FACULTAD DE INGENIERÍA

CIVIL, SISTEMAS Y DE
ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Auditoría informática: Buenas prácticas y metodologías para la

seguridad de los sistemas

AUTORES

Inostroza Liza Jhonatan Samuel (https://orcid.org/0009-0001-4391-3657)

Campoverde Villanueva Fabian Leonardo (https://orcid.org/0009-0004-3472-

8494)

Jara Huamán Carlos Daniel (https://orcid.org/0009-0003-5085-045X)

ASESOR

Dr. Nauca Torres, Enrique Santos (https://orcid.org/0000-0002-5052-1723)

CO-ASESOR

Dr. Ing. Samillán Ayala, Alberto Enrique (https://orcid.org/0000-0002-0071-

4367)

LÍNEA DE INVESTIGACIÓN

Auditoría de sistemas informáticos

LAMBAYEQUE - PERÚ
2024
Palabras clave: Auditoría de sistemas,

Resumen:

Abstract:

ⅱ
 I. Introducción

Las auditorías se llevan a cabo con el fin de analizar y evaluar la seguridad e

integridad de los datos del sistema de información utilizado (Jarot S. Suroso et al.,
2018). El tener una auditoría ayuda a la industria a mejorar la infraestructura y
seguir innovando. Las metodologías tradicionales, basadas en la experiencia
subjetiva de los auditores, a veces no logran alinear de manera efectiva los riesgos
informáticos con los objetivos empresariales (Trujillo et al., 2020). Por tanto, la
importancia de realizar buenas prácticas y desarrollar nuevas metodologías que
acompañan a estas, radica en el beneficio de otorgar un sistema mejorado ya que
disminuye fallas y riesgos, facilitando la obtención y transmisión de información, y la
validación de esta.

Bermudez (2022) enfatiza la importancia de auditorías de sistemas para

identificar debilidades e ineficiencias, particularmente en el contexto de posibles
actividades delictivas. Pinzon (2020), resalta la necesidad de auditorías de TI bien
documentadas, como se muestra en el caso de la coordinación de desarrollo de
sistemas informáticos (Codesi). El revisar conceptos básicos ayudará a profundizar
en el tema principal en que se basa el artículo. Primero, entender que la auditoría es
la evaluación eficiente de los procesos sistemáticos de la organización. Segundo, la
auditoría de sistemas es un proceso que evalúa el cumplimiento de las normas y la
aplicación de técnicas y procedimientos que incluyen buenas prácticas tales como:
la formación de los empleados en seguridad informática, la instalación de
actualizaciones de seguridad, la configuración de firewalls y la gestión de
contraseñas. También hay que reconocer como las buenas prácticas ayudan a las
organizaciones a proteger sus sistemas informáticos de los ataques cibernéticos.
(Renteria Mosquera & Cordoba Asprilla, 2021). Por otro lado, auditoría informática
podemos relacionarla con la evaluación de posibles fallas a nivel de software o
hardware, descubrir sus vulnerabilidades y riesgos potenciales, para posteriormente,
corregirlos o mitigarlos. Todo lo mencionado beneficia a las organizaciones pues el
análisis que se realiza a los procesos, equipos físicos y humanos permite mejorar.

El entendimiento completo de la organización como sistema es esencial,

capacitando a los miembros para unificar metas y definir responsabilidades de
manera efectiva (Díaz Varela, 2020). Como todo proceso, es necesario comprender

1
qué evaluar y cómo hacerlo. Por ello, existen manuales y metodologías que nos
sirven para identificar las buenas prácticas, garantizando así el rendimiento de los
sistemas de información, alineadas con normativas y estándares reconocidos. El
tener la guía no significa seguirla literalmente, también significa adoptar enfoques
que se amolden para la gestión de riesgos. Al realizar estas acciones podemos decir
que se fortalece la postura de seguridad, mejorando la integridad y confiabilidad de
los sistemas informáticos.

La constante evolución de las amenazas y tecnologías de seguridad de la

información implica que el ámbito de la auditoría de seguridad de la información
continuará desarrollándose y expandiéndose (Ziro et al., 2023). En respuesta a la
creciente demanda de fortalecer el control y la gestión de las tecnologías de la
información, que son fundamentales para respaldar las operaciones empresariales y
sus estructuras de gobierno, resulta esencial abordar la definición de un marco de
referencia adecuado (Santacruz Espinoza et al., 2017). Esta medida se vuelve aún
más pertinente en un entorno donde la seguridad y eficiencia de los sistemas
informáticos son pilares fundamentales para el éxito organizacional. Por lo tanto,
contar con un marco de referencia sólido se convierte en un paso fundamental para
establecer prácticas efectivas de auditoría informática y garantizar la protección de
la infraestructura tecnológica de una organización.

Los fundamentos para las buenas prácticas en auditoría informática se basan

en marcos reconocidos, como el Committee of Sponsoring Organizations of the
Treadway Commission (COSO), Control Objectives for Information and Related
Technologies (COBIT) y IT Infrastructure Library (ITIL). Estos marcos proporcionan
un sólido fundamento para implementar buenas prácticas en auditoría informática,
asegurando la eficacia y seguridad de los sistemas de información. Por ende, una
auditoría de TI de las organizaciones debe gestionarse haciendo referencia a
estándares de gobernanza reconocidos internacionalmente (Utamajaya et al.,
2023).

La principal problemática se presenta ante la falta de implementación efectiva

de buenas prácticas y metodologías en las auditorías de sistemas informáticos,
creando desafíos en la evaluación de riesgos y la gestión de la seguridad de la
información y sistemas, así también, afectando la capacidad de las organizaciones

2
para adaptarse a las amenazas tecnológicas actuales. Además, la auditoría
informática juega un papel fundamental en la protección de los sistemas
informáticos y la información sensible. La implementación de buenas prácticas y
metodologías de auditoría informática puede tener un impacto positivo en la
sociedad (proteger información), la práctica (Cumplimientos normativos) y la
tecnología (automatización de las nuevas herramientas) siendo esta la justificación
de este artículo (Guaña-Moya, 2023). En base a ello, se proponen los siguientes
problemas de investigación a responder en este artículo: ¿Cuáles son las
metodologías más efectivas en auditoría informática para fortalecer la seguridad y
prevenir posibles vulnerabilidades?, ¿Cómo influye y beneficia el uso de TI u otras
tecnologías en auditorías de sistemas informáticos en la mejora de la calidad y
eficacia de los procesos de evaluación de seguridad?, y, ¿Cómo contribuyen las
buenas prácticas en la gestión preventiva de riesgos en auditorías informáticas?

La presente investigación tiene como primer objetivo, identificar metodologías

efectivas de auditorías informáticas que fortalezcan la seguridad en los procesos
informáticos. Como segundo objetivo, analizar el impacto de la integración de
metodologías en la calidad y eficacia de las evaluaciones de seguridad. Finalmente,
resaltar la contribución de las buenas prácticas en la gestión preventiva de riesgos
en las auditorías informáticas.

La auditoría informática a través del uso de buenas prácticas y metodologías

para la seguridad de los sistemas proporciona a las organizaciones una serie de
beneficios, entre los que se incluyen la reducción de los costos y la mejora de la
eficiencia, estas ayudan a las organizaciones a proteger sus sistemas informáticos
de los ataques cibernéticos (Guaña-Moya, 2023). Este enfoque optimiza recursos
financieros y tecnológicos, maximizando el impacto positivo en la consecución de
los ODS y esta contribuye al ODS 9 (industria, innovación e infraestructura) al
asegurar la seguridad de la infraestructura y mitigar riesgos asociados con la
innovación, respaldando así la infraestructura resiliente, la industrialización inclusiva
y sostenible.

3
 II. Metodología

La metodología utilizada en este artículo de revisión de literatura se basó en

la recolección de información científica y empírica relacionada con la auditoría
informática, sus principales metodologías y las buenas prácticas para la seguridad
de los sistemas. Se optó por un enfoque descriptivo, siguiendo la definición de Ruiz
Huaraz & Valenzuela Ramos (2022), quienes explican que los estudios descriptivos
se enfocan en describir, registrar, analizar e interpretar la situación del problema o
tema de estudio a través de la recolección de información. Además, se utilizó la
revisión de fuentes bibliográficas contribuyendo a delimitar claramente el problema
de investigación, conocer las teorías pertinentes, así como la forma en que otros
autores han abordado el tema, lo que evita la duplicación de estudios y mejora la
interpretación de los resultados, como mencionan Paragua Morales et al.(2022).

La investigación de fuentes se llevó a cabo en diversas bases de datos, tales

como Scopus, ScienceDirect, Emerald insight, Scielo, IEEE Xplore y Redalyc, donde
se aplicaron criterios de búsqueda que abarcaban el periodo desde 2018 hasta
2024. Se incluyeron informes de investigación, artículos científicos y revisiones o
reflexiones publicadas en revistas especializadas.

Para abordar los problemas de investigación planteados, se establecieron los

siguientes términos clave como descriptores, en línea con la temática central del
estudio: "Computer Audit", "good practices", "methodologies", "System Security",
“Computer Audit Methodologies”, “Audit of computer systems”. Estos términos se
utilizaron junto con operadores booleanos para garantizar la especificidad de la
búsqueda. El conjunto final de términos de búsqueda fue: [("Computer Audit" OR
"Computer Audit Methodologies" OR “Audit of computer systems”) AND ("Computer
Audit Methodologies" OR " System Security" OR "methodologies ") AND (“System
Security”)]. Este enfoque dirigió la búsqueda hacia información relevante para
abordar las preguntas de investigación planteadas en la presente investigación.

Scopus [("Computer Audit" OR "Computer Audit Methodologies" OR “Audit of

computer systems”) AND ("Computer Audit Methodologies" OR " System Security"
OR "methodologies ")].

IEEE Xplore [(“Computer Audit Methodologies” OR “audit of computer systems”)

AND (“System Security”)].

4
Redalyc ["Auditoría informática", "Auditoría de sistemas de información",
“Metodologías en auditorías informáticas”].

ScienceDirect [TI + computer audit methodologies + system security].

Scielo [Auditoría de Tecnologías y Sistemas de Información o Metodologías de

auditorías informáticas].

Posteriormente, se llevó a cabo una revisión exhaustiva de los documentos

disponibles. Alineándose con los objetivos establecidos, se seleccionaron 40
artículos que cumplen con todos los criterios necesarios para su estudio y análisis.

Figura 1. Flujograma del artículo de literatura

Bases
Science Diect (n = 582) (128 con filtros se
quedó con 5)
IEEE Xplore (n = 157) (Se quedó con 9)
Scopus (n = 434) (se queda con 8)
Scielo (n = 5) (se quedo con 3)
Emerald insight (n = 6000) (se quedo con 3)
Redalyc (n =18) (se quedo con 2)

Total de resultados: 7,196

Artículos excluidos
Science (n = 454)
IEEE Xplore (n = 122)
Scopus (n = 340)
Scielo (n = 2)
Emerald insight (5870)
Artículos incluidos
(n = 394)
Artículos descartados tras lectura
crítica o análisis de resumen (n =
354)
[artículos vinculados a objetivos
planteados y que cumpla con el
Artículos seleccionados:
(n=40)

III. Resultados y discusión

5
 Objetivo 1: Identificar metodologías efectivas de auditorías informáticas que
fortalezcan la seguridad en los procesos informáticos.

Tabla 1
Metodologías de Auditorías Informáticas para fortalecer la seguridad en
procesos informáticos

Base de
Autor (es) Año Metodología Definición País
datos

Campos
COBIT se define como un marco
Pacurucu
de trabajo para comprender y
Jonnathan,
evaluar la gestión de las
Narváez Tecnologías de la Información (TI)
Zurita en una organización, reduciendo
Cecilia, COBIT la brecha entre los requisitos de
Ecuado Sciencega
Eràzo 2019 control y los riesgos del negocio.
r te
Álvarez Evolucionó desde la auditoría de

Juan, TI hasta el gobierno corporativo de

Ordoñez TI, abordando de manera holística

Parra las necesidades de control y

Yanice gestión. (Campos Pacurucu et al.,

2019)

Aquino 2023 COBIT es una metodología que Perú Redalyc

Arcata permite examinar y valorar los
Rene, servicios informáticos de una
empresa en términos de su
Cuevas
rendimiento y seguridad.
Machaca
Proporciona un conjunto completo
Ronald, COBIT
de directrices para controlar las
Villarroel operaciones de información,
Laura garantizando el cumplimiento de
Gustavo los estándares y la seguridad de la
Adolfo organización. (Aquino Arcata et

6
 Base de
Autor (es) Año Metodología Definición País
datos

al., 2023)

COBIT se considera una

Santacruz
herramienta esencial para el
Espinoza
gobierno de las tecnologías de la
Julio, Vega
información, transformando la
Abad
manera en que los profesionales
Cesar,
de TI trabajan. Al relacionar la Ecuado
Pinos 2017 COBIT Dialnet
tecnología informática con las r
Castillo
prácticas de control, refuerza los
Luis,
estándares globales y se convierte
Cárdenas
en un recurso crítico para la
Villavicenci
gestión y auditoría de TI.
o Oscar
(Santacruz Espinoza et al., 2017)

● Objetivo 2

Analizar el beneficio de las tecnologías TIC o digitales en la eficacia de auditorías

informáticas.

Tabla 2: Beneficios del uso de TI y otras tecnologías dentro de la auditoría.

Base de
Autor (es) Año Beneficio País
datos

Mohammed 2020 India Emerald

La integración de TI y otras herramientas
Muneerali digitales permite identificar de manera más
Thottoli efectiva las vulnerabilidades, amenazas y
riesgos de seguridad, lo que a su vez
Thomas K.V. contribuye a la mejora de los controles de
seguridad y a la mitigación de posibles
brechas de seguridad.

7
 Base de
Autor (es) Año Beneficio País
datos

Por otro lado, al examinar el rol de las

tecnologías digitales en la auditoría
informática, se observa que estas
herramientas pueden optimizar y transformar
el proceso de auditoría. La automatización
de tareas repetitivas, el análisis de grandes
volúmenes de datos en tiempo real, la
detección de anomalías y la generación de
informes detallados son algunas de las
capacidades que las tecnologías digitales
aportan a la auditoría informática (Thomas
et al., 2020).

Lamboglia, R., 2020 Menciona estudios han destacado la Estados Emerald

Lavorato, D., importancia de utilizar enfoques Unidos
Scornavacca, integrados que combinen diversas
E., & Za, S. metodologías para mejorar la calidad y
eficacia de las evaluaciones de
seguridad en la auditoría informática.

Las tecnologías pueden permitir análisis

más complejos, como evaluaciones de
riesgos, auditorías predictivas y
detección de fraudes, lo que lleva a una
transformación en la forma en que se
realizan las auditorías informáticas.

La auditoría informática también puede

beneficiarse de la implementación de
controles inteligentes y de la utilización
de software especializado para mejorar
la eficiencia y efectividad de las
evaluaciones de seguridad (Lamboglia

8
 Base de
Autor (es) Año Beneficio País
datos

et al., 2020).

Se discute cómo la adopción e

implementación de tecnologías digitales
puede generar eficiencias y optimización
en el proceso general de auditoría. El
uso de software moderno y
especializado generalmente puede
acortar el tiempo necesario para una
auditoría interna.
Lois, P.,
Drogalas, G., A medida que las innovaciones

Karagiorgos, tecnológicas avanzan, también lo hacen Emerald

2020 Grecia
A., & los riesgos de robo de datos e

Tsikalakis, K. interrupciones del servicio. La tecnología

de la información es esencial para la
auditoría interna y la implementación de
medidas contra los ataques cibernéticos
puede afectar positivamente la
implementación de la auditoría interna
continua (Lois et al., 2020).

● Objetivo 3

Analizar la contribución de las buenas prácticas en la gestión preventiva de riesgos

en las auditorías informáticas

Tabla 3: Beneficios del uso de las buenas prácticas en las auditorías

informáticas

9
 Base de
Autor (es) Año Beneficio País
datos

El uso de buenas prácticas en las auditorías

informáticas proporciona beneficios como
fortalecer las metodologías existentes,
complementar las fases y tareas de la
auditoría, garantizar una ejecución armoniosa
y planificada de las actividades, apoyar la
objetividad en las evaluaciones y sugerencias
finales de los informes de auditoría, y
minimizar la subjetividad en las auditorías
( Albarán et al., 2017)

Albarán, S., La implementación de buenas prácticas en

Pérez, Juan., las auditorías informáticas también México
2017 Emerald
Salgado, M., contribuye a alinear las Tecnologías de la
Valero, L. Información (TI) con los objetivos del
negocio de manera exitosa, brindando un
marco de referencia aceptado
profesionalmente para mejorar la gestión de
la información y los procesos asociados.
Además, las buenas prácticas ayudan a dar
valor al negocio a través de un mejor manejo
de la información, fomentando la replicación
de experiencias exitosas en situaciones
similares y promoviendo la innovación en la
forma de realizar las prácticas tradicionales

Las buenas prácticas en las auditorías

informáticas, especialmente aquellas basadas
en COBIT 5, ofrecen un marco de referencia
estandarizado que permite a los auditores
trabajar de forma más eficiente, consistente y
homogénea. Esto reduce la duplicación de
Tejada, M. 2020 esfuerzos, optimiza el tiempo y los recursos Panamá Emerald
disponibles, y facilita la colaboración entre
diferentes auditores y equipos. Además, la
estandarización de las prácticas de auditoría
facilita la comparabilidad de los resultados a
lo largo del tiempo y entre diferentes
organizaciones (Tejada, 2020)

10
 Base de
Autor (es) Año Beneficio País
datos

Las buenas prácticas concentradas en el

JOURNAL
marco de referencia COBIT, permiten que
OF
Santacruz, los negocios se alineen con la tecnología de
SCIENCE
J,. Pinos, L,. 2017 la información para así alcanzar los mejores Ecuador
AND
Cárdenas, O. resultados, siendo un punto clave para las
RESEARC
auditorías minimizando su subjetividad
H
(Santacruz et al., 2017)

IV. Bibliografía

Amir-Mohammadian, S., & Kari, C. (2020). Correct audit logging in concurrent

systems. Electronic Notes in Theoretical Computer Science, 351, 114–
141. https://doi.org/10.1016/j.entcs.2020.08.007

Antunes, M., Maximiano, M., & Gomes, R. (2021). A Customizable Web

Platform to Manage Standards Compliance of Information Security and
11
 Cybersecurity Auditing. Procedia Computer Science, 196, 36–43.
https://doi.org/10.1016/j.procs.2021.11.070

Aquino Arcata, R., Cuevas Machaca, R., & Villarroel Laura, G. A. (2023). El
modelo COBIT 5 para Auditoría Informática de los Sistemas de
Información Académica de la Universidad Nacional Jorge Basadre
Grohmann. Revista Innovación y Software, 4(1), 63–81.
https://doi.org/10.48168/innosoft.s11.a56

Campos Pacurucu, J. O., Narváez Zurita, C. I., Eràzo Álvarez, J. C., &
Ordoñez Parra, Y. L. (2019). Aplicación del sistema COBIT en los
procesos de auditoría informática para las cooperativas de ahorro y
crédito del segmento 5. Visionario Digital, 3(2.1.), 445–475.
https://doi.org/10.33262/visionariodigital.v3i2.1..584

Díaz Varela, G. A. (2020). La auditoría a los sistemas de información como

aporte a la creatividad general. Gestión I+D, 5(3), 236-268. Obtenido de
https://dialnet.unirioja.es/servlet/articulo?codigo=7863432

Escobar Ávila, M. E. E., Rojas Amado, J. C. (2021). Beneficios del uso de

tecnologías digitales en la auditoría externa. Revista Facultad de
Ciencias Económicas, 29(2), 45–65. https://doi.org/10.18359/rfce.5170

Guaña-Moya, J. (2023). La importancia de la seguridad informática en la

educación digital: retos y soluciones. RECIMUNDO, 7(1), 609–616.
https://doi.org/10.26820/recimundo/7.(1).enero.2023.609-616

Jarot S. Suroso, Kevin Berson S. Turnip, Joshua Jonathan Halim, Shanlunt, &
Sridhatu. (2018). Information System Audit Using Framework Cobit 4.1
on PT Klikfix Asia International. 2018 International Conference on
Information Management and Technology (ICIMTech), 261–266.
https://doi.org/https://doi.org/10.1109/ICIMTech.2018.8528163

Kumar, M., Maple, C., & Chand, S. (2023). An efficient and secure identity-
based integrity auditing scheme for sensitive data with anti-
replacement attack on multi-cloud storage. Journal of King Saud
University - Computer and Information Sciences, 35(9).
https://doi.org/10.1016/j.jksuci.2023.101745

Lamboglia, R., Lavorato, D., Scornavacca, E., & Za, S. (2020). Exploring the
relationship between audit and technology. A bibliometric analysis. In
Meditari Accountancy Research (Vol. 29, Issue 5, pp. 1233–1260).
Emerald Publishing. https://doi.org/10.1108/MEDAR-03-2020-0836

Lois, P., Drogalas, G., Karagiorgos, A., & Tsikalakis, K. (2020). Internal audits
in the digital era: opportunities risks and challenges. EuroMed Journal
of Business, 15(2), 205–217. https://doi.org/10.1108/EMJB-07-2019-
0097

12
Moina Pinzón, C., & Enriquez Chamba, L. (2022). Auditoría informática en
centros de desarrollo de Software, Caso Codesi. Technology Rain Journal,
1(2), e8. https://doi.org/10.55204/trj.v1i2.e8

Renteria Mosquera, H. A., & Cordoba Asprilla, J. D. (2021). La Inteligencia

Artificial Como Utilidad Para La Auditoría De Sistemas. Universidad
Antonio Nariño, 1-19. Obtenido de
http://repositorio.uan.edu.co/handle/123456789/6628

Sabillón, R., & M., J. J. C. (2019). Auditorías en ciberseguridad: Un modelo

de aplicación general para empresas y naciones. RISTI - Revista
Ibérica de Sistemas e Tecnologias de Informação, 32, 33–48.
https://doi.org/10.17013/risti.32.33-48

Santacruz Espinoza, J. J., Vega Abad, C. R., Pinos Castillo, L. F., &
Cárdenas Villavicencio, O. E. (2017). Sistema cobit en los procesos de
auditorías de los sistemas informáticos. Journal of Science and
Research: Revista Ciencia e Investigación, 2(8), 65.
https://doi.org/10.26910/issn.2528-8083vol2iss8.2017pp65-68

Saxena, R., & Dey, S. (2016). Cloud Audit: A Data Integrity Verification
Approach for Cloud Computing. Procedia Computer Science, 89, 142–
151. https://doi.org/10.1016/j.procs.2016.06.024

Singh, S., & Thokchom, S. (2018). Public integrity auditing for shared dynamic
cloud data. Procedia Computer Science, 125, 698–708.
https://doi.org/10.1016/j.procs.2017.12.090

Tejada Bermúdez, M. E. (2020). AUDITORÍA A LOS SISTEMAS COMO

HERRAMIENTA PARA EXAMINAR LOS PROCESOS EN LAS EMPRESAS.
Revista FAECO Sapiens, 3(1), 64–74. https://doi.org/10.48204/j.faeco.v3n1a5

Thottoli, M. M., & K.V, T. (2022). Characteristics of information communication

technology and audit practices: evidence from India. VINE Journal of
Information and Knowledge Management Systems, 52(4), 570–593.
https://doi.org/10.1108/VJIKMS-04-2020-0068

Trujillo, S. E. A., Carlos, J., Merlos, P., Gallegos, M. S., Luz, L., & Conzuelo,
V. (2020). Las Metodologías de la Auditoría Informática y su relación
con Buenas Prácticas y Estándares. Ideas En Ciencias de La
Ingeniería, 1(1), 47–70. Obtenido de
https://ideasencienciasingenieria.uaemex.mx/article/view/14591

Utamajaya, J. N., Supangat, S. H., Gaol, F. L., & Ranti, B. (2023). Hotel
Information System Management Audit Using COBIT 2019 - APO12.
2023 2nd International Conference for Innovation in Technology
(INOCON), 1–7.
https://doi.org/https://doi.org/10.1109/INOCON57975.2023.10101245

Ziro, A., Toibayeva, S., Gnatyuk, S., Imanbayev, A., Iavich, M., &
Zhaybergenova, Z. (2023). Research of the Information Security Audit

13
 System in Organizations. 2023 IEEE International Conference on
Smart Information Systems and Technologies (SIST), 440–444.
https://doi.org/https://doi.org/10.1109/SIST58284.2023.10223557

Díaz Varela, G. A. (2020). La auditoría a los sistemas de información como

aporte a la actividad gerencial. Gestión de Organizaciones, 23(1), 1-
20.http://saber.ucv.ve/ojs/index.php/rev_GID/article/view/20233

14