Académique Documents
Professionnel Documents
Culture Documents
ESTUDIANTES:
- Brizuela Quisbert Hugo Ezequiel. (Ing. Comercial)
MATERIA:
- Sistemas de Información Gerencial.
TEMA:
- Seguridad en Sistemas de Información.
1. Introducción.
4. Vulnerabilidades y Riesgos.
5. Auditoría y Control.
6. Conclusiones.
7. Bibliografía.
SEGURIDAD EN SISTEMAS DE
INFORMACIÓN.
1. Introducción.
La seguridad de los sistemas de información es un tema al que mucha gente no le da la importancia que
realmente tiene; muchas veces por el hecho de considerar que es inútil o que jamás la utilizará. Pero en
el mundo moderno, cada día más y más personas mal intencionadas intentan tener acceso a
los datos de nuestros ordenadores, celulares, y todo objeto donde almacenamos información.
Es importante porque muchas empresas son amenazadas constantemente en sus activos lo que
pudiera representar miles o millones en pérdidas. Las vulnerabilidades en los sistemas de
información pueden representar problemas graves, por ello es muy importante comprender los
conceptos necesarios para combatirlos y defender los posibles ataques a la información.
El acceso no autorizado a una red informática o a los equipos que en ella se encuentran puede
ocasionar en la gran mayoría de los casos graves problemas. Uno de las posibles consecuencias de
una intrusión es la pérdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si
no estamos al día de las copias de seguridad. Y aunque estemos al día, no siempre es posible
recuperar la totalidad de los datos.
Otro de los problemas más dañinos es el robo de información sensible y confidencial. La divulgación de
la información que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra
esta, o un ejemplo más cercano a usted es el de nuestras contraseñas de las cuentas de correo por las
que intercambiamos información con otros.
Siempre debemos recordar que la seguridad es inversamente proporcional a la comodidad. Si desea un
sistema seguro deberá esforzarse por ello, emplear contraseñas fuertes y diferentes y seguir todo
un procedimiento para mantener el sistema.
El equipo computacional: el hardware necesario para que el sistema de información pueda operar.
El recurso humano que interactúa con el sistema de información, el cual está formado por las personas
que utilizan el sistema.
Entrada de Información: Es el proceso mediante el cual el Sistema de Información toma los datos que
requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales
son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son
datos o información que provienen o son tomados de otros sistemas o módulos. Esto último se
denomina interfaces automáticas.
Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas,
las unidades de diskette, los códigos de barras, los escáner, la voz, los monitores sensibles al tacto,
el teclado y el mouse, entre otras.
Entradas:
Proceso:
Almacenamiento:
Salidas:
Reporte de pagos.
Estados de cuenta.
Pólizas contables (interfaz automática)
Consultas de saldos en pantalla de fuente de información.
3. Importancia y Métodos de Seguridad.
En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y
debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto
valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad
y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener
acceso a cierta información, ésta se clasifica como:
Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad
y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity, Availability") son los
principios básicos de la seguridad de la información.
Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que
hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre
cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que
ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes,
deberán tomarse las medidas de seguridad oportunas.
Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a individuos, entidades o
procesos no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas
personas que cuenten con la debida autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de
crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de
procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado
del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los
mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido
una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira
por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se
publica información privada, cuando un laptop con información sensible sobre una empresa es robado,
cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden
constituir una violación de la confidencialidad.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a
integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con exactitud la
información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no
autorizados.
La integridad también es la propiedad que busca proteger que se modifiquen los datos libres de forma
no autorizada, para salvaguardar la precisión y completitud de los recursos.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con
mala intención) modifica o borra datos importantes que son parte de la información.
La integridad garantiza que los datos permanezcan inalterados excepto cuando sean modificados por
personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad.
Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo,
la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento
que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los
controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se
utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas
objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de
energía, fallos de hardware, y actualizaciones del sistema.
Autenticación o autentificación
Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje
de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona
haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir
este factor con el uso de cuentas de usuario y contraseñas de acceso.
Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está
realmente enviado por el mismo- y así figura en la literatura anglosajona.
Métodos de Seguridad. Muchas veces se comete el error de pensar que la seguridad consiste,
básicamente, en evitar las intrusiones en nuestro sistema. Sin duda alguna, como dice el dicho, “más
vale prevenir que curar”, pero además se debe tener en cuenta otros factores que ayudan a mejorar la
seguridad: detectar cuando se produce una intrusión, poder restaurar nuestro sistema y poder identificar
las acciones que ha realizado un intruso. Según esto, también se puede definir la seguridad de un
sistema informático como los mecanismos de prevención, detección, restauración y análisis que se
lleven a cabo para garantizar la seguridad del sistema.
a) Prevención.
Los mecanismos de seguridad preventivos son todas aquellas acciones que van encaminadas a
prevenir cualquier amenaza a la confidencialidad, integridad, no repudio y disponibilidad de los
elementos críticos del sistema. Por la propia definición de estas características, también se debe
proporcionar mecanismos de autentificación y de control de acceso que garanticen la identificación,
autentificación y gestión de perfiles aplicables a los recursos para determinar qué usuario y bajo qué
condiciones pueden o no acceder al recurso solicitado para la acción indicada.
Lo primero que se debe tener en cuenta es la protección física de los diferentes equipos del sistema
informático. Cualquier equipo en general y, con especial atención, los servidores y hardware de red,
deben situarse en recintos protegidos para que sólo el personal autorizado tenga acceso a ellos. Los
mecanismos aplicables varían desde una habitación con una cerradura y llave, a los más sofisticados
mecanismos de acceso por huella digital, cámaras de seguridad y guardias que reaccionen ante
violaciones de la política de acceso -estos dos últimos más bien se deben englobar como sistemas de
detección-.
Desde el punto de vista lógico, la seguridad está basada, principalmente, en aplicar, por un lado,
configuraciones, técnicas de identidad y listas de control de acceso a la información en los sistemas y
las comunicaciones y, por otro lado, el empleo de algoritmos criptográficos.
b) Detección.
“Sistemas de Detección de Intrusos” Introducción a los IDS (Intrusión Detection System).
Actualmente, la estrategia de control de intrusos más utilizada es la perimetral, basada en la utilización
de cortafuegos. Los cortafuegos sirven para mantener fuera a los intrusos, es decir, sirven al propósito
de prevenir ataques o intrusiones en la red. Los cortafuegos proporcionan una eficaz primera línea de
defensa frente a amenazas externas. Una mala configuración de los cortafuegos (p.e. errores en su
software, hardware, pobre política de seguridad, etc.) pueden volver completamente inútil el mejor de
los cortafuegos. Por ello se vuelve necesaria la utilización de sistemas de detección de intrusos
(Intrusión Detection System, IDS) que vigilen la red en busca de comportamientos sospechosos. Los
IDS funcionan como las alarmas de las casas: alertan de la realización de ataques con éxito e incluso
de ataques en progreso. Es decir avisan de que algo no va bien.
Tarros de miel
Un tarro de miel (honeypot) simula uno o más sistemas fáciles de atacar con el fin de tentar a
potenciales intrusos. El honeypot facilita ser invadido y entonces avisa de la intrusión al administrador
del sistema. Gracias a esta estratagema, el honeypot permite proteger otras partes de la red al atraer
sobre sí mismo la atención de los atacantes, quienes se concentran en este blanco aparentemente fácil,
pero que no contiene información valiosa ni puede ocasionar daños. Para que el engaño sea más
completo, algunos honeypots simulan diferentes sistemas operativos, para observar a cuál de ellos se
dirige el atacante.
Por último, los honeypots suelen proporcionar evidencias forenses, ya que el atacante suele dejar en
ellos las huellas necesarias que permitan rastrear sus pasos.
c) Recuperación.
Copias de Seguridad
Los mecanismos preventivos pueden evitar muchos problemas y ataques pero no garantizan estar
exentos de todo riesgo o daño. Tras detectar que la seguridad ha sido comprometida, una de las tareas
del administrador del sistema afectado será recuperarlo y dejarlo tal y como estaba antes del incidente.
Lo primero que un administrador debe realizar a la hora de diseñar un sistema de copias de seguridad
es planificar la estrategia a seguir para cumplir la política de seguridad de la organización. Por ejemplo,
en un ambiente universitario dedicado a aulas de prácticas de informática, se puede establecer que las
copias de seguridad afecten, exclusivamente a los sistemas de ficheros de los equipos de las aulas. De
esta forma, ante una posible caída (situación bastante probable) se pueden recuperar los equipos en el
menor tiempo posible pero se pierden los datos de los usuarios.
La finalidad de las copias de seguridad puede ser recuperar todo el sistema completo. Lo que todo
administrador debe tener en cuenta es:
¿Qué se debe copiar? Como se ha comentado, deberá ajustarse a lo definido en la política de
seguridad de la organización.
¿Dónde se encuentra? Si el sistema de copias está centralizado en un equipo, no sólo debe saber el
lugar del sistema de ficheros en el que se encuentran los ficheros a copiar, como ocurre en el caso de
disponer de un sistema de copias local, sino que también debe conocer en qué equipos de la red se
encuentran.
¿Quién y dónde se realizará la copia? Se debe conocer quién asume la responsabilidad de gestionar las
copias de seguridad y en qué soporte y dispositivo se realizará.
Por último, se debe indicar bajo qué condiciones se realizará la copia de seguridad y con qué frecuencia
para que se cubra perfectamente las necesidades de recuperación. Un sistema en el que los datos que
queremos copiar cambian frecuentemente, obliga a tener copias de seguridad frecuentes para no correr
el riesgo de perder información.
4. Vulnerabilidades y Riesgos.
La mayor preocupación de las empresas de Latinoamérica en materia de seguridad son las
vulnerabilidades de software y sistemas, según reveló el ESET Security Report 2016.
No hay duda alguna de los beneficios que la digitalización de la información y las comunicaciones vía
Internet han ofrecido a empresas de todos los rubros y tamaños. Sin embargo este salto cualitativo y
cuantitativo en agilidad y eficiencia presenta, como contrapartida, un alto grado de vulnerabilidad de
todo contenido digital, que no se encuentre debidamente protegido, a ciber-ataques que pueden generar
grandes perjuicios económicos.
Los puntos vulnerables para el usuario de los sistemas de información radican en:
Tipos de riesgos:
• Riesgos de Utilidad. Se orientan en tres modelos de riesgos: pueden afrontarse antes de la ocurrencia
de falencias mediante el direccionamiento de sistemas, métodos para la recuperación y reparación
empleadas para disminuir las fallas de los sistemas, copias de seguridad y planes de mitigación para el
control de riesgos.
• Riesgos en la infraestructura. Hace alusión a que las empresas no tienen una infraestructura
tecnológica eficaz para sobrellevar las carencias que se presenten en tiempo presente y futuro. Se
presentan en los procesos: planeación organizacional, definición de las aplicaciones, administración de
seguridad, operaciones de red y computacionales, administración de sistemas de bases de datos,
información / negocio.
Para identificar las amenazas a las que está expuesto un sistema realizaremos tres clasificaciones:
- Tipos de atacantes
- Tipos de ataques que puede sufrir
- Cómo actúan estos ataques.
La siguiente tabla recoge, en la primera columna, los nombres con los que se han denominado a las
personas que llevan a cabo los ataques; en la segunda columna, una pequeña definición que los
caracteriza.
Nombre de los
atacantes Definición
Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de
Hackers los sistemas pero sin motivación económica o dañina.
Crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas
Phreakers gratuitas.
Programadores de Expertos en programación, redes y sistemas que crean programas dañinos que
virus producen efectos no deseados en los sistemas o aplicaciones.
Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros
Carders automáticos.
En la tabla inferior se recogen los principales ataques que puede sufrir un sistema si se aprovechan sus
vulnerabilidades.
Nombre del
ataque Definición
Interrupción Un recurso del sistema o la red deja de estar disponible debido a un ataque.
Intercepción Un intruso accede a la información de nuestro equipo o a la que enviamos por la red.
Modificación La información ha sido modificada sin autorización, por lo que ya no es válida.
Se crea un producto (por ejemplo una página Web) difícil de distinguir del auténtico y
que puede utilizarse para hacerse, por ejemplo, con información confidencial del
Fabricación usuario.
Los tipos de amenazas pueden clasificarse también en función de cómo actúan los ataques, siendo los
principales los que se han incluido en la tabla que aparece a continuación:
Spoofing Suplanta la identidad de un PC o algún dato del mismo (como su dirección MAC).
Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través
Keyloggers del teclado, e incluso pueden realizar capturas de pantallas.
Ingeniería Se obtiene información confidencial de una persona u organismo para utilizarla con
social fines maliciosos. Los ejemplos más llamativos son el phishing y el spam.
ISO 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar
internacional en octubre de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Análisis de la vulnerabilidad frente a las pruebas de penetración
Si está pensando en realizar las pruebas de penetración para mejorar la implantación de la norma ISO
27001, existen diferentes empresas del sector de servicios públicos y plataformas que pueden utilizarse
para automatizar, pero mi recomendación es que sigan estos pasos:
Otra cuestión importante es cómo definir el tipo de pruebas de penetración. Básicamente, hay dos tipos
principales:
Caja blanca: La organización le da información y también se dará acceso a los sistemas y recursos
internos.
Hay otra posibilidad que es una mezcla de la caja negra y la caja blanca: la caja gris, la organización le
puede dar un poco de información acerca de sus sistemas.
Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una
violación de los datos de la organización.
5. Auditoría y Control.
La información suele difuminarse en el recorrido que tiene para llegar a los usuarios finales, es por ello
que surge la auditoria de los sistemas de información. La auditoría de los sistemas de información nos
apoya para verificar el estado actual de los sistemas de información de la empresa.
La auditoria pues de los sistemas de información se basa en la forma en que se obtienen esos
elementos y su seguridad dentro del sistema.
En plena era de la información, las empresas se han dado cuenta de la importancia que juega la
información dentro de su organización, es por ello que buscaran la mejor forma de resguardarlas y
verificar que esta esté siendo real y cumpla con la función de informar correctamente a las personas
adecuadas. Es por ello que la auditoria general se especializo y dio paso a la auditoria informática y
más especializada aun a la auditoria de los sistemas de información que toda aquella información que
interactúa en la organización y le repercute.
Clasificación de la auditoria
La auditoría se entiende como un proceso sistemático que consiste en obtener y evaluar objetivamente
evidencias sobre las afirmaciones relativas, los actos y eventos económicos; con el fin de determinar el
grado de correspondencia entre esas afirmaciones y los criterios establecidos, es decir comprobar la
veracidad de lo que se dice. Los inicios de la auditoria fueron principalmente contables con carácter
financiero, pues era lo que más interesaba al propietario de una empresa, sin embargo con el paso del
tiempo y los avances tecnológicos se hace necesaria la ramificación de la auditoria quedando esta de
forma general de la siguiente forma:
En base a esta clasificación genérica, podemos decir que la auditoría financiera fue el origen, y
posteriormente dio lugar a la operativa debido al alcance y la importancia que los usuarios del informe
de auditoría, requieran sobre algunas áreas operativas de la empresa volviendo a la auditoria más
especializada todavía.
Un sistema de información tiene distintos niveles y a su vez estos se encuentran interrelacionados, y los
riesgos y debilidades en una de ellas pueden afectar al conjunto del sistema y consecuentemente tener
impacto en las cuentas anuales, que son el reflejo de la actividad económico y financiera de una entidad
durante un ejercicio económico.
Para minimizar esos riesgos el auditor debe analizar a fondo el conjunto del sistema de información con
una metodología adecuada.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar
o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor
eficiencia operacional y administrativa. Todo esto a través de los siguientes objetivos específicos:
- Participación en el desarrollo de nuevos sistemas; buscando una evolución en coordinación con las
nuevas tecnologías y sus apoyos de protección y eficiencia en el rubro
- Evaluación de la seguridad en el área informática; desde la entrada de datos hasta la concentración
de estos en información, pera genera conocimiento a los usuarios.
- Evaluación de suficiencia en los planes de contingencia.: basándose en la capacidad de reacción
de los mismos y su capacidad de adaptación.
- Respaldos, buscando con ello prever qué va a pasar si se presentan fallas.
- Opinión de la utilización de los recursos informáticos. En base a las políticas de la empresa y
criterio del auditor
- Resguardo y protección de activos. Verificando la asignación de lugares y de responsables en esta
área
- Control de modificación a las aplicaciones existentes.
- Fraudes
- Control a las modificaciones de los programas.
- Participación en la negociación de contratos con los proveedores.
- Revisión de la utilización del sistema operativo y los programas
- Control sobre la utilización de los sistemas operativos
- Programas utilitarios.
- Auditoría de la base de datos.
- Estructura sobre la cual se desarrollan las aplicaciones...
Pasos para implementar una auditoria de sistemas. Al igual que la auditoría financiera esta debe
llevar un esquema que se basa en la auditoria genérica y para simplificar los pasos son los siguientes:
Pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Comunicación de resultados
1. Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la
unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de
información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales
de políticas, reglamentos,
3. Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y
sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y
la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará,
definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente analizado.
4. Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de
matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoría.
• Motivos de la Auditoría
• Objetivos
• Alcance
• Control Interno
• Resultados de la Auditoría
Buscando con ello la implementación de los controles adecuados para cada área, así como la seguridad
y rigurosidad que llevaran cada uno de ellos, dependiendo de los riesgos que conlleven determinada
actividad o de la rapidez en que se requiera la información, así como del conocimiento que se espera
sea público o privado.
COBIT. (Control Objectives for Information and Related Technology) es un marco conceptual para el
buen gobierno de las tecnologías de la información, que fue desarrollado originalmente en 1994 por
ISACA.
La versión 4.1 de CobiT fue publicada en 2005 por el IT Governance Institute (ITGI). CobiT es una
referencia de control interno sobre procesos informáticos internacionalmente aceptada.
Se utiliza como metodología para definir y monitorizar el control interno relacionado con los sistemas de
información de las entidades y también como metodología de auditoría.
Define procesos relacionados con la función informática así como los elementos de control, buenas
prácticas, gestión y auditores.
Desde un punto de vista práctico, tiene que ser «adaptado» en función del tamaño y la misión de la
organización.
6. Conclusiones.
Hoy día es común ver como cada vez se está siendo más dependientes de las computadoras como
herramienta indispensable. Ya no es extraño ver que la mayoría de la población tiene acceso a este tipo
de dispositivos informáticos, ni tampoco es el hecho de que puedan tener acceso a la red de redes, que
es el Internet. También, muchas de las actividades que solían hacerse manualmente, ahora pueden
hacerse a través de medios informáticos, lo cual es una gran ventaja, pues se ahorra tiempo, y dinero la
mayoría de las veces.
Pero así como se puede aprovechar la tecnología para cosas buenas, también se pueden aprovechar
para cometer delitos. Por lo tanto, en la actualidad es común ver que se cometen una gran cantidad de
delitos en los que se ve involucrado algún sistema de cómputo ya sea como medio, o fin.
La seguridad en el área informática es sumamente trascendente en virtud de que cada vez más los
sistemas de información son vitales para las organizaciones.
Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es
muy importante comprender los conceptos necesarios para combatirlos y defender los posibles ataques
a la información, además, una periódica autoría a nuestros sistemas nos ayudará a conocer cuáles son
las debilidades y poder corregirlas oportunamente.
7. Bibliografía.
https://www.monografias.com/trabajos7/sisinf/sisinf2.shtml
https://sites.google.com/site/seguridadenlaared/concepcion-de-la-seguridad-de-la-informacion
https://www.monografias.com/trabajos103/seguridad-sistemas-informacion/seguridad-sistemas-
informacion.shtml
https://infosegur.wordpress.com/tag/vulnerabilidades/
https://core.ac.uk/download/pdf/47279344.pdf
https://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-tecnologia/
https://juanantonioleonlopez.files.wordpress.com/2017/08/sistemas-de-informacic3b3n-gerencial-12va-
edicic3b3n-kenneth-c-laudon.pdf