Auditoría de Tecnologías de la Información Enfoques, Herramientas y Nuevas TendenciasAplicaciones Prácticas y Casos Reales en Entornos Digitales

Autores/as

Cristian Geovanny Merino Sánchez
Escuela Superior Politécnica De Chimborazo
https://orcid.org/0000-0003-3645-5165
Juvitsa Juliana Plaza Santillán
Universidad Estatal De Milagro
https://orcid.org/0000-0003-4641-4420
Adrián Eduardo Figueroa Jara
INCOMSIS
https://orcid.org/0009-0001-0358-932X
DOI: https://doi.org/10.70577/ey597m50/ACACFESA.EDITORIAL/2025

Palabras clave:

Tecnologías de información, Tendencias digitales, Aplicaciones prácticas, Entornos digitales

Sinopsis

Las Tecnologías de la Información han llegado a ser fundamentales en la administración de organizaciones, afectando tanto la toma de decisiones como la competitividad en un entorno global en constante cambio. No obstante, el rápido desarrollo de las herramientas digitales, sistemas de gestión y plataformas de comunicación plantea nuevos retos para las instituciones. Estas necesitan garantizar que no solo sus procesos sean eficaces, sino también que la información que manejan sea segura, íntegra y confiable. En este contexto, la auditoría en Tecnologías de la Información se convierte en un campo de estudio y práctica vital, pues proporciona los métodos necesarios para examinar, supervisar y mejorar el uso de los recursos tecnológicos, asegurando que estén en concordancia con los objetivos estratégicos de cada entidad.

El libro, titulado “Auditoría de Tecnologías de la Información: Enfoques, Herramientas y Nuevas Tendencias”, actúa como una guía exhaustiva que no solo detalla los fundamentos de la auditoría en el ámbito tecnológico, sino que además investiga metodologías modernas, herramientas prácticas y tendencias emergentes en un panorama definido por la digitalización, la inteligencia artificial, la ciberseguridad y la gobernanza de datos. Su propósito es brindar al lector una visión clara y estructurada sobre la evolución de la auditoría de TI, que ha pasado de una función puramente correctiva a ser una herramienta estratégica enfocada en la prevención, la innovación y el fortalecimiento institucional.

La obra que el lector sostiene es, por tanto, un enlace entre la teoría y la práctica, destinado tanto a estudiantes como a profesionales que buscan actualizar sus saberes y adaptarse a las exigencias de un entorno donde la transformación digital continuamente redefine los modelos de control y gestión. Así, el texto no solo ofrece datos, sino que también fomenta una reflexión crítica sobre el futuro de la auditoría tecnológica y su influencia en la sostenibilidad.

Descargas

Los datos de descarga aún no están disponibles.

Referencias

AccessData. (2021). FTK Forensic Toolkit Overview. AccessData. https://accessdata.com/products-services/forensic-toolkit-ftk

AccessData. (2023). FTK Product Overview. https://accessdata.com

Admin. (2024, February 23). Habilidades profesionales de un perito informático: Lo que debes saber. Peritaje EU. https://peritaje.eu/habilidades-profesionales-de-un-perito-informatico-lo-que-debes-saber/

Admin. (2024, September 9). Perito Informático: Funciones, Requisitos y Relevancia en Casos Judiciales. Ciber Perito 360. https://ciberperito360.com/perito-informatico-funciones-requisitos-y-relevancia-en-casos-judiciales/

AICPA. (2022). SOC 2 – System and Organization Controls. https://www.aicpa.org/soc

Alberts, C., Dorofee, A., Stevens, J., & Woody, C. (2003). Introduction to the OCTAVE approach. Carnegie Mellon Software Engineering Institute. https://resources.sei.cmu.edu/asset_files/Book/2003_012_001_14106.pdf

Alberts, C., Dorofee, A., Stevens, J., & Woody, C. (2003). OCTAVE-S: Operationally Critical Threat, Asset, and Vulnerability Evaluation for Small Organizations. Software Engineering Institute. https://resources.sei.cmu.edu/

Alles, M. (2015). Continuous Auditing: Theory and Application. Journal of Emerging Technologies in Accounting, 12(1), 1–16. https://doi.org/10.2308/jeta-51071

Altheide, C., & Carvey, H. (2011). Digital Forensics with Open Source Tools. Syngress.

Amazon Web Services. (2023). AWS Well-Architected Framework. https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html

Amazon Web Services. (2023). Shared Responsibility Model. https://aws.amazon.com/compliance/shared-responsibility-model/

Amazon Web Services. (2024). AWS Security Documentation. https://docs.aws.amazon.com/security/

Andress, J. (2021). The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice (3rd ed.). Syngress.

Armbrust, M., Fox, A., Griffith, R., Joseph, A. D., Katz, R., Konwinski, A., ... & Zaharia, M. (2010). A view of cloud computing. Communications of the ACM, 53(4), 50-58.

Asociación Española de Normalización (UNE). (2016). UNE-ISO/IEC 27017:2016. Código de prácticas para los controles de seguridad de la información basados en la ISO/IEC 27002 para servicios en la nube. AENOR.

Asociación Española de Normalización (UNE). (2017). UNE-ISO/IEC 27018:2017. Código de buenas prácticas para la protección de la información personal en la nube pública. AENOR.

AWS. (2024). Shared Responsibility Model. https://aws.amazon.com/compliance/shared-responsibility-model/

Azure. (2024). Microsoft Azure Well-Architected Framework. https://learn.microsoft.com/en-us/azure/architecture/framework/

Bada, A., & Sasse, A. M. (2019). Cyber security awareness campaigns: Why do they fail to change behaviour

Calder, A., & Watkins, S. (2019). IT Governance: An International Guide to Data Security and ISO27001/ISO27002 (7th ed.). Kogan Page.

Caltagirone, S., Pendergast, A., & Betz, C. (2013). The Diamond Model of Intrusion Analysis. https://apps.dtic.mil/sti/pdfs/ADA586960.pdf

Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley Professional.

Carrier, B. (2011). Digital Forensics with Open Source Tools. Syngress.

Carrier, B. (2022). The Sleuth Kit & Autopsy Forensic Browser. https://www.sleuthkit.org/autopsy/

Carrier, B., & Spafford, E. H. (2004). An event-based digital forensic investigation framework. Digital Investigation, 1(2), 123–137. https://doi.org/10.1016/j.diin.2004.05.001

Carrier, B., & Spafford, E. H. (2004). Digital Forensics: An Overview. Purdue University CERIAS.

Carrier, B., & Spafford, E. H. (2004). Getting Physical with the Digital Investigation Process. International Journal of Digital Evidence.

Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet (3rd ed.). Academic Press.

CCN-CERT. (2021). Guía MAGERIT versión 3. Centro Criptológico Nacional. https://www.ccn-cert.cni.es/

Centro Criptológico Nacional [CCN-CERT]. (2021). Guía de gestión de riesgos MAGERIT v3.0. https://www.ccn-cert.cni.es/

CIS. (2024). CIS Benchmarks. Center for Internet Security. https://www.cisecurity.org/cis-benchmarks/

**Cisco Systems (2020). IDS and IPS Deployment Best Practices. https://www.cisco.com/c/en/us/products/security/what-is-ids-ips.htm

Cisco Systems. (2021). DevSecOps: Security as Code. Cisco Press.

Cloud Security Alliance (CSA). (2021). Cloud Controls Matrix (CCM) v4.0. https://cloudsecurityalliance.org/research/cloud-controls-matrix

Combs, G. (2016). Wireshark User Guide. The Wireshark Foundation. https://www.wireshark.org/docs/

De Redacción de la Universidad Internacional de la Rioja, E. (2023, February 1). Perito informático: ¿en qué consiste su trabajo y cómo formarse? UNIR. https://www.unir.net/revista/ingenieria/perito-informatico/

Diakopoulos, N. (2016). Accountability in algorithmic decision making. Communications of the ACM, 59(2), 56-62. https://doi.org/10.1145/2844110

Elastic. (2024). Introduction to the Elastic Stack. https://www.elastic.co/what-is/elastic-stack

ENISA. (2019). Cloud Computing Risk Assessment. European Union Agency for Cybersecurity. https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment

ENISA. (2021). ENISA Threat Landscape Report. European Union Agency for Cybersecurity. https://www.enisa.europa.eu

ENISA. (2023). Threat Landscape Report 2022. European Union Agency for Cybersecurity. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

Ernst & Young. (2020). DevSecOps: A proactive approach to managing risk in DevOps. EY Insights. https://www.ey.com

European Commission. (2018). General Data Protection Regulation (GDPR). https://eur-lex.europa.eu/eli/reg/2016/679/oj

European Union Agency for Cybersecurity (ENISA). (2021). Security in the Cloud: Guidelines. https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes

Forrester Research. (2022). Compliance-as-Code: Automating policy enforcement in the DevOps pipeline.

Garfinkel, S. L. (2010). Digital forensics research: The next 10 years. Digital Investigation, 7(suppl), S64–S73. https://doi.org/10.1016/j.diin.2010.05.009

Gartner. (2023). Best practices for securing CI/CD pipelines. Gartner Technical Reports.

Gartner. (2024). Magic Quadrant for SIEM. https://www.gartner.com/en/documents

Gobierno de España - INCIBE. (2022). Guía de auditoría en entornos de desarrollo continuo (DevOps). Instituto Nacional de Ciberseguridad. https://www.incibe.es

Google Cloud Platform (GCP). (2024). Shared Responsibility Model. https://cloud.google.com/security/compliance/shared-responsibility

Google Cloud. (2023). Cloud Security Best Practices. https://cloud.google.com/security

Google Cloud. (2023). Google Cloud Security Foundations Guide. https://cloud.google.com/architecture/security-foundations

Greenbone Networks. (2023). OpenVAS Documentation. https://www.greenbone.net/

Guidance Software. (2023). EnCase Forensic Solutions. https://www.guidancesoftware.com/

Gupta, R., & Gupta, H. (2019). Web Application Security: Tools and Techniques. International Journal of Advanced Research in Computer Science.

Gupta, S., Kumar, R., & Sharma, P. (2022). Cloud Security Issues and Challenges: A Review. International Journal of Cloud Computing, 11(2), 121-140.

Hashizume, K., Rosado, D. G., Fernández-Medina, E., & Fernandez, E. B. (2013). An analysis of security issues for cloud computing. Journal of Internet Services and Applications, 4(1), 5. https://doi.org/10.1186/1869-0238-4-5

Hernández, J., & Peña, M. (2020). Comparative Study of Web Vulnerability Scanners. Journal of Cybersecurity and Privacy, 2(1), 32–50.

IBM X-Force. (2022). Cybersecurity Threat Intelligence Index. https://www.ibm.com/reports/threat-intelligence

Institute of Internal Auditors (IIA). (2022). International Professional Practices Framework (IPPF).

Instituto de Auditores Internos (IAI). (2020). Marco Internacional para la Práctica Profesional de la Auditoría Interna. IAI Global.

Instituto Nacional de Estándares y Tecnología [NIST]. (2011). Managing Information Security Risk: Organization, Mission, and Information System View (Special Publication 800-39). https://doi.org/10.6028/NIST.SP.800-39

International Auditing and Assurance Standards Board (IAASB). (2021). The International Code of Ethics for Professional Accountants (including International Independence Standards). IFAC. https://www.ethicsboard.org

International Information Systems Audit and Control Association (ISACA). (2019). COBIT 2019 Framework: Governance and Management Objectives. ISACA.

International Organization for Standardization (ISO). (2014). ISO/IEC 27018:2014. https://www.iso.org/standard/61498.html

International Organization for Standardization (ISO). (2015). ISO/IEC 27017:2015. https://www.iso.org/standard/43757.html

International Organization for Standardization. (2022). ISO/IEC 27005:2022: Information security, cybersecurity and privacy protection — Guidance on managing information security risks.

ISACA. (2019). COBIT 2019 Framework: Governance and Management Objectives. https://www.isaca.org/resources/cobit

ISACA. (2020). Auditing Cloud Computing: A Guidance for Practitioners. ISACA Publications.

ISACA. (2021). Confidentiality and Ethics in IT Auditing. ISACA Journal, Vol. 4.

ISACA. (2021). DevOps and Audit: Guidance and Considerations. ISACA White Paper.

ISACA. (2022). Auditing Cloud Computing: A Security and Privacy Guide. Information Systems Audit and Control Association.

ISACA. (2023). State of Cybersecurity 2023. https://www.isaca.org/resources/news-and-trends/state-of-cybersecurity

ISO. (2011). ISO/IEC 27034-1:2011 - Application security — Part 1: Overview and concepts. International Organization for Standardization.

ISO. (2018). Risk management — Guidelines (ISO 31000:2018). https://www.iso.org/standard/65694.html

ISO. (2022). ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization.

ISO/IEC 27005:2018. Information Security Risk Management. https://www.iso.org/standard/75281.html

ISO/IEC. (2021). ISO/IEC 27002:2021. Code of practice for information security controls. ISO.

ISO/IEC. (2022). ISO/IEC 27005:2022. Information security risk management. ISO.

Jones, D. (2011). Practical Digital Forensics. Packt Publishing.

Jones, K. J., Bejtlich, R., & Rose, C. W. (2006). Intrusion Detection with Snort. Sams Publishing.

Karyda, M., Mitrou, L., & Quirchmayr, G. (2007). A framework for evidence-based security in information systems. Information Management & Computer Security, 15(1), 51–63. https://doi.org/10.1108/09685220710738748

Kaur, K., & Sandhu, P. S. (2017). Evaluation of Open Source Web Application Security Tools. International Journal of Computer Applications, 163(2), 6–10.

Kent, K., Chevalier, S., Grance, T., & Dang, H. (2006). Guide to Integrating Forensic Techniques into Incident Response (NIST Special Publication 800-86). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-86

Kent, S., & Chevalier, S. (2002). RFC 3227 - Guidelines for Evidence Collection and Archiving. Internet Engineering Task Force (IETF). https://datatracker.ietf.org/doc/html/rfc3227

Kerr, O. S. (2015). Computer Crime Law. West Academic Publishing.

Khatri, V., & Brown, C. V. (2010). Designing data governance. Communications of the ACM, 53(1), 148–152. https://doi.org/10.1145/1629175.1629210

KPMG. (2022). Security in DevOps: Implementing DevSecOps effectively. KPMG Advisory Services.

Ligh, M., Case, A., Levy, J., & Walters, A. (2014). The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory. Wiley.

Lopez, A. (2025, July 14). Competencias y habilidades de un perito judicial | Perytas. Perytas. https://www.peritos-judiciales-perytas.com/blog/competencias-perito-judicial/

López, M. & Pérez, J. (2021). Ética en la auditoría informática: Responsabilidad, conflictos y sostenibilidad. Revista de Auditoría y Ética Digital, 15(2), 45-62.

Lyon, G. F. (2009). Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning. Insecure.Com LLC.

Malik, R., Singh, A., & Chopra, M. (2020). CI/CD Automation in Web Security Testing using ZAP. International Journal of Engineering Research & Technology (IJERT), 9(7), 1120–1125.

Mandia, K., Prosise, C., & Pepe, M. (2014). Incident Response and Computer Forensics (3rd ed.). McGraw-Hill Education.

Martínez, C., & Torres, A. (2021). Auditoría de Sistemas Informáticos: Enfoques, Técnicas y Herramientas. Editorial Alfaomega.

Maynor, D. (2022). Metasploit Toolkit for Penetration Testing, Exploit Development, and Vulnerability Research. Elsevier.

Mell, P., & Grance, T. (2011). The NIST definition of cloud computing. National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-145

Microsoft. (2023). PowerShell Documentation. https://learn.microsoft.com/en-us/powershell/

Microsoft. (2024). Azure Security Center Documentation. https://docs.microsoft.com/en-us/azure/security-center/

Mimi. (2025, January 24). Evidencia Digital: Importancia de la correcta recolección y preservación de evidencia digital. - Perito. Peritos Informáticos Certificados En México – Duriva. https://duriva.com/evidencia-digital-importancia-de-la-correcta-recoleccion-y-preservacion-de-evidencia-digital/

Mohay, G., Anderson, A., Collie, B., De Vel, O., & McKemmish, R. (2003). Computer and Intrusion Forensics. Artech House.

Morrison, K. (2022). The DevSecOps Playbook: Integrating Security into DevOps. Apress.

National Institute of Standards and Technology. (2006). Guide to Integrating Forensic Techniques into Incident Response (SP 800-86). https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf

Nelson, B., Phillips, A., & Steuart, C. (2020). Guide to Computer Forensics and Investigations (6th ed.). Cengage Learning.

NIST. (2022). Risk Management Guide for Information Technology Systems (SP 800-30 Rev.1). https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. https://doi.org/10.6028/NIST.CSWP.04162018

NIST. (2020). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. https://www.nist.gov/cyberframework

NIST. (2020). Security and Privacy Controls for Information Systems and Organizations (SP 800-53 Rev. 5). National Institute of Standards and Technology.

NIST. (2022). Special Publication 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations. https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Offensive Security. (2023). Kali Linux Documentation. https://www.kali.org/docs/

Open Group. (2021). Factor Analysis of Information Risk (FAIR) Model. https://www.opengroup.org/

OpenText. (2023). EnCase Forensic Product Overview. https://www.opentext.com/products/encase-forensic

O'Reilly, K. (2020). Ethics and IT Governance: The Role of Moral Reasoning in Digital Environments. Springer.

OWASP Foundation. (2021). OWASP ZAP Project. https://owasp.org/www-project-zap/

OWASP Foundation. (2022). Infrastructure as Code Security Guide. OWASP Wiki.

Palmer, G. (2001). A Road Map for Digital Forensic Research. Digital Forensics Research Workshop (DFRWS). https://www.dfrws.org/sites/default/files/session-files/a_road_map_for_digital_forensic_research.pdf

PortSwigger. (2023). Burp Suite Documentation. https://portswigger.net/burp/documentation

Raji, I. D., Smart, A., White, R. N., et al. (2020). Closing the AI accountability gap: Defining an end-to-end framework for internal algorithmic auditing. Proceedings of the 2020 Conference on Fairness, Accountability, and Transparency, 33-44. https://doi.org/10.1145/3351095.3372873

Reith, M., Carr, C., & Gunsch, G. (2002). An examination of digital forensic models. International Journal of Digital Evidence, 1(3), 1-12.

Reyes, L. (2022). Redacción técnica y legal en informes periciales informáticos. Revista Iberoamericana de Tecnologías Forenses, 12(2), 45–59.

Rittinghouse, J. W., & Ransome, J. F. (2017). Cloud computing: implementation, management, and security. CRC press.

Rodríguez, A. & Salas, P. (2022). Auditoría informática y sostenibilidad tecnológica. Editorial Alfaomega.

Roesch, M. (1999). Snort: Lightweight intrusion detection for networks. In Proceedings of the 13th USENIX Conference on System Administration (pp. 229–238). USENIX Association.

Rogers, M. K. (2006). The role of criminal profiling in computer forensics: A cognitive framework. Computers & Security, 25(6), 426–435.

Rogers, M. K., Goldman, J., Mislan, R., Wedge, T., & Debrota, S. (2006). Computer Forensics Field Triage Process Model. Journal of Digital Forensics, Security and Law, 1(2), 27–40.

Rose, S., Borchert, O., Mitchell, S., & Connelly, S. (2020). Zero Trust Architecture. NIST Special Publication 800-207. https://doi.org/10.6028/NIST.SP.800-207

SANS Institute. (2020). Intrusion Detection and Network Forensics. https://www.sans.org

Scarfone, K., & Mell, P. (2007). Guide to Intrusion Detection and Prevention Systems (IDPS) (NIST SP 800-94). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-94

Sharma, R., & Verma, K. (2021). Security Automation in Cloud Environments: An Auditing Perspective. Journal of Cybersecurity Research, 9(1), 32–45.

Smith, J. (2020). Linux for System Administrators. Packt Publishing.

Splunk. (2023). Splunk Security Information and Event Management. https://www.splunk.com/en_us/solutions/siem.html

Stuttard, D., & Pinto, M. (2011). The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws (2nd ed.). Wiley.

Tenable Inc. (2023). Nessus User Guide. https://www.tenable.com/

The Open Group. (2021). Risk Analysis Standard (FAIR) - A Standard for Measuring and Managing Information Risk. https://www.opengroup.org/library/g210

Vasarhelyi, M. A., Alles, M., & Kogan, A. (2012). Principles of analytic monitoring for continuous assurance. Journal of Emerging Technologies in Accounting, 9(1), 1-16. https://doi.org/10.2308/jeta-10213

Velte, T., Velte, A., & Elsenpeter, R. (2010). Cloud computing: A practical approach. McGraw-Hill Education.

PORTADA

Descargas

PDF

Publicado

octubre 6, 2025

Colección

Investigación Científica

Categorías

Derechos de autor 2025 EDITORIAL ACACFESA SAS

Licencia

Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.

Eres libre de:

  1. Compartir : copiar y redistribuir el material en cualquier medio o formato
  2. El licenciante no puede revocar estas libertades siempre y cuando usted cumpla con los términos de la licencia.

En los siguientes términos:

  1. Atribución : Debe otorgar el crédito correspondiente , proporcionar un enlace a la licencia e indicar si se realizaron cambios . Puede hacerlo de cualquier manera razonable, pero no de ninguna manera que sugiera que el licenciante lo respalda a usted o a su uso.
  2. No comercial : no puede utilizar el material con fines comerciales .
  3. SinDerivadas — Si remezcla, transforma o construye sobre el material, no podrá distribuir el material modificado.
  4. Sin restricciones adicionales : no puede aplicar términos legales ni medidas tecnológicas que restrinjan legalmente a otros hacer algo que la licencia permite.

Avisos:

No es necesario que usted cumpla con la licencia para los elementos del material que sean de dominio público o cuyo uso esté permitido por una excepción o limitación aplicable .

No se ofrecen garantías. Es posible que la licencia no le otorgue todos los permisos necesarios para el uso previsto. Por ejemplo, otros derechos, como los de publicidad, privacidad o morales, podrían limitar el uso del material.

Detalles sobre esta monografía

ISBN-13 (15)

978-9942-7386-9-1

Dimensiones físicas

Cómo citar

Auditoría de Tecnologías de la Información Enfoques, Herramientas y Nuevas TendenciasAplicaciones Prácticas y Casos Reales en Entornos Digitales. (2025). EDITORIAL ACACFESA SAS . https://doi.org/10.70577/ey597m50/ACACFESA.EDITORIAL/2025