AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 23 y 24
-
Upload
jesus-elid-cisneros -
Category
Documents
-
view
227 -
download
0
Transcript of AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 23 y 24
AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade
ALUMNO : Jesús Cisneros Valle
FECHA : Quito, 06 de Noviembre del 2012
CURSO : 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 23 y 24
DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.
CAPITULO 23
AUDITORIA INFORMATICA EN EL SECTOR AEREO
Cuestiones de Repaso:
1. Nombre algunos sistemas de reservas que conozca?
SABRE, SYSTEM OBE, APOLLO, GALILEO, AMADEUS, IATA,
AGENCIAS DE VIAJES.
2. Qué es AMADEUS?
Es un sistema de reservas a nivel nacional (España) de diversos productos entre
los que se encuentran: vuelos aéreos, hoteles, alquiler de coches, etc.
3. Qué tipo de tratamiento de la información se necesita para un viaje con
diversas escalas en las que el pasajero cambia de compañía aérea?
El traslado de información de un pasajero que viaja a diferentes destinos es
gratuito y es coordinado por las diversas agencias y líneas aéreas. Si un pasajero
debe pasar por varias ciudades y diversas líneas de aéreas para llegar a su
destino. La oficina donde compro el boleto (Iberia por ejemplo), recibirá el
importe total del costo del viaje, luego esta última debe trasladar a las agencias o
líneas aéreas por donde transito el pasajero los costos que le corresponden a cada
una, acá aparece el concepto BSP (Plan de liquidación bancaria) que es donde se
centraliza todas las operaciones para que a manera de una cámara de
compensación realice las acciones necesarias para con todas las líneas aéreas, la
BSP está basada en regulaciones IATA.
4. Cómo afecta la LORTAD al sector aéreo?
• Estableciendo el código de conducta para los sistemas informatizados de
reserva (Reglamento 2299/89)
• Introduce conceptos en el reglamento sobre la protección de datos de
carácter personal y prohibición legal del uso de la información del billete por
los sistemas de distribución legal en este caso AMADEUS.
• Es necesario proteger los datos de difusión tanto los privados del pasajero
como los datos comerciales sobre las compañías aéreas participantes.
• El cumplimiento de los requerimientos técnicos mencionados deben ser
auditados por lo menos una vez al año por empresas independientes.
5. A que aplicaciones principales se les hace auditoria en el sector aéreo?
• PROCESO TICKETING (Son numerosas aplicaciones que componen la
información de vuelos, reservas de plazas y emisión de billetes además de
los procesos de identificación de usuarios y terminales y la gestión de la red
de comunicaciones).
• PROCESO BSP (Los datos económicos del billete de vuelo son tratados en
proceso de facturación y administración contable y de preparación para ser
emitidos al Centro de compensación para la facturación de las compañías
aéreas.
6. Describa los servicios de sistemas de información que facilita una compañía
como IBERIA?
• En general como operador aéreo, el transporte de pasajeros y carga, servicios
en aeropuertos y operaciones de vuelo.
• En particular, desde el centro de procesos de datos de Madrid, ofrece
sistemas de inventarios, emisión de billetes, seguimientos de equipajes y
operaciones de carga
• Existen compañías aéreas conectadas al sistema informatizado de reservas de
IBERIA con inventario privado y emisión de billetes.
• La información del billete consiste en datos del pasajero e información del
vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la
agencia de viajes, conteniendo otros datos de seguridad como el número de
control del billete, stock del billete de información para el BSP.
7. Qué aspectos se analiza en cuanto a la seguridad e integridad?
• Accesos a los sistemas informáticos UNISYS
o Control de acceso a la aplicación Ticketing, mediante identificación
de usuario y autorización de conexión al sistema informático
correspondiente que tiene la aplicación.
o Control de acceso del terminal identificando el software del front-end
de comunicaciones y en tablas del SO.
o El terminal y la conexión física están previamente definidos en tablas
de acceso protegido
o Se define a cual aplicación de Ticketing se autoriza al terminal a
conectarse definido en tablas de acceso protegido
o Estos tipos de acceso solo están permitidos vía transacciones en
tiempo real con funcionalidades predeterminadas en la aplicación.
o Una aplicación no puede tener acceso, lectura o modificación en otra
aplicación si no está previamente autorizada o requerida por su
funcionalidad.
o El usuario accede a la aplicación mediante Sing-in el cual es único
para esa agencia de viajes u oficina de ventas Iberia.
o El acceso vía sistema conversacional requiere un Logon de entrada
más User-Id y Password.
o Existe auditoria de intentos de violación y control de accesos.
o El acceso a los datos solo es posible vía autorización de la aplicación
o Existe terminales autorizados para entrar en sistema de emergencia
asignados al personal técnico para la resolución de problemas.
• Accesos a los sistemas informáticos IBM
o Los terminales autorizados de acceso al sistema informático que
contiene la aplicación están definidos en el software de la Unidad de
control de comunicaciones y en las tablas del sistema MVS
debidamente protegidos.
o El acceso al sistema está controlado por User-id y Password
o Existen reglas de acceso a la aplicaciones por protección y tipo de
acceso a los archivos, asignación de facilidades al usuario.
o Existe auditoria de violación y control de accesos
o La seguridad consiste en identificación del usuario y su verificación,
control de acceso y auditoria guardando resultados
o Se asegura que la aplicación no puede acceder a datos de otra
aplicación
o Existen terminales autorizados para entrar en sistema de emergencia
asignado a personal técnico para resolver problemas
o Todos los datos de contabilidad preparados en la plataforma UNISYS
por la aplicación Ticketing son transferidos a la plataforma IBM por
medio de transferencia de archivos y quedan almacenados y
protegidos.
8. Cuáles son las medidas de seguridad de las aplicaciones y sus datos?
• Definiciones de seguridad de la aplicación son coordinadas por los
responsables de Amadeus, iberia y savia
• SAVIA define la seguridad de acceso de la Agencia de viajes a la aplicación
Ticketing y lo comunica a IBERIA para su inclusión en los sistemas
informáticos.
• Controles de acceso a la aplicación tiçketing
• Controles de acceso a la aplicación de otras compañías aéreas
• Control de conectividad a otros servicios basados en sistemas remotos
• Control de acceso a sus bases de datos
• Control de acceso a utilidades
• Control de obtención de respaldo de las bases de datos y programas de
aplicación
• Control de soporte (Help Desk) en SAVIA
9. Cuáles son los problemas de adaptación de legislación internacional en
materia de facturación?
- Los problemas se presentan para la aplicación de contabilidad y facturación
en la plataforma IBM para IBERIA o para la Cámara de compensación
- Se hace necesario hacer un seguimiento de la legislación nacional e
internacional en materia de facturación entre compañías BSP para la
adaptación de aplicaciones de contenido.
10. Qué nuevos riesgos entraña la venta de billete electrónico a través de
internet?
Las nuevas tecnologías pueden hacer variar las aplicaciones actuales, como por
ejemplo la venta libre e billetes electrónicos y sobre todo las ventas por Internet,
lo que obliga a tomar medidas de seguridad adicionales. Entraña sobre todo
riesgos de seguridad en la transacción de compra del billete.
CAPITULO 24
AUDITORIA INFORMATICA EN LA ADMINISTRACION
Cuestiones de Repaso:
1. Qué se expone en la Ley de Régimen Jurídico de las Administraciones
Públicas respecto a la utilización de las TIC en la Administración?
Las nuevas corrientes de la ciencia de la organización aportan un enfoque
adicional en cuanto a mecanismos para garantizar la calidad y transparencia de
la actuación administrativa, que configuran diferencias sustanciales entre los
escenarios de 1958 y 1992, en 1958 se pretendió modernizar las arcanas de la
administración española propugnando racionalizar el trabajo burocrático y
empleo de máquinas adecuadas con vista a mecanizar y automatizar las oficinas
públicas. El inmenso avance de la administración pública en cuanto a la
tecnificación, telemática y automatización se ha limitado al funcionamiento
interno.
2. Cuáles son los problemas de normalización que influyen en la relación de
los ciudadanos con las Administraciones Públicas?
� Cuando ello se compatible con los medios técnicos de que dispongas las
administraciones públicas. Nos encontramos aquí, por tanto ante un
problema de normalización.
� Cuando la relación ciudadano-administración respete las garantías y
requisitos previstos en cada procedimiento. En otras palabras más
próximas al mundo de los sistemas de información, se trata de que la
relación ciudadano.-Administración respete las previsiones del Análisis
de requisitos del sistema.
3. Cuáles son los requisitos de validez y eficacia de los documentos
electrónicos? � Que quede garantizada su autenticidad, integridad y conservación
� En su caso, la recepción por el interesado
� El cumplimiento de las garantías y requisitos exigidos por la propia LRJ-
PAC u otras leyes
4. Cuáles son los principales aspectos a auditar en la informatización de un
registro?
- Garantía de identidad entre original entregado y la copia “sellada”
- Los archivos de seguridad
- La publicidad que ofrece acceso a los documentos
- Integración de registros
- Admisibilidad de comunicaciones a distancia usando medios de correo
electrónico
5. Cuál es el objetivo del Real decreto 263/1996?
Delimitar el ámbito de la Administración General del estado las garantías,
requisitos y supuestos de utilización de las técnicas EIT.
6. Cuáles son los requisitos de seguridad en el texto del Real decreto
263/1996?.
• Garantías de seguridad de soportes, medios y aplicaciones
• Emisión de documentos: procedimientos para garantizar la validez de los
medios, integridad, conservación, identidad del autor y autenticidad de la
voluntad
• Valides de las copias: garantía de su autenticidad, integridad y conservación
• Garantía de la realización de las comunicaciones
• Validez de comunicaciones y notificaciones a los ciudadanos; constancia de
transmisión y recepción, estampación de fechas y contenido íntegro,
identificación fidedigna de remitente y destinatario.
• Conservación de documentos: medidas de seguridad que garanticen la
identidad e integridad de la información necesaria para reproducirlos.
• Acceso a documentos almacenados, disposiciones del art. 37 de la ley
30/1992 y en su caso la Ley Orgánica 5/1995. Normas de desarrollo.
• Almacenamiento de documentos; medidas de seguridad que garanticen su
integridad, autenticidad, protección y conservación.
7. Que tipos de requisitos impone la garantía de la realización de las
comunicaciones?
• La garantía de la disponibilidad y acceso en las condiciones que en cada caso
se establezca
• La existencia de compatibilidad entre los utilizados por el emisor y el
destinatario que permita técnicamente las comunicaciones entre ambos,
incluyendo la utilización de códigos y formatos o diseños de registro
establecidos por la Administración general del estado.
• LA existencia de medidas de seguridad tendientes a evitar la interceptación y
alteración de las comunicaciones, así como los accesos no autorizados.
• Disponibilidad
• Identificación
• Compatibilidad
• Confidencialidad
• Integridad
• Control de Accesos
8. Qué se especifica en cuanto a acceso a documentos almacenados en la Ley
30/1992 y en la Ley Orgánica 5/1992?.
Control de accesos, al registro donde se encuentre identificado el documento
original
9. Defina en que consiste la administración electrónica?
Es la posibilidad de que los ciudadanos accedan a los servicios administrativos
de manera electrónica, 24 horas al día, 7 días a la semana, para la obtención de
información.
10. Qué mecanismos emplearía para favorecer la introducción de la
Administración electrónica?
• El principal es la demanda de los ciudadanos de servicios similares a los del
sector privado
• Los importantes ahorros en personal y costes de mantenimientos
• Simplificación de funciones de procesos
• Resolución de problemas más rápido con sistemas en línea que a través de
correspondencia escrita
• La prevención de fraude, mediante mejor identificación y Auditabilidad de
las transacciones electrónicas
• La apertura de nuevas oportunidades para los usuarios.
• La facilidad de uso.