AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 06 de Noviembre del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 23 y 24

DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 23

AUDITORIA INFORMATICA EN EL SECTOR AEREO

Cuestiones de Repaso:

1. Nombre algunos sistemas de reservas que conozca?

SABRE, SYSTEM OBE, APOLLO, GALILEO, AMADEUS, IATA,

AGENCIAS DE VIAJES.

2. Qué es AMADEUS?

Es un sistema de reservas a nivel nacional (España) de diversos productos entre

los que se encuentran: vuelos aéreos, hoteles, alquiler de coches, etc.

3. Qué tipo de tratamiento de la información se necesita para un viaje con

diversas escalas en las que el pasajero cambia de compañía aérea?

El traslado de información de un pasajero que viaja a diferentes destinos es

gratuito y es coordinado por las diversas agencias y líneas aéreas. Si un pasajero

debe pasar por varias ciudades y diversas líneas de aéreas para llegar a su

destino. La oficina donde compro el boleto (Iberia por ejemplo), recibirá el

importe total del costo del viaje, luego esta última debe trasladar a las agencias o

líneas aéreas por donde transito el pasajero los costos que le corresponden a cada

una, acá aparece el concepto BSP (Plan de liquidación bancaria) que es donde se

centraliza todas las operaciones para que a manera de una cámara de

compensación realice las acciones necesarias para con todas las líneas aéreas, la

BSP está basada en regulaciones IATA.

4. Cómo afecta la LORTAD al sector aéreo?

• Estableciendo el código de conducta para los sistemas informatizados de

reserva (Reglamento 2299/89)

• Introduce conceptos en el reglamento sobre la protección de datos de

carácter personal y prohibición legal del uso de la información del billete por

los sistemas de distribución legal en este caso AMADEUS.

• Es necesario proteger los datos de difusión tanto los privados del pasajero

como los datos comerciales sobre las compañías aéreas participantes.

• El cumplimiento de los requerimientos técnicos mencionados deben ser

auditados por lo menos una vez al año por empresas independientes.

5. A que aplicaciones principales se les hace auditoria en el sector aéreo?

• PROCESO TICKETING (Son numerosas aplicaciones que componen la

información de vuelos, reservas de plazas y emisión de billetes además de

los procesos de identificación de usuarios y terminales y la gestión de la red

de comunicaciones).

• PROCESO BSP (Los datos económicos del billete de vuelo son tratados en

proceso de facturación y administración contable y de preparación para ser

emitidos al Centro de compensación para la facturación de las compañías

aéreas.

6. Describa los servicios de sistemas de información que facilita una compañía

como IBERIA?

• En general como operador aéreo, el transporte de pasajeros y carga, servicios

en aeropuertos y operaciones de vuelo.

• En particular, desde el centro de procesos de datos de Madrid, ofrece

sistemas de inventarios, emisión de billetes, seguimientos de equipajes y

operaciones de carga

• Existen compañías aéreas conectadas al sistema informatizado de reservas de

IBERIA con inventario privado y emisión de billetes.

• La información del billete consiste en datos del pasajero e información del

vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la

agencia de viajes, conteniendo otros datos de seguridad como el número de

control del billete, stock del billete de información para el BSP.

7. Qué aspectos se analiza en cuanto a la seguridad e integridad?

• Accesos a los sistemas informáticos UNISYS

o Control de acceso a la aplicación Ticketing, mediante identificación

de usuario y autorización de conexión al sistema informático

correspondiente que tiene la aplicación.

o Control de acceso del terminal identificando el software del front-end

de comunicaciones y en tablas del SO.

o El terminal y la conexión física están previamente definidos en tablas

de acceso protegido

o Se define a cual aplicación de Ticketing se autoriza al terminal a

conectarse definido en tablas de acceso protegido

o Estos tipos de acceso solo están permitidos vía transacciones en

tiempo real con funcionalidades predeterminadas en la aplicación.

o Una aplicación no puede tener acceso, lectura o modificación en otra

aplicación si no está previamente autorizada o requerida por su

funcionalidad.

o El usuario accede a la aplicación mediante Sing-in el cual es único

para esa agencia de viajes u oficina de ventas Iberia.

o El acceso vía sistema conversacional requiere un Logon de entrada

más User-Id y Password.

o Existe auditoria de intentos de violación y control de accesos.

o El acceso a los datos solo es posible vía autorización de la aplicación

o Existe terminales autorizados para entrar en sistema de emergencia

asignados al personal técnico para la resolución de problemas.

• Accesos a los sistemas informáticos IBM

o Los terminales autorizados de acceso al sistema informático que

contiene la aplicación están definidos en el software de la Unidad de

control de comunicaciones y en las tablas del sistema MVS

debidamente protegidos.

o El acceso al sistema está controlado por User-id y Password

o Existen reglas de acceso a la aplicaciones por protección y tipo de

acceso a los archivos, asignación de facilidades al usuario.

o Existe auditoria de violación y control de accesos

o La seguridad consiste en identificación del usuario y su verificación,

control de acceso y auditoria guardando resultados

o Se asegura que la aplicación no puede acceder a datos de otra

aplicación

o Existen terminales autorizados para entrar en sistema de emergencia

asignado a personal técnico para resolver problemas

o Todos los datos de contabilidad preparados en la plataforma UNISYS

por la aplicación Ticketing son transferidos a la plataforma IBM por

medio de transferencia de archivos y quedan almacenados y

protegidos.

8. Cuáles son las medidas de seguridad de las aplicaciones y sus datos?

• Definiciones de seguridad de la aplicación son coordinadas por los

responsables de Amadeus, iberia y savia

• SAVIA define la seguridad de acceso de la Agencia de viajes a la aplicación

Ticketing y lo comunica a IBERIA para su inclusión en los sistemas

informáticos.

• Controles de acceso a la aplicación tiçketing

• Controles de acceso a la aplicación de otras compañías aéreas

• Control de conectividad a otros servicios basados en sistemas remotos

• Control de acceso a sus bases de datos

• Control de acceso a utilidades

• Control de obtención de respaldo de las bases de datos y programas de

aplicación

• Control de soporte (Help Desk) en SAVIA

9. Cuáles son los problemas de adaptación de legislación internacional en

materia de facturación?

- Los problemas se presentan para la aplicación de contabilidad y facturación

en la plataforma IBM para IBERIA o para la Cámara de compensación

- Se hace necesario hacer un seguimiento de la legislación nacional e

internacional en materia de facturación entre compañías BSP para la

adaptación de aplicaciones de contenido.

10. Qué nuevos riesgos entraña la venta de billete electrónico a través de

internet?

Las nuevas tecnologías pueden hacer variar las aplicaciones actuales, como por

ejemplo la venta libre e billetes electrónicos y sobre todo las ventas por Internet,

lo que obliga a tomar medidas de seguridad adicionales. Entraña sobre todo

riesgos de seguridad en la transacción de compra del billete.

CAPITULO 24

AUDITORIA INFORMATICA EN LA ADMINISTRACION

Cuestiones de Repaso:

1. Qué se expone en la Ley de Régimen Jurídico de las Administraciones

Públicas respecto a la utilización de las TIC en la Administración?

Las nuevas corrientes de la ciencia de la organización aportan un enfoque

adicional en cuanto a mecanismos para garantizar la calidad y transparencia de

la actuación administrativa, que configuran diferencias sustanciales entre los

escenarios de 1958 y 1992, en 1958 se pretendió modernizar las arcanas de la

administración española propugnando racionalizar el trabajo burocrático y

empleo de máquinas adecuadas con vista a mecanizar y automatizar las oficinas

públicas. El inmenso avance de la administración pública en cuanto a la

tecnificación, telemática y automatización se ha limitado al funcionamiento

interno.

2. Cuáles son los problemas de normalización que influyen en la relación de

los ciudadanos con las Administraciones Públicas?

� Cuando ello se compatible con los medios técnicos de que dispongas las

administraciones públicas. Nos encontramos aquí, por tanto ante un

problema de normalización.

� Cuando la relación ciudadano-administración respete las garantías y

requisitos previstos en cada procedimiento. En otras palabras más

próximas al mundo de los sistemas de información, se trata de que la

relación ciudadano.-Administración respete las previsiones del Análisis

de requisitos del sistema.

3. Cuáles son los requisitos de validez y eficacia de los documentos

electrónicos? � Que quede garantizada su autenticidad, integridad y conservación

� En su caso, la recepción por el interesado

� El cumplimiento de las garantías y requisitos exigidos por la propia LRJ-

PAC u otras leyes

4. Cuáles son los principales aspectos a auditar en la informatización de un

registro?

- Garantía de identidad entre original entregado y la copia “sellada”

- Los archivos de seguridad

- La publicidad que ofrece acceso a los documentos

- Integración de registros

- Admisibilidad de comunicaciones a distancia usando medios de correo

electrónico

5. Cuál es el objetivo del Real decreto 263/1996?

Delimitar el ámbito de la Administración General del estado las garantías,

requisitos y supuestos de utilización de las técnicas EIT.

6. Cuáles son los requisitos de seguridad en el texto del Real decreto

263/1996?.

• Garantías de seguridad de soportes, medios y aplicaciones

• Emisión de documentos: procedimientos para garantizar la validez de los

medios, integridad, conservación, identidad del autor y autenticidad de la

voluntad

• Valides de las copias: garantía de su autenticidad, integridad y conservación

• Garantía de la realización de las comunicaciones

• Validez de comunicaciones y notificaciones a los ciudadanos; constancia de

transmisión y recepción, estampación de fechas y contenido íntegro,

identificación fidedigna de remitente y destinatario.

• Conservación de documentos: medidas de seguridad que garanticen la

identidad e integridad de la información necesaria para reproducirlos.

• Acceso a documentos almacenados, disposiciones del art. 37 de la ley

30/1992 y en su caso la Ley Orgánica 5/1995. Normas de desarrollo.

• Almacenamiento de documentos; medidas de seguridad que garanticen su

integridad, autenticidad, protección y conservación.

7. Que tipos de requisitos impone la garantía de la realización de las

comunicaciones?

• La garantía de la disponibilidad y acceso en las condiciones que en cada caso

se establezca

• La existencia de compatibilidad entre los utilizados por el emisor y el

destinatario que permita técnicamente las comunicaciones entre ambos,

incluyendo la utilización de códigos y formatos o diseños de registro

establecidos por la Administración general del estado.

• LA existencia de medidas de seguridad tendientes a evitar la interceptación y

alteración de las comunicaciones, así como los accesos no autorizados.

• Disponibilidad

• Identificación

• Compatibilidad

• Confidencialidad

• Integridad

• Control de Accesos

8. Qué se especifica en cuanto a acceso a documentos almacenados en la Ley

30/1992 y en la Ley Orgánica 5/1992?.

Control de accesos, al registro donde se encuentre identificado el documento

original

9. Defina en que consiste la administración electrónica?

Es la posibilidad de que los ciudadanos accedan a los servicios administrativos

de manera electrónica, 24 horas al día, 7 días a la semana, para la obtención de

información.

10. Qué mecanismos emplearía para favorecer la introducción de la

Administración electrónica?

• El principal es la demanda de los ciudadanos de servicios similares a los del

sector privado

• Los importantes ahorros en personal y costes de mantenimientos

• Simplificación de funciones de procesos

• Resolución de problemas más rápido con sistemas en línea que a través de

correspondencia escrita

• La prevención de fraude, mediante mejor identificación y Auditabilidad de

las transacciones electrónicas

• La apertura de nuevas oportunidades para los usuarios.

• La facilidad de uso.