AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 06 de Noviembre del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 23 y 24 DEL LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 23
AUDITORIA INFORMATICA EN EL SECTOR AEREO Cuestiones de Repaso: 1. Nombre algunos sistemas de reservas que conozca? SABRE, SYSTEM OBE, APOLLO, GALILEO, AGENCIAS DE VIAJES. AMADEUS, IATA,

2. Qu es AMADEUS? Es un sistema de reservas a nivel nacional (Espaa) de diversos productos entre los que se encuentran: vuelos areos, hoteles, alquiler de coches, etc. 3. Qu tipo de tratamiento de la informacin se necesita para un viaje con diversas escalas en las que el pasajero cambia de compaa area? El traslado de informacin de un pasajero que viaja a diferentes destinos es gratuito y es coordinado por las diversas agencias y lneas areas. Si un pasajero debe pasar por varias ciudades y diversas lneas de areas para llegar a su destino. La oficina donde compro el boleto (Iberia por ejemplo), recibir el importe total del costo del viaje, luego esta ltima debe trasladar a las agencias o lneas areas por donde transito el pasajero los costos que le corresponden a cada una, ac aparece el concepto BSP (Plan de liquidacin bancaria) que es donde se centraliza todas las operaciones para que a manera de una cmara de compensacin realice las acciones necesarias para con todas las lneas areas, la BSP est basada en regulaciones IATA. 4. Cmo afecta la LORTAD al sector areo? Estableciendo el cdigo de conducta para los sistemas informatizados de reserva (Reglamento 2299/89) Introduce conceptos en el reglamento sobre la proteccin de datos de carcter personal y prohibicin legal del uso de la informacin del billete por los sistemas de distribucin legal en este caso AMADEUS. Es necesario proteger los datos de difusin tanto los privados del pasajero como los datos comerciales sobre las compaas areas participantes. El cumplimiento de los requerimientos tcnicos mencionados deben ser auditados por lo menos una vez al ao por empresas independientes.

5. A que aplicaciones principales se les hace auditoria en el sector areo? PROCESO TICKETING (Son numerosas aplicaciones que componen la informacin de vuelos, reservas de plazas y emisin de billetes adems de los procesos de identificacin de usuarios y terminales y la gestin de la red de comunicaciones). PROCESO BSP (Los datos econmicos del billete de vuelo son tratados en proceso de facturacin y administracin contable y de preparacin para ser emitidos al Centro de compensacin para la facturacin de las compaas areas.

6. Describa los servicios de sistemas de informacin que facilita una compaa como IBERIA? En general como operador areo, el transporte de pasajeros y carga, servicios en aeropuertos y operaciones de vuelo. En particular, desde el centro de procesos de datos de Madrid, ofrece sistemas de inventarios, emisin de billetes, seguimientos de equipajes y operaciones de carga Existen compaas areas conectadas al sistema informatizado de reservas de IBERIA con inventario privado y emisin de billetes. La informacin del billete consiste en datos del pasajero e informacin del vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la agencia de viajes, conteniendo otros datos de seguridad como el nmero de control del billete, stock del billete de informacin para el BSP. 7. Qu aspectos se analiza en cuanto a la seguridad e integridad? Accesos a los sistemas informticos UNISYS o Control de acceso a la aplicacin Ticketing, mediante identificacin de usuario y autorizacin de conexin al sistema informtico correspondiente que tiene la aplicacin. o Control de acceso del terminal identificando el software del front-end de comunicaciones y en tablas del SO. o El terminal y la conexin fsica estn previamente definidos en tablas de acceso protegido o Se define a cual aplicacin de Ticketing se autoriza al terminal a conectarse definido en tablas de acceso protegido o Estos tipos de acceso solo estn permitidos va transacciones en tiempo real con funcionalidades predeterminadas en la aplicacin. o Una aplicacin no puede tener acceso, lectura o modificacin en otra aplicacin si no est previamente autorizada o requerida por su funcionalidad. o El usuario accede a la aplicacin mediante Sing-in el cual es nico para esa agencia de viajes u oficina de ventas Iberia. o El acceso va sistema conversacional requiere un Logon de entrada ms User-Id y Password. o Existe auditoria de intentos de violacin y control de accesos. o El acceso a los datos solo es posible va autorizacin de la aplicacin o Existe terminales autorizados para entrar en sistema de emergencia asignados al personal tcnico para la resolucin de problemas.

Accesos a los sistemas informticos IBM o Los terminales autorizados de acceso al sistema informtico que contiene la aplicacin estn definidos en el software de la Unidad de control de comunicaciones y en las tablas del sistema MVS debidamente protegidos. o El acceso al sistema est controlado por User-id y Password o Existen reglas de acceso a la aplicaciones por proteccin y tipo de acceso a los archivos, asignacin de facilidades al usuario. o Existe auditoria de violacin y control de accesos o La seguridad consiste en identificacin del usuario y su verificacin, control de acceso y auditoria guardando resultados o Se asegura que la aplicacin no puede acceder a datos de otra aplicacin o Existen terminales autorizados para entrar en sistema de emergencia asignado a personal tcnico para resolver problemas o Todos los datos de contabilidad preparados en la plataforma UNISYS por la aplicacin Ticketing son transferidos a la plataforma IBM por medio de transferencia de archivos y quedan almacenados y protegidos.

8. Cules son las medidas de seguridad de las aplicaciones y sus datos? Definiciones de seguridad de la aplicacin son coordinadas por los responsables de Amadeus, iberia y savia SAVIA define la seguridad de acceso de la Agencia de viajes a la aplicacin Ticketing y lo comunica a IBERIA para su inclusin en los sistemas informticos. Controles de acceso a la aplicacin tiketing Controles de acceso a la aplicacin de otras compaas areas Control de conectividad a otros servicios basados en sistemas remotos Control de acceso a sus bases de datos Control de acceso a utilidades Control de obtencin de respaldo de las bases de datos y programas de aplicacin Control de soporte (Help Desk) en SAVIA 9. Cules son los problemas de adaptacin de legislacin internacional en materia de facturacin? - Los problemas se presentan para la aplicacin de contabilidad y facturacin en la plataforma IBM para IBERIA o para la Cmara de compensacin - Se hace necesario hacer un seguimiento de la legislacin nacional e internacional en materia de facturacin entre compaas BSP para la adaptacin de aplicaciones de contenido. 10. Qu nuevos riesgos entraa la venta de billete electrnico a travs de internet? Las nuevas tecnologas pueden hacer variar las aplicaciones actuales, como por ejemplo la venta libre e billetes electrnicos y sobre todo las ventas por Internet, lo que obliga a tomar medidas de seguridad adicionales. Entraa sobre todo riesgos de seguridad en la transaccin de compra del billete.

CAPITULO 24
AUDITORIA INFORMATICA EN LA ADMINISTRACION Cuestiones de Repaso: 1. Qu se expone en la Ley de Rgimen Jurdico de las Administraciones Pblicas respecto a la utilizacin de las TIC en la Administracin? Las nuevas corrientes de la ciencia de la organizacin aportan un enfoque adicional en cuanto a mecanismos para garantizar la calidad y transparencia de la actuacin administrativa, que configuran diferencias sustanciales entre los escenarios de 1958 y 1992, en 1958 se pretendi modernizar las arcanas de la administracin espaola propugnando racionalizar el trabajo burocrtico y empleo de mquinas adecuadas con vista a mecanizar y automatizar las oficinas pblicas. El inmenso avance de la administracin pblica en cuanto a la tecnificacin, telemtica y automatizacin se ha limitado al funcionamiento interno. 2. Cules son los problemas de normalizacin que influyen en la relacin de los ciudadanos con las Administraciones Pblicas? Cuando ello se compatible con los medios tcnicos de que dispongas las administraciones pblicas. Nos encontramos aqu, por tanto ante un problema de normalizacin. Cuando la relacin ciudadano-administracin respete las garantas y requisitos previstos en cada procedimiento. En otras palabras ms prximas al mundo de los sistemas de informacin, se trata de que la relacin ciudadano.-Administracin respete las previsiones del Anlisis de requisitos del sistema. 3. Cules son los requisitos de validez y eficacia de los documentos electrnicos? Que quede garantizada su autenticidad, integridad y conservacin En su caso, la recepcin por el interesado El cumplimiento de las garantas y requisitos exigidos por la propia LRJPAC u otras leyes 4. Cules son los principales aspectos a auditar en la informatizacin de un registro? - Garanta de identidad entre original entregado y la copia sellada - Los archivos de seguridad - La publicidad que ofrece acceso a los documentos - Integracin de registros - Admisibilidad de comunicaciones a distancia usando medios de correo electrnico 5. Cul es el objetivo del Real decreto 263/1996? Delimitar el mbito de la Administracin General del estado las garantas, requisitos y supuestos de utilizacin de las tcnicas EIT.

6. Cules son los requisitos de seguridad en el texto del Real decreto 263/1996?. Garantas de seguridad de soportes, medios y aplicaciones Emisin de documentos: procedimientos para garantizar la validez de los medios, integridad, conservacin, identidad del autor y autenticidad de la voluntad Valides de las copias: garanta de su autenticidad, integridad y conservacin Garanta de la realizacin de las comunicaciones Validez de comunicaciones y notificaciones a los ciudadanos; constancia de transmisin y recepcin, estampacin de fechas y contenido ntegro, identificacin fidedigna de remitente y destinatario. Conservacin de documentos: medidas de seguridad que garanticen la identidad e integridad de la informacin necesaria para reproducirlos. Acceso a documentos almacenados, disposiciones del art. 37 de la ley 30/1992 y en su caso la Ley Orgnica 5/1995. Normas de desarrollo. Almacenamiento de documentos; medidas de seguridad que garanticen su integridad, autenticidad, proteccin y conservacin. 7. Que tipos de requisitos impone la garanta de la realizacin de las comunicaciones? La garanta de la disponibilidad y acceso en las condiciones que en cada caso se establezca La existencia de compatibilidad entre los utilizados por el emisor y el destinatario que permita tcnicamente las comunicaciones entre ambos, incluyendo la utilizacin de cdigos y formatos o diseos de registro establecidos por la Administracin general del estado. LA existencia de medidas de seguridad tendientes a evitar la interceptacin y alteracin de las comunicaciones, as como los accesos no autorizados. Disponibilidad Identificacin Compatibilidad Confidencialidad Integridad Control de Accesos 8. Qu se especifica en cuanto a acceso a documentos almacenados en la Ley 30/1992 y en la Ley Orgnica 5/1992?. Control de accesos, al registro donde se encuentre identificado el documento original 9. Defina en que consiste la administracin electrnica? Es la posibilidad de que los ciudadanos accedan a los servicios administrativos de manera electrnica, 24 horas al da, 7 das a la semana, para la obtencin de informacin. 10. Qu mecanismos empleara para favorecer la introduccin de la Administracin electrnica?

El principal es la demanda de los ciudadanos de servicios similares a los del sector privado Los importantes ahorros en personal y costes de mantenimientos Simplificacin de funciones de procesos Resolucin de problemas ms rpido con sistemas en lnea que a travs de correspondencia escrita La prevencin de fraude, mediante mejor identificacin y Auditabilidad de las transacciones electrnicas La apertura de nuevas oportunidades para los usuarios. La facilidad de uso.