auditoria infomatica en el sector aero(modificado)

Auditoría informática en el sector aéreoKeroline Alemán Jaime Narvaez

Introducción En el sector aéreo los aspectos jurídicos no han tenido un gran impacto. Los aspectos sobre los cuales se realizaban trabajos de auditoría eran los clásicos de materia económica y financiera, dentro del sector se tenía que cumplir con la legislación internacional.

La auditoría informática nace cuando los datos comienzan a ser guardados en dispositivos magnéticos, con el objetivo de procesar datos geográficamente distante de compania aerea nacen los siguientes sistemas: SABRE, SYSTEM ONE y APOLLO, GALILEO y AMADEUS(Europa), aparte de los nacionales en España SAVIA.

Sistema de reservasAmadeus- AMADEUS GLOBAL TRAVEL DISTRIBUTION- Air France, Iberia, Lufthansa y Continental Airlines- Europa- Sistema distribuido

Cual es la finalidad de Amadeus?

Su finalidad es proporcionar un sistema de reservas a nivel internacional de diversos productos entre los que se encuentran: vuelos aéreos, hoteles, alquiler de autos, etc.

Que hace Amadeus?

Contratar servicios de proceso de datos y acceso a la base de datos de reservas para cualquier línea aérea que esté adherida a un sistema informático de reservas, programas de vuelos, disponibilidad de plazas y tarifas, gestionar la red de comunicaciones, crear programas informáticos para la gestión de las Agencias de Viajes

Facturación entre Compañías aéreas- Garantizar servicio- Facilitar proceso de boletos

Como es este proceso?

Este trasiego de información es gratuito, pero cuando se realiza una reserva y la correspondiente emisión del billete para otra compañía aérea es necesario regular para que el importe recaiga sobre el auténtico transportista.

Ejemplo

- Madrid-Nueva York se reserva y lo realiza IBERIA.- Nueva York-Hawai se reserva y lo realiza American

Airlines.- Hawai-San Francisco se reserva y lo realiza Carnival

Airlines.- San Francisco-Nueva York se reserva y lo realiza

Continental Airlines.- Nueva York-Madrid se reserva y lo realiza IBERlA.

Lógicamente cada una de éstas deberá recibir el importe del trayecto del cliente

Que es Bank Settelment Plan?

Es un plan de liquidación Bancaria, sus oficinas están en Ginebra donde se centralizan todas las operaciones funcionando como una Cámara de compensación. La distribución de los Procesos BSP está basada en regulaciones de lATA.

IATA Asociación Internacional del transporte Aéreo- Que evita el IATA?- Cuales son sus objetivos?

IATA evita el fraude

Con un control numérico del stock de billetes que se adjudica a cada compañía aérea y Agencias de Viajes y que sólo son válidos para aquellos miembros asociados a la citada organización.

Como lo hace?

Utilizando una enumeración incorporada a los datos del pasajero para saber el billete que se le entrega con los trayectos que solicitó y la o las tarifas que abonó.

CÓDIGO DE CONDUCTA PARA CRS- Reglamento núm. 2299/89- Sistemas informáticos de reserva

Un poco de historia del códigoLa Comunidad Económica Europea por mediación de: El Consejo de las Comunidades Europeas aprobó y publicó el Reglamento núm. 2299/89 de 24 de julio de 1989 que se establece un código de conducta para los sistemas informatizados de reserva, luego aprobó y publicó el Reglamento núm.3089/93 de 29 de octubre de J 1993, que modifica el Reglamento núm. 2299/89, en el que se establece un código de conducta para los sistemas informatizados de reserva.

Protección de datos de carácter personalFue introducida en la última modificación del código, prohibe el mal uso legal del uso de la información del billete por los sistemas de distribución.en este caso AMADEUS,aplicable a los propietarios de los sistemas nacionales, ejemplo IBERlA.

Que establece este código?- Artículos 4,6 y 2.- Que los sistemas deben ser auditados una vez al

an~io por lo menos.

Los Sistemas de Distribución (CRS's)

Deben asegurar que las facilidades de distribución están separadas de manera clara y verificable de las facilidades privadas de inventario, gestión y marketing de la compañía o compañías aéreas propietarias del mismo.

Protección y difusión de datos

Es necesario proteger los datos y su difusión tanto los privados del pasajero como datos comerciales sobre las compañías aéreas participantes.

Datos de reservas, ventas o de marketingLos datos de reservas, ventas o de marketing pueden ser puestos a disposición de todos los participantes con la condición de que:- No se incluyan datos personales de los pasajeros o

entidades.- No exista discriminación entre el dueño del sistema

con respecto a los participantes en lo que se refiere a la prontitud, el método de transmisión,la calidad de la misma, el precio, las condiciones, etc.

Que debe garantizar el CRS?

El CRS debe garantizar que el dueño del sistema no puede acceder a la información suministrada o creada para los demás participantes.

Procesos informáticos(auditoria)- Proceso TICKETING- Proceso BSP

Proceso TICKETINGDesarrollado para grandes sistemas UNISYS. Este proceso comienza por la solicitud de la Agencia de Viajes o Compañía aérea de la solicitud de los vuelos para un trayecto determinado, horarios de los mismos, disponibilidad de plazas, diversas tarifas, reserva de vuelo y asiento con su definitiva confirmación en la emisión del billete para el cliente.

En que se basa la seguridad de esto?Está basada en el SIGN-IN facilitado a la Agencia de Viajes el control de acceso al sistema mediante contraseñas. Esta contraseñapermite identificar tanto a la oficina de ventas y a sus terminales como a las funcionalidades asignadas para la realización de las determinadas transacciones que está permitido utilizar.

Proceso BSP

Desarrollado para grandes sistemas IBM. Los datos económicos del billete de vuelo son tratados en procesos de facturación y administración contable y de preparación para ser remitidos al Centro de compensación para la facturación entre compañías aéreas.

En que se basa la seguridad de esto?

Por clave User-Id asignada a personas determinadas únicamente con autorización de lectura para los archivos determinados, confidencialidad, divulgación y no manipulación de la información queda asegurada.Los datos se respaldan en cintas magnéticas mediante procesos backup siendocustodiadas en un centro off-site durante el período legal exigido.

Auditoria informatica- Es obligada para los sistemas anteriormente

mencionados- Los auditores cumplen el código de conducta CRS- Si no se cumple con el código el contrato es

cancelado

Servicios que brinda IBERIA

- Transporte de pasajeros y carga, servicios en aeropuertos y operaciones de vuelo.

- Sistemas de inventario (información de vuelos, plazas disponibles, tarifas). emisión de billetes, seguimiento de equipajes y operaciones de carga.

- Inventario privado y emisión de billetes.- Control de stock del billete e información para el

BSP.

Cuestionario de IBERIA

A. Datos PersonalesB. Datos BSPC. Otras modificaciones y cambiosD. Documentación

Flujo de trabajo- Entrevistas con los responsables de las áreas de la

aplicación Ticketing en orden a confirmar, completar o corregir las medidas, procedimientos y controles establecidos poniendo un mayor énfasis en los aspectos de seguridad.

Procedimiento de la auditoría

- Seguridad Física- Sistemas de Seguridad e integridad- Medidas de seguridad en las Aplicaciones y

sus datos- Seguridad en el desarrollo de la Aplicación

Conclusiones

Los sistemas de información deben ser revisados con frecuencia para garantizar un mejor funcionamiento del mismo y proveer un nivel de seguridad para el control de la información que este debe manejar.