Auditoría Informática en el

Sector Aéreo

Jaime Narvaez
Kerolin Alemán
Introducción
Por hacer un poco de historia podríamos decir que
en el mundo informático del sector aéreo los
aspectos jurídicos no han tenido un gran impacto en
el desarrollo dado que apenas existían y este sector
estaba monopolizado por la empresas fabricantes
de hardware y los productos y aplicaciones software
en las que se basaba el tratamiento de los datos y
en las facilidades que ofrecía el sistema operativo
de sus máquinas.
Los aspectos sobre los que se realizaban
trabajos de auditoría eran los clásicos de materia
económica y financiera sobre los cuales, aparte
del modo operativo, había que cumplir requisitos
obligados que estaban reglamentados por los
organismos oficiales del país.
No obstante, dentro del sector había que cumplir
la legislación internacional correspondiente.
Cuando el mundo de la auditoría se dio cuenta de que los datos eran manejados por sistemas
informáticos, nació la auditoría informática, la cual iba más dirigida a la organización del centro
proceso de datos y a la custodia de los datos en diapositivas magnéticas cumpliendo con la
legislación de guardar la información al menos cinco años.
Sist. de reservas AMADEUS
Las líneas aéreas europeas no podían
quedarse atrás ante el empuje americano y se
constituyó como sociedad anónima AMADEUS
GLOBAL TRAVEL DISTRIBUTION, siendo los
socios actuales Air France, Iberia, Lufthansa y
Continental Airlines.
Su finalidad es proporcionar un sistema de reservas a nivel internacional de diversos productos entre
los que se encuentran: vuelos aéreos, hoteles, alquiler de coches, etc.
Por lo tanto AMADEUS contrata servicios de proceso de datos y acceso a la base de datos de
reservas para cualquier línea aérea que esté adherida a un sistema informático de reservas,
programas de vuelos, disponibilidad de plazas y tarifas, al informáticos para la gestión de las
Agencias de Viajes y también para la gestión de todo el sistema de reservas a nivel internacional
Facturación entre compañías aéreas
Este trasiego de información es gratuito, pero
cuando se realiza una reserva y la
correspondiente emisión del billete para otra
compañía aérea es necesario regular este para
que el importe recaiga sobre el auténtico
transportista.
Si un pasajero solicita información y desea contratar un vuelo con una compañía aérea, por ejemplo
Madrid-Londres, y ese trayecto lo realiza la misma, no existe facturación entre compañías.
Pero si el vuelo que desea realizar es: Madrid-
Nueva York-Hawai-San Francisco-Nueva York-
Madrid, y la compañía aérea no puede efectuar
alguno de estos tramos por no disponer de
autorización para realizar esos vuelos, existe un
acuerdo entre las compañías aéreas de poder
emitir el billete en las líneas de aquellas
compañías que los explotan comercialmente.
Lógicamente cada una de éstas deberá recibir el importe del trayecto en el cual ha sido transportado
el pasajero que pagó el importe por su reserva y emisión del billete.
Aquí aparece el concepto del BSP, Bank Sttelment Plan,
Plan de liquidación Bancaria, cuyas oficinas están en
Ginebra donde se centralizan todas las operaciones
funcionando como una Cámara de compensación. Para
ello existe una fecha determinada, como límite cada
mes, para hacer llegar los importes totales y
desglosados para cada compañía aérea de cada uno de
los billetes emitidos y realizados. La distribución de los
Procesos BSP está basada en regulaciones IATA,
Asociación del Transporte Aéreo.
Para evitar el fraude, IATA facilita un control
numérico del stock de billetes que se adjudica a
cada compañía aérea y Agencias de Viajes y
que sólo son válidos para aquellos miembros
asociados a la citada organización, siendo esta
enumeración incorporada a los datos del
pasajero para saber el billete que se le entrega
con los trayectos que solicitó y la o las tarifas
que abonó.
Código de conducta para CRS
La Comunidad Económica Europea por mediación
del consejo de las Comunidades Europeas aprobó, y
publicó el Reglamento núm. 2299/89 de 24 de julio
de 1989, por el que se establece un código de
conducta para los sistemas informatizados de
reserva, posteriormente aprobó y publicó el
Reglamento núm 2299/89, por el que se establece
un código de conducta para los sistemas
informatizados de reserva.
Esta última modificación introduce conceptos en el
reglamento sobre la protección de datos de carácter
personal y la prohibición legal del uso de la
información del billete por los sistemas de
distribución, en este caso AMADEUS, aplicable a los
propietarios de los sistemas nacionales, IBERIA.
El citado reglamento comunitario establece en sus
art. 4, 6 y 21, entre otras, las siguientes
obligaciones:
Procesos Informáticos
Las aplicaciones informáticas a las que se les
practica la auditoría son dos, procesándose en
plataformas informáticas diferentes.
● Proceso TICKETING
● Proceso BSP
Proceso TICKETING
Desarrollado para grandes sistemas UNISYS.
Bajo este nombre, y para no complicar con
nomenclaturas, vamos a reunir las numerosas
aplicaciones que componen la información de
vuelos, reserva de plazas y emisión de billetes
además de los procesos de identificación de
usuarios y terminales y la gestión de la red de
comunicaciones.
Este proceso comienza por la solicitud de la Agencia de Viajes o Compañía aérea de la solicitud de
los vuelos para un trayecto determinado, horarios de los mismos, disponibilidad de plazas, diversas
tarifas, reserva de vuelo y asiento con su definitiva confirmación en la emisión del billete para el
cliente.
La seguridad de la aplicación está basada en el SIGN-IN
facilitado a la Agencia de Viajes en el momento de la
contratación comercial del servicio. Esta contraseña permite
permite identificar tanto a la oficina de ventas y a sus terminales
como a las funcionalidades asignadas para la realización de las
determinadas transacciones que está autorizado a utilizar,
igualmente se guarda la identificación para que sólo esa
Agencia y no cualquier otra con sign-in diferente, pueda
modificar, eliminar o añadir datos al registro creado en la base
de datos para la reserva y emisión del billete del pasajero.
Proceso BSP
Desarrollado para grandes sistemas IBM. Los
datos económicos del billete del vuelo son
tratados en procesos de facturación y
administración contable y de preparación para
ser remitidos al Centro de compensación para
la facturación entre compañías aéreas.
La transmisión de estos archivos se formalizó mediante
contrato exigiendo todas las medidas de seguridad
necesarias y de acuerdo con la legislación nacional vigente
y la no divulgación de los datos comerciales de las
compañías participantes.
Las medidas de protección vienen dadas por clave User-Id
asignada a personas significadas únicamente con
autorización de la lectura para los archivos determinados,
con lo cual la confidencialidad, divulgación y no
manipulación de la información queda asegurada.
Auditoría Informática
Anualmente se recibe la visita de auditores que en
cumplimiento del Reglamento Comunitario sobre
Código de conducta de CRS, vienen de Alemania,
sede del sistema AMADEUS para realizar sus trabajos
respecto a los procesos señalados en el punto
anterior. el cumplimiento de esta auditoría es obligado,
y en caso del no cumplimiento de lo estipulado en los
artículos del reglamento se podría cancelar el contrato
de servicio entre ambas empresas.
La finalidad de la auditoría es detectar posibles desviaciones para
asegurar la correcta función neutral en la emisión del billete por parte
IBERIA como subcontrarado de AMADEUS, así como asegurar las
apropiadas salvaguardas, como los procedimientos internos y las
medidas de seguridad conforme al Reglamento de la CEE núm.
2299/89, de 24 de julio 1989 y Reglamento CEE núm. 3089/93, de 29
de octubre 1993, por el que se establece un Código de Conducta para
los sistemas informatizados de reservas y los requerimientos de
AMADEUS incluidos en el contrato con la subcontratación de servicios
de Ticketing con IBERIA en cuanto a información al cliente, calidad de
los servicios y confidencialidad se refiere.
El primer paso después de preparar la agenda de entrevistas con los auditores, es recibir en IBERIA
un cuestionario sobre determinadas preguntas que debidamente complementado y comentado se les
hace entrega el día de la visita.
Estas preguntas se concretan en 4 apartados:
A. Datos Personales
B. Datos BSP
C. Otras modificaciones y cambios
D. Documentación
Establecimiento de Flujo de trabajo
Entrevistas con los responsables de las áreas
de la aplicación Ticketing en orden a confirmar,
completar o corregir las medidas,
procedimientos y controles establecidos
poniendo un mayor énfasis en los aspectos de
seguridad.
Procedimientos de auditoría
Están basadas en la separación organizacional y en la
documentación solicitada con anterioridad.
Otro enfoque ha estado basado principalmente en la
implementación de medidas y procedimientos de seguridad
y sus controles distribuyendolos en temas como :
● Seguridad Física
● Sistemas de Seguridad e integridad
● Medidas de seguridad en las Aplicaciones y sus datos
● Seguridad en el desarrollo de la Aplicación
Conclusiones
Las aplicaciones deben controlar fuertemente
la identificación de los clientes, lo que hará
variar y ampliar el desarrollo por el mundo
INTERNET con nuevas soluciones en materia
de seguridad, lo que a su vez obligará a
desarrollar nuevas metodologías en el mundo
de la auditoría informática.