossey-Bass.
[18]	Smith, H., & FIngar, R (2003a). Business Process Management: The Third Wave. Tampa: Meghan-Klffer Press.
[19]	Smith, H., & FIngar, R (2003b). IT Doesn't Matter-Business Process Do. Tampa: Meghan-Kiffer Press.
[20]	Spanyi, A, (2003). Business Process Management is a Team Sport: Play it to Win!. Tampa: Anclote Press.
[21]	Spanyi, A. (2007). More for Less: The Power of Process Management. Tampa: Meghan-Kiffer Press.
[22]	Strassmann, R A. (februar 1997). Will big spending on computers guarantee profitability?. Datamation. Najdeno 11.6.2009 na http://www.strassmann.com/pubs/ datamation0297/.
[23]	Strassmann, P. A. (september 2002). Why ROI ratios are now crucial to IT investments. Butler Group Review. Najdeno 11.6. 2009 na http://www.strassmann.com/pubs/bg/ 2002-9.pdf.
[24]	Žabjek, D., Kovačič, A., & Indihar - Štemberger, M. (2008). Vpliv procesne usmerjenosti poslovanja na uspešnost uvajanja celovitih programskih rešitev (ERP). Uporabna informatika, XVI{3), 147-161.
Franc Brcar je univerzitetni diplomirani inženir strojništva in magister informacijsko-upravljavskih znanosti. Zaposlen je v podjetju Revoz, d. d. Najprej je delal kot specialist na področju operacijskih sistemov in baz podatkov, kasneje pa na področju vpeljevanja sistemov CAD/CAM in rešitev ERR V zadnjem obdobju se
ukvarja z menedžmentom informacijskih sistemov in menedžmentom poslovnih procesov.
■
Silvo Lah je univerzitetni diplomirani inženir organizacije dela in magister organizacijskih znanosti. Svojo poklicno pot je začel v podjetju Revoz, d. d., kjer se je ukvarjal s kakovostjo na različnih ravneh. V zadnjem obdobju se praktično in teoretično ukvarja s problemi menedžmenta, predvsem s sistematičnim reševanjem problemov in stalnim izboljševanjem poslovnih procesov. Je tudi predavatelj na višji strokovni šoli.
STROKOVNI PRISPEVKI
B Kako prenoviti proces informiranja in komuniciranja
Janez Čemi
Bartec Varnost, d. o. o. janez.cemi@baitec-varnost.si
Izvleček
Današnji čas zahteva od podjetij razvoj ustreznih načinov pretol<a informacij, pri čemer visol(a stopnja spremenljivosti ol<olja zahteva tudi hitrejši pretol< informacij, l<ar podjetjem omogoča hitrejše prilagajanje spremembam na trgu. Če se osredinimo na komunikacijo v podjetju, med podjetji in njihovimi povezanimi enotami, ugotovimo, da je komunikacija eden izmed temeljev upravljanja. Formalni komunikacijski vzorci organizacij vplivajo na način pretoka informacij, pri čemer ne smemo zanemariti vpliva neformalnih socialnih omrežij, ki ravno tako sooblikujejo pretok informacij. V organizacijah se lahko pojavljajo vsi omenjeni vzorci, pri čemer ima lahko določen vzorec prevladujočo vlogo. Na prehodu v procesno organiziranost organizacij se čedalje bolj uveljavljajo decentralizirana komunikacijska omrežja. Proces informiranja in komuniciranja je podlaga za izvajanje podpornih in temeljnih dejavnosti podjetja in prispeva k nastajanju nove vrednosti za kupca. Prenovljeni proces informiranja in komuniciranja standardizira načine informiranja in komuniciranja ter tako zmanjšuje vpliv kulturne komponente okolja in s tem zagotavlja hitrejši pretok Informacij. Na podlagi uvedbe ekstraneta podjetje prenovi proces informiranja in komuniciranja ter s tem naredi korak k večji decentralizaciji komunikacijskega omrežja, ki ima svoje prednosti v širjenju znanja, večji prilagodljivosti spremembam v okolju in doseganju večje ravni kreativnosti ter inovativnosti zaposlenih.
Ključne besede: proces, prenova, omrežje, pretok informacij, ekstranet, spremembe, tržna mreža, podjetje, standardizacija, komunikacija, prodaja.
Abstract
HOW TO RENOVATE THE PROCESS OF INFORMING AND COMMONICATING
Today's economy requires from companies evolving suitable ways of information flows. A high level of market changes requires also having a faster flow of information, which allows companies to adapt to the market more easily and efficiently. If we focus on the communication in the company, between the companies and connected units, we realize that the communication is one of the basis for theirs management. Company's formal communication pattern has an influence on the type of the information flow, besides that we can not overlook the influence of the informal communication pattern, which also builds the information flow. In the companies we can found all the mentioned communication patterns, where one of them can dominate above the others. On the way to the process organized companies, we are actually facing the bringing forward of the decentralized communication patterns. Process of informing and communicating is the basis for performing company's main and supported activities and by this fact it contributes to the added value for the customer. Renovated process of informing and communicating, standardizes the ways of informing and communicating and on this basis it reduces the environment cultural component influence and consequently assures a faster information flow. On the basis of launching the extranet, a company renovates its process of informing and communicating and makes a step forward to greater decentralization of its communication network, which has the advantages in spreading the knowledge, being more adoptive to the market changes and reaching the highest level of creativity and innovation.
Key words: process, renovation, network, information flow, extranet, changes, sales net, company, standardization, communication, sales.
1 UVOD	povezanimi subjeliti je tako eden izmed ključnih dejavnikov
Vse bolj v ospredje pribaja dejstvo, da je v podjetjih eden	dolgoročne rasti in razvoja podjetja,
izmed ključnih dejavnikov uspeha tudi uspešno ter učinkovito	Proces informiranja in komuniciranja je podlaga
informiranje in komuniciranje med oddelki znotraj podjetja	za izvajanje vseh ključnih in podpornih poslovnih
ter med podjetjem in njegovimi povezanimi zunanjimi suhjek-	procesov in prispeva k nastajanju nove vrednosti za
ti. Hitre in kakovostne informacije so ključ za uspešno oprav-	kupca. Določen je z načinom pretoka informacij na
Ijeno delo in pri tem podlaga za izvajanje uspešnih ter učin-	podlagi prevladujočega komunikacijskega vzorca
kovitih ključnih in podpornih poslovnih procesov. Uspešen in	v podjetju ter je vsebinsko pogojen s ključnim ali
učinkovit pretok informacij znotraj podjetja ter z njegovimi	podpornim poslovnim procesom. Prenova procesa
informiranja in komuniciranja je korak k večji decentraliziranosti komunikacijskega omrežja podjetja in s tem k hitrejšemu pretoku informacij, širjenju znanja, kreativnosti, inovativnosti in nasploh k lažjemu in hitrejšemu prilagajanju spremembam. Na podlagi standardizacije načinov informiranja in komuniciranja prenova prispeva k zmanjšanju vpliva kulturne komponente okolja in s tem k hitrejšemu pretoku informacij med podjetji v različnih kulturnih okoljih. Uvedba informacijske rešitve - ekstra-neta - lahko uspešno podpira prenovljeni proces informiranja in komuniciranja, če sovpada z informacijskimi potrebami uporabnikov, ki so vključeni v določen poslovni proces v podjetju. Kultura okolja, v katerem deluje podjetje, vpliva na učinkovitost komuniciranja. Večja podjetja, ki imajo široko razvejene tržne mreže in delujejo na tujih trgih, se tako srečujejo z multikulturnim okoljem, katerega značilnost so različne vrednote, norme in navade ljudi, kar vpliva na pretok informacij in s tem na učinkovitost komuniciranja. Poleg multikulturnosti okolja je treba izpostaviti tudi njegovo spremenljivost. Za današnje gospodarsko okolje je značilna visoka stopnja spremenljivosti, hitro zastaranje proizvodov, nenehno spreminjanje množice konkurentov in njihovih akcij, strukture kupcev, njihovih potreb, zahtev in želja.
Ugotovimo lahko torej, da današnji čas zahteva od podjetij v odvisnosti od spremenljivosti okolja razvijati tudi ustrezne načine pretoka informacij, saj visoka stopnja spremenljivosti okolja zahteva tudi hitrejši pretok informacij, ki podjetjem omogoči hitrejše prilagajanje spremembam. Namen prispevka je v prvem delu na primeru prodaje v mednarodnem podjetju prikazati načine pretoka informacij in komunikacijske vzorce pred prenovo procesa informiranja in komuniciranja ter po njej. V nadaljevanju je opisan način prenove omenjenega procesa na temelju uvedbe informacijske rešitve ekstraneta, analizo informacijskih potreb, modeliranje vsebine informacijske rešitve in samo konstrukcijo. V zadnjem delu se prispevek osredini na uvajanje rešitve v praksi, rezultate njene uporabe in v sklepu povzame ključne ugotovitve.
2 NAČINI PRETOKA INFORMACIJ IN KOMUNIKACIJSKI UZORCI
Če se osredinimo na komunikacijo v podjetju, med podjetji in njihovimi povezanimi enotami, ugotovi-
mo, da je komunikacija ena izmed temeljev upravljanja. S perspektive menedžerja je komunikacija ključnega pomena na treh glavnih področjih njegovega upravljanja, in sicer na področjih proizvodnje in kontrole, inovacij ter socializacije. Z ustrezno komunikacijo na področju proizvodnje in kontrole je treba doseči, da je delo opravljeno in da so doseženi cilji. S komimikacijo na področju inovacij je treba doseči širjenje novih idej in optimiziranje poslovnih procesov s ciljem lažjega in hitrejšega prilagajanja spremembam v okolju. Na področju socializacije je treba s komunikacijo doseči visoko raven motiviranosti in vzdrževati dobre delovne odnose. V vseh pogledih je učinkovita komunikacija življenjskega pomena za uspešno poslovanje podjetij. Na učinkovitost komunikacije poleg medosebnih odnosov, izkušenj in drugih mehkih dejavnikov vpliva tudi način pretoka informacij. Danes vstopajo organizacije v obdobje globalne konkurenčnosti. Pojavljajo se upravičene zahteve za boljši in pravočasnejši pretok kakovostnih informacij za podporo menedžmenta pri izvajanju svojih funkcij, kar je izrednega pomena za preživetje in uspeh organizacije (Damij, 1994, str. 1). Pomembno je, kako se informacije pretakajo do posameznikov ali skupin, ki jih rabijo za rešitev nekega problema ali naloge ali za sprejemanje odločitev. Pri tem igra pomembno vlogo neformalno komurükacij-sko omrežje podjetja, ki je določeno na temelju relacij med zaposlenimi. Neformalne relacije pospešujejo in vodijo pretok informacij in inovacij med ljudmi ter zmanjšujejo informacijsko asimetrijo (Skidmore, 2001, str. 59). Poleg neformalnega socialnega omrežja organizacije opredeljuje način pretoka informacij tudi formalno komunikacijsko omrežje.
V raziskavah je bilo ugotovljeno, da v orgarüza-cijah obstaja pet tipov formalnih komunikacijskih vzorcev: krog, kolo, veriga, Y-nu-eža in vsestranski komunikacijski vzorec. Raziskave so sicer zajemale manjše skupine ljudi ter njihovo interakcijo v umetno pripravljenem okolju, kljub temu pa so postregle z zanimivimi ugotovitvami. Omenjeni komunikacijski vzorci lahko pospešujejo uporabo in pretok informacij ali pa ga zavirajo. Vse pa je odvisno od tega, za kakšne namene se uporablja posamezni tip komunikacijskega omrežja (Bodvvitch, Buono, 2005, str. 118-119). Način pretoka informacij je torej do določene mere pogojen s tipom formalnega komunikacijskega omrežja. V nadaljevanju predstavljamo različne načine pretoka informacij.
Oseba A
OsebaB
Legenda
Oseba C
Oseba D
Oseba E
Oseba A
Oseba E
Pretok informacij
Oseba D
Oseba I
Legenda
Zaposleni	Q
Pretol< informacij ZHZ
Slika 2: Način pretoka informacij oa primero liomooiliaeijsliega vzorca lirog
(Vir: Prirejeno po Bodwitch, Buono, 2005, str. 119.)
V nasprotju s predhodnim vzorcem krog omogoča več interakcije med posamezniki, tako je njihovo zadovoljstvo večje, saj se čutijo bolj povezane, vsaka oseba lahko komunicira s svojim predhodnikom in naslednikom, način pretoka informacij ima tako dve komponenti (slika 2). V tem primeru gre za večjo decentralizacijo omrežja, katerega slaba stran je, da posamezniki za rešitev problemov ali za sprejemanje odločitev porabijo več časa, saj pridobivajo in posre-
dujejo informacije dvema osebama in ne samo eni. Omenjeni komunikacijski vzorec je primeren za reševanje kompleksnejših problemov, pri čemer je potrebno več interakcije med posamezniki.
Oseba E
Oseba A
Oseba B
Slika 1: Načio pretoka informacij na primero komonikacijskega inorca kolo
(Vir: Prirejeno po Bodwitch, Buono, 2005, str. 119.)
Na sliki 1 je lepo vidno, kako lahko le oseba X komunicira z vsemi ostalimi, medtem ko drugi komunicirajo lahko le z njo. Pretok informacij je omogočen le proti sredini komunikacijskega omrežja. Gre za primer centraliziranega omrežja, ki je učinkovito pri hitrem reševanju enostavnejših problemov.
Pretok informacij
Legenda
Oseba D
Oseba F
Zaposleni	^^
Pretok Informacij HHZ!
Oseba C
Slika 3: IVačin pretoka ioformacij na primero vsestraoskega komonikacijskega vzorca (Vir: Prirejeno po Bodwitch, Buono, 2005, str. 119.)
Ekstremno decentraliziran primer komunikacijskega omrežja je vsestranski komunikacijski vzorec. Način pretoka informacij je v vse smeri; vsak posameznik lahko komunicira z vsemi, ki so vključeni v omrežje (slika 3). Omenjeni vzorec je primeren za reševanje najtežjih problemov in za sprejemanje najkompleksnejših odločitev, pri katerih je potrebna mobilizacija večjega števila virov informacij, velikokrat se pojavlja pri reševanju razvojnih nalog, generiranju novih idej in širjenju dobre prakse.
Oseba A
OsebaB
I Pretok I informacij
Legenda
Oseba F (_)
Zaposleni	^^
Pretok informacij T^^T
Slika 4: Način pretoka informacij na primero V-mreža io veriga (Vir: Prirejeno po Bodwitch, Buono, 2005, str. 119.)
nikacijskih vzorcev
Omenjena komunikacijska vzorca predstavljata tradicionalen odnos med menedžerji in njihovimi podrejenimi v hierarhično organiziranih podjetjih (slika 4). Vključno s prej omenjenem vzorcem kolo predstavljata primer centraliziranih komunikacijskih omrežij. Način pretoka informacij je vertikalen, v skladu z organizacijsko strukturo podjetja. Vse je odvisno od tega, kje v organizacijski strukturi se nahaja posameznik, kar mu določa, od koga prejema informacije in komu jih posreduje. Omenjena komunikacijska vzorca sta ustrezna predvsem za reševanje preprostejših problemov, slaba je vključenost vsakega posameznika v omrežje in s tem tudi slabši pretok informacij.
Na podlagi raziskav o pretoku informacij v organizacijah avtorji ugotavljajo, da vzorci verige, Y-mreže in v manjši meri kolesa negativno vplivajo na inova-tivnost organizacij in širjenje znanja. Ovirajo organizacijske spremembe, otežujejo optimalno alokacijo resursov, prenovo procesov, upočasnjujejo razvoj novih produktov in zmanjšujejo kreativnost posameznikov, s čimer povzročajo organizacijam višje stroške. Zaradi pomanjkanja interakcije z ostalimi posamezniki v omrežju obstaja večja verjetnost napačnih interpretacij vitalnih informacij, pomembnih za sprejemanje ključnih odločitev. V nasprotju druga dva komimika-cijska vzorca pospešujeta izmenjavo informacij, ki je bolj spontana, prispeva k večji odprtosti organizacije, širjenju znanja med zaposlenimi, omogoča hitrejše in lažje prilagajanje organizacije okolju ter zvišuje raven kreativnosti in inovativnosti zaposlenih. Če sta omenjeni komunikacijski mreži podprti z najsodobnejšimi informacijskimi tehnologijanü, je njun učinek toliko večji (Bodvvitch, Buono, 2005, str. 120).
Če povzamemo omenjene ugotovitve, lahko sklenemo, da so centralizirana komunikacijska onu-ežja učinkovitejša pri reševanju preprostejših problemov, medtem ko decentralizirana omrežja uporabljamo za rešitev kompleksnejših problemov in sprejemanje kompleksnejših odločitev. Ne glede na naravo problema je zadovoljstvo posameznikov večje v primeru decentraliziranega omrežja, saj je vključenost v komunikacijo večja, večji je tudi občutek pripadnosti. Decentralizirana omrežja se laže prilagajajo organizacijskim spremembam, pri čemer hitreje in bolj neposredno pridobivamo informacije od posameznikov, vključenih v omrežje.
Zaključujemo z ugotovitvijo, da predstavljeni formalni komunikacijski vzorci organizacij vpliva-
jo na način pretoka informacij, pri čemer ne smemo zanemariti vpliva neformalnih socialnih omrežij, ki ga ravno tako sooblikujejo. Omeniti je treba, da se v organizacijah lahko pojavljajo vsi omenjeni vzorci, pri čemer ima lahko določeni vzorec prevladujočo vlogo. Na prehodu v procesno organiziranost organizacij se čedalje bolj uveljavljajo decentralizirana komunikacijska omrežja. Realnost je takšna, da je v večjih gospodarskih subjektih do popolne procesne orgaiüziranosti še daleč. Na ravni srednjega menedž-menta se počasi uveljavlja decentralizacija komunikacijskega omrežja, medtem ko na prehodu do ravni top menedžmenta še vedno ostajajo centralizirani komunikacijski vzorci. V nadaljevanju prispevka se navezujemo na predstavljene tipe komunikacijskih omrežij, s pomočjo katerih opredelimo proces informiranja in komuniciranja med matičnim podjetjem in njegovo tržno mrežo pred uvedbo informacijske rešitve. Nadaljujemo s prenovo procesa v smeri decentralizacije komunikacijskega omrežja in poglavje sklenemo z opredehtvijo procesa po uvedbi informacijske rešitve.
3 PRENOVA PROCESA INFORMIRANJA IN KOMUNICIRANJA NA PRIMERU PROOAJE
Optimalni procesi so za racionalnost poslovanja bistvenega pomena. Odražati morajo kratke izvajalne čase, najboljšo kakovost in poslovanje z najnižjimi stroški. Podjetja morajo posvečati veliko pozornosti smernicam sodobnega poslovnega okolja, ki se v zadnjih letih spreminja bolj, kot kadar koli prej. V prihodnosti bodo uspešna tista podjetja, ki bodo obvladovala informacije z vseh področij, se hitro prilagajala razmeram na trgu in procese ustrezno infor-matizirala (Sirigindi, 2000). Avtorji navajajo različne definicije procesa. Križman in Novak (2002) v svojem delu navajata več avtorjev in definicij, izmed katerih ena definira, da je proces vse, kar delamo, tudi če ni dokumentirano in se ne izvaja vedno po istem postopku. Ugotavljata, da vse definicije spremlja tok dela. Poslovni proces lahko opredeljujemo tudi kot medsebojno ločene nadzorne in izvajalske postopke, katerih rezultat je izdelek ali storitev (Kovačič, 1998). Proces je sestavljen iz aktivnosti, ki na podlagi vhodov ustvari rezultat, pomemben za stranko. Procesa ne prepoznamo po opravilih izvajalcev, pač pa po zaporedju teh opravil, ki jih je treba izvesti, da na izhodu procesa dobimo ustrezne učinke (Hammer, Champy, 1993).
Porterjev model je poznan že dolgo časa, sicer je primeren tudi za današnji čas, vendar menim, da bi potreboval nekatere dopolnitve. Razmere v današnjem gospodarskem okolju od podjetij zahtevajo učinkovite načine informiranja, komuniciranja in
odzivanja na spremembe v okolju. V modelu ne zasledimo poudarjenega pomena teh sestavin, kljub temu da so ključnega pomena pri učinkovitem in uspešnem izvajanju omenjenega niza dejavnosti (slika 6).
		
Temeljni poslovni procesi		
		
	Podporni poslovni procesi	
Slika 6: Proces informiranja in liomuniciranja na primera vre
(Vir: Prirejeno po Porter, 1985.)
! venge
Če se osredinimo na konkretno poslovanje proizvodnega podjetja, hitro ugotovimo, da analitiki potrebujejo prave informacije s trga za pripravo dobrih prodajnih planov in trženjskih načrtov. Ugotovimo tudi, da razvoj potrebuje prave informacije s trga o razvojnih trendih in prodaja ustrezne načine tržnega komuniciranja za doseganje dobrih prodajnih rezultatov. Proizvodni obrat potrebuje učinkovite načine komuniciranja v postopku proizvodnje izdelkov, ravno tako tudi logistika potrebuje učinkovite načine komuniciranja za zagotavljanje kakovostnih storitev. Tudi vzdrževanje potrebuje od kupcev prave informacije za kakovostne storitve. Pri tem se ne smemo osrediniti samo na primarne dejavnosti modela, ravno tako je učinkovita komurükacija potrebna tudi za sekundarne dejavnosti. Proces informiranja in ko-muruciranja ne poteka samo v smeri podjetje-trg in obratno, temveč tudi znotraj podjetja, med posameznimi oddelki.
Zaključujem z ugotovitvijo, da v modelu manjka pomembna komponenta, ki se imenuje pretok informacij in komunikacija. Lahko rečemo, da je proces informiranja in komimiciranja podlaga za izvajanje omenjenega niza dejavnosti in kot tak prispeva k nastajanju nove vrednosti za kupca. V nadaljevanju opredelimo proces informiranja in komuniciranja v konkretnem proizvodnem podjetju pred njegovo prenovo. Opredelitev procesa poteka iz vidika pro-
daje in povezovanja matičnega podjetja z njegovo tržno mrežo povezanih podjetij, predstavništev in zastopnikov.
Podjetje ima široko razvejeno tržno mrežo, zaposluje večje število prodajalcev, ki tržijo izdelke, pri čemer se pretežno poslužujejo osebne prodaje, saj gre za izdelke večjih vrednosti. Pri tem ves čas potrebujejo ustrezno asistenco matičnega podjetja z novimi materiali za pospeševanje prodaje, tehničnimi, pravnimi in administrativnimi nasveti ter svežimi informacijami o novih poslovnih priložnostih in makroekonomski situaciji. Prva oseba, na katero se lahko prodajalci obrnejo za pomoč, je nosilec trga, ki je odgovoren za prodajne rezultate na trgu in glavna povezava tujega podjetja z matičnim podjetjem v Sloveniji. Nosilec trga komurucira s posamezniki v matičnem podjetju, ki so pristojni za reševanje specifičnih problemov in nudenje ustreznih informacij za podporo prodaji na tujih trgih (Interno gradivo podjetja, 2006).
Ugotavljam, da se v podjetju prepletajo centralizirani in decentralizirani komunikacijski vzorci. Z vidika prodaje in povezave matičnega podjetja z njegovo tržno mrežo se pojavljajo vzorci Y-mreže, verige in vsestranskega komunikacijskega kanala (slika 7). Prevladuje pretok informacij od prodajalcev na tujem trgu prek nosilca trga do pristojne osebe v matičnem podjetju in obratno (Interno gradivo podjetja, 2006).
ORGANIZACIJSKA ENOTA NA TUJEM TRGU Prodajalec A	Prodajalec B
Legenda Zaposleni	Q
Pretok informacij ^IZ
MATIČNO PODJETJE
Slika 7: Preuladujoii komunikacijski vzorec v podjetja pred prenovo
(Vir: Prirejeno po Bodwitch, Buono, 2DD5, str. 119.)
PROCES INFORMIRANJA IN KOMUNICIRANJA NA PRIMERU PRODAJE
Legenda
Slika 8: Proces informiranja in komuniciranja na primeru prodaje pred prenovo
(Vir: Interno gradivo podjetja, 2008.)
Na podlagi procesa z vidika avtorja Kovačiča (1998) definiramo proces informiranja in komuniciranja med matičnim podjetjem in njegovo tržno mrežo pred prenovo (slika 8). Vhod v proces so podatki, analitik zbira podatke o poslovnih priložnostih na tujem trgu in jih posreduje nosilcu trga. Nosilec trga posreduje podatke prodajalcem na trgu; če jim predstavljajo ključne informacije za pridobitev posla, začnejo z izvajanjem prodajnih aktivnosti. Nato prejmejo povratne informacije od potencialiüh kupcev in jih posredujejo nosilcu trga, ki svetuje nadaljnje aktivnosti. Podobno poteka tudi proces tehničnega sve-
tovanja, tehručni svetovalec komunicira z nosilcem trga, ki posreduje informacije na trg prodajalcu in obratno. Ravno tako grafični oblikovalec prek nosilca trga posreduje najnovejši promocijski material in prejema povratne informacije iz trga o njegovi kakovosti in uporabnosti. Takšen je prevladujoči proces, pri čemer se dogaja tudi, da prodajalci komunicirajo neposredno z osebami v matičnem podjetju. V vseh primerih sta, poleg osebnega kontakta, glavna medija prenosa informacij telefon in elektronska pošta. Kot vidimo, je proces informiranja in komuniciranja sestavljen iz izvajalskih in nadzornih postopkov pri-
stojnih oseb v podjetju, nosilcev trgov in prodajalcev na tujem trgu. Izhod iz procesa je prodan izdelek ali učinkovita servisna storitev.
Prenovo poslovnih procesov lahko opredelimo kot preverjanje ustreznosti procesov v podjetju v primerjavi z njegovimi potrebami. Prenova se sproži z namenom izboljšanja uspešnosti poslovanja, skrajšanja izvajalnih časov, znižanja stroškov, izboljšanja kakovosti izdelkov ali storitev. Prenova poslovnih procesov je organizacijska metoda, ki zahteva poseg v način poslovanja z namenom doseči učinkovitejše in bolj konkurenčno poslovanje. Pri tem gre za interdisciplinarno delo, vključujoče ljudi različnih znanj, ki vodijo in izvajajo prenovo (Hammer, Champy, 1993). V literaturi zasledimo hipotezo, da je prenovo poslovnih procesov bolje narediti pred uvedbo informacijske rešitve, kar je dokazano najboljši način; zavedati pa se moramo, da to velikokrat ni lahko. Podjetjem se mudi z informatizacijo, prenova je poveza-
na s precejšnjimi stroški in vzame veliko časa, zato se velikokrat zgodi, da se podjetja poslužujejo uvajanja informacijske rešitve, ki med uvajanjem sama po sebi sili k prenovi poslovnih procesov.
V našem primeru je cilj prenove procesa informiranja in komuniciranja vzpostaviti učinkovitejši pretok informacij od tržne mreže do matičnega podjetja in obratno. Prenovljeni proces je definiran kot pretok informacij v standardiziranem okviru neposredno od prodajalca na tujem trgu do pristojne osebe v matičnem podjetju in obratno. Uvedba sodobne informacijske rešitve ekstranet lepo sovpada s prenovljenim procesom, saj vzpostavlja novo informacijsko-komunikacijsko okolje kot osrednji komunikacijski kanal matičnega podjetja in tržne mreže, ki omogoča učinkovitejši pretok informacij. Zakaj se torej v podjetju odločimo za uvedbo eks-traneta oziroma prenovo procesa informiranja in komuniciranja?
Zaposleni	O
Pretok informacij	-
Dodaten pretok	
informacij	
MATIČNO PODJETJE
Slika 9: Komunikacijski vzorec v podjetju po prenovi
(Vir: Prirejeno po Bodwitch, Buono, 2005, str. 119.)
Na podlagi uvedbe ekstraneta naredi podjetje korak k večji decentralizaciji komunikacijskega omrežja, ki ima svoje prednosti v širjenju znanja, večji prilagodljivosti spremembam v okolju in doseganju večje ravni kreativnosti in inovativnosti zaposlenih. Z uporabo novega komunikacijskega medija podjetje skrajša pot informacij, saj se informacije pretakajo od prodajalca na trgu neposredno do pristojne osebe v matičnem podjetju in obratno (slika 9). Ko-
munikacija poteka v standardiziranem okviru, kar zmanjšuje zunanje kulturne vplive in možnost napačnega interpretiranja informacij (Interno gradivo podjetja, 2006). Podjetje do določene mere premaga tudi individualne ovire, kot sta čustvena reakcija in komunikacijska preobremenitev, saj udeleženci v komunikaciji niso v neposrednem stiku, časovno so neodvisni, sporočilo oz. odgovor lahko pripravijo itn. Podjetje lahko vse omenjeno s pridom uporabi
za doseganje organizacijskih ciljev, saj je s stališča organizacije bistvo komunikacije vplivanje na obnašanje posameznikov na način, da bodo delovali v smislu čim boljšega doseganja organizacijskih ciljev (Ferjan, 1998, str. 38).
Prenovljeni proces informiranja in komuniciranja matičnega podjetja s tržno mrežo poteka tako, da analitik objavlja podatke o poslovnih priložnostih s pomočjo spletnega portala in prejema povratne informacije, ki jih na podlagi poročil o izvedenih aktivnostih na posamezni poslovni priložnosti prodajalci posredujejo prek portala. Poleg poglobljenih analiz in arhiviranja podatkov je omogočeno sistematično spremljanje uspešnosti prodajnih aktivnosti po tujih trgih.
Grafični oblikovalec objavlja najnovejši marketin-ški material neposredno na portalu. Ažuriran marke-tinški material je prodajalcem dostopen ob vsakem času, od kjer koli, tudi njegovo naročanje poteka prek portala. Tehnični svetovalec svetuje prek portala, pri čemer se oblikuje seznam najpogostejših vprašanj in odgovorov, ki predstavlja bazo znanja in pomeni manjše število svetovanj, saj lahko uporabnik pridobi odgovore, preden kontaktira svetovalca. Na podlagi objavljenih novih poslovnih priložnosti, količine in vrste naročenega marketinškega materiala ter števila in vrste tehničnih svetovanj so omogočene priprave letnih statistik sklepanja poslov. Podatki so evidentirani v sistemu in imajo možnost izvoza v tabelarične oblike. Vsebine in funkcionalnosti spletne-
ga portala, ki so temelj prenove nekaterih delovnih aktivnosti in načinov informiranja ter komuniciranja med tržno mrežo in matičnim podjetjem, natančneje predstavimo v petem poglavju. Vhod v prenovljeni proces informiranja in komuniciranja so še vedno podatki, na podlagi funkcionalnosti informacijske rešitve je zmanjšano število izvajalskih in nadzornih postopkov, značilnosti medija prispevajo k hitrejšemu pretoku informacij in zagotavljanju učinkovitejše podpore prodajnemu osebju, izhod iz procesa so prodani izdelki ali izvedene servisne storitve (slika 10). Zaradi učinkovitejše podpore prodajnemu osebju, prihranka časa na podlagi funkcionalnosti informacijske rešitve in učinkovitejšega informiranja ter komuniciranja vplivamo na izboljšanje prodajnih rezultatov in zagotavljanje kakovostnejših servisnih storitev za kupca.
Končujemo z ugotovitvijo, da prenovljeni proces informiranja in komuniciranja standardizira načine informiranja in komuniciranja ter tako zmanjšuje vpliv kulturne komponente okolja in s tem zagotavlja hitrejši pretok informacij. Na podlagi učinkovitejšega medija prenosa informacij in furüccionalnosti informacijske rešitve prispeva k boljši informiranosti in podpori prodajnemu osebju na tujih trgih ter kot tak prispeva k boljšim prodajnim rezultatom in kakovostnejšim servisnim storitvam. V nadaljevanju prispevka podrobneje predstavimo analizo informacijskih potreb, modeliranje vsebine informacijske rešitve in njeno konstrukcijo.
PRENOVUEN PROCES INFORMIRANJA IN KOMUNICIRANJA NA PRIMERU PRODAJE
Slika 10 : Proces informiranja in jtomuniciranja na primeru prodaje po prenovi
(Vir: Interno gradivo podjetja, 2006.)
4 NAČRTOVANJE EKSTRANETA
Prenova procesa informiranja in komuniciranja z uvedbo informacijske rešitve ekstranet omogoči hitrejši prenos informacij, standardizacijo posameznih delovnih aktivnosti, prenos dobre prakse in s tem tudi večjo medsebojno povezanost. Pri tem je treba poudariti, da rešitev sama po sebi ne prinaša omenjenih prednosti, če v njeni vsebinski strukturi ni »pravih« informacij. Zaradi tega smo pri načrtovanju ekstraneta namenili veliko pozornosti analizi informacijskih potreb prodajnega osebja na tujih trgih, s ciljem pripraviti kakovostno in predvsem uporabno vsebinsko strukturo portala. Naglo spreminjanje tehnologije ter vse večje in kompleksnejše informacijske rešitve zahtevajo vedno večjo formalizacijo razvojnega procesa. Pozornost se vse bolj pomika v zgodnje razvojne faze, strateško načrtovanje in logično zasnovo. Pri snovanju kakršne koli informacijske rešitve moramo poznati glavni namen vzpostavitve, katere podatke bomo zajeli, katere vire bomo uporabili ter kako bomo omogočili čim hitrejši in enostavnejši dostop do podatkov. Vsaka informacijska rešitev mora biti zasnovana tako, da je čim bolj usmerjena na potrebe uporabnikov, podatki pa morajo biti podani v uporabniku razumljivi in preprosti obliki. Pri snovanju je treba upoštevati načelo, da naj uporabnik dobi tiste podatke, ki jih za svoje delo potrebuje (Kovačič, Vintar, 1994, str. 51).
4.1 Analiza informacijskih potreb
Ciljna skupina uporabnikov ekstraneta je bilo prodajno osebje na tujih trgih. Prvi korak pri analizi informacijskih potreb je bilo natančno preučevanje njihovega vsakodnevnega dela, definiranje delovnih aktivnosti in s tem tudi obstoječe komunikacije z matičnim podjetjem. Pri tem smo si pomagali z anketiranjem in delavnicami, na katerih smo predstavili prednosti projekta in njegovo okvirno zasnovo. Na podlagi tega smo definirali probleme, s katerimi se srečujejo prodajalci na tujih trgih ter njihovi vodje in drugi zaposleni, ki so vključeni v komunikacijo oz. delo s tujim trgom. V nadaljevanju smo tako lahko definirali seznam želenih funkcionalnosti ekstraneta, ki bi olajšale delo prodajnega osebja na tujih trgih in vseh zaposlenih v matičnem podjetju, vključenih v delo s tujim trgom. Poleg funkcionalnosti smo seveda definirali tudi vsebine, ki bi podpirale njihovo delo, pri čemer smo jih razdelili na vsebine z enostransko in dvostransko administracijo. Nekatere vsebine so
dobile značaj dvostranske administracije, kar pomeni pripravo in objavo tudi s strani tržne mreže, ostale smo definirali za pripravo in objavo le s strani matičnega podjetja.
Vsebine, pri katerih smo s pomočjo dvostranske administracije in standardiziranega okvira objave dosegli hitrejši tok informacij med tržno mrežo in matičnim podjetjem, je predvidela za pripravo in objavo tudi tržna mreža. V primeru samo enostranske priprave in objave s strani matičnega podjetja bi bile vsebine iz tržne mreže ponovno posredovane po ustaljenih kanalih komuniciranja v nestrukturirani obliki, kar pomeni, da bi jih bilo treba ponovno preoblikovati in dodati na portal.
Dvostranska administracija je bila torej poleg uvedbe informacijske rešitve vključujoč funkcionalnosti za racionalizacijo posameznih delovnih aktivnosti drugi pogoj za vzpostavitev prenovljenega procesa komuniciranja in informiranja med tržno mrežo in matičnim podjetjem. Analiza informacijskih potreb prodajnega osebja na tujih trgih definira naslednje primarne vsebine ekstraneta: aktualne novice, marketinški material, konkurenca, trgi, projekti/reference, tehnične informacije, seminarji in srečanja, poslovne priložnosti, nove ideje, tržna mreža, forum. Po definiranju vsebine ekstraneta smo se začeli ukvarjati s pripravo njenega modela.
4.2 Modeliranje vsebine
Model splošno opredeljujemo kot sliko izvirnika, ki jo pripravimo in uporabljamo kot sredstvo za pridobivanje spoznanj, preizkušanje brez tveganja za izvirnik in prenos znanj (Kovačič, 1998, str. 99). Cilj modela je zajeti tiste vidike sistema, ki so pomembni za določen namen, ter zanemariti ostale (Heričko, 2001, str. 233). Izbor lastnosti modela je stvar posameznega snovalca ali skupine snovalcev. Odločitev, kaj vključiti v model in česa ne, temelji predvsem na namenu modela (Warboys et al., 1999, str. 41). Zaradi preglednosti so modeli največkrat izražeiu v grafični obliki, saj je pregovorno znano, da slika pove več kot tisoč besed (Yourdon, 1989, str. 134). Večina informacij je povezana z grafičnimi simboli, nekatere so prikazane tudi opisno z besedilom. Uporabnost modela se kaže v njegovi natančnosti, konsistentnosti, primernosti za komuniciranje, preprostosti za spreminjanje in razumljivosti (Heričko, 2001, str. 233).
V našem primeru je šlo za modeliranje vsebine informacijske rešitve, pri čemer smo v grafično bese-
dilni obliki natančneje prikazali in definirali sestavo ter značilnosti posameznih področij informacijske rešitve: vstopno stran in navigacijo, posamezne pod-strani, globino (ravni) dostopa do posameznih informacij, posamezne podvsebine in vrste dokumentov, področja z omejitvami vpogleda, priporočila pri pripravi vsebin, adnunistrativni značaj vsebin, povezave med posameznimi portaliümi stranmi in podstranmi (cross links) ter skrbnike posameznih področij.
Za omenjeni model vsebin smo se odločili zaradi njegove primernosti za komuniciranje in usklajevanje z vodilnim osebami v podjetju ter s posameznimi skrbniki vsebin. Prednost modela vsebin ekstrane-ta je bilo lažje razumevanje ter poenostavitev kompleksnosti; model je predstavljal temelj za konstruiranje informacijske rešitve. Ker v našem primeru ni šlo za modeliranje poslovnega procesa, temveč za modeliranje vsebine informacijske rešitve, je bila temu prilagojena tudi tehnika modeliranja. Na splošno za
tehnike modeliranja velja, da je težko najti optimalno modelirno tehniko. Če tehnika modeliranja ni strogo formalna, je lažja za uporabo, vendar ni primerna za avtomatizacijo. Samo tehnike s strogo določenimi pravili za modeliranje so nedvoumne in primerne za avtomatizacijo in simulacijo. V našem primeru je bilo treba izbrati posamezniku čimbolj razumljivo tehniko, saj smo modelirali vsebino, ki jo je bilo treba predstaviti zaposlenim s slabšim poznavanjem razvoja informacijskih rešitev, poleg tega za modeliranje vsebine niso bile primerne obstoječe tehnike in orodja za modeliranje poslovnih procesov.
Zaradi razumljivosti in specifičnosti modeliranja smo se odločili za grafični izris modela vsebine, vključujoč besedilne opise in nekatera definirana pravila. Model zajema vstopno stran z razporejenimi vsebinskimi področji, posamezna vsebinska področja z definiranimi vsebinami, podvsebinami in dokumenti.
B
H
I Home I Marketing materials| Compelilion | Markelsj References/Proiects| Busines opportunilies|Technical infoimaliiin|Meetings &Trainings| New ideas I__
Sales net
Companies
Representatives
Agents
Search
Motto of the year
Vision
Mission
News
Notifications
Calendar with events and activities over markets
Questionnaires
Forum
Legenda modela vsebin	
Povezava	«
Razvrstitev	*
Priporočila pri pripravi vsebin	
Oznake vsebinskih področij	A,B,C..
Skica 1: Model vsebin - vstopna stran
(Vir: Interno gradivo podjetja, 200G.)
Model vsebin vstopne strani (skica 1) predstavlja izhodišče modeliranja vsebin posameznih vsebinskih področij, ki so označena s črkami. V legendi so opisane grafične oznake, ki se pojavljajo v modelu.
Pri tem gre za oznako povezave, ki pomeni prehod med posameznimi področji, razvrstitev, ki pomeni seznam vsebinsko podobnih elementov, in oznako priporočila za pripravo vsebin.
Skica 2: Model vsebin - primer posameznega vsebinsliega področja
(Vir: Interno gradivo podjetja, 2006.)
Model vsebin posameznega vsebinskega področja (skica 2) definira globino dostopa oz. ravni, na katerih se pojavljajo posamezne informacije. Upoštevajoč kriterije hitrega, preglednega in preprostega dostopa do informacij smo se odločili za največ tri ravni globine, ko dostopimo do želene informacije (Redish, 2003). Poleg tega model vsebuje informacijo o skrbniku vsebin in matrico, v kateri definiramo administrativni značaj vsebin ter morebitne omejitve iz naslova pravic vpogleda tržne mreže ali matičnega podjetja. Tako pripravimo modele vseh definiranih vsebinskih področij, ki nato skupaj z modelom vstopne strani tvorijo celovit model vsebin ekstrane-ta, ki ga predstavimo zaposlenim v tržni mreži in v matičnem podjetju, vključno z vodilnim kadrom, ter
skrbnike posameznih vsebinskih področij. Po uskladitvi in dopolnitvi modela pripravimo natančno matrico pravic vpogleda po vseh bodočili uporabnikih na tržni mreži in v matičnem podjetju.
Ugotavljamo, da model vsebin, v katerem natančneje definiramo vsebinska področja vse do ravni dokumentov, predstavlja podlago za kreiranje matrice pravic vpogleda in je seveda temelj kasnejši konstrukciji rešitve. Če se ne odločimo za razvoj informacijske rešitve po meri, temveč za kupljeno rešitev, nam model omogoča primerjavo in usklajevanje z vsebinskim modelom, ki ga podpira kupljena rešitev. Model vsebin je torej podlaga, na katero apliciramo kupljeno informacijsko rešitev, ali smeriüca, po kateri razvijemo rešitev po meri.
4.3 Konstrukcija ekstraneta
Pri uvajanju programskih rešitev se podjetja pogosto odločajo med nakupom in lastnim razvojem. Predvsem v večjih organizacijah in podjetjih se pojavlja dilema o nakupu ali lastnem razvoju programskih rešitev. V splošnem velja, da se z nakupom precej zniža raven tveganja in skrajša čas uvedbe rešitve, slabosti pa se kažejo v visoki ceni nakupa in omejenosti pri prilagajanju rešitve. Velja pravilo, da je nakup programske rešitve ob normalnih tržnih pogojih upravičen, če pokriva vsaj 80 odstotkov informacijskih potreb obravnavanega področja. Pri tem normalni pogoji pomenijo poleg ustrezne cene tudi pripravljenost ponudnika za sodelovanje pri uvedbi in prilagajanju rešitve (Kovačič, 1999, str. 40).
V podjetju smo že imeli implementiran intranet-ni portal, ki je temeljil na Microsoftovem programskem orodju SharePoint. Zaradi prenosa nekaterih podatkov z obstoječega intranetnega portala je povezljivost rešitve igrala zelo pomembno vlogo. Poleg tega je bila pomembna tudi povezljivost rešitve s programskim paketom Microsoft Office, ki je omogočala dodatne funkcionalnosti in izvoz podatkov v najpogostejše datotečne oblike Microsoft Office, ki so jih zaposleni uporabljali pri delu. Primerjava modela vsebin, ki ga je podpirala programska rešitev z našim predhodno pripravljenim modelom, je rezultirala v 80-odstotnem pokrivanju definiranih informacijskih potreb, kar je bil glavni pogoj za nakup in kasnejšo konstrukcijo portala.
Konstrukcija je torej temeljila na programskem orodju Microsoft SharePoint, ki v izhodišču ponuja glavno portalno stran, imenovano workspace (delovno področje), ki ji lahko dodajamo posamezne straru in podstrani. Portalna stran, kakor tudi vse podstra-ni, nam ponujajo naslednje gradnike (web parts), ki jih uporabljamo pri konstrukciji portala: knjižnico dokumentov, knjižnico slik, sezname dogodkov, novic, nalog, dokumentov, uporabnikov, povezav ter diskusijo in anketo. Vizualno so gradniki sestavljeni iz okvira, naslova in povzetka vsebine. Ko kliknemo na naslov ali povzetek vsebine gradrüka, se pomaknemo »eno raven niže«, na kateri si lahko preberemo vso vsebino, jo spremenimo, dodamo dokument ali komentar glede na to, kakšne so naše uporabniške pravice. V nadaljevanju predstavimo značilnosti posameznih gradnikov (Langfeld et al., 2004, str. 17).
Pri konstrukciji portala gre torej za kreiranje por-talnih strani in podstrani, vključujoč izbiranje, doda-
janje, urejanje in povezovanje posameznih gradnikov (web parts) glede na predhodno definirani model vsebine. Tako oblikovno in vsebinsko kreiramo portal, do katerega dostopimo in ga urejamo prek spletnega brskalnika. Portal nam ponuja tudi analitično orodje, s pomočjo katerega analiziramo po implementaciji uporabo posameznih vsebinskih področij oz. portalnih strani in podstrani ter tudi posamezrüh gradnikov. Rezultati nam služijo za preoblikovanje ah odstranjevanje obstoječih vsebinskih področij in dodajanje novih, s ciljem zagotoviti čim večjo uporabo vsebin (Langfeld et al., 2004, str. 29).
V našem primeru konstruiranja smo se soočali z oblikovno in do določene mere tudi funkcionalno omejenostjo informacijske rešitve. Težko je bilo posegati v oblikovno zasnovo portalnih straiü in gradnikov, saj je ta do določene mere že definirana in jo je mogoče spremeniti le z ustreznim posegom v programsko kodo rešitve. Popolne preslikave modela vsebine na model, ki ga je podpirala informacijska rešitev, ni bilo mogoče narediti, zato je bilo treba do določene mere prilagajati vsebino.
Na podlagi praktične izkušnje lahko sklenem, da je pri omenjenem načinu konstrukcije ključnega pomena za uspešno pripravljen projekt, izbira in povezovanje vsebinsko ustreznih gradnikov, glede na predhodno pripravljeni model vsebine ter prilagajanje vsebine ali programske kode v primeru omejitev funkcionalnosti rešitve. Cilj usklajevanja modela vsebin in modela, ki ga podpira informacijska rešitev, je torej »zadržati« vsaj 80 odstotkov informacijskih potreb uporabnikov, definiranih v predhodno pripravljenem modelu vsebine.
5 IMPLEMENTACIJA PILOTNEGA PROJEKTA
Ko smo zaključili s fazo konstrukcije ekstraneta, ga je bilo treba implementirati. Primarno se uporabljata dva načina uvajanja informacijskih rešitev, hkratno in postopno. Hkratno uvajanje pomeni zagon informacijske rešitve na vseh lokacijah v istem trenutku, medtem ko gre pri postopnem uvajanju za uvajanje na vsaki lokaciji posebej (O'Leary, 2000, str. 151-160). V našem primeru je bilo potrebno uvajanje ekstraneta na 22 lokacijah po svetu, vključujoč prodajna podjetja in predstavništva matičnega podjetja. Zaradi obsežnosti projekta in razlik v obstoječih hitrostih internetnih povezav ter razpoložljivi programski in strojni opremi tržne mreže je bilo smiselno postopno uvajanje informacijske rešitve. K temu je prispeval
tudi zaznani odpor uporabnikov do rešitve, predvsem zaradi strahu pred tem, da gre za sistem, ki je samo še eden izmed načinov nadzora nad njihovim delom. Za začetek postopnega uvajanja smo izbrali prodajno podjetje, v katerem smo implementirali testno verzijo ekstraneta, pri kateri vsa področja še
niso bila v celoti izgrajena in napolnjena z vsebino. Pilotni projekt je vključeval predstavitev sistema in izobraževanje uporabnikov. V nadaljevanju predstavljamo rezultate uporabe ekstraneta po enomesečnem obdobju na podlagi statistike vpogledov, ki se je izračunavala v ozadju informacijske rešitve.
koeficient
pogostosti vpogleda Y 14
12
10-8 — 6 — 4 ._ 2 --
rTI. r-TI, i-n . r-n
I—n . I—tTL
123456789 10 I □ konstruktorji in skrbniki vsebin n zaposleni v podjetju tržne mreže |
Grafikon 1: Primerjava pogostosti vpogledov v vsebine elcstraneta
(Vir: Interno gradivo podjetja, 2006.)
11
Zaporedna številka osebe
V zgornjem grafu je os X označena z zaporednimi številkami od 1 do 11, ki predstavljajo prvih enajst oseb z največjimi vrednostmi vpogledov, rumeni stolpci predstavljajo osebe s seznama konstruktorjev in skrbnikov vsebin, rdeči stolpci pa osebe s seznama zaposlenih v podjetju tržne mreže in matičnega podjetja. Če primerjamo vrednosti, ugotovimo, da so imele le prve tri osebe, ki so bili konstruktorji, precej večje vrednosti vpogledov, kar je logično, saj so največ sodelovali pri konstrukciji. Zanimiva je bila primerjava oseb pod zaporednimi številkami 4 in 5, pri katerih so zaposleni v podjetju
tržne mreže po vrednosti vpogledov le malo zaostajali za skrbniki vsebin. Od zaporedne številke 6 naprej pa so vrednosti vpogledov zaposlenih v podjetju tržne mreže presegali vrednosti skrbnikov vsebin v matičnem podjetju, kar pomeni, da so pogosteje dostopali do vsebin kot pa njihovi skrbniki. Sklenemo lahko z ugotovitvijo, da je bil ekstranet glede na pogostost vpogledov v vsebine s strani zaposlenih v podjetju tržne mreže in matičnega podjetja dobro sprejet, kar je bilo seveda tudi dobro izhodišče za njegov nadaljnji razvoj in implementacijo na preostali tržni mreži.
4% 3% 3
16%
28%
18%
□	Marketinski material
□	Tehnične informacije
□	Forum
□	Konkurenca
■	Tr2na mreža
□	Koš idej E] Trgi
□	Reference
■	Marketinški material/Katalogi
□	Poslovne priložnosti
Grafikon 2: Najpogosteje obiskana vsebinska področja ekstraneta
(Vir: Interno gradivo podjetja, 2006.)
Največji odstotek obiska je zavzemalo področje marketinškega materiala, sledila so mu področja tehničnih informacij, foruma in konkurence. Zelo visoko se je uvrščalo tudi področje koš idej, ki v tistem času še ni bilo v celoti izgrajeno, a je kljub temu po obiskanosti presegalo področje trgov. Ekstranet je bil vsebinsko prilagojen prodajnemu osebju na tujih trgih, zato je logično, da je bila v ospredju obiskanost področij, ki neposredno prispevajo k pospeševanju prodaje. Zanimivo je bilo dejstvo, da je bila obiskanost foruma zelo pogosta v primerjavi z majhnim številom prispevkov. Iz tega dejstva lahko predvidevamo, da zaposleni niso vnašali prispevkov v forum zaradi strahu pred neformalnostjo v formalni organizaciji. Izstopala je slaba obiskanost področij reference in poslovne priložnosti, ki pa sta bili takrat še v fazi izgradnje in polnjenja z vsebino, zato njihovo analiziranje ni bilo smiselno.
Seveda pa se pri vsaki investiciji vprašamo tudi o potrebnih vložkih in koristih, ki nam jih prinaša. V našem primeru smo koristi določili na podlagi časovnih prihrankov pri posamezrüh delovnih aktivnostih. Prihranke smo vrednotili z vrednostjo delovne ure na posameznem delovnem mestu. Lažja je bila ocena vložkov, pri čemer je izstopal strošek načrtovanja in uvajanja, ki je večkrat presegel strošek nakupa rešitve. Investicija naj bi se po naših ocenah pokrila v obdobju treh let. Kvantifikacije omenjenih ocen zaradi zaupnosti podatkov ne navajamo.
V nadaljevanju uvajanja ekstraneta sem kot vodja projekta predlagal strategijo postopnega uvajanja, vključujoč predstavitve sistema in izobraževanje uporabnikov neposredno na tujih trgih po vseh organizacijskih enotah tržne mreže. Na podlagi izkušenj, analize uporabe posameznih vsebinskih področij in anketiranja uporabnikov bi se postopoma čistile slabo obiskane vsebine ter se izboljševale programska oprema in internetne povezave s ciljem zagotavljanja boljšega delovanje informacijske rešitve. Postopek uvajanja naj bi torej potekal sistematično, s postopnim vključevanjem posameznih organizacijskih enot in predstavitvijo ekstraneta, izobraževanjem ter motiviranjem uporabnikov neposredno v organizacijski enoti na tujem trgu. Na drugi strani pa je bilo vodstvo podjetja naklonjeno predvsem strategiji hkratnega uvajanja, ki je pomenila nižje stroške in krajši čas uvajanja. Vsem uporabnikom smo ekstranet predstavili na skupnem srečanju, pri čemer smo jim glede na predhodno določene upo-
rabniške pravice omogočili dostop do vsebin. Kasneje se je izkazalo, da bi bilo resnično potrebno postopno uvajanje informacijske rešitve, saj delovanje in uporaba s strani tržne mreže ni bila najboljša, čemur so seveda botrovale slabe internetne povezave, stanje programske opreme ter slaba izobraženost uporabnikov pri uporabi rešitve. Kasneje so se izvajala naknadna izobraževanja uporabnikov in izboljšave v smeri boljšega delovanja rešitve, kar je bilo precej uspešno, saj se je konstantno izboljševala raven uporabe.
Končujem z ugotovitvijo, da je izbira načina uvajanja informacijske rešitve izrednega pomena za njeno nadaljnjo uspešnost. Ugotovimo lahko ujemanje teoretičnih izhodišč uvajanja informacijskih rešitev z izkušnjami iz praktičnega primera uvedbe ekstraneta. Poleg izbire ustreznega načina uvajanja informacijske rešitve je treba nameniti veliko pozornosti tudi izobraževanju in motiviranju uporabnikov za njeno uporabo. Pri vsem tem pa ne smemo zapostavljati potrebne infrastrukture za njeno delovanje.
6 SKLEP
v prispevku je prikazan praktičen primer razvoja in uvedbe ekstraneta na tržni mreži podjetja, ki sovpada s prenovo procesa informiranja in komuniciranja. Njegova specifičnost je v tem, da gre za portal, ki je vsebinsko prilagojen prodajnemu osebju na tujih trgih matičnega podjetja s ciljem prenoviti proces informiranja in komuniciranja, na tej podlagi pospešiti pretok informacij, omogočiti prihranke časa in tako pozitivno vplivati na prodajne rezultate. Pospeševanje prodaje je torej glavni cilj, h kateremu stremi ekstranet tržne mreže podjetja. Na podlagi uvedbe ekstraneta in s tem seveda prenove procesa naredi podjetje korak k večji decentralizaciji komunikacijskega omrežja, ki ima svoje prednosti v širjenju znanja, večji prilagodljivosti spremembam v okolju in doseganju večje ravni kreativnosti in inovativnosti zaposlenih. Prenovljeni proces informiranja in komuniciranja standardizira načine informiranja in komuniciranja, zmanjšuje vpliv kulturne komponente okolja in s tem zagotavlja hitrejši pretok informacij. Lahko tudi rečemo, da je proces informiranja in komuniciranja podlaga za izvajanje podpornih in temeljnih dejavnosti podjetja in da prispeva k nastajanju nove vrednosti za kupca. Dvostranska administracija je poleg uvedbe informacijske rešitve, vključujoč fimkdonalnosti za racionalizacijo posameznih
delovnih aktivnosti, potreben pogoj za vzpostavitev prenovljenega procesa komuniciranja in informiranja med tržno mrežo in matičnim podjetjem. Načrtovanje ekstraneta zahteva veliko pozornosti. Poudariti je treba način razvoja, pri katerem gre za usklajevanje predhodno pripravljenega modela vsebine z modelom, ki ga podpira kupljena rešitev. Model vsebin, v katerem natančneje definiramo vsebinska področja vse do ravni dokumentov, predstavlja temelj kasnejši konstrukcije rešitve. Model vsebin je dejansko temelj, na katerega apliciramo kupljeno informacijsko rešitev. Pozornost je treba nameniti tudi izbiri pravega načina uvajanja ekstraneta glede na obsežnost projekta in značilnosti podjetja, kar je izrednega pomena za njegovo kasnejšo uspešnost, saj lahko na primeru napačne odločitve ogrozimo uspešnost celotnega projekta.
7 LITERATURA iN VIRI
[1]	Bodwltch, James L., Buono, Anthony F.: A primer on organizational beliaviour. Hobol<en (NJ): Wiley cop., 6th ed., 2005, 458 Str.
[2]	Damij, Talib: Načrtovanje informacijskih sistemov. Univerza v Ljubljani, EF, 1994. 43 str.
[3]	Ferjan, Marko: Poslovno komuniciranje. Založba Moderna organizacija v okviru FOV, Kranj, 1998. 180 str.
[4]	Hammer, M., Champy, J.: Reengineering the Corporation. New York, NY : Harper Collins Books. 1993. 310 str.
[5]
[6]
[7]
[8]
[9]
[10]
[11] [12]
[13]
[14]
[15]
[16]
[17]
[18]
Heričko, Marjana: Modeliranje poslovnih procesov v praksi. Zbornik posvetovanja Dnevi slovenske informatike 2001, Portorož. Ljubljana : Slovensko društvo Infonnatika, 2001, str. 232-238.
Interno gradivo podjetja, 11.5. 2007. KovačiC, Andrej: Informatizacija poslovanja. Ljubljana : Ekonomska fakulteta, 1998. 214 str.
Kovačič, Andrej: Teze in ugotovitve okrogle mize: Najboljše programske rešitve in pravi izvajalci? Uporabna infonnatika, Ljubljana, 7(1999), 2, str. 39-42.
Kovačič, Andrej, Vintar, Mirko: Načrtovanje in gradnja informacijskih sistemov. Ljubljana : Državna založba Slovenije, 1994. 316 str.
Križman, Vojko, Novak, Rajko: Upravljanje poslovnih procesov. Ljubljana : Slovenski inštitut za kakovost In meroslovje, 2002, 108 str.
Langfeld et al.: Microsoft SharePoint 2003 Unleashed. Sams Publishing, 2004. 856 str.
O'Leary, Daniel E.: Enterprise Resource Planning Systems: Systems, Life Cycle, Electronic Commerce and Risk. Cambridge: University Press, 2000. 232 str. Porter, Michael E.: Competitive Advantage: Creating and Sustaining Performance. New York : Free Press, 1985. Redish, Ginny: Šest lastnosti dobrega spletnega mesta. Gospodarski vestnik, Ljubljana, 25(2003), str. 50. Sirigindi, Subba Rao: Enterprise resources planning in reengineering business. Business Process Management Journal, MCB University, 6(2000), 5, str. 376-391. Skidmore, David: Civil Society, Social Capital and Economic Development. Global Society, 15(2001), 1, str. 53-72. Warboys, Brian et al.: Business Information Systems: A Process Approach. London : McGraw-Hill, 1999. 262 str. Yourdon, Edward: Modern Structured Analysis. Englewood Cliffs : Prentice-Hall, 1989. 672 str.
Janez ČernI je vodja kontrolinga v proizvodnem podjetju Bartec Varnost, ki je sestavni del nemške multinacionalke Barteo. Svojo poslovno pot je začel v podjetju Trimo, d. d., v katerem je bil vodja projektov na področju marketinga in razvoja tržne mreže. Leta 2008 je magistriral na Ekonomski fakulteti Univerze v Ljubljani, na smeri poslovna informatika, iz tematike razvoja ekstraneta za potrebe tržne mreže podjetja.
STROKOVNI PRISPEVKI
B Celovit pristop obvladovanja mobilnih naprav
Tadej Prešeren
Krka, d. d., Novo mesto
tadej.preseren@krka.biz
Marko Bajec
Univerza v Ljubljani, Fakulteta za računalništvo in informatiko marko.bajec@fri.uni-lj.si
Izvleček
Namen članka je predstaviti smernice, ki jih je smiselno upoštevati pri vzpostavljanju sistema obvladovanja mobilnih naprav. V članku so predstavljena izhodišča, kako se lotiti upravljanja mobilnih naprav, saj se to področje v zadnjem času izredno hitro razvija. Članek zajema vse ključne korake, ki jih je treba upoštevati. Izdelan je bil pregled standardov ter priporočil na področju varnosti na mobilnih napravah. Podane so smernice, ki jih je smiselno upoštevati pri izdelavi varnostne politike, izdelana pa je tudi analiza tveganj za farmacevtsko podjetje. Podrobno je predstavljen model za upravljanje mobilnih naprav.
Abstract
AN APPROACH TO MANAGEMENT OF MOBILE DEVICES
The field of mobile device management is developing very fast. The purpose of this article is to introduce all key directives that should be .considered when implementing mobile device management. A survey of standards and recommendations on the mobile device security has been elaborated. Relevant guidelines for security policy definition are presented with the risk analysis for mobile device usage. Furthermore, the models for managing mobile devices and tool analysis are explained in detail.
1 UVOD
Vloga sodobne informacijske telinologije (u nadaljeuanju IT) se je od omejene uporabe osnovne IT razvila do razširjene in za poslovanje podjetja pomembne infrastrukture. Investicije v tako infrastrukturo so preveč pomembne, še posebno glede vpliva te infrastrukture na poslovanje in stroške ter tveganja napačnih odločitev, da bi jih prepustili svojemu toku [11. Do tega pojava je prišlo zaradi dejstva, da so sredstva IT za današnje uspešno poslovanje tako pomembna in draga, da jih je treba upravljati, vzdrževati ter nadzorovati. Pndjetja, ki se zavedajo pomembnosti kakovostnega upravljanja sredstev IT, vedo, da ta sredstva predstavljajo temelj za realizacijo poslovne strategije organizacije. Prav tako se zavedajo, da brez učinkovite infrastrukture z visoko razpoložljivostjo ter stalnim zagotavljanjem ustrezne ravni storitev danes ni moč uspešno poslovati.
Pogosto zasledimo, da je področje mobilnih naprav v podjetjih neurejeno. V podjetju, ki ga obravnavamo v prispevku, je v uporabi prek tisoč pametnih mobilnih naprav (npr. pametni mobilni telefoni, dlančniki, zmogljivejši mobilni telefoni ipd.), število pa strmo narašča.
Mobilne naprave delujejo na različnih platformah in zagotavljajo različne funkcionalnosti. V obravnavanem farmacevtskem podjetju je na mobilnih napravah trenutno zagotavljena le storitev elektronske pošte, vendar je lahko kljub temu na mobilnih napravah velika količina zaupnih ali strogo zaupnih podatkov.
Področja obvladovanja mobilnih naprav ter procesa upravljanja konfiguracij na mobilnih napravah trenutno ni mogoče izvajati, pojavljajo se težave predvsem pri uvajanju novih storitev, ker je treba vpokhca-ti v storitveni center (angl. Service Desk) vse mobilne naprave, na katerih bi želeli uporabljati novo storitev. To zahteva velike stroške, nered, nezadovoljstvo uporabnikov, slabo fleksibilnost, nizko odzivnost, ni poročil ter statistik o uporabi ter težavah na mobilnih napravah. V podjetju tudi ni celovitega sistema za varovanje in zaščito informacij v primeru izgube ali kraje mobilne naprave, ki bi ga potrebovali.
Tako mobilne naprave kot tudi njihovo obvladovanje je novo področje v znanosti, ki se intenzivno
razvija v zadnjih dveh desetletjih. Problem obvladovanja večjega števila mobilnih naprav je zanimiv ne samo v farmacevtskem podjetju, temveč v vseh združbah, v katerih jih uporabljajo. Še večji poudarek je pri organizacijah, ki na mobilnih napravah zagotavljajo storitve, povezane z dejavnostjo podjetja (npr. elektronska pošta, mobilne aplikacije - CRM idr.), in imajo informacije na mobilnih napravah še večjo vrednost.
2 INFORMACIJSKA VARNOST NA MOBILNIH NAPRAVAH
Informacijska varnost je področje, ki se ukvarja z varovanjem podatkov pred nepooblaščenim dostopom, uporabo, razkritjem, uničenjem, spremembo ali razpoložljivostjo. Termini informacijska varnost, računalniška varnost ter varnost informacijskih sistemov (angl. Information assurance) se pogosto uporabljajo izmenično. Čeprav vsa tri področja delijo mnoge skupne lastnosti oz. imajo vsa skupen cilj v varovanju zaupnosti, celovitosti ter razpoložljivosti informacij, obstajajo med njimi razlike glede vidika, s katerega pristopajo k tem ciljem in načinov zagotavljanja le-teh.
Definicija varnosti po ISO 17799:2005 se glasi [2]: Informacijska varnost zagotavlja ohranitev zaupnosti, celovitosti in razpoložljivosti informacij; dodatno so lahko vpletene tudi druge lastnosti, kot so istovetnost, odgovornost, preprečevanja nepriznavanja in zanesljivost.
Dostopnost
Slika 1: Trije glavni cilji informacijske varnosti 13)
Varnost informacijskih sistemov pristopa nekoliko drugače, tako da upošteva predvsem varovanje sistemov, ki omogočajo hrambo, procesiranje, predstavitev ali prenos informacij. Dodatno daje pouda-
rek zasebnosti, upoštevanju zakonskih in drugih določil, neprekinjenemu poslovanju ter okrevanju po katastrofi. Računalniška varnost se osredinja na zagotavljanje vame uporabe računalnikov. Osnovni pristop je izdelava računalniških platform, jezikov in programov z vgrajenimi omejitvami, tako da agenti lahko izvedejo le določene akcije. Danes pa vse bolj uveljavlja varnost mobilnih naprav.
2.1 COBIT in varnost mobilnih naprav
v delovnem okviru COBIT področje mobilnih naprav ni obravnavano eksplicitno. Podani so splošni kontrolni cilji. Ker se v nalogi v prvi vrsti osredinjamo na varnost mobilnih naprav, bomo v nadaljevanju podrobneje predstavili proces DS5, ki se ukvarja s kontrolnimi cilji, povezanimi z informacijsko varnostjo.
Sama informacijska varnost je prek kontrolnih ciljev zajeta v posameznih procesih, proces DS5 - zagotovitev varnosti sistemov (angl. Ensure Systems Security) pa varnost obravnava v celoti.
Proces DS5 je sestavljen iz naslednjih področij: DS5.1 - upravljanje varnosti sistemov (angl. Management of IT Security),
DS5.2 - načrt varovanja IT (angl. IT Security Plan),
DS5.3 - upravljanje identitete (angl. Identity Management),
DS5.4 - upravljanje uporabniškega računa (angl. User Account Management), DS5.5 - testiranje, nadzor in spremljanja varovanja (angl. Security Testing, Surveilliance and Monitoring),
DS5.6 - opredelitev varnostnega incidenta (angl. Security Incident Definition), DS5.7 - zaščita varnostne tehnologije (angl. Protection of Security Technology), DS5.8 - upravljanje kriptografskih ključev (angl. Cryptographic Key Management), DS5.9 - preprečevanje in odkrivanje zlonamernih programov in popravljanje (angl. Malicious Software Prevention, Detection and Correction), DS5.10 - omrežna varnost (angl. Network Securi-
ty),
DS5.11 - izmenjava občutljivih podatkov (angl.
Exchange of Sensitive Data).
Ker je vsako področje zelo obširno in je tesno povezano z mobilnimi napravami, je za vsako podan predlog, kaj storiti v primeru mobilnih naprav. Pri vseh predlogih izhajamo iz predpostavke, da je v
organizaciji že vzpostavljen sistem varovanja informacij, da so izdelane varnostne politike itn.
V	upravljanje informacijske varnosti je treba vključiti tudi mobilne naprave. V večini primerov se na mobilne naprave pozabi ter jih ne obravnavamo glede na njihove funkcionalnosti in podatke, ki jih lahko vsebujejo.
V	krovni varnostni politiki je treba pokriti tudi področje mobilnih naprav ter ga podrobneje definirati z varnostno politiko.
Zagotoviti je treba identifikacijo uporabnikov na mobilnih napravah na enak način, kot se uporablja pri drugih IT-sistemih, s pomočjo centralnega repozi-torija. Postopki dodeljevanja pravic morajo biti enaki kot za vse druge sisteme.
Procesov za področje mobilnih naprav ni treba spreminjati, če so v organizaciji definirani. Če v organizaciji procesi niso definirani, jih je priporočljivo definirati in nato dosledno izvajati ter neprestano izboljševati.
Na mobilnih napravah je treba zagotoviti mehanizme, ki bodo omogočali takšno vrsto nadzora. To so tako imenovana menedžment orodja, ki jih je danes na trgu že veliko.
Varnostne incidente je treba defiriirati tudi za mobilne naprave.
Zagotoviti je treba pravočasno ter ažurno posodabljanje mobilnih naprav z zaščito pred zlonamerno kodo in varnostne mehanizme na mobilni napravi, ki bodo omogočali varen način prenosa in dostopa do zaupnih informacij.
2.2 ISO/IEC 27001:2005 in mobilne naprave
Standard ISO/IEC 27001:2005 pokriva tudi področje mobilnih naprav ter dela na daljavo, priporočila pa so predstavljena v nadaljevanju.
Glavni cUj področja je zagotavljati informacijsko varnost pri uporabi mobilnih naprav ter pri delu na daljavo.
Definirati je treba ustrezno varnostno politiko ter primerne varnostne indikatorje za zaščito pred grožnjami pri uporabi mobilnih naprav ter komunikacij.
Priporočila za implementacijo
Pri uporabi mobilnih naprav se je treba zavedati groženj pri delu v nenadzorovanih okoljih ter temu primerno definirati varnostne politike.
Varnostna politika za mobilne naprave mora vsebovati priporočila za fizično zaščito, dostopno
kontrolo, kriptografske tehnike, varnostne kopije, protivirusno zaščito. Politika naj tudi vsebuje pravila in nasvete pri povezavi mobilnih pripomočkov v omrežje ter priporočila uporabe teh pripomočkov na javnih krajih.
Posebno skrb je treba posvetiti uporabi mobilnih naprav na javnih krajih, sejnih sobah ali drugih prostorih zimaj organizacije. Implementirana mora biti zaščita, da ne pride do nepooblaščenega dostopa aU razkritja informacij, shranjenih in obdelanih na mobilnih napravah (kriptografske tehnike ipd.).
Uporabniki mobilnih naprav na javnih krajih morajo tudi paziti na nepooblaščen prevzem nadzora. Zagotoviti je treba zaščito pred zlonamerno kodo, ki mora biti vedno posodobljena.
Varnostno kopiranje kritičnih poslovnih informacij mora biti narejeno pogosto. Oprema mora zagotavljati hitro in varno izvajanje varnostnih kopij. Varnostne kopije morajo biti ustrezno varovane.
Vzpostavljeni morajo biti primerni mehanizmi varovanja mobilnih naprav pri povezavi na internet. Za oddaljen dostop do poslovnih informacij prek javnih omrežij je treba zagotoviti pravilno identifikacijo ter primerne mehanizme za nadzor dostopa.
Mobilne naprave je treba tudi ustrezno fizično zaščititi pred krajo, še posebno v avtomobilu, hotelskih sobah, konferenčnih centrih ipd. V organizaciji je treba vzpostaviti procese za primere kraje mobilnih naprav. Oprema, ki vsebuje pomembne poslovne informacije, mora biti ustrezno varovana in je ni dovoljeno nenadzorovano puščati na javnih krajih.
Priporočljivo je izvesti usposabljanje za uporabnike mobilnih naprav. Predvsem jih je treba seznaniti z nevarnostmi ter možnimi posledicami, da se bodo tudi sami zavedali pomena vgrajenih varnostnih mehanizmov pri uporabi mobilnih naprav.
2.3 Povzetek
Delovni okvir COBIT se ne spušča konkretno na področje mobilnih naprav, definira generične kontrolne cilje za področje informacijske varnosti, ki jih je mogoče uporabiti oz. aplicirati na katerem koli področju. Standard ISO vsebuje tudi poglavje, ki se ukvarja specifično z mobilnimi napravami.
Pri oblikovanju in izvajanju varnostne politike pri mobilnih napravah izredno pomembno vlogo igrata COBIT ter ISO. Definirata osnove in izhodišča, iz katerih je nato definirana varnostna politika, ki je primerna za posamezno organizacijo. Pri definiranju
varnostne politike mobilnih naprav se ni primerno zanašati samo na COBIT ter ISO, pogledati je treba tudi na druge karakteristike družbe (storitve, velikost organizacije, zaupnost informacij na mobilnih napravah, funkcionalnosti mobilnih naprav itn.).
3 VARNOSTNA POLITIKA
Varnostna politika definira odgovore na dejavnike, ki ogrožajo informacijski sistem od zunaj, kot tudi na dejavnike, ki ogrožajo sistem od znotraj. Varnostna politika je program varnosti in je v pristojnosti vodstva. V tem programu so definirani cilji, pravila in odgovornosti v zvezi z varnostjo informacijskih virov podjetja, razni postopki in pravila. Program obsega pravila o fizičnem in tehničnem varovanju ter pravila, s katerimi je določeno, kakšni bodo načini varovanja. Dobra varnostna politika ima dovolj informacij, virov ter ljudi v podjetju. Sestavljena je iz skupka varnostnih pravil, s katerimi morajo biti seznanjeni vsi zaposleni. Ta pravila opredeljujejo način obnašanja, odgovornosti, naloge in splošna pravila za delo zaposlenih [4].
3.1 Analiza tueganj 3.1.1 Osnovni pojmi
Varnostna analiza tveganj je osnovna zahteva standarda ISO 27000, ki je mednarodno priznan kot generični standard za varnost informacijskih sistemov. Analiza tveganj je izdelana na podlagi glavnih aspek-tov informacijske varnosti - zaupnosti, celovitosti ter dostopnosti. Kriterij sprejetosti grožnje je definiran z varnostno politiko organizacije [5].
Obstaja veliko metod ter priporočil za pripravo anaUz tveganj, vse pa vključujejo glavna tri področja:
■	identifikacija groženj ah možnih neželenih incidentov,
■	analiziranje vpliva ter verjetnosti groženj,
■	ovrednotenje grožnje glede na kriterije odobritve. Postopek izdelave analize tveganja vključuje naslednje korake:
■	identifikacija vsebine analize: opis sistema, ki ga bomo obravnavali v analizi;
■	identifikacija groženj: identifikacija možnih scenarijev, ki se lahko zgodijo;
■	analiza vpliva ter verjetnosti pojavitve posamezne grožnje;
■	ocena tveganja: v povezavi z ocenjenim tveganjem ter kriterijem sprejemljivosti;^
° grožnje tveganj: identifikacija in ugotavljanje možnosti groženj.
Analiza tveganj predstavlja formalni pristop za oceno izpostavljenosti. Ugotoviti je treba, katere grožnje pretijo ter kako lahko vplivajo na poslovanje. V nadaljevanju je prikazana analiza tveganja za mobilne naprave. Analiza tveganj je podlaga za izdelavo varnostne politike.
Grožnja je dogodek ali okoliščina, ki bi lahko šla v sistemu narobe (požar, poplava, vdor napadalca, okvara opreme itd.) in bi povzročUa izpad informacijskih virov ter škodo pri poslovanju. Grožnje so navzoče v vsakem informacijskem sistemu [6].
Z analizo tveganj sistematično opredelimo informacijske vire in grožnje, ki jim pretijo, ter tako podrobno spoznamo naravo in strukturo tveganj. Izvedba analize tveganj in poznavanje metodologije ocenjevanja prispevata k razumevanju izpostavljenosti in bistveno pripomoreta h kakovostnim odločitvam poslovodstva o načinu in obsegu obvladovanja tveganj. Ocenjevanje in analiza tveganj je eden od glavnih in prvih korakov, ko ugotavljamo skladnost varovanja podatkov in informacij s skupino standardov ISO 27000. Največkrat se odločimo podrobneje analizirati le zelo velika tveganja, manjša pa sprejmemo [7].
3.1.2 Rezultati analize tveganja
Tabela 2 prikazuje grožnje, ki so bile identificirane med analiziranjem tveganja. Tabela za vsako grožnjo prikazuje ocenjeno verjetnost uresničitve grožnje ter posledice.
Veliko identificiranih groženj je splošnih, predvsem so povezane z mobilnimi napravami ter zaupnimi podatki, seveda pa so v tabeli navedene tudi grožnje, ki so vezane na specifičnost obravnave storitve na mobilni napravi.
V izdelani analizi tveganj smo našli tri grožnje, ki imajo nesprejemljivo raven tveganja, kot je lahko tudi razvidno iz matrike tveganj (tabela 1). Dve izmed teh groženj (8 ter 17) se nanašata na verjetnost pojavitve tveganja, ko je mobilna naprava sočasno povezana iz ene možne povezave v varno, nadzorovano omrežje, z drugo možno povezavo pa sočasno na javni internet in je tako izpostavljena tveganjem z interneta. Ta grožnja predstavlja zelo veliko tveganje, kajti na ta način je potencialnemu napadalcu odprta prosta pot do internega omrežja podjetja.
Kriterij sprejemljivosti pomeni stopnjo grožnje, Itatere se zavedamo, vendar jo sprejmemo in za njo stojimo.
Tabela 1: Matrika tveganj za storitev eleiitronslie poite, v liateri so priiiazane tudi različne ravni tveganj (brezpredmetno, majlino, zmerno, visoko)
Uerjetnost	Posledice Zelo majbne	Majhne	Srednje	Uelike	Zelo velike
Zelo majhna				7	
Majhna	16		18,19	g	4
Srednja	11		14	1,3,12,15	
Velika	13		2,6	5,8	
Zelo velika				17	
Pri identifikaciji možnih groženj je treba upošte- kritičnih informacij. Zavedati se je treba groženj in vati predvsem to, da so mobilne naprave vse bolj začeti izvajati aktivnosti. Sprememb ni mogoče nare-zmogljive ter da na njih narašča količina poslovno diti v trenutku, temveč je za to potreben čas [8].
Slika 2: Grožnje na mobilnih napravali___
Zap, št. Grožnja_
1	Mobilna naprava z aktivnim klientom se lahko izgubi ali pa jo ukrade tretja oseba, ki lahko v imenu uporabnika pridobi določene informacije ter pošilja/ _prejema elektronsko poäto v imenu uporabnika._
2	Ugasnjeno mobilno napravo lahko nepooblaščena oseba najde ali ukrade - uporabnik ostane brez mobilne naprave._
3	Ugasnjeno mobilno napravo lahko najde ali ukrade nepooblaščena oseba. Nepooblaščena oseba lahko poskuša resetirati PIN-kodo ali kako drugače priti _do podatkov, shranjenih na mobilni napravi._
4	Ugasnjeno mobilno napravo lahko najde ali ukrade nepooblaščena oseba. Nepooblaščena oseba lahko poskuša priti do klientovega gesla. Pri tej grožnji _predpostavljamo, da je nepooblaščeni osebi že uspelo ugotoviti PIN-kodo._
5	Izguba zunanje spominske kartice, na kateri so shranjeni zaupni podatki. Podatki so lahko razkriti nepooblaščenim osebam - kršenje zaupnosti podatkov. B Izguba zunanje spominske kartice, na kateri so shranjeni zaupni podatki. Podatki so izgubljeni in nedostopni._
7	Prejem virusa na mobilno napravo pri sinhronizaciji podatkov s PC._
8	Povezave prek bluetootha ali druge storitve oz. omrežja, ki dostavljajo podatke od zunaj (SMS, MMS, Infrared), lahko dajo poln dostop do storitev na _mobilni napravi. Metode napada so lahko prepis podatkov, zloraba slabosti protokolov idr, storitve, ki lahko spremenijo konfiguracijo naprave [SMS).
9	Nepooblaščeni uporabniki lahko mobilno napravo najdejo oz. jo za kratek čas ukradejo ter spremenijo konfiguracijo naprave, npr vklopijo bluetooth. _To lahko nepooblaščenim osebam omogoči dostop do storitev ali Izrabo pomanjkljivosti protokolov [gl. grožnjo 8)._
10	Kršenje interne varnostne politike ter nenamerno povezovanje internega omrežja [npr. prek WIR] ter zunanjega omrežja [npr prek GSM/GPRS). _S tem se celotno interno omrežje odpre za zunanje napadalce in omogoči nekontroliran prenos podatkov iz internega omrežja v zunanje omrežje.
11	Mobilna naprava je ves čas povezana na internet [npr. prek GPRS) ter tako izpostavljena vsem mogočim grožnjam z Interneta, npr prenehanje _delovanja storitve._
12	Mobilna naprava je ves čas povezana na internet [npr prek GPRS) ter tako izpostavljena vsem mogočim grožnjam z Interneta, npr. nepooblaščene _osebe lahko pošiljajo elektronsko pošto v Imenu uporabnika, jo berejo, odgovarjajo. To predstavlja kršitev zaupnosti, integritete ter dostopnosti.
13	ISA-strežnIk, prek katerega je objavljena storitev elektronske pošte, je lahko zlorabljen s strani nepooblaščenih oseb, ker se nahaja v DMZ. Storitev _ni dostopna oz. ne deluje._____
14	ISA-strežnik, prek katerega je objavljena storitev elektronske pošte, je lahko zlorabljen s strani nepooblaščenih oseb, ker se nahaja v DMZ. Sporočila _niso poslana naprej oz. niso poslana ob pravem času. _____
15	Obstajajo občutljivi podatki, shranjeni na mobilni napravi. Podatki so zlorabljeni, s tem je povzročena kršitev zaupnosti, če mobilno napravo uporabi _nepooblaščena oseba._____
16	Zloraba strežnika LDAR
_Nepooblaščena oseba lahko spremeni uporabniško ime in geslo, storitev uporabniku ne deluje več._
17	Mobilni uporabnik se lahko premika Iz nadzorovane cone v nenadzorovano [uporaba brezžičnega omrežja). Mobilna uporaba je lahko uporabljena kot mehanizem za komunikacijo oz. prenos podatkov med nadzorovano in nenadzorovano cono. Poleg prenosa podatkov se v nadzorovano okolje lahko prenese tudi neželena programska oprema ali virus, ki lahko okuži nadzorovano okolje oz. okolje podjetja._
18	Storitve niso dostopne, ker se uporabnik giblje zunaj dosega GSM/GPRS-omrežja._
19	Storitve niso dostopne, ker se uporabnik giblje na območjih, kjer je uporaba mobilnih naprav prepovedana [bolnišnice, letala idr)._
Grožnja 10 ni bila upoštevana v analizi tveganj, kajti ni bilo mogoče objektivno oceniti verjetnosti pojavitve.
4 MODEL UPRAVUANJA MOBILNIH NAPRAV
4.1	Uvod
Natančno definiran koncept termina upravljanje z napravami - »device management« - pomaga pri razvoju mehanizmov za upravljanje oz. je ključen zanj. Upravljanje naprav lahko obravnavamo kot storitev, ki omogoča uporabniku, da upravlja z vsemi mobilnimi napravami kot celoto [9]. Zajema vse vrste komunikacijskih naprav kot velik virtualni terminal z mnogimi vhodnimi in izhodnimi zmogljivostmi in predstavlja, kako neprestano vzdrževati, opazovati in posodabljati konfiguracijo virtualnih terminalov, kako poteka distribucija podatkov, nastavitev ter konfiguracij na ciljne naprave.
V nadaljevanju predstavljamo pregled obstoječih tehnik in sistemov implementacije za upravljanje z napravami. Združen je v celoto in predstavlja splošni model.
4.2	Arhitektura splošnega sistema za upravljanje mobilnih naprav
Za zadostitev vseh zahtev, predstavljenih v predhodnem poglavju, je tu predstavljen koncept arhitek-
ture sistema za upravljanje z mobilnimi napravami. V predstavitvi so ločene upravljavske ter izvajalske funkcionalnosti. Arhitektura zajema tudi funkcionalnosti za aplikacijski strežnik za upravljanje nekaterih zmožnosti IMS.
Pregled arhitekture
Kot prikazuje slika 3, je sistem sestavljen iz Master Device Management Serverja (MDMS), Device Management Execution Unit (DMEU), aplikacijskega strežnika (AS) ter pripadajoče infrastrukture IMS (IP multimedia subsystem). MDMS je komponenta arhitekture, ki je glavna za definiranje globalnih upravljavskih politik v obravnavanem okolju. MDMS tudi sodeluje z aplikacijskim strežnikom in drugimi zunanjimi entitetami.
Master Device Management Server - MDMS Sistem je mogoče definirati tako, da operaterji definirajo domene upravljanja. Lahko se upravlja več domen (grupirane različne mobilne naprave, različni tipi uporabnikov itn.), vendar pa je treba za vsako domeno zagotoviti po en sistem MDMS.
strežnik MDMS
m
IF1
N

Aplikacijski strežnik
IF4
* __
— ^
Infrastruktura IMS
/
----- /---
's
Dostopna omrežja
\ .
\
\
□ ost
Slika 3: Arhitektura sistema za upravljanje z mobilnimi i
ni 1101
DMFU
Na spodnji sliki so predstavljene funkcionalnosti sisten\a MDMS.
Vmesnik za ugotavljanje pnsob)östitispmv
DMEU


/^liteicijski strežnik
Slika 4: Funkcionalnosti lUDMS
Sistem MDMS vsebuje naslednje funkcionalnosti:
1.	Odkrivanje naprav
2.	Upravljanje s politikami
3.	Diagnosticiranje oddaljenih naprav
4.	Pridobivanje zmožnosti mobilnih naprav
5.	Zagotavljanje storitev ter opazovanje pravilnosti delovanja storitev
6.	Upravljanje strojnih programskih/programskih komponent
Device Management Execution Unit - DMEU
DMEU je vmesni med celotno arhitekturo za upravljanje in mobilno napravo. Zaradi heterogenosti mobilnih naprav ter podprtih upravljavskih protokolov, mora DMEU podpirati veliko vmesnikov. SNMP je široko podprt pri stacionarnih napravah, kot so PC, OMA DM pa se osredinja na mobilne naprave. Podprti so tudi nekateri drugi upravljavski protokoli, kot je WBEM. DMEU je lahko postavljen tako, da skrbi samo za individualno vrsto naprave. Vsak DMEU lahko uporablja protokol, ki kar najbolje ustreza tipu naprav, ki jih podpira (npr. ena enota DMEU je namenjena oWladovanju mobilnih naprav, druga je za prenosne računalnike). Ena DMEU enota lahko podpira tudi več protokolov.
Aplikacijski strežnik - AS
AS ni neposredno povezan z operacijami upravljanja naprav. AS predstavlja upravljavske zahteve ter jih sporoča sistemu MDMS, vse upravljavske operacije so izvršene s pomočjo MDMS ter DMEU. AS ne po-
trebuje znanja o posameznih protokolih upravljanja, temveč skrbi le za zagotavljanje storitve (posredovanje zahtev).
Infrastruktura IMS
Z vidika upravljanja mobUnih naprav je IMS osnova za zagotavljanje določenih zmogljivosti (kontrola SIP), kot so polnjenje, avtentikacija, kompresija, preusmerjanje. IMS zagotavlja komunikacijo med upravljalskim strežnikom ter napravo in zagotavlja funkcionalnost odkrivanje naprav ter drugih podprtih kompetenc.
Vmesniki
Kot je prikazano na sliki 4, sta IFl - vmesnik med MDMS in AS - ter vmesnik IF2 - vmesnik med MDMS in DMEU - lahko implementirana kot spletna storitev [11] ter opisana z Web Service Description Language (WSDL) [12].
Operacije vmesnika IFl so namenjene zagotavljanju boljših storitev. AS potrebuje informacije o napravi vključno s konfiguracijo naprave ter zmogljivostmi naprave (verzija programske opreme, podprtih storitev idr.) prek IFl. AS konfigurira naprave, povezane z informacijami o napravi, vključno z nastavitvami parametrov ter nameščanjem potrebruh posodobitev. AS sledi tudi statusu storitev in vrača poročila, ko se uporablja storitev. Operacije IF2 se servisirajo z namenom sodelovanja med MDMD ter DMEU, ki vključuje poizvedovanje po politikah, poročila izvajanja ter asinhrono obveščanje. Poizvedovanje po politikah omogoča dostavo upravljavske politike iz
MDMS V DMEU. Poročilo izvedbe politike je posredovano nazaj v sistem MDMS. Asinhrone notifikacije prenašajo asinhrone dogodke, npr. pomembna informacija iz naprave je posredovana v sistem MDMS.
Vmesniki med infrastrukturo IMS ter drugimi elementi - IF3 ter IF4 - se prilagajajo specifikacijam IMS glede na scenarije implementacije.
Možnosti integracije več funkcionalnosti IMS v upravljanje naprav
Prednost IMS je integracija funkcionalnosti SIP skupaj v celoto ter servisiranje multimedijske storitve. Nobeden od SNMP, WBEM ali OMA DM ne vpliva
na SIP neposredno in tudi ne more neposredno uporabljati funkcionalnosti IMS. Možen pristop je, da se razvije nov protokol za upravljanje, ki je osnovan na protokolu SIP z razširjanjem nekaj metod ter glav [13]. Vendar rü eksplicitnih tehničnih razlogov za razvijanje novega protokola. Naslednji mogoči pristop je dodajanje mehanizmov SIP v obstoječe rešitve za izboljšanje performans.
4.3 Primerjana produktov na trgu
v predhodnem poglavju je predstavljen splošen sistem - idealen sistem, v nadaljevanju pa so predstavljeni štirje produkti, ki jih je mogoče kupiti na trgu.
Tabela 2: Primerjalna tabela prednosti in slabosti produktov na trgu
	C h ■■ k M L- 1 >11-		System Center Mobile Device	
	tfyuaac iniiyn Afaria 6.0	iicre Hunia iHwiiiayiib Device		2007
Podpora končnim oporabnikom 32-bit Windows konnpatibilni				
Windows PPC 2000/2002/2003	D	D	0	D
Windows Mobile 5/6/6.1	D	D	D	D
Sony Ericsson MB00i/P1i	D	D	N	D
Nokia E Si N Series	D	D	N	D
Integracija s SCCM-jem	D	D	D	N
Funkcionalosti, podprte na podprtih platformah Windows Mobile/Symbian				
Nameščanje agenta po zraku	D	D	D	N
Zbiranje vseh podatkov o napravah	D	D	D	N
Distribucija programske opreme	D	D	D	N
Distribucija dokumentov	D	D	N	N
Konfiguriranje mobilnih naprav	D	D	D	N
Vsiljevanje varnostnih politik na mobilne naprave	D	D	D	D
Kriptiranje datoteke ali mape na napravi	D	D	0	N
Oddaljeno zaklepanje mobilne naprave	D	D	D	D
Oddaljeno resetiranje naprave na tovarniške nastavitve	D	D	D	D
izdelovanje varnostnih kopij mobilne naprave	D	D	D	N
Izdelovanje skript za mobilne naprave	D	D	D	N
Podpora ob neuspešni sinhronizaciji	D	D	D	N
Kompresija	D	D	D	N
Ponastavljanje točke povrnitve stanja na mobilni napravi	D	D	D	N
Sinhronizacija samo spremenjenih podatkov	D	D	N	N
Konfiguracija pasovne širine na posamezni mobilni napravi	0	D	N	N
Granualna enkripcija podatkov pri sinhronizaciji: control channel/package/file	D	D	D	N
Dinamična podpora skupinam glede na hardware/software	D	N	D	N
Push distribucija	SMS, IP	SMS, iP	SMS	N
Podpora za upravljanje osebnih podatkov (personal information manager-PIM) N		D	N	N
Podpora integraciji z aktivnim imenikom podjetja	IDAR AD	LDAR AD	LDAR AD	N
Generiranje poročil	D	D	D	N
Beleženje dogodkov, ki se izvajajo na napravah	D	N	D	N
Zunanje in PDA sinhroniziranje podatkovne baze	D	0	N	N
Produkti so si v splošnem med sabo zelo podobni, izstopa le upravljanje mobilnih naprav z orodjem Microsoft Exchange 2007. Omogoča predvsem vsiljevanje politik na naprave ter oddaljeno brisanje podatkov na mobilni napravi, medtem ko ne podpira drugih funkcionalnosti. Vse zgoraj navedene funkcionalnosti podpira na ključnih platformah mobilnih naprav (Windows Mobile, Symbian).
5 VPEUAVA CELOVITEGA PRISTOPA ODVLAOOVANJA MODILNIH NAPRAV
Poglavje prikazuje vse aktivnosti, ki jih je treba upoštevati pri uvajanju sistema obvladovanja (upravljanja) mobilnih naprav. Slika 5 prikazuje diagram poteka aktivnosti. Potek aktivnosti ni pravilo, ki se ga je treba nujno držati, so le priporočila in usmeritve za druga podjetja oz. organizacije, ki se bodo srečevali s podobnim problemom.
Proces se začne izvajati takrat, ko se pojavi dovolj velika potreba po upravljanju obilnih naprav. To se ne more zgoditi v kratkem časovnem intervalu, potreben je določen čas, da potrebe dozorijo.
Ko potrebe dozorijo, je treba definirati temelje uspešnega upravljanja mobilnih naprav, in sicer je to varnostna politika, nato trenutni podprti nabor stori-
tev na mobilnih napravah ter trendi na področju storitev na mobilnih napravah. Definirati je treba tudi platformo strojne opreme in programske opreme (operacijski sistemi), ki jih bomo uporabljali v podjetju. Platforma mora biti zastavljena tako, da predvideva zamenjavo modela mobilne naprave z novejšim.
Ko so definirani temelji in okvirna pričakovanja (cilji) orodja za upravljanje mobilnih naprav, je priporočljivo izvesti analizo produktov na trgu ter izbrati najugodnejšega oz. tistega, ki najbolje pokriva vse zahteve.
Ko je produkt izbran, je treba zagotoviti uspešno implementacijo orodja v obstoječo infrastrukturo podjetja in po možnosti zagotoviti integracijo orodja z drugimi orodji za upravljanje (npr. orodje za upravljanje delovnih postaj, strežnikov itn.).
Na koncu seveda sledi testiranje sistema ter uporaba v produkciji. Ko se sistem nekaj časa uporablja, se pojavijo tudi problemi oz. stvari, ki jih je treba popraviti ali izboljšati. Za to poskrbi aktivnost obvladovanja sprememb nad sistemom, s katero zagotovimo sledljivost vseh sprememb nad sistemom. Proces se ne sme nikoli končati, neprestano je treba spremljati delovanje sistema ter ustrezno ukrepati pri odstopanjih od pričakovanj.
Identifikacija potrebe po upravljanju mobilnih naprav
Testiranje		Uporaba sistema
		
Definiranje varnostne politike za področje mobilnih naprav
Implementacija in integracija v obstoječo IT infrastrukturo
Obvladovanje sprememb nad sistemom
Definiranje nabora trenutnih storitev na mobilnih napravah
Izbor produkta in dobavitelja
		
Določitev HW in SW platforme		Analiza produktov na trgu
Slika 5: Prikaz poteka aktivnosti pri uvajanju sistema v organizacijo
6 SKLEP
Problem lahko rešimo šele takrat, ko se zavedamo, da obstaja. Pogledati je treba po organizaciji in prešteti, koliko različnih modelov mobilnih naprav uporabljamo. Brez pravega pristopa in brez pravega sistema upravljanja mobilnih naprav bodo podjetja težko preprečila odtekanje oz. krajo zaupnih informacij iz mobilnih naprav.
Podjetja se bodo morala soočiti z velikim naborom različnih platform mobilnih naprav. 2a začetek uspešnega obvladovanja mobilnih naprav bodo morala podjetja definirati standarde, kot je napisal Gold v enem od svojih zaključkov: »Standardizacija platforme bo pomagala - vendar ne popolnoma izolirala organizacijo pred raznolikostjo mobilnih naprav. Organizacije bodo morale posodabljati mobilno strategijo prihodnja leta, da bodo zmožne uporabljati tehnologije za izboljšanje produktivnosti, varnosti itn. [14].
Obvladovanje mobilnih naprav v podjetju bo uspešno in bo imelo pozitivne učinke za podjetje, če se bomo pri samem pristopu definirali dobre temelje, na katerih bomo gradili celoten pristop. Dober temelj je dobro definiran in fleksibilen standard mobilnih naprav, ki ga je treba dosledno upoštevati.
Članek prikazuje pristop obvladovanja mobilnih naprav v podjetju, ki mu bo prinesel nižje stroške upravljanja z mobilnimi napravami, zmanjšale se bodo varnostne grožnje, povečala se bo produktivnost uporabnikov. Cilj pa je bil tudi zagotoviti povečanje ravni varnosti, ne da bi se poslabšala uporabniška izkušnja. Delo prikazuje predvsem probleme ter nakazuje možne rešitve.
Z varnostjo se je treba spoprijeti na vseh ravneh poslovanja in se ji dnevno posvečati. Ključnega pomena so stalni pregledi sistema in njegovo izboljševanje, saj lahko le tako zagotavljamo varnost informacijskega sistema v vsakem trenutku, ne glede na spremembe, ki nastajajo v procesih in sredstvih. Ključni dejavnik vpeljave sistema za upravljanje in-
formacijske varnosti so zaposleni, vključno z upravo in vodstvom, ki morajo sprejeti varnostno politiko.
Ker se mobilne tehnologije izredno hitro spreminjajo, je treba biti pri definiranju celovitih pristopov previden. V članku predstavljeni pristop bi bilo treba v praksi čim večkrat preizkusiti in ga dopolniti ter spremeniti glede na novo pridobljene izkušnje.
7 LITERATURA
[1]	Renkema, Theo J. W.: The IT value quest: how to capture the business value of IT-based infrastructure. Chichester, England: John Wiley & Sons Ltd, 2000.
[2]	ISO 17799:2005 Infonnation technology - Security techniques - Code of practice for information security management. Geneva: ISO/IEC, 2005,115 str.
[3]	ISO 27001:2005 Information technology - Security techniques - Information security management systems - Requirements. Geneva: ISO/IEC, 2005, 34 str.
[4]	Petrovič, Damjan: 'Analiza informacijske varnostne politike v Agenciji RS za kmetijske trge In razvoj podeželja. Diplomsko delo. Univerza v Ljubljani, Ekonomska fakulteta, 2007.
[5]	Bfnes, Erlend et al.: Risk analysis of information security in a mobile instant messaging and presence system for healthcare, International Journal of Medical Informatics (2006), doi:10.1016/j.ijmedinf. (2. 6. 2006)
[6]	Calder, Alan, Watkins, Steve: 'International IT Governance: An Executive Guide to ISO 17799/ISO 27001', Kogan Page Limited, 2006.
[7]	Potočnik, Marko: Analiza tveganja za odločanje o ravni varovanja informacij. Varnostni forum. Ljubljana, 2006. Str. 12.
[8]	Schultz, E. Eugene: 'Mobile computing: The Next Pandora's Box", Computers & Security. Letnik 2007, vol. 26, št. 3, str. 187.
[9]	Van Thanh, D., Jonvik, T, Vanem, E., Van Tran, D., Audestad, J. A.: The device management service. In: Proceedings of IEEE Intelligent Network Workshop, Boston, US, 2001.
[10]	Jun Ma, Jianxin Liao, Xiaomin Zhu: Device management in the IMS, Journal of Network and Systems Management, Springer Netherlands, Vol. 16, št. 1, str 46-62, marec 2008.
[11]	Karl, G., Stephen, G., Heather, K., James, S.: Introduction to Web services architecture. IBM Syst. J. 41 (2), 170-177, 2002.
[12]	W3C, Web Services Description Language (WSDL), http:// www.w3.org.
[13]	State, R., Frestor, O.: Management of wireless dynamic infrastructures. In: proceedings of the Eighth IEEE International Symposium on Computer and Communications, Kemer-An-talya, Turkey, 2003.
[14]	R. Hickey, Mobile device trends: Security, consolidation and more, SearchMobileComputing.com, Maj 2006.
Tadej Prešeren je leta 200B diplomiral na Fakulteti za računalništvo in informatiko Univerze v Ljubljani in tam leta 200B tudi magistriral na programu Informacijski sistemi in odločanje. Leta 2007 se je zaposlil v podjetju Krka, d. d.. Novo mesto v sektorju za informacijske tehnologije in telekomunikacije, kjer skrbi za delovne postaje, mobilne naprave in vodi številne projekte na področju zaščite podatkov, uvedbe orodja za upravljanja mobilnih naprav, virtualizacije aplikacij ter
uvedbe poenotenih komunikacij. S svojimi prispevki sodeluje na srečanjih in posvetovanjih.
■
Marko Bajec je zaposlen kot docent na Fakulteti za računalništvo in informatiko Univerza v Ljubljani, kjer predava predmete s področja informacijskih sistemov. Raziskovalno in v praksi se ukvarja predvsem s področji, kot so načrtovanje in uvajanje metodologij razvoja informacijskih sistemov (poudarek na uporabi sodobnih pristopov ter najboljših praks), strateško planiranje informatike, poslovno modeliranje, elektronsko poslovanje ter v zadnjem času analiza podatkov in odkrivanje anomalij. Je član več strokovnih in znanstvenih združenj. Svoje delo objavlja v domačem in mednarodnem prostoru.
STROKOVNI PRISPEVKI
B Zaščita negotovinskih oblik plačevanja
Aleš Zelenik, Zdenko Mezgec
Margento RGD, d. o. o., Gosposvetska cesta 84, 2000 Maribor ales.zelenik@margento.com, zdenko.mezgec@margento.com
Izvleček
Negotovinske oblike plačevanja se vse bolj uveljavljajo. Pri tem je treba zagotoviti visoko raven varnosti, saj skozi negotovinske sisteme prehajajo velike količine denarja. Pomemben korak pri tem so naredili glavni izdajatelji plačilnih kartic s specifikacijami EMV, ki naj bi stopile v veljavo leta 2011. Članek podrobneje predstavi postopke, ki jih zahtevajo specifikacije EMV, kot tudi druge zahteve, ki jih morajo izpolniti udeleženci negotovinskih sistemov. Poleg kartičnega poslovanja je predstavljeno tudi alternativno negotovinsko plačevanje z uporabo mobilnega telefona. Pri tem so opisane zaščite in njihova podobnost z zaščitami pri kartičnem poslovanju.
Ključne besede: negotovinsko plačevanje, plačilne kartice, EMV, zaščita, mobilno plačevanje, Margento, zaščita.
Abstract
CASHLESS PAYMENT SECURITY
Nowadays, more and more people use systems that provide cashless payments. With cashless payment, it is necessary to ensure a high level of security, because through these systems huge amounts of money are transferred every day. Main payment card issuers had made a huge step ahead, with EMV specifications, which should come into force in 2011. The article presents in detail the procedures required by the EMV specifications, as well as other requirements that providers of cashless systems must meet. In addition, an alternative cashless system is presented, that is, payments with user's mobile phone. It describes the level of protection and its similarity with the security features of card payments. Keywords: cashless payment, payment cards, EMV, security, mobile payment, Margento, security.
1 UVOD
Danes smn priča velikemu razmahu negotovinskih ohlik plačevanja, ki z vsakim dnem privabijo nove uporabnike. Nekateri izmed njih so odločeni, da bodo iz gole radovednosti le preizkusili novi način plačevanja in nato še naprej uporabljali stari preverjeni način plačevanja z denarjem, vendar jih po prvi uporabi preprosta uporaba negotovinskih oblik plačevanja velikokrat pritegne in postanejo redni uporabniki. S takšnim načinom se število uporabnikov nezadržno veča, s tem pa se povečuje tudi skupni tok denarja, ki prehaja skozi negotovinske sisteme.
Velike vsote denarja pa vedno privabijo nepridiprave, ki želijo delež tega denarja zase. Tega se proizvajalci in razvijalci negotovinskih plačilnih sistemov dobro zavedajo, zato poskušajo storiti vse, kar je v njihovi moči, da bi raznim nepridipravom onemogočili delovanje. Žal ni popolne varnosti, zato je vzdrževanje visoke ravni varnosti tekmovanje med tistinü, ki razvijajo varnostne mehanizme, in tistimi, ki hočejo zaobiti te meharüzme.
S pojavom računalnikov in naprednejših šifrirnih postopkov se je tekmovanje zaostrilo, saj morajo na trg zaradi vse višje procesorske moči^ prihajati nove
Moorov zakon: procesorska moC se podvoji vsakih 18 mesecev.
oblike zaščite ter novi predvsem procesorsko zahtevnejši algoritmi. Problem v zagotavljanju varnosti se dodatno povečuje zaradi odprte politike finančnih ustanov, ki dovoljujejo neposreden dostop do posameznih finančnih storitev. Rezultat tega predstavlja neskončno iskanje novih oz. izboljšanih varnostnih sistemov s čim višjimi ravnmi zaščite.
2 PLAČILNE KARTICE
Najbolj pogost in uveljavljen način negotovinskega plačevanja so plačilne kartice. Prve so se pojavile v začetku dvajsetega stoletja v Ameriki. Za njihovo uporabo so zaslužne velike naftne družbe, verige hotelov in velikih trgovin, ki so jih začele izdajati svojim večjim potrošnikom [10]. Podjetje Diners Club je leta 1950 izdalo prvo pravo plačilno kartico, s katero je bilo sprva mogoče plačevati hrano v štirinajstih restavracijah v New Yorku. Zaradi velikega uspeha kartic Diners Cluba so se finančne ustanove kmalu odločile, da ustvarijo svoje plačilne kartice. Tako je Bank of America leta 1958 izdala svojo plačilno kartico BankAmericard, leta 1966 pa je konkurenčna Interbarik Card Assosiation začela izdajati svoje plačilne kartice Master Charge: The Interbank Card. Ti dve organizaciji sta predhodnici izdajateljev današ-
STROKOVNI PRISPEVKI
njih najbolj razširjenih plačilnih kartic VISA in MasterCard [12].
Prve kartice so bile natisnjene na papirju, kar je zadoščalo le za najnižjo stopnjo varnosti, zato so jih hitro zamenjale plastične kartice. Številko računa na plastičnih karticah so kmalu začeli izpisovati reliefno, kar je omogočilo prvi korak k avtomatizaciji plačevanja [11]. Leta 1970 so karticam zaradi varnosti in možnosti strojnega obdelovanja podatkov na zadnjo stran dodali magnetni trak. Tako so kartice z odobritvijo standardov postale del informacijske dobe. Ker so podatki znotraj magnetnega zapisa prosto dostopni, se je uvedla osebna identifikacijska številka, imenovana PIN, poleg nje pa se je na zadnji strani kartice nahajal tudi podpis imetnika kartice.
Kartice, opremljene z magnetnim zapisom, danes ne zagotavljajo več dovolj visoke ravni varnosti, saj je magnetni zapis relativno preprosto kopirati in si narediti dvojnike kartic, imetniki kartic žal na številko PIN ne pazijo dovolj, medtem ko lahko podpis z nekaj vaje dokaj zadovoljivo ponaredimo. Zaradi omenjenih razlogov je predvideno, da bodo kartice z magnetnim zapisom v obtoku le še do leta 2011, ko jih bodo zamenjale pametne kartice [7]. S tem pojmom označujemo kartice z integriranim vezjem, ki so lahko le pomnilniške, lahko pa vsebujejo tudi mikroprocesor in druge potrebne komponente, s čimer sestavljajo samostojno računalniško vezje.
Fizične dimenzije vseh identifikacijskih kartic spadajo pod format ID-1, ki ga določa mednarodni standard IS02 7810. Poleg plačibiih kartic uporabljajo ta format še kartice raznih programov zvestobe, poslovne vizitke ter celo kartična vozniška dovoljenja, ki se uporabljajo v nekaterih državah. Velikost formata ID-1 je 85,60 mm x 53,98 mm. Razmerja med različnimi dimenzijami kartic prikazuje slika 1. Standard ISO 7813 pa za plačilne kartice dodatno določa še debelino^ ter polmer^ zaobljenih robov kartice [14].
Slika 1: Relativna primerjava velikosti formatov
2.1	Današnji trendi zaščite
Zaradi problema varnosti plačevanja s plačilnimi karticami so glavna podjetja že leta 1994 začela oblikovati določila, ki bi zvišala raven varnosti. Posledica skupruh moči teh podjetij so specifikacije EMV,® ki obljubljajo drastično zmanjšanje možnosti goljufij. Te specifikacije se stalno dopolnjujejo, s čimer se odpravljajo ali zmanjšujejo možnosti pridobitve občutljivih podatkov [7].
Kot primarno metodo plačevanja določajo specifikacije EMV pametno kartico, ki bo v prihodnjih nekaj letih popolnoma zamenjala vse plačilne kartice, opremljene z magnetnim trakom. Posledično bo treba skladno s specifikacijami EMV prilagoditi tudi vse plačilne (POS^) terminale, da bodo lahko sprejeli katero koli pametno kartico EMV, ki jo bo izdal kateri koli izdajatelj. Za doseganje popolne združljivosti morajo vse kartice in vsi terminali prestati več ravni certificiranja, ki jih lahko v grobem razdelimo v štiri večje sklope:
■	PCIPED,7
■	1. raven EMV,
■	2. raven EMV,
■	izdajateljevo certificiranje.
Certificiranje PCI PED se osredinja na odkrivanje možnosti pridobitve zaupnih podatkov, ki se prenašajo med komponentami oz. hranijo v terminalu. Specifikacije določajo serijo specifičnih priporočil o dizajnu plačilnih terminalov. 1. raven certificiranja EMV se osredinja predvsem na strojno opremo, ki se uporablja za branje podatkov s kartice, medtem ko 2. raven certificiranja preveri delovanje programske opreme, ki je zadolžena za pravilno procesiranje podatkov, pridobljenih s kartice ter nadaljnjo komunikacijo z bankami in uporabnikom. Poleg tega morajo plačilni terminah prestati še certificiranje pri izdajateljih kartic. Izdajatelji namreč še dodatno preverijo, ali aplikacijska raven na terminalu nameščene programske opreme podpira specifičnosti njihovih kartic.
2.2	PCI PED
Specifikacije PCI PED so nastale z namenom zmanjšanja tveganja plačevanja s plačilnimi karticami na minimum. Specifikacije se osredinjajo predvsem na visoko raven zaščite uporabnikove številke PIN. Poleg tega specifikacije določajo raven zaščite podatkov
^ International Organization for Standardization. 3 0,76 mm. " 3,18 mm.
6 Kratica EMV izhaja Iz začetnic imen podjetij Europay, MasterCard In Visa. 6 Point of Sale.
' Card Industry Pin Entry Device.
na magnetnem zapisu na kartici.® Večina današnjih napadov je namreč izvedena s kopiranjem podatkov magnetnega zapisa in pridobitvijo številke PIN z opazovanjem ali snemanjem uporabnika med vnosom številke PIN. Specifikacije poskrbijo tudi za zaščito zaupnih podatkov, med katere spadajo javni in zasebni ključi, posamezna gesla, načini vzdrževalnih postopkov itn. [13].
Za zaščito plačilnih terminalov specifikacije PCI PED določajo tri fizične načine zaščite, ki so izpeljaru iz standarda ISO 13491-1:
■	odpornost na vdor,
■	razvidnost vdora,
■	odkritje vdora in aktivno reagiranje nanj.
Odpornost na vdor predstavlja način, kako napadalcu otežimo njegovo delo. Pri tej ravni ne onemogočimo napadalca, temveč podaljšamo čas in povečamo trud, ki ga le-ta potrebuje za pridobitev uporabnih podatkov. Napadalec za uspešen preboj zaščite potrebuje tudi več znanja in razna specializirana orodja. Proizvajalci povečajo odpornost terminalov pred vdori z uporabo ključavnic, kovinskih preprek in unikatno oblikovanih glav vijakov. Učinkovit način zaščite na tej ravni je zalitje celotnega elektronskega vezja s homogeno trdno snovjo, ki je ni mogoče preprosto prerezati, odstraniti, prevrtati ali raztopiti, kljub temu pa mora ta prevajati oz. odvajati toploto, ki jo ustvari vezje med delovanjem. S pravilno namestitvijo zaščitnih elementov poskrbimo, da napadalec za pridobitev uporabnih podatkov pri vsakem terminalu porabi približno enako časa. Višja raven zaščite je raven razvidnosti vdorov. Ta poskrbi, da so v primeru vdora na zunanjem ohišju razvidne očitne poškodbe, ki jih lahko hitro opazita tako lastnik kartice kot prodajalec. Med načine zagotavljanja razvidnosti vdorov spadajo enosmerni vijaki, spojke za erikratno uporabo, ultrazvočno varjenje, močna lepila itn. Specifikacije 2.0 zahtevajo zaščitne mehanizme, ki aktivno odkrivajo vdore in nanje tudi aktivno reagirajo. Ob odkritju vdora je prvi korak kar brisanje vseh vrst v terminalu shranjenih ključev, kar povzroči, da terminal preneha delovati. Sprva se mogoče zdi, da je takšna logika prestroga, vendar edino tako lahko učinkovito dosežemo zaščito ključev. Na tej ravni zaščite uporabljamo razne senzorje za odkrivanje vdorov in pridružene mehanizme za bri-
sanje podatkov. Senzorji nadzirajo okoljske in električne karakteristike, kot so napetost, pritisk, temperatura, sevanje, gibanje, prevodnost, hitrost urinega takta itn. [13]
Specifikacije PCI PED določajo skupek zahtev, ki jih lahko v grobem razdelimo v štiri skupine. Vsaka od teh skupin je razdeljena na več podskupin, ki vsaka posebej določajo posamezne vidike določenih delov oz. postopkov plačilnega ternünala. Posamezne podskupine morajo za pridobitev certifikata na testiranju doseči določeno raven varnosti, ki je merljiva s postopki, ki jih bomo opisali v nadaljevanju. Slika 2 predstavlja najpomembnejše dele plačilnih terminalov, njihove ravni varnosti, potrebne za uspešno certifikacijo, in oznake podskupin, ki podrobneje določajo zahteve.
Slika 2: Dali terminala, opremljeni z i
mesti
8 Do popolne uveljavitve pametnih kartic, ki ne bodo več vsebovale magnetnega zapisa na zadnji strani.
S slike 2 je razvidno, da zahteve določajo največjo stopnjo varnosti za zaščiteni del terminala, v katerem so spravljeni vsi ključi in se izvajajo vse operacije, povezane z zaščito terminala. Visoka raven varnosti je potrebna tudi za zaščito tipkovnice terminala, kar seveda rü presenečenje, saj prek nje uporabnik vnese svojo skrivno številko PIN [16].
2.3 Izpolnjevanje zahtev
Fizična zahteva Al v aktualnih specifikacijah kot osnovna raven zaščite zahteva aktivno odkrivanje vdorov, pri katerih je primarni namen odkritje uporabnikove številke PIN ter reagiranje na te vdore s takojšnjim avtomatiziranim brisanjem vseh skrivnih in občutljivih informacij, ki se nahajajo v terminalu. S tem postopkom postane plačilni terminal neuporaben za plačevanje, kar onemogoči napadalčeve namene. Napadalci poskušajo pridobiti uporabnikovo
Številko PIN predvsem s postavitvijo majhne naprave v bližino tipkovnice, ki bo prestregla vnos številke. Mehanizmi zaščite morajo tako odkrivati vdore v zunanje ohišje, npr. vrtanje, lasersko topljenje, kemijske reagente, odpiranje ohišja, vstope skozi ventilacijske odprtine itn. Fizična zahteva A4 določa ravnanje z občutljivimi podatki znotraj zaščitenega dela terminala. Ti podatki morajo biti zaščiteni z ravnjo varnosti 25 točk, kar velja tudi za vse funkcije, ki kakor koli operirajo s temi podatki. Ustrezna raven zaščite je tako lahko dosežena le ob strogi ločitvi strojno-pro-gramske opreme, ki se nahaja v zaščitenem delu, od ostalih ravni. S strogo ločitvijo teh dveh ravni lahko kasneje izboljšamo ter zamenjamo aplikacijsko raven brez potrebe po ponovnem certificiranju, saj nismo vplivali na samo strojno-programsko opremo. Najvišjo raven zaščite - 35 točk - določa fizična zahteva A7. V tem delu se poskuša z vsemi možnimi postopki pridobiti PIN oz. šifrirne ključe, uporabljene za njegovo šifriranje. A8 zahteva raven varnosti šestnajstih točk in se nanaša na terminale, pri katerih uporabnik prek tipkovnice poleg vnosa svoje številke PIN vnese tudi druge podatke. Namen specifikacije je preprečitev vnosa uporabnikove številke PIN v primeru, ko terminal ne deluje v zaščitenem načinu. Zahteva Ali se navezuje na združljivost s karticami, opremljenimi z magnetnim zapisom. Z ravnjo štirinajstih točk je namreč zaščitena magnetna bralna glava in prostor okrog nje, tako da ni mogoče dodajati, zamenjati ali modificirati delov bralnega sistema z namenom pridobitve podatkov iz magnetnega zapisa.
Logične zahteve so razdeljene v petnajst podskupin. Te zahteve določajo predvsem programsko logiko, ki se izvaja znotraj terminala. Programska oprema, ki je nameščena znotraj terminala, ne sme biti na kakršen koli način spremenjena, zato mora terminal vsaj vsakih 24 ur preveriti integriteto strojno-programske opreme. Največkrat uporabljeni metodi za preverjanje integritete sta preverjanje ciklične redundance - CRC - in rezultata zgoščevalne funkcije - SHA-1. Poleg preverjanja integritete vsakih 24 ur so priporočena tudi dodatna preverjanja, ki se lahko izvedejo pred vsako transakcijo. V primeru odkritja napake mora terminal preiti v nedelujoče stanje, tako da med tem prehodom ni nezaščitenih stanj. Če terminal podpira oddaljeno posodabljanje strojno-programske opreme, mora biti tudi na tem mestu izvedeno preverjanje integritete in v primeru, da je odkrita napaka pri preverjanju, se mora posodobitev zavreči brez vpliva na delova-
nje terminala. V realnem svetu^ je mogoče opraviti le omejeno število transakcij na določeno časovno enoto. V primeru napada na plačilni terminal s fiksnim ključem za zaščito številke PIN bo napadalec poskušal izvesti čim več vnosov številke PIN naenkrat, saj bo s tem hitreje preizkusil vseh 10.000 kombinacij in tako hitro prišel do prave številke PIN. Tako mora biti v terminalu zgornja meja števila opravljenih transakcij nastavljena na 120 transakcij na uro, kar znese natančno dve transakciji vsako minuto [13].
Če pri tvorjenju ključev, preverjanju pristnosti itn. uporabljamo generator naključnih števil (RNG), je treba preveriti njegovo pravilno implementacijo. S tem ugotovimo, ali so števila res dovolj naključna. Preverjanje opravi neodvisni laboratorij, ki oceni izhod RNG-ja v velikosti 2-^30 bitov podatkov. Dostop do občutljivih podatkov in funkcij mora biti minimalen, torej mora biti dostopov le toliko, kolikor jih je minimalno potrebno. Vsi tako dobljeni podatki se morajo takoj, ko jih ne uporabljamo več, zbrisati iz notranjih medpomnilnikov že med samo transakcijo, obenem pa se morajo ob koncu transakcije pobrisati tudi prav vse začasne lokacije hranjenja podatkov. Brisanje se mora izvesti tudi ob poteku časovnega obdobja, namenjenega za izvedbo transakcije, saj s tem dodatno zbrišemo podatke ob morebitnem napadu. Vsak dostop do občutljivih funkcij zahteva preverjanje pristnosti. Poleg preverjanja pristnosti mora terminal podpirati časovno omejitev nahajanja v občutljivem stanju, prav tako pa mora omejiti tudi največje število klicanih občutljivih funkcij. Upravljanje s ključi podrobneje določata ISO 11568 in ANSI^" X9.24. Implementacijo tehnike šifriranja ključev določa ISO 9564. Posamezni ključi morajo biti uporabljeni le za natančno določen namen. Iz tega sledi, da enakega ključa ne smemo in ne moremo uporabiti za šifriranje števila PIN in drugih podatkov, temveč sta za to namenjena dva različna ključa. Vsi ključi morajo vedno biti varno spravljeni, poleg tega ne sme obstajati mehanizem, s katerim bi bilo mogoče na zaslonu prikazati vrednosti ključev. Pravzaprav v terminalu ne sme obstajati način, ki bi nešifriran ključ prenesel med strožje varovanim območjem v manj varovano območje [13].
Offline zahteve se nanašajo predvsem na bralnik pametnih kartic - ICC, saj pri offline transakcijah terminal pošlje plačilni kartici število PIN v preverjanje.
^ Plačilo s plačilno kartico.
American National Standards institute.
Omenjeni bralnik mora biti zavarovan z ravnjo varnosti 16 točk. S tem dosežemo zaščito nad bralnikom, tako da je težko dodati oz. modificirati strojno ali celo programsko opremo braliüka z namenom pridobitve zaupruh podatkov. Bralnik mora biti takšen, da je vanj nemogoče vstaviti dve plačilni kartici. Druga, ki bi bila manjša, bi se namreč lahko namestila med pravo kartico in med kontakte bralnika, ki služijo za komunikacijo s kartico. Napadalec bi lahko tako prestregel vso komunikacijo in si pridobil zaupne podatke. Prav tako mora biti zaščiteno, da ni mogoče v notranji prostor namestiti žic tako, da jih uporabnik ne bi videl, ko bi bile te povezane na neki zunanji vmesnik. Po specifikacijah mora biti namreč bralnik na terminalu nameščen tako, da je celoten v vidnem polju uporabnika [13].
2.4	Računanje ravni zaščite
Računanje ravni zaščite poteka v dveh fazah. Prva predstavlja odkrivanje pomanjkljivosti in možnosti izkoriščanja le-teh. Če ocenjevalec odkrije več ranljivosti, se upošteva tista, ki prinese najmanjše število točk, kar v praksi predstavlja ranljivost, ki jo je najlaže izkoristiti za napad. Po koncu prve faze je navadno terminal uničen, saj se mora ocenjevalec do podrobnosti spoznati z delovanjem terminala in vsemi zaščitami. V realnem svetu bi prva faza predstavljala pridobitev terminala in izdelavo dodatnega vezja, ki bi prebral podatke z magnetnega zapisa kartice.
V drugi fazi imamo to prednost, da smo oboroženi z znanjem iz prve faze in imamo že narejeno taktiko izkoriščanja ranljivosti ter tudi morebitna dodatna vezja. Druga faza v realnem scenariju predstavlja pridobitev aktivnega terminala iz trgovine, namestitev vezja ter vrnitev v trgovino, ne da bi kdor koli izvedel, da je bil terminal kakor koli modificiran. V tej fazi po navadi potrebujemo veliko manj časa za izvedbo napada, prav tako je potrebno dosti manj znanja, saj oseba deluje po napotkih ocenjevalca/napadalca iz prve faze.
Skupna ocena ravni varnosti je seštevek vsot obeh faz in mora za uspešno certificiranje zadoščati minimalnim pogojem, določenim s specifikacijami PCI PED [15][16].
2.5	Udeleženci v plačilnih sistemih
Temelj vseh plačilnih sistemov sestavlja pet udeležencev. Poleg kupcev in prodajalcev, brez katerih kartični plačilni sistemi ne bi obstajali, so za pravilno
delovanje nujni še trije udeleženci. To so izdajatelji kartic, pridobitelji in ustrezno plačilno omrežje, kar prikazuje slika 3.
Slika 3: Shema plaiilnega omrežja
Glavno gorülo prehajanja na tehnologijo pametnih kartic je zagotavljanje višje stopnje varnosti. Prednosti, ki jih prinaša čip proti magnetnemu traku, seveda niso zanemarljive. Čip precej teže kopirati, kar je pri magnetnem traku relativno preprosto, saj je na trgu mogoče dobiti opremo že za nekaj sto evrov. Druga pomembna izboljšava je možnost hranjenja večjega števila podatkov. Poleg tega imamo pri tehnologiji pametnih kartic možnost dodatka logike v kartico, saj veliko število pametrüh kartic vsebuje tudi mikroprocesor. Ta mikroprocesor lahko uporabimo za tvorjenje dinamičnih podatkov, šifrirnih ključev in pri uporabi drugih povezanih algoritmov, predvsem v smislu varnosti,. Poleg teh mikroprocesor omogoča tudi izvajanje skript, s katerimi lahko spremenimo obnašanje kartic na daljavo.
Pametne kartice se od kartic z magnetnim trakom razlikujejo tudi fizično. Tako lahko pri karticah z magnetnim zapisom na zadnji strani opazimo 1,2 cm širok črn trak, ki sega prek vse dolžine kartice. Pri pametnih karticah ni tega traku," namesto njega je na sprednji strani čip z osmimi kontakti [1], kar prikazuje slika 4.
r 17,87 S"		eo 5
10,25		
ičj		
m s*		
B ts u U-----		
Slika 4: Fizične razlike pri karticali (mare v i
v vmesnem obdobju sta pri karticah uporabljeni ot» teiinologiji.
2.6 Postopek plačila
Kartice z magnetnim trakom počasi prehajajo v zgodovino, saj naj bi jih do leta 2011 povsem zamenjale pametne kartice [9]. Za lažje razumevanje prednosti pametne kartice si najprej oglejmo potek transakcije s kartico, ki vsebuje podatke, zapisane v magnetnem zapisu. Glavne korake prikazuje slika 5.
Slika 5: Plaiilo s kartico z magnetnim trakom
Vso transakcijo smo zaradi večje preglednosti razdelili v tri logično povezane sloje. Spodnji je fizični sloj; v njem se opravi vse potrebno rokovanje s kartico. Drugi sloj predstavlja tehnično stran transakcije in se imenuje hinkcionalni sloj. V njem se nahajata pridobitelj in izdajatelj kartic. Poleg njiju v tem sloju najdemo tudi plačilno omrežje. V tretjem sloju se nahajajo finančne ustanove, ki so v večini primerov banke, ki skrbijo za kritje stroškov transakcije.
Plačilo z magnetno kartico lahko razdelimo v šest korakov, ki so označeni na sliki 5. V prvem koraku - ko prodajalec potegne plačilno kartico skozi bralnik, nameščen v plačilnem terminalu - dobi plačilni terminal podatke, zapisane na plačilni kartici. Po tem dogodku sledi še opcijski vnos osebne kode, poimenovane število PIN imetnika kartice. Ti podatki se potem pošljejo naprej pridobitelju, kar vidimo v drugem koraku. Zahtevo po avtorizaciji pridobitelj prek plačilnega omrežja posreduje izdajatelju - 3. korak. Izdajatelj preveri veljavnost kartice in ustreznost števila PIN ter primerja identifikacijsko številko kartice s seznamom, ki ga imenujemo črna lista. Na tej listi se nahajajo vse do sedaj odkrite ukradene oz. ponarejene kartice. Glede na rezultat omenjenih preverjanj izdajatelj pošlje pridobitelju pozitiven ali negativen odgovor. Pridobitelj nato ta odgovor pošlje proti terminalu. V primeru odobrenega plačila preda prodajalec blago kupcu - 6. korak, v nasprotnem
primeru prodajalec ravna v skladu z napotki prido-bitelja. Praviloma ob koncu dneva potekajo še drugi koraki, ki jih prikazuje slika 6.

Slika 6: izmenjava informacij ob koncu dneva -kartica z magnetnim zapisom
Ob koncu dneva skrbnik plačilnega omrežja najprej pridobi podatke o vseh opravljenih transakcijah od pridobitelja in izdajatelja - 7. korak. Nato skladno s temi informacijami poskrbi za ustrezno izmenjavo denarja med sodelujočimi bankami.
Za lažjo primerjavo poteka transakcije pri pametni kartici s potekom transakcije pri kartici z magnetnim trakom smo za prikaz korakov plačila uporabili enako sliko kot prej. Ob pogledu na sliko 7 lahko ugotovimo, da pri plačilu s pametno kartico obstaja več korakov.
Slika 7: Plačila s pametna kartico
Ob bolj podrobnem pogledu lahko opazimo, da komunikacija med pametno kartico in plačilnim terminalom poteka v obe smeri in celo dvakrat. To je storjeno v prvem in šestem koraku, ki predstavljata prvo in drugo polovico transakcijskega protokola EMV. Ostali koraki ostajajo podobni kot pri plačilu s kartico z magnetnim trakom. Tako ugotavljamo, da
pri transakciji EMV obstajata dve izmenjavi podatkov med plačilno kartico in terminalom, ki obakrat potekata v obe smeri. Ti izmenjavi bosta podrobneje opisani v nadaljevanju.
Tako kot pri kartici z magnetnim trakom tudi pri tehnologiji pametnih kartic pridobitelj in izdajatelj ob koncu dneva operaterju omrežja sporočita podatke o opravljenih transakcijah. Shemo prikazuje slika 8.
Slika 8: Izmenjava infoiviBcij ob koncu dneva - pametna kartica
Iz slike 8 hitro opazimo dodatno točko (8. korak), v kateri terminal ob koncu dneva pošlje dodatne podatke pridobitelju. Ti podatki se lahko glede na uporabljeni protokol pošljejo tudi ob koncu vsake transakcije. Podatki predstavljajo certifikat transakcije, ki ga mora pridobitelj hraniti 18 mesecev. V certifikatu transakcije so vsebovani vsi podatki o transakciji, kar preprečuje možnost zanikanja transakcije s strani kupca ali prodajalca. Certifikat torej predstavlja napredno potrdilo o opravljeni transakciji.
2.7 Transakcijski protokol
v primeru plačila s kartico z magnetnim trakom je odločitev glede sprejetja oz. zavrnitve transakcije preprosta. Ali bo transakcija potrjena, je odvisno od pogojev, ki jih prikazuje slika9.
- prenizko stanje na računu
- ustrezno stanje na računu
Po potegu kartice se najprej preveri, ali terminal podpira to vrsto plačilnih kartic. Če jo, terminal preveri še datum veljavnosti kartice. Če izmed pogojev ne ustreza, transakcije ni mogoče nadaljevati. Nato terminal preveri znesek. Če je ta pod določeno vrednostjo,^^ terminalu ni treba preveriti online, ali je kupec pravi in zmožen plačila, marveč se transakcija odobri samodejno. Če je znesek višji od mejne vrednosti in terminal nima možnosti preveriti plačilno zmožnost kupca online, se transakcija zavrne, v nasprotnem primeru pa terminal pošlje pridobitelju zahtevo po avtorizaciji plačila. Pridobitelj nato pošlje zahtevo naprej izdajatelju, ki najprej preveri ustreznost števila PIN. Če je PIN veljaven, izdajatelj primerja še višino sredstev na računu z višino zneska transakcije in skladno s tema preverbama pošlje odgovor.
Kot smo že omenili, obstaja pri transakcijah EMV med plačilno kartico in plačilnim terminalom več izmenjav podatkov. Te vedno potekajo v obe smeri. S tem se del odločitve odobritve prenese tudi na plačilno kartico. Korake transakcije EMV lahko razdelimo na n delov [3][4][5]: izbira aplikacije, branje podatkov s kartice, preverjanje pristnosti podatkov offline, omejitve procesiranja, verifikacija lastnika kartice, terminalovo upravljanje tveganja, analiza rezultatov postopkov - plačilni terminal, analiza rezultatov postopkov - plačilna kartica, procesiranje online, procesiranje skript izdajatelja, končanje transakcije.
Plačilna kartica vedno deluje v pasivnem načinu. To pomeni, da kartica v nobenem primeru ne ustvarja zahtev, temveč le podaja odgovore na zahteve, ki jih pošlje terminal. Na terminalski strani je treba pazljivo ravnati s pošiljanjem zahtev proti kartici, saj se mora terminal najprej prepričati, s kakšno kartico ima opravka, šele nato ji lahko začne pošiljati zahteve, toda le tiste, za katere se je terminal prepričal, da jih podpira kartica.
2.7.1 Izbor aplikacije
Po vstavitvi pametne kartice v čitalnik se najprej izvede izbor ustrezne aplikacije na pametni kartici.
- napačen PIN
Slika 9: Odločitveno drevo kartice z magnetnim zapisnm
Mejna vrednost je v večini primerov okrog 20 evrov.
Terminal lahko to stori na dva načina. V prvem sprašuje kartico, ali podpira enake aplikacije, ki jih podpira sam. Ta način se imenuje način eksplicitne izbire. Če terminal podpira večje število aplikacij, postane tak postopek zamuden, zato EMV omogoča tudi drugi način, v katerem terminal prebere vse podprte aplikacije na kartici naenkrat in jih potem primerja z aplikacijami, ki jih podpira sam. Aplikacije, ki jih lahko uporabimo za plačilo, morajo biti navzoče tako na kartici kot na terminalu, zato predstavljajo presek obeh seznamov. Če se v preseku znajde več kot ena aplikacija, se za plačilo uporabi aplikacija z višjo prioriteto. Kadar v preseku ni nobene aplikacije, postane plačilo s to kartico v kombinaciji s tem terminalom nemogoče.
Aplikacije na plačilnih karticah predstavljajo posamezne možnosti plačila. Tako med aplikacije spadajo: Maestro (debetna), MasterCard (kreditna), bo-nusni programi itn.
2.7.2	Branje podatkov s kartice
V drugem koraku začne terminal s pametne kartice brati podatke, kar lahko primerjamo z branjem podatkov s kartice z magnetnim trakom. Razlika je predvsem v obsegu podatkov, ki znaša pri karticah z magnetnim trakom približno 130 zlogov, pri pametnih karticah pa okrog 2500 zlogov. Prebrani podatki so nato na voljo terminalu ali/in izdajatelju. Poleg osnovnih podatkov o kartici izvemo v tem koraku tudi, katere varnostne mehanizme podpira kartica. Te podatke dobi terminal v paketu AIP,^^ ki predstavlja profil aplikacije. Drugi pomemben dobljeni paket se imenuje AFL,^^ v katerem so zbrane lokacije posameznih podatkov na kartici. Te lokacije so vsebovane v skupinah s po štirimi zlogi, pri čemer lahko posamezna skupina vsebuje več zapisov podatkov.
2.7.3	Offline preverjanje pristnosti podatkov
Iz podatkov, prejetih v prejšnjem koraku, lahko terminal ugotovi, ali je vstavljena pametna kartica pristna. To ugotovi z uporabo šifriranja RSA^®, pri čemer morajo biti v terminalu na varnem mestu shranjeni izdajateljevi (Visa, MasterCard, JCB,^® Amex idr.)
^^ Application Interchange Profile.
Application File Locator. ^^ Kratica izhaja iz zaCetnic priimkov avtorjev algoritma: RIvest, Shamir, Adleman.
Japan Credit Bureau.
javni ključi.^^ Velikost oz. dolžino ter datume poteka veljavnosti ključev določa organizacija EMVCo.
Za preverjanje podatkov imamo na voljo tri načine:
" statično preverjanje podatkov - SDA,
■	dinamično preverjanje podatkov - DD A,
■	kombinirano preverjanje podatkov - CDA. SDA omogoča statično tvorjenje podpisa, s katerim podpišemo pristnost izmenjanih podatkov. Zaradi statično ustvarjenega podpisa je ta enak pri vsaki transakciji, opravljeni z določeno kartico. DDA in CDA na drugi strani dinamično tvorita podpis, saj pri računanju podpisa dodatno upoštevata naključno število, ki ga je ustvaril terminal. Zaradi tega je podpis pri vsaki transakciji drugačen.
2.7.4	Omejitve procesiranja
Iz prejetih podatkov terminal najprej preveri datumsko veljavnost kartice. Kartica je lahko neveljavna v dveh primerih: imetnik je kartico pravkar dobil, zato še ni bila aktivirana, ali - kar je bolj pogosto - je kartica presegla rok veljavnosti. Poleg preverjanja datuma terminal primerja še verzijo izbrane aplikacije na pametni kartici z verzijo, ki jo podpira sam. Nazadnje terminal preveri še zmožnost uporabe kartice v okolju terminala. Zadnje preverjanje onemogoči plačevanje v tujini karticam, ki so namenjene le za domačo rabo.
Rezultati vseh treh preverjanj se shranijo za kasnejše procesiranje znotraj terminala v podatkovnem elementu TVR.^® Potreba po kasnejšem procesiranju izhaja iz tega, da terminalu korake 3-6 ni potrebno izvajati zaporedno, temveč jih lahko izvaja vzporedno v smislu krajših časov transakcije.
2.7.5	Uerifikacija lastnika kartice
Specifikacije EMV omogočajo več vrst verifikacije lastnika kartice. Poleg podpisa obstaja še možnost preverjanja števila PIN, ki je mogoča na tri načine: online, offline in šifrirani offline. Uporaba posamezne metode je lahko odvisna od višine zneska ali od okolja, v katerem poteka plačilo. Specifikacije EMV imajo predvidene tudi druge metode verifikacije lastnika, kot je recimo identifikacija s pomočjo biometrije. Pri posamezni transakciji se lahko uporabi tudi več metod za preverjanje lastnika (npr. PDSJ in podpis).
" Sistem PKI - Infrastruktura javnih kljuCev " Terminal Verification Results.
Poleg višine zneska in okolja je metoda preverjanja odvisna tudi od možnosti plačilnega terminala'^ ter od odločitve plačilne kartice. Plačilna kartica vsebuje dva seznama kod, prek katerih določi svoje zahteve po preverjanju imetnika kartice.
2.7.6 Terminalovo uprauljanje tveganja
V tej točki terminal preveri višino zneska plačila in jo primerja z mejno vrednostjo. Če višina zneska preseže mejno vrednost, ki jo določi izdajatelj, se zahteva po odobritvi transakcije pošlje izdajatelju. Terminal poleg višine zneska preveri še pogostost uporabe kartice. Visoka dejavnost kartice namreč takoj poraja sum o ukradeni kartici, zato lahko terminal določi, da se tudi takšna transakcija izvede orJine. Poleg obeh primerov vsi-Ijenja transakcij online se v terminalu izvaja algoritem, ki naključno izbira transakcije, katere bodo - čeprav v prejšnjih dveh primerih ni potrebe po preverjanju online - vseeno poslane v preverjanje online kot dodaten ukrep. Primer algoritma za naključno izbiranje transakcij glede na znesek plačila prikazuje slika 10.
I
N In
mejna	znesek
vrednost	plačila
Slika 10: Primer algoritma
2.7.7	Analiza rezultatov postopkov - terminal
V sedmem koraku terminal ovrednoti rezultate korakov 3, 4, 5 in 6 in poda svojo končno odločitev glede nadaljnjega procesiranja transakcije. Odločitev temelji na primerjanju rezultatov zgornjih operacij, s kodami, shranjenimi v terminalu. Obstajajo tri možnosti odločitve:
■	zavrnitev transakcije,
■	nadaljevanje s transakcijo online,
■	nadaljevanje s transakcijo offline.
Ob koncu sedmega koraka terminal svojo odločitev sporoči plačilni kartici.
2.7.8	Analiza rezultatov postopkov - kartica
Plačilna kartica najprej prejme odločitev plačilnega terminala o nadaljnjem poteku transakcije. Glede
na odločitev terminala lahko kartica določi le še bolj strogo omejitev, saj ne more odobriti transakcije, če je terminal ni odobril (ker je ugotovil določene nepravilnosti). Tako lahko kartica v primeru, da je terminal odobril transakcijo offline, zahteva izvedbo transakcije online oz. ne odobri transakcije; v primeru, ko je terminal odobril transakcijo online pa zahteva onemogočitev nadaljnjega izvajanja transakcije. Te primere prikazuje slika 11.
T E R M I
N-
A
L
KARTICA
I
	Zavrni	Pojdi online	Dovoli offline
Zavrni	✓	N/A	N/A
Pojdi online	✓	✓	N/A
Dovoli offline	✓	✓	✓
Slika 11: Odločitev plačilne kartice (glede na terminali
Strožje ukrepe uporabi kartica glede na logiko, ki jo vsebuje. Tako ima lahko vsaka kartica pravilo, da v primeru prve transakcije izvede preverjanje online.
2.7.9	Procesiranje online
Pri transakciji online se izvedeta še koraka 9 in 10, ki se pri transakciji offline ne izvedeta. Pri korakih 9 in 10 izdajatelj prejme še številko računa, višino zneska transakcije in šifrirano število PIN. Na podlagi teh podatkov nato izdajatelj odobri ali zavrne transakcijo. Pomembna značilnost procesiranja online je obojestransko preverjanje pristnosti. S tem se plačilna kartica prepriča, da je na drugem koncu pravi izdajatelj, izdajatelj pa, da je na drugi strani njegova kartica. Preverjanje pristnosti temelji na trojnem DES^" (TDES) šifriranju.
2.7.10	Procesiranje skript izdajatelja
Pri vsaki transakciji online lahko izdajatelj dodatno pošlje del programske kode, imenovane skripta. Ta poskrbi za vnos nove logike oz. parametrov v kartico. S skriptami lahko izdajatelj spremeni več stvari. Med glavne spremembe spadajo spreminjanje števila PIN, blokiranje kartice, sprostitev blokiranih aplikacij, spreminjanje mejne vrednosti kartice itn. Skripte se lahko pošljejo pred odobritvijo transakcije ali po njej. Zaradi varnosti so skripte podpisane s kodo in opcijsko še dodatno zaščitene s šifriranjem TDES^^ [2].
Podpis se ne more uporabiti, če plačilni temninal nima tiskalnika.
Data Encryption Standard.
V primeru menjave Številke PIN je šifriranje skripte obvezno.
2.7.11 Konec transakcije
Ob koncu transakcije se v terminalu shrani elektronsko potrdilo o opravljeni transakciji. Poleg tega se na terminalovem zaslonu izpiše rezultat transakcije in natisne potrdilo za imetnika kartice.
2.8 Izdajateljevo certificiranje
Specifikacije EMV so pravzaprav specifikacije, ki določajo vse vidike terminala; iz njih lahko implicitno dobimo tudi specifikacije, ki določajo vidike pametne kartice. V teoriji to sicer drži, vendar se je žal v praksi pokazalo, da si različni ljudje in organizacije enake specifikacije različno razlagajo. Tako so izdajatelji razvili vsak svoje funkcionalne specifikacije, ki določajo delovanje njihovih pametnih kartic:
■	VISA: VIS 1.4.0,
■	MasterCard: M/Chip 4,
■	JCB:22J/Smartl.2.
Posledica tega je dodatno certificiranje, katerega opravi izdajatelj, da se prepriča, ali terminal ustreza njegovim pametnim karticam. Slika 12 predstavlja arhitekturo plačilnega terminala, iz katere so razvidni vsi cilji certificiranj [4].
EMV	^ »»» .txt ]g3a.txtj|^.txt [a^].txt
Kemel.txt
VISA kliuei.txt
Plačilna
'f----------7 aplikacija.
I l^eiCaid kljuCi.txt	exe
EMV Kernel.exe
Operacijski sistem
Strojna oprema (procesor, čltalnlk kartic, tipkovnica, zaslon, senzorji ,„)
Slika 12: Arhitektura pla£ilnega
Certificiranje strojne opreme določa predvsem certificiranje PCI PED in seveda 1. raven EMV. EMV Kernel.exe in EMV KerneLtxt sta certificirana prek 2. ravni EMV. S popolno ločitvijo plačilne aplikacije od EMV Kernela imamo možnost spreminjati npr. izpise, račune itn. brez zahteve po ponovnem certificira-nju, saj sprememba same aplikacija nima vpliva na EMV Kernel [4].
Certificiranje pri izdajatelju poteka z namestitvijo izdajateljevih ključev in parametrov v terminal ter testiranjem komunikacije med terminalom in vsemi udeleženci pri transakciji. MasterCard in VISA imata za ta postopek na voljo testna orodja in testne skripte:
MasterCard: TIP^^ - testiranje s testnim orodjem
ETEC,2'' ■ VISA: testiranje z ADVT.^s
Šele ko terminal prestane vsa testiranja, ga je mogoče uporabljati tudi za prave transakcije. Žal pa je ta postopek zelo dolgotrajen, saj je težko prestati teste vseh izdajateljev, poleg tega pa imajo pridobitelji po navadi pred lansiranjem terminalov na trg še svoje specifične zahteve, zato je izvedba univerzalnega plačilnega terminala, ki bi omogočal plačevanje z vsemi karticami, izredno težavna.
3 MOBILNI TELEFONI
Zanimiva alternativa uporabi plačilnih kartic je ideja plačevanja z mobilnim telefonom. Proizvajalci mobilnih telefonov poskušajo pri razvoju novih modelov ustreči čim večjemu številu uporabnikov, zato v svoje produkte vgrajujejo funkcionalnosti drugih naprav, kot so digitalni fotoaparati, radii, dlančniki, glasbeni ter video predvajalniki in celo navigacijske naprave. Zakaj torej ne bi prevzeli tudi vloge plačilnega sredstva, če jih imamo vedno pri sebi?
S tem vprašanjem se je spoprijelo že več podjetij, zato je nastalo več sistemov, ki so omogočali razne oblike plačevanja z mobilnim telefonom. Med najbolj pogoste uvrščamo: plačevanje prek kratkih sporočil - SMS, USSD,26 prek brezžične komunikacije (NFC,-"" RFID^®), prek obiska določene strani, locirane na medmrežju (GPRS,^« UMTS^"), prek klica IVR^^ idr. Vsaka od teh oblik je imela kakšno pomanjkljivost, predvsem v podpori vseh obstoječih telefonov,^^ j^/ ali pa je bila njihova uporaba zapletena.
Za razliko od vseh teh tehnologij si je podjetje Margento R&D, d. o. o., zadalo nalogo izvesti novo tehnologijo, ki bi bila preprosta za uporabo in bi podpirala prav vse mobilne telefone na trgu. Novi sistem za plačevanje, imenovan sistem Margento, tako temelji na osnovni funkcionalnosti, ki jo podpirajo prav vsi telefoni, to je prenos zvoka po govornem kanalu različnih omrežij, zato bomo v nadaljevanju opisali
^ JCB se pridruži EI\/IVCo konec leta 2004.
Terminal Integration Process. Easy Test Cards.
Acquirer Device Validation Toolkit. Unstructured Supplementary Service Data. Near Field Communication. ^ Radio Frequency Identification. ^ General Packet Radio Service. ^ Universal Mobile Telecommunications System.
Interactive Voice Response. ^ NFC ne moremo uporabiti, ee telefon ne vsebuje dpa NFC.
vrste zaščitnih elementov, ki so bili implementirani pri sistemu Margento.
Za prenos podatkov in identifikacijo uporabnika ter plačilnega mesta, sistem uporablja uporabriikov mobilrü telefon. Sistem deluje podobno kot sistemi, pri katerih se kupec predstavi s svojo plačilno ali bančno kartico. Razlika nastane v identifikaciji in v prenosu podatkov, saj se oseba predstavi terminalu s svojim mobilnim telefonom, drugi podatki transakcije pa se delno ali popolno prenašajo po govornem kanalu mobilnega telefona osebe, ki opravlja transakcijo [17].
Ob tem se nam poraja vprašanje varnosti takšnega početja oz. primerjava z ravnjo zaščite pri plačilnih karticah, ki jim v splošnem ljudje kar dobro zaupamo. Prenos podatkov namreč ne poteka le po fizičnih linijah in ustaljenih protokolih, temveč ta poteka tudi prek prenosa zvoka med terminalom in mobilnim telefonom uporabnika [18]. Ta del prenosa lahko uporabnik oz. napadalec sliši in preprosto posname ter kasneje analizira. Zaradi tega je bilo treba poskrbeti za varnost na več ravneh z uporabo najnaprednejših šifrirnih algoritmov, postopkov in procedur.
3.1 identifikacija uporabnika in plačilnega mesta
Sistem Margento pridobi identiteto uporabnika prek telefonske številke njegovega mobilnega telefona. To številko določa kartica SIM,''^ ki je nameščena znotraj uporabnikovega mobilnega telefona. Vsako kartico SIM je treba pred prvo uporabo prijaviti v mobilno omrežje ponudnika mobilnih storitev, drugače je ne moremo uporabljati. Dobra stran tega ukrepa je, da mobilni ponudniki ne dovoljujejo obstoja dveh kartic SIM z enako številko, kar takoj zagotovi unikatno identiteto uporabnika. Če se ozremo na primerjavo s plačilnimi karticami, ki so opremljene z magnetnim zapisom, takoj uvidimo, da tam ni tako, saj je znanih veliko primerov, ko so nepridipravi kopirali kartice, si naredili dvojnike in jih nato uporabljali, s čimer so oškodovali lastnika kartice. Poleg tega da v mobilnih omrežjih ni mogoče uporabljati dveh enakih kartic SIM, je te tudi zelo težko kopirati, saj sama kartica SIM vsebuje določeno logiko, zaradi katere jo lahko uvrščamo med samostojne zaščitne elemente. Podobno kot kartice SIM je težko kopirati tudi pametne kartice, ki jih zahtevajo specifikacije EMV.
Pri identifikaciji uporabnika smo v sistemu Margento uvedli, podobno kot je to storjeno pri plačilnih karticah, vnos osebne identifikacijske številke PIN. Glede na delovanje pametnih kartic, kjer se vnos številke PIN pri nizkih zneskih po navadi preveri s številom zapisanim znotraj pametne kartice,^ smo se pri sistemu Margento odločili za izboljšano rešitev. Veliko prednost sistema namreč predstavlja preverjanje vseh transakcij online. Vneseno število PIN se tako takoj po vnosu zašifrira in pošlje skupaj z drugimi transakcijskimi podatki po zaščiteni povezavi do procesnega centra,''^ kjer se število PIN primerja s shranjenim številom določenega uporabnika.
Med opravljanjem plačila se uporabnikova identiteta nikoli ne razkrije ne terminalu ne prodajalcu, saj je znana le procesnemu centru. Tako uspešno ločimo število PIN in uporabnikovo identiteto,^^ kar nam zagotovi višjo stopnjo varnosti.
Plačilo prek mobilnega telefona v sistemu Margento, poteka enako kot opravljanje preprostega telefonskega klica, pri čemer zamenjamo določene elemente klica. Vlogo govorca tako prevzame plačilni terminal, medtem ko vlogo sogovornika in njegovega mobilnega telefona prevzame procesrü center, kar prikazuje shka 13. Uporabnik pokliče številko procesnega centra, s čimer procesni center dobi uporabnikovo identifikacijsko (MSISDN) številko. -
Plačilni teimlnal
Mobilni operater
Mobilni telefon />
Slika 13: Prin
I plačila s telefonskim klicem
V tem trenutku procesni center ve, kdo hoče plačati določeno storitev, ne ve pa še, kaj, koliko in kje želi to opraviti. Ti podatki se prenesejo po vzpostavitvi zaščitene seje med terminalom in procesnim centrom. Pri tem je treba omeniti, da je identifikacija
33 Subscriber Identity Module.
Glej razdelek 2.7.5.
V nekaterih primerih se podatki pošljejo naprej do bančnih ustanov. 3° Uporabnikovi podatki, številka računa Itd.
plačilnega mesta samodejna, saj terminal med potekom izmenjave informacij samodejno pošlje svojo identifikacijsko številko. To je velika prednost, saj se s tem izognemo možnosti človeške napake, pri čemer bi se lahko zgodilo, da bi uporabiük sporočil napačno številko prodajnega mesta, kar predstavlja velik problem pri plačevanju prek SMS, saj se uporabniki velikokrat zatipkajo.
3.2 Zaščitena pouezava
Za vzpostavitev povezave, prek katere se prenesejo transakcijski podatki, so lahko uporabljeni različni komunikacijski kanali. Prenos podatkov se lahko nadaljuje prek govornega kanala omrežja GSM, lahko pa se po identifikaciji uporabnika in plačilnega mesta klic prekine, za prenos transakdjskih podatkov pa terminal vzpostavi GPRS [19] (slika 14) ali povezavo ZigBee/IP [20][21], kar prikazuje slika 15.
Margento Mobilni terminal telefon
Slika 14: Navzočnost dveh komunikacijskih kanalov
ISE802.15.4.
Slika 15: Povezava IP kot drugi komunikacijski kanal
Po vzpostavitvi povezave med plačilnim terminalom in procesnim centrom se začne postopek vzpostavitve zaščitene povezave. Ta faza je sestavljena iz določitve in izmenjave šifrirnih ključev ter obojestranskega preverjanja pristnosti udeležencev.
Zaščiten prenos podatkov preko govornega kanala mobilnega omrežja
Zaščiten prenos podatkov preko finančnega omrežja - ISO 8583
Prodajalec
Kupec
Procesni center
Ponudnik mobilniii storitev Slika 16: Prikaz plačila
Sistem Margento za upravljanje s ključi uporablja sistem PKI, ki temelji na eliptičnih krivuljah - ECC oz. na postopkih asimetričnega šifriranja. Asimetrično šifriranje uporabljamo tudi za obojestransko preverjanje pristnosti. Na ta način terminal preveri procesni center in na drugi strani procesni center preveri terminal.
S tem se izognemo možnosti, da bi nepridipravi poskušali opraviti transakcijo z lažnim terminalom oz. lažnim centrom. Uporaba ECC je bila izbrana zaradi več razlogov. V primerjavi z bolj znanim RSA, ki je uporabljen pri plačilnih karticah, nam ECC zagotavlja enako stopnjo zaščite pri dosti krajših ključih, kar nam omogoča hitrejše prenose, manjšo porabo procesorske moči in pasovne širine. Za lažjo primerjavo nam tabela predstavlja dolžine ključev ECC
in dolžine njihov alternativ -ključev RSA ter stopnjo varnosti, ki jo določa čas, potreben za ugotovitev ključa. Ta čas je podan kot čas, ki bi ga potreboval računalnik, ki lahko izvede en milijon inštrukcij na sekundo.
Tabela 1: Primerjava zaičite ECC prati RSA
Velikost ključa ECC	Velikost ključa RSA	Razbitje zaščite IvMIPSIetihI
113	512+	10=
131	768	10B
163	1024	10"
233	2048+	>10^2
^ Rezultati so povzeti na podlagi ocen iz članka [22].
Po določitvi šifrirnih ključev, ki so drugačni za vsako transakcijo, se ti ključi uporabijo za šifriranje transakdjskih podatkov, pri čemer je uporabljeno
simetrično šifriranje. Glede na želje bank in drugih ustanov na posameznem območju smo podprli več različnih šifriranj, med katerimi sta najbolj znana DES ter trojni DES - 3DES.
Uporabniki pogosto želijo, da se za plačilo uporabi kar denar, ki se nahaja na njihovih bančnih računih. Zaradi tega smo morali dodati možnost povezave do finančnih ustanov, v katerih imajo uporabrüki svoje račune, kar prikazuje slika 16. Te povezave temeljijo na specifikacijah ISO 8583. Za zaščito prenosa podatkov med procesnim centrom in finančnimi ustanovami, smo poleg zgoraj omenjerüh zaščit uporabili standardne pristope:
■	SSL - protokol, ki omogoča šifrirano povezavo med strežnikom in odjemalcem,
■	VPN - navidezno zasebno omrežje.
3.3 Mobilno plačevanje
Prednosti sistema Margento so vsekakor v zagotavljanju visoke ravni varnosti. Tu pride do izraza predvsem izvajanje vseh transakcij in preverjanje pristnosti online v realnem času. S tem imamo na voljo centraliziran sistem, ki ga upravljamo prek procesnega centra. Tu imamo dodatno implementirane črne in bele liste, prek katerih preverimo vsako zahtevo po plačilu. V slučaju ukradenega telefona se ta takoj doda na črno listo, kar onemogoči kakršno koli plačevanje z njim. V procesrü center smo vgradili tudi logiko, ki odkriva značilnosti, ki lahko namigujejo na razne možne kršitve in nelegalno početje, kot so:
■	več zaporednih neuspešnih vzpostavitev zaščitene seje na istem terminalu,
■	neveljavni digitalni podpis,
■	več neuspešnih poskusov transakcij istega uporabnika,
■	prekomerna uporaba določenega terminala.
Ob odkritju takšnega početja se sproži alarm, pri čemer se preverita aktivnost in uporaba in glede na odkritje se nato ukrepa. Za lažjo sledljivost in preverjanje plačil se še dodatno hranijo:
■	zapisi o opravljenih klicih pri ponudniku mobilnih storitev,
■	informacije o vsaki transakcijski zahtevi in odgovoru ter poteku, ki se hranijo na procesnem centru,
■	zapisi pri finančnih ustanovah,
■	natisnjena potrdila o opravljenih plačilih pri prodajalcu,
■	potrdila o opravljenih plačilih, ki so zapisana znotraj vsakega terminala.
4 SKLEP
Kartična industrija je z zavedanjem o pomanjkljivosti kartic, opremljenih z magnetnim trakom, naredila velik in pravočasen korak že v devetdesetih letih prejšnjega stoletja. Z nadaljevanjem njihovega prizadevanja in intenzivnim delom se nam vsem obeta popoln prehod na tehnologijo pametnih kartic do leta 2011.
Ali to pomeni konec vseh goljufij in mogočih nepravilnosti? Žal ne, vendar bo verjetnost, da pride do goljufije, občutna manjša. Specifikacije EMV namreč so že od prvih verzij usmerjene k temu, da se nepridipravom ne bi splačalo izrabiti sistema, tudi če bi jim to uspelo. Za izkoriščanje katere koli varnostne luknje certificiranega terminala naj bi po predvidevanjih imeli za najmanj 25.000 dolarjev stroškov, česar si nikakor ne bi mogli pokriti z informacijami, dobljenimi prek te varnostne luknje [7]. Torej se nepridipravom ne splača niti poskusiti z napadom, saj bodo tudi v primeru, da jim uspe, v izgubi ter seveda v prekršku.
Tehnologija EMV nam torej obljublja dosti manj goljufij. Verjetno pa zaradi nje nepridipravi ne bodo nehali delovati, marveč se bodo preusmerili na področja, ki še ne uporabljajo oz. nočejo uporabljati tehnologije EMV. S tem se bodo vse goljufije začele pojavljati na manjšem območju, kar bo povzročilo, da bodo izdajatelji in lokalni pridobitelji kljub svojemu začetnemu negodovanju nad tehnologijo EMV začeli prehajati na EMV. Zato je predvideno, da se bo slej ko prej tehnologija EMV začela uporabljati po vsem svetu. Ali se bo to res zgodilo ali pa bo kdo izdal kakšne svoje specifikacije, bo pokazal šele čas.
Plačevanje z mobilnimi telefoni vsekakor predstavlja zanimivo alternativo plačilu s karticami. Mobilne telefone imamo namreč vedno s seboj in jih uporabljamo za različne namene, medtem ko plačilne kartice nosimo s seboj predvsem za plačevanje storitev. Če bi torej za plačila storitev in dvige gotovine lahko vedno uporabljali mobilni telefon, bi odpadla potreba po dodatnih plačilnih instrumentih, kot so plačilne, bonusne, kreditne in predplačniške kartice.
Glavni namen uporabe mobilrüh telefonov seveda ni bil plačevanje storitev na tak način, zato se je bilo treba pri razvoju spopasti s številnimi problemi. Od dejstva, da govoriü kanal ni prilagojen prenosu podatkov, do dejstva, da je bilo potrebno zaradi opravka z denarjem in nezaupljivostjo finančnih ustanov, implementirati visoke ravni zaščite.
S
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
LITERATURA«
EMV Integrated Circuit Card Specifications for Payment Systems - Bool< 1: Application Independent ICC to Terminal Interface Requirements, verzija 4.1, maj 2004, 201 strani. EMV Integrated Circuit Card Specifications for Payment Systems - Book 2: Security and Key Management, verzija 4.1, maj 2004,187 strani.
EMV Integrated Circuit Card Specifications for Payment Systems - Book 3: Application Specification, verzija 4.1, maj 2004, 237 strani.
EMV Integrated Circuit Card Specifications for Payment Systems - Book 4: Cardholder, Attendant, and Acquirer Interface Requirements, verzija 4.1, maj 2004,161 strani. EMV Integrated Circuit Card Specifications for Payment Systems: Common Payment Application Specification, verzija 1.0, december 2005, 770 strani. http://www.europeanpaymentscouncil.eu/. http://www.emvco.com/.
http://www.corporate.visa.com/av/about_visa/corp_history. jsp.
[9]
[10] [11] [12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
[20]
[21]
[22]
http://www.europeanpaymentscouncil.org/documents/Road
map%20public%20version%204th%20April.pdf.
http://en.wikipedia.org/wiki/Credit_card.
http://www.creditcards.com/history-of-crBdit-cards.php.
http://money.howstuffworks.com/credit-card.htm.
https://www.pcisecuritystandards.org/.
http://en.wikipedia.org/wiki/ISO_7810.
PED Program Guide v1-0, december 2007.
PCI POS PED Security Requirements v2.0, julij 2007.
www.margento.com.
Z. Mezgec, M. Pec, R. Svečko, A. Chowdhury, Prenos podatkov po govornem kanalu GSM sistema, ERK 2005. F. Horvat, D. Slavinec, Z. Mezgec, A. Chowdhury, Nadgradnja osnovne M-Pay komunikacije, ERK 2007. A. Zelenik, A. Medved, Z. Mezgec, A. Chowdhury, Izbor brezžične podatkovne komunikacije za mobilni transakcijski terminal, ERK 2007.
A. Zelenik, A. Koštomaj, Z. Mezgec, A. Chowdhury, Postopki oddaljenega posodabljanja mobilnih plačilnih terminalov, ERK 2008.
A. Odiyzko: "The Future of Integer Factorization", Cryptoby-tesVol. 1(2), 1995.
Aleš Zelenik je leta 2007 diplomiral na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru na smeri telekomunikacije z diplomsko nalogo Oddaljeno brezžično varovanje prenosa vrednostnih predmetov. Svoje izobraževanje nadaljuje na enovitem doktorskem študiju elektrotehnike. Teoretične izkušnje, pridobljene med študijem, preliva v prakso pri delu v razvojnem centru podjetja Margento RSJD. V teku svojega dela je razvil več sistemov za brezžični prenos podatkov med napravami, temelječih na standardu IEEE 802.15.4. Njegovo delo je med drugim obsegalo tudi implementacijo več orodij za podporo in programiranje mikroprocesorjev TI DSR vpeljavo postopkov za obdelavo signalov, definiranje novih prenosnih protokolov med napravami itn. Njegova predvidena
doktorska disertacija bo obsegala nove postopke pri odkrivanju in razpoznavanju čustev v govoru.
■
Zdenko Mezgec ima več kot osem let izkušenj v razvojnoraziskovalnem delu na področju naprednih regulacijskih sistemov in komunikacij ter komunikacijskih sistemov. Leta 2004 je diplomiral na Fakulteti za elektrotehniko, računalništvo in informatiko Univerze v Mariboru z diplomsko nalogo Optimizacija prenosa podatkov po govornem kanalu GSM. Leta 2009 je na isti fakulteti doktoriral z disertacijo Indirektne segmentacijske metode za adaptivno robustno kontrolo prenosa podatkov po govornem kanalu GSM.
* Viri povezav temeljijo na datumu 1.3.2009.
Iz Islovarja
Islovar je spletni terminološki slovar, ki ga od leta 2001 objavlja Slovensko društvo INFORMATIKA na naslovu http://www.islovar.org. Namen slovarja je poenotenje temeljnega informacijskega izrazja, zbiranje in razlaga obstoječih pojmov ter ustrezno poimenovanje novih. Pri slovarskem delu sodelujejo poleg urednikov tudi številni uporabniki. Objavljamo nekaj aktualnih izrazov s področja elektronske pošte.
Izraze lahko komentirate, tako da se prijavite v poglavju Nov uporabnik, poiščete izraz, ki ga žehte komentirati, in zapišete svoj komentar ter predlog spremembe.
bela lista -e -e ž (angL whitelist, white list) gl. beli seznam
beli seznam -ega -a m (angl. white list, white list) seznam elektronskih naslovov, domen, s katerih uporabnik dovoli prejemati elektronsko pošto; sin. bela lista; prim, črni seznam, sivi seznam
božo filter ~ -tra m (angl. božo filter) računalniški program, navadno izveden kot dodatek poštnemu odjemalcu, ki preprečuje prejemanje elektronske pošte od pošiljateljev na prejemnikovem črnem seznamu
črna Usta -e -e ž (angl. blacklist, black list) gl. črni seznam
črni seznam -ega -a m (angl. blacklist, black list) seznam elektronskih naslovov, domen, s katerih uporabnik ne dovoli prejemati elektronske pošte; sin. črna lista; prim, beli seznam, sivi seznam
dopisni seznam -ega -a m (angl. mailing list) zbirni seznam e-poštnih naslovov, na katere se prepošiljajo elektronska sporočila; sin. poštni seznam
elektronsio pošta -e -e ž (angl. electronic mail, e-mail, email) t.d.
1.	telekomunikacijska storitev, ki omogoča izmenjavo elektronskih sporočil; sin. e-pošta (1)
2.	pisno sporočilo v elektronski obliki, namenjeno enemu prejemniku ali več prejemnikom; sin. e-pošta (2)
elektronsici naslov -ega -ova m (angl. electronic address)
naslov za prejemanje elektronskih sporočil; sin. e-poštni naslov, e-naslov
e-naslov -ova m (angl. e-mail address) gl. elektronski naslov in e-poštni naslov
e-pošta -e ž (angl. electronic mail, e-mail, email) t.d.
1.	gl. elektronska pošta (1)
2.	gl. elektronska pošta (2)
e-poštni naslov -ega -ova m (angl. e-mail address) naslov za prejemanje elektronskih sporočil; sin. elektronski naslov, e-naslov
e-släma -e ž (angl. spam,junk mail, unsolicited e-mail) gl. neželena elektronska pošta in smetje
iskalnik -a m (angl. search engine) spletna aplikacija, ki z uporabo ključnih besed poišče ustrezne spletne strani, npr. Google
nabiralni program -ega -a m (angl. harvesting bot, harvesting robot)
računalniški program za nabiranje naslovov
nabiranje naslovov -a ~ s (angl. e-mail harvesting) množično pridobivanje e-poštnih naslovov, objavljenih na spletnih straneh, navadno za pošiljanje neželene elektronske pošte
nadležna pošta -e -e ž (angl. spam,junk mail, unsolicited e-mail)
gl. neželena elektronska pošta in smetje
nezaželena pošta -e -e ž (angl. spam, junk mail, unsolicited e-mail)
gl. neželena elektronska pošta in smetje
neželena elektronska pošta -e -e -e ž (angl. spam, junk mail, unsolicited e-mail) elektronsko sporočilo, navadno z oglaševalsko vsebino, razposlano na več naslovov; sin. smetje, vsiljena pošta, e-slama, nezaželena pošta, nadležna pošta
pajek -jka m (angl. spider, crawler, web crawler, robot) računalniški program, ki sistematično obiskuje spletne strani in gradi indeks, navadno kot del iskalnika
päjkanje -a s (angl. spidering) sistematično obiskovanje spletnih strani in gradnja indeksa, navadno za iskalnik
poštni seznam -ega -a m (angl. mailing list) zbirni seznam e-poštnih naslovov, na katere se prepošiljajo elektronska sporočila; sin. dopisni seznam
sivi seznam -ega -a m (angl. gray list, grey list) seznam elektronskih naslovov, domen, za katere uporabnik posamič določa, ali bo z njih dovolil prejemati elektronsko pošto; prim, beli seznam, črni seznam
smetenje -a s (angl. spamming) pošiljanje smetja
smetilec -Ica m (angl. spammer) pošiljatelj smetja
smetje -a s (angl. spam, junk mail, unsolicited e-mail) elektronsko sporočilo, navadno z oglaševalsko vsebino, razposlano na več naslovov; sin. nezaželena pošta, vsiljena pošta, e-slama, neželena elektronska pošta, nadležna pošta
spam -a [spem] m (angl. spam, junk mail, unsolicited e-mail) neustr.
gl. neželena elektronska pošta in smetje
spamanje -a [spemanje] s (angl. spamming) neustr. gl. smetenje
verižno pismo -ega -a s (angl. chain letter) elektronsko pismo, ki nagovarja prejemnika, naj pismo prepošlje na več naslovov
vsiljena pošta -e -e ž (angl. spam, junk mail, unsolicited e-mail)
gl. neželena elektronska pošta in smetje
zaustavljanje -a s (angl. graylisting, greylisting) začasno zadrževanje elektronskega sporočila, če je pošiljateljev poštni naslov neznan
zaviranje -a s (angl. tarpitting) upočasnitev sprejemanja odjemalčevih zahtev, izvedena na strežniku, navadno kot obramba pred črvi, neželeno elektronsko pošto
Poročilo o simpoziju DACHS 2009 - simpoziju o sodelovanju med gospodarstvom in univerzo pri aplikativnih raziskavah in izobraževanju na področju informacijske tehnologije
Dne 29.9. 2009 je potekal simpozij DACHS, katerega namen je bil omogočiti izmenjavo idej in pogled na trende za področje študijskih programov računalništva in/ali informatike ter področje sodelovanja med gospodarstvom in raziskovalnimi ustanovami.
Na sporedu simpozija so büe naslednje okrogle mize:
■	Ali potrebujemo univerzitetni in strokovni študij ter kako profilirati oba študija (vodja okrogle mize doc. dr. Rok Rupnik, FRIUL),
■	Multidisciplinamost poklica informatika: različni profili informatikov in katera dodatna znanja potrebuje dober informatik (vodja okrogle mize Uroš Ponikvar, S&T, d. d.),
■	Kako učinkovito vključiti predstavnike gospodarstva v zasnovo in izvajanje študijskih programov (vodja okrogle mize prof. dr. Cene Bavec, UPR FM).
Najbolj dinamična je bila diskusija na prvi okrogli mizi. Panelisti in udeleženci so se v razpravi dotaknili zaiümivih vprašanj industrije o razlikovanju in pedagoškem izvajanju programov visokošolskega strokovnega študija in univerzitetnega študija na področju računalništva in informatike. Visokošolski strokovni študij se na univerzi, ki je usmerjena predvsem v temeljne raziskave, ne izvaja ustrezno in se ne more ustrezno razvijati ter dajati rezultatov, ki mu jih narekuje njegovo poslanstvo.
Ključne ugotovitve
1. Visokošolski strokovni študij in imiverzitetni študij se med seboj premalo razlikujeta, tako po vsebini, načinu izvajanja in dejanskem usvojenem znanju in izkušnjah diplomantov, kar po naših ugotovitvah izvira iz dejstev, da:
■	so univerza in njeno osebje usmerjeni le v temeljne raziskave oz. so zaradi pravil za napredovanje motivirani, da izvajajo le temeljne raziskave.
■ je v okviru univerze visokošolski strokovni študij večinoma organiziran zelo podobno kot univerzitetni. Večkrat podobne predmete v obeh oblikah študija predava isto osebje, ki ima praviloma premalo izkušenj iz prakse. Posledično je visokošolski strokovni študij premalo apUkativ-no usmerjen.
2.	Univerza premalo sodeluje z gospodarstvom na področju aplikativnih projektov in raziskav ter pri pripravi vsebin študijskega programa visokošolskega strokovnega študija, ki bi bile uporabne in primerne za gospodarstvo.
Predlog ukrepa: Oblikovanje programskih posvetovalnih teles, v katera so imenovani predstavniki gospodarstva in s katerimi lahko univerza in njene fakultete pripravijo kakovosten in gospodarstvu ustrezen študijski program.
3.	Nagrajevanje predavateljev oz. njihovo napredovanje je enotno za obe vrsti študija. Menimo, da so znanstveni članki zelo neprimeren vzvod za nagrajevanje in napredovanje predavateljev in asistentov na visokošolskem strokovnem študiju. Tu bi morali imeti enak pomen uspešni projekti za gospodarstvo in učinkovito aktivno delovanje na področju povezovanja med univerzo in gospodarstvom.
4.	Premalo sodobnih tem v okviru študijskih programov, značilnih za daljše časovno obdobje (10 let), kot so npr. inovativnost, inovacijski procesi, projektno vodenje, osebnostni razvoj itn.
5.	Premalo interdisciplinarnega povezovanja in sodelovanja med posameznimi fakultetami in strokovnimi področji, kar bi omogočilo multidiscipli-name učinke in potencialne celovite rešitve tako s tehnološkega, pravnega, ekonomskega in sociološkega vidika.
Slovenska industrija nedvomno potrebuje tako diplomante univerzitetnega kot tudi visokošolskega
Strokovnega študija. V njenem interesu je, da visokošolski strokovni študij izpolnjuje svoje poslanstvo, kar bo mogoče le, če se bo ustrezno razvijal. Izkušnje iz tujine kažejo na visoko učinkovitost modela dveh tipov univerz, to so klasične imiverze in univerze aplikativnih znanosti. Prve so bolj usmerjene v temeljne raziskave in izvajanje univerzitetnega študija, druge pa v aplikativne raziskave in izvajanje visokošolskega strokovnega študija.
Predlog strateške usmeritve slovenskega visokega žolstva
Informacijske in telekomunikacijske tehnologije predstavljajo gospodarsko panogo, v okviru katere se ustvarja visoka stopnja dodane vrednosti. Ustrezno izobražen in usposobljen kader je za slovensko industrijo ključnega pomena. Slovenija bi s politiko ustvarjanja pogojev za privabljanje predvsem nadarjenih študentov iz jugovzhodne in vzhodne Evrope lahko pripomogla k razvoju te gospodarske panoge in njenemu prispevku k BDP.
Poročilo pripravil doc. dr. Rok Rupnik na podlagi sporočila okrogle mize, ki so ga sooblikovali panelisti in mag. Violeta Bule kot najaktivnejša udeleženka iz publike. Seznam panelistov je razviden na www.dachs-simpozij.si.
Koledar prireditev
17. konferenca Dnevi slovenske informatike »Uravnotežite naložbe, tveganja in razvoj za uspeh«	U.-16. april 2010	Portorož, Slovenija	http://www.dsi2010.si
Eighth International Network Conference (INC 2010)	6.-8. jul. 2010	Heidelberg, Nemčija	http://www.inc2010.ora
The Third IFIP International Conference on Artificial Intelligence in Theory and Practice (IFIP AI 201 Ol	20.-23. sep. 2010	Brisbane, Avstralija	http://www.ifiptc12.ora/if iDai2010
Pomembni spletni naslovi
-> IFIP News: http://www.jflp.org/image5/storles/lfip/public/Newsletter/news ali www.ifip.org Newsletter
IT Star Newsletter: www.itstar.eu —> ECDL: www.ecdl.com CEPIŠ: www.cepis.com
Dostop do dveh tujih strokovnih revij
Revija Upgrade ICEPISj v angleščini (ISSN 1684-5285! je dostopna na spletnem naslovu: http://www.upgrade-cepis.Org/issues/2008/4/ upgrade-vol-IX-4.html.
Revija-Novatica ICEPISj v španščini (ISSN 0211-2124) je dostopna na spletnem naslovu: http://www.ati.es/novatica/.
17. konferenca Dnevi slovenske informatike Uravnotežite naložbe, tveganja in razvoj za uspeh
U.-16. aprila 2010, Kongresni center Grand hotel Bernardin, Portorož
Vabilo k pripravi prispevkov za najpomembnejšo neodvisno slovensko konferenco na področju informatike
Spoštovani,
konferenca Dnevi slovenske informatike se vedno bolj uveljavlja kot najpomembnejša neodvisna slovenska konferenca na področju informatike. Letos bo konferenca še bolj odmevna in aktualna, na pa bo obravnavano delovanje informatike v obdobju gospodarske krize s temeljnim vprašanjem, kako uravnotežiti stroške, tveganja in razvoj za uspeh.
Vabimo vas, da prispevate h kakovosti in razpoznavnosti tradicionalne, 17. konference Dnevi slovenske informatike. Ključne teme DSI2010 bodo:
POSLOVNE APLIKACIJE / BUSINESS APPLICATIONS
o
POSLOVNA INTELIGENCA IN MENEDŽMENT INFORMACIJ / BUSINESS INTELLIGENCE
AND INFORMATION MANAGEMENT
o
MENEDŽMENT POSLOVNIH PROCESOV / BUSINESS PROCESS MANAGEMENT
o
UPRAVLJANJE INFORMATIKE / IT GOVERNANCE
o
POSLOVNOINFORMACIJSKA ARHITEKTURA / ENTERPRISE ARCHITECTURE
o
STORITVENE IN DOGODKOVNE ARHITEKTURE TER RAČUNALNIŠTVO V OBLAKU /
SOA, EDA AND CLOUD COMPUTING
o
INFORMACIJSKA VARNOST IN UPRAVLJANJE TVEGANJ / INFORMATION SECURITY
AND RISK MANAGEMENT
o
VODENJE PROJEKTOV IN UPRAVLJANJE ODNOSOV Z IZVAJALCI / PROJECT MANAGEMENT AND SOURCING
o
PODPORA ODLOČANJU IN OPERACIJSKE RAZISKAVE / DECISION SUPPORT
AND OPERATION RESEARCH
o
INFORMATIKA V JAVNI UPRAVI / INFORMATICS IN PUBLIC ADMINISTRATION
DAN IFIP / IFIP DAY
Dnevi slovenske informatike so neodvisna strokovna konferenca, ki združuje informatike in vse, ki se z informatiko tako ali drugače ukvarjate ter želite slediti spremembam na tem področju. Ob tej priložnosti vas vabimo, da na konferenci sodelujete kot avtor prispevka. Prispevki na konferenci so vedno aktualni, strokovni in izobraževalni. Program konference bo tudi tokrat razdeljen v tematske sklope, s katerimi bomo poskušali pokriti vsa pomembna področja informatike. Podroben opis tem bo na voljo na spletnih straneh konference www.dsi2010.si.
Pomembni datumi
o Rok za oddajo razširjenih povzetkov	22. 1. 2010
o Obvestilo avtorjem o uvrstitvi v program	19. 2. 2Q10
o Rok za oddajo končnih prispevkov	5. 3. 2010
o Konferenca DSI 2G10	14.-16. 4. 2010
Prispevki na konferenci bodo predstavljeni v sklopu tematskih sekcij ter vabljenih in plenarnih predavanj; potekale bodo tudi zanimive razprave na okroglih mizah in delavnicah. S svojim prispevkom boste imeli priložnost predstaviti svoje projekte, izkušnje in načrte s področja informatike. Prijavljene prispevke bo pregledal programski odbor in odločil o njihovi uvrstitvi v ustrezni del programa. Sprejete prispevke boste avtorji predstavili na konferenci, objavljeni pa bodo v zborniku konference. Več informacij bo na voljo na spletni strani konference www.dsi2010.si, na kateri boste našli vsa potrebna navodila za pripravo prispevkov. Rok za oddajo prve različice prispevka je 22. januar 2010. Za dodatne informacije nam pišite na dsi@drustvo-informatika.si.
Na konferenci DSI bomo tudi tokrat podelili nagrado za najboljši projekt s področja informatike leta 2010, s katero Slovensko društvo INFORMATIKA spodbuja in promovira inovativnost, uspešnost, učinkovitost ter kakovost projektov na področju informatike. Organizatorji pričakujemo, da bo podeljevanje nagrade postalo tradiconalno, kot so tradicija tudi Dnevi slovenske informatike. Razpis bo objavljen do konca leta 2009. Poleg izbire najboljšega informacijskega projekta je namen objave razpisa za podelitev nagrade še nekoliko širši. Nameravamo namreč odkriti odlične informacijske projekte in jih predstaviti na konferenci Dnevi slovenske informatike, ki združuje informacijsko stroko v najširšem smislu - od uporabnikov in naročnikov do izvajalcev.
Včlanite se v Slovensko društvo INFORMATIKA
Pristopna izjava
za članstvo v Slovenskem druätvu INFORMATIKA
Praime osebe «polnijo »amo dragi del raipredelnice
Ime ia priimek
Datum rojstva
Stopnja izobrazbe
Naziv
Domači naslow
Poštna žt. in Icraj
Ulica in hišna številka
Telefon [stacionarni/mobilni}
srednja, višja, visoka
prof., doc., spec., mag., dr
Zaposlite» člana oi. člana • prawna oseba
Podjetje, organizacija
Kontaktna oseba
Davčna številka
Poštna št. in kraj
Ulica in hišna številka"
Telefon
Faks
E-poSta
Zanimajo me naslednjn podneja/iolcija*
□	jezik
□	informacijski sistemi
□	operacijske raziskave n	seniorji
□	zgodovina informatike
□	poslovna informatika
□	poslovne storitve
□	informacijske storitve
□	komunikacije in omrežja [H	softver
EZi	hardver
□	upravna informatika
□	geoinformatika
□	izobraževanje
podpis
kraj, datum
Pošto društva želim prejemati na domači naslov/v službo. Članarina znaša: 18,00 €-redna
7,20 € - za dodiplomske študente in seniorje (ob predložitvi doioziia o statusu) 120,00 € - za pravne osebe
Članarino, ki vključuje glasilo društva - revijo Uporabna informatika, bom poravnal sam / jo bo poravnal delodajalec. DDV je vključen v članarina.

Naročilnica
na revijo UPORABNA INFORMATIKA
Naročnina znaša: 35,00 € za fizične osebe
85,00 € za pravne osebe - prvi izvod
60,00 € za pravne osebe - vsak naslednji izvod
15,00 € za študente in seniorje [ob predložitvi dokazila o statusul
DDV je vključen v naročnino.
ime in priimek ali naziv pravne osebe in ime kontaktne osebe
davčna Številka, transakčijski račun
naslov plačnika
naslov, na katerega želite prejemati revijo (če je drugačen od naslova plačnika)
telefonAelefaks
elektronska pošta
Izpitni centri ECDL

CHJE
UUI79KA UNIVERZA KOPER UNIVEKSrr A POrOI^RE CATODISTRIA
un LJU3SKAUNIVER;9V ŽALEC
(^MiwTOTm^
Kbn)i(»
spin
SRtm
sistemske Integracije
SREDNJA GRADBENA, GEODETSKA IN EKONOMSKA ŠOLA LJUBLJANA 1000 LJubUiUia, Dun;üska 102
ŠOLSKI CENTER
Novo mesto

šoisiacammBiJi

ootK^Ce^
B Uvodnik
B Znanstveni prispevki
Boštjan Grašič, Vili Podgorelec, Marjan Heričko Primerjava pristopov k razvoju ontologij
B Strokovni prispevki
Franc Brcar, Silvo Lah
Uloga in položaj službe za informatiko v novem tisočletju
Janez Černi
Kako prenoviti proces informiranja in komuniciranja
Tadej Prešeren, Marko Bajec
Celovit pristop obvladovanja mobilnih naprav
Aleš Zelenik, Zdenko Mezgec Zaščita negotovinskih oblik plačevanja
B Informacije
Iz Islovarja
Poročilo o simpoziju DACHS 2009 Koledar prireditev
ISSN 1310-lflflB

9771318188001