AUDITORIA INFORMATICA PROFESOR : Ing. Fernando Andrade ALUMNO
: Jesús Cisneros Valle
FECHA
: Quito, 06 de Noviembre del 2012
CURSO
: 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 23 y 24 DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.
CAPITULO 23 AUDITORIA INFORMATICA EN EL SECTOR AEREO Cuestiones de Repaso: 1. Nombre algunos sistemas de reservas que conozca? SABRE, SYSTEM OBE, APOLLO, GALILEO, AGENCIAS DE VIAJES.
AMADEUS,
IATA,
2. Qué es AMADEUS? Es un sistema de reservas a nivel nacional (España) de diversos productos entre los que se encuentran: vuelos aéreos, hoteles, alquiler de coches, etc. 3. Qué tipo de tratamiento de la información se necesita para un viaje con diversas escalas en las que el pasajero cambia de compañía aérea? El traslado de información de un pasajero que viaja a diferentes destinos es gratuito y es coordinado por las diversas agencias y líneas aéreas. Si un pasajero debe pasar por varias ciudades y diversas líneas de aéreas para llegar a su destino. La oficina donde compro el boleto (Iberia por ejemplo), recibirá el importe total del costo del viaje, luego esta última debe trasladar a las agencias o líneas aéreas por donde transito el pasajero los costos que le corresponden a cada una, acá aparece el concepto BSP (Plan de liquidación bancaria) que es donde se centraliza todas las operaciones para que a manera de una cámara de compensación realice las acciones necesarias para con todas las líneas aéreas, la BSP está basada en regulaciones IATA. 4. Cómo afecta la LORTAD al sector aéreo? • Estableciendo el código de conducta para los sistemas informatizados de reserva (Reglamento 2299/89) • Introduce conceptos en el reglamento sobre la protección de datos de carácter personal y prohibición legal del uso de la información del billete por los sistemas de distribución legal en este caso AMADEUS. • Es necesario proteger los datos de difusión tanto los privados del pasajero como los datos comerciales sobre las compañías aéreas participantes. • El cumplimiento de los requerimientos técnicos mencionados deben ser auditados por lo menos una vez al año por empresas independientes.
5. A que aplicaciones principales se les hace auditoria en el sector aéreo? • PROCESO TICKETING (Son numerosas aplicaciones que componen la información de vuelos, reservas de plazas y emisión de billetes además de los procesos de identificación de usuarios y terminales y la gestión de la red de comunicaciones). •
PROCESO BSP (Los datos económicos del billete de vuelo son tratados en proceso de facturación y administración contable y de preparación para ser emitidos al Centro de compensación para la facturación de las compañías aéreas.
6. Describa los servicios de sistemas de información que facilita una compañía como IBERIA? • En general como operador aéreo, el transporte de pasajeros y carga, servicios en aeropuertos y operaciones de vuelo. • En particular, desde el centro de procesos de datos de Madrid, ofrece sistemas de inventarios, emisión de billetes, seguimientos de equipajes y operaciones de carga • Existen compañías aéreas conectadas al sistema informatizado de reservas de IBERIA con inventario privado y emisión de billetes. • La información del billete consiste en datos del pasajero e información del vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la agencia de viajes, conteniendo otros datos de seguridad como el número de control del billete, stock del billete de información para el BSP. 7. Qué aspectos se analiza en cuanto a la seguridad e integridad? • Accesos a los sistemas informáticos UNISYS o Control de acceso a la aplicación Ticketing, mediante identificación de usuario y autorización de conexión al sistema informático correspondiente que tiene la aplicación. o Control de acceso del terminal identificando el software del front-end de comunicaciones y en tablas del SO. o El terminal y la conexión física están previamente definidos en tablas de acceso protegido o Se define a cual aplicación de Ticketing se autoriza al terminal a conectarse definido en tablas de acceso protegido o Estos tipos de acceso solo están permitidos vía transacciones en tiempo real con funcionalidades predeterminadas en la aplicación. o Una aplicación no puede tener acceso, lectura o modificación en otra aplicación si no está previamente autorizada o requerida por su funcionalidad. o El usuario accede a la aplicación mediante Sing-in el cual es único para esa agencia de viajes u oficina de ventas Iberia. o El acceso vía sistema conversacional requiere un Logon de entrada más User-Id y Password. o Existe auditoria de intentos de violación y control de accesos. o El acceso a los datos solo es posible vía autorización de la aplicación o Existe terminales autorizados para entrar en sistema de emergencia asignados al personal técnico para la resolución de problemas.
•
Accesos a los sistemas informáticos IBM o Los terminales autorizados de acceso al sistema informático que contiene la aplicación están definidos en el software de la Unidad de control de comunicaciones y en las tablas del sistema MVS debidamente protegidos. o El acceso al sistema está controlado por User-id y Password o Existen reglas de acceso a la aplicaciones por protección y tipo de acceso a los archivos, asignación de facilidades al usuario. o Existe auditoria de violación y control de accesos o La seguridad consiste en identificación del usuario y su verificación, control de acceso y auditoria guardando resultados o Se asegura que la aplicación no puede acceder a datos de otra aplicación o Existen terminales autorizados para entrar en sistema de emergencia asignado a personal técnico para resolver problemas o Todos los datos de contabilidad preparados en la plataforma UNISYS por la aplicación Ticketing son transferidos a la plataforma IBM por medio de transferencia de archivos y quedan almacenados y protegidos.
8. Cuáles son las medidas de seguridad de las aplicaciones y sus datos? • Definiciones de seguridad de la aplicación son coordinadas por los responsables de Amadeus, iberia y savia • SAVIA define la seguridad de acceso de la Agencia de viajes a la aplicación Ticketing y lo comunica a IBERIA para su inclusión en los sistemas informáticos. • Controles de acceso a la aplicación tiçketing • Controles de acceso a la aplicación de otras compañías aéreas • Control de conectividad a otros servicios basados en sistemas remotos • Control de acceso a sus bases de datos • Control de acceso a utilidades • Control de obtención de respaldo de las bases de datos y programas de aplicación • Control de soporte (Help Desk) en SAVIA 9. Cuáles son los problemas de adaptación de legislación internacional en materia de facturación? - Los problemas se presentan para la aplicación de contabilidad y facturación en la plataforma IBM para IBERIA o para la Cámara de compensación - Se hace necesario hacer un seguimiento de la legislación nacional e internacional en materia de facturación entre compañías BSP para la adaptación de aplicaciones de contenido. 10. Qué nuevos riesgos entraña la venta de billete electrónico a través de internet? Las nuevas tecnologías pueden hacer variar las aplicaciones actuales, como por ejemplo la venta libre e billetes electrónicos y sobre todo las ventas por Internet, lo que obliga a tomar medidas de seguridad adicionales. Entraña sobre todo riesgos de seguridad en la transacción de compra del billete.
CAPITULO 24 AUDITORIA INFORMATICA EN LA ADMINISTRACION Cuestiones de Repaso: 1. Qué se expone en la Ley de Régimen Jurídico de las Administraciones Públicas respecto a la utilización de las TIC en la Administración? Las nuevas corrientes de la ciencia de la organización aportan un enfoque adicional en cuanto a mecanismos para garantizar la calidad y transparencia de la actuación administrativa, que configuran diferencias sustanciales entre los escenarios de 1958 y 1992, en 1958 se pretendió modernizar las arcanas de la administración española propugnando racionalizar el trabajo burocrático y empleo de máquinas adecuadas con vista a mecanizar y automatizar las oficinas públicas. El inmenso avance de la administración pública en cuanto a la tecnificación, telemática y automatización se ha limitado al funcionamiento interno. 2. Cuáles son los problemas de normalización que influyen en la relación de los ciudadanos con las Administraciones Públicas? � Cuando ello se compatible con los medios técnicos de que dispongas las administraciones públicas. Nos encontramos aquí, por tanto ante un problema de normalización. � Cuando la relación ciudadano-administración respete las garantías y requisitos previstos en cada procedimiento. En otras palabras más próximas al mundo de los sistemas de información, se trata de que la relación ciudadano.-Administración respete las previsiones del Análisis de requisitos del sistema. 3. Cuáles son los requisitos de validez y eficacia de los documentos electrónicos? � Que quede garantizada su autenticidad, integridad y conservación � En su caso, la recepción por el interesado � El cumplimiento de las garantías y requisitos exigidos por la propia LRJPAC u otras leyes 4. Cuáles son los principales aspectos a auditar en la informatización de un registro? - Garantía de identidad entre original entregado y la copia “sellada” - Los archivos de seguridad - La publicidad que ofrece acceso a los documentos - Integración de registros - Admisibilidad de comunicaciones a distancia usando medios de correo electrónico 5. Cuál es el objetivo del Real decreto 263/1996? Delimitar el ámbito de la Administración General del estado las garantías, requisitos y supuestos de utilización de las técnicas EIT.
6. Cuáles son los requisitos de seguridad en el texto del Real decreto 263/1996?. • Garantías de seguridad de soportes, medios y aplicaciones • Emisión de documentos: procedimientos para garantizar la validez de los medios, integridad, conservación, identidad del autor y autenticidad de la voluntad • Valides de las copias: garantía de su autenticidad, integridad y conservación • Garantía de la realización de las comunicaciones • Validez de comunicaciones y notificaciones a los ciudadanos; constancia de transmisión y recepción, estampación de fechas y contenido íntegro, identificación fidedigna de remitente y destinatario. • Conservación de documentos: medidas de seguridad que garanticen la identidad e integridad de la información necesaria para reproducirlos. • Acceso a documentos almacenados, disposiciones del art. 37 de la ley 30/1992 y en su caso la Ley Orgánica 5/1995. Normas de desarrollo. • Almacenamiento de documentos; medidas de seguridad que garanticen su integridad, autenticidad, protección y conservación. 7. Que tipos de requisitos impone la garantía de la realización de las comunicaciones? • La garantía de la disponibilidad y acceso en las condiciones que en cada caso se establezca • La existencia de compatibilidad entre los utilizados por el emisor y el destinatario que permita técnicamente las comunicaciones entre ambos, incluyendo la utilización de códigos y formatos o diseños de registro establecidos por la Administración general del estado. • LA existencia de medidas de seguridad tendientes a evitar la interceptación y alteración de las comunicaciones, así como los accesos no autorizados. • Disponibilidad • Identificación • Compatibilidad • Confidencialidad • Integridad • Control de Accesos 8. Qué se especifica en cuanto a acceso a documentos almacenados en la Ley 30/1992 y en la Ley Orgánica 5/1992?. Control de accesos, al registro donde se encuentre identificado el documento original 9. Defina en que consiste la administración electrónica? Es la posibilidad de que los ciudadanos accedan a los servicios administrativos de manera electrónica, 24 horas al día, 7 días a la semana, para la obtención de información. 10. Qué mecanismos emplearía para favorecer la introducción de la Administración electrónica?
• • • • • • •
El principal es la demanda de los ciudadanos de servicios similares a los del sector privado Los importantes ahorros en personal y costes de mantenimientos Simplificación de funciones de procesos Resolución de problemas más rápido con sistemas en línea que a través de correspondencia escrita La prevención de fraude, mediante mejor identificación y Auditabilidad de las transacciones electrónicas La apertura de nuevas oportunidades para los usuarios. La facilidad de uso.
