Digital tool to optimize audits based on the ISO/IEC 27001:2022 standard
DOI:
https://doi.org/10.24054/rcta.v2i46.4111Keywords:
: ISO/IEC 27001, information security, audit tool, agile development, OWASP ZAP, TAM model, secure development, cybersecurityAbstract
This article presents an applied research study focused on the design, development, and validation of SECUREISO, a digital tool aimed at optimizing audit processes in information security management systems aligned with the ISO/IEC 27001:2022 standard. The study employed an agile methodological framework (Scrum), combining secure development practices with empirical validation techniques, including automated penetration testing using OWASP ZAP and the Technology Acceptance Model (TAM). Results demonstrate levels of usability, perceived usefulness, and operational efficiency. Furthermore, its flexible and scalable architecture enables adaptation to diverse sectors. This work contributes to the cybersecurity field by offering a replicable, research-based solution that enhances standard implementation and opens new avenues for investigation in automated digital auditing.
Downloads
References
ISO/IEC 27001:2022. “Information security, cybersecurity and privacy protection — Information security management systems — Requirements.” International Organization for Standardization, 2022.
ISACA, “COBIT 2019 Framework: Introduction and Methodology.” ISACA, 2019.
A. Calder and S. Watkins, IT Governance: An International Guide to Data Security and ISO27001/ISO27002, 7ma edición, Kogan Page, 2020.
R. Arévalo, J. Bayona y D. Bautista, “Aplicación de herramientas para el análisis de sistemas de información usando la norma ISO/IEC 27001:2005,” Revista Tecnura, vol. 19, no. 46, pp. 77–85, 2015.
NIST, “Framework for Improving Critical Infrastructure Cybersecurity,” National Institute of Standards and Technology, 2018.
Organización Internacional de Normalización, ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls, ISO, 2022.
K. Schwaber y J. Sutherland, “The Scrum Guide,” Scrum.org, 2020. [Online]. Available: https://www.scrumguides.org
F. Davis, “Perceived Usefulness, Perceived Ease of Use, and User Acceptance of Information Technology,” MIS Quarterly, vol. 13, no. 3, pp. 319–340, 1989.
M. A. Arévalo Álvarez and D. A. . Hernández Ladino, “Análisis preliminar de la ciberseguridad asociada al sistema financiero en algunos países de Latinoamérica y la contribución de la informática forense”, Cuad. Investig. Semilleros Andin., no. 14, Dec. 2021, doi: 10.33132/26196301.1950.
M. M. M. Macías, R. Macías, M. L. I. Navarrete y J. A. I. Navarrete, “Normas y estándares en auditoría: una revisión de su utilidad en la seguridad informática,” Rev. Científica Arbitrada Multidiscip. PENTACIENCIAS, vol. 5, no. 4, pp. 584–599, jun. 2023, doi: 10.59169/pentaciencias.v5i4.700
L. E. Salinas Suárez, Análisis entre las normativas ISO/IEC 27001:2022 versus ISO/IEC 27001:2013 e implementación de los nuevos controles en un sistema de gestión, en entidades financieras, desarrollo de software y una empresa de servicios de infraestructura de TI, Trabajo Fin de Máster, Univ. de Alcalá, 2023
G. S. Babilonia Presentacion, “Beneficios de las normas ISO 27000”, HIGH TECH-ENG. J., vol. 3, n.º 2, pp. 86–88, septiembre de 2023. Accedido el 27 de julio de 2025. [En línea]. Disponible: https://doi.org/10.46363/high-tech.v3i2.4
M. S. Herrera Olivares, A. J. Rada Martínez y I. E. Palacio Salcedo, “Framework gestión de la seguridad de la información para universidades”, Proyectos finales Pregrado en Ingeniería de Sist. y Computación, 2020. [En línea]. Disponible: https://manglar.uninorte.edu.co/handle/10584/8868?show=full
J. L. Aguayo Morales, R. A. Ponce Bedoya y O. R. Rojas Cevallos, “Estudio de mejora en la seguridad de aplicaciones web y de aplicaciones móviles mediante el protocolo OpenID Connect opensource utilizado en IdentityServer4,” Trabajo de Titulación, Universidad Politécnica Salesiana, sede Quito, Ecuador, feb. 2020
E. Lara y F. Corella, “Comparación de modelos tradicionales de seguridad de la información para centros de educación,” Tierra Infinita, 2018. doi: 10.32645/26028131.74
D. L. Quijano, F. J. Iñiguez y D. A. Minda, “Implementación de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001:2013 en la Universidad Nacional de Loja,” Revista Tierra Infinita, vol. 9, no. 1, pp. 84–93, 2023. Disponible en: https://revistasdigitales.upec.edu.ec/index.php/tierrainfinita/article/view/742/3028
G. S. Babilonia Presentacion, “Beneficios de las normas ISO 27000”, HIGH TECH-ENG. J., vol. 3, n.º 2, pp. 86–88, septiembre de 2023. Accedido el 27 de julio de 2025. [En línea]. Disponible: https://doi.org/10.46363/high-tech.v3i2.4
N. De la Cruz Lopez, D. M. Jerónimo Jiménez, W. B. López Rodríguez y R. M. Martínez Jiménez, “Impacto de la auditoría como una herramienta de control, para el mejoramiento de la empresa”, Publicaciones Investig., vol. 16, n.º 1, enero de 2022. Accedido el 27 de julio de 2025. [En línea]. Disponible: https://doi.org/10.22490/25394088.5769
B. D. Morales Toapanta, “Construcción de una aplicación móvil para evaluar el desempeño docente de la Universidad Politécnica Salesiana”, Trabajo de grado, Univ. Politec. Sales. Sede Quito, Quito, 2021. Accedido el 1 de julio de 2024. [En línea]. Disponible: https://dspace.ups.edu.ec/bitstream/123456789/26782/1/TTS1621.pdf
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2025 Sebastian Buesaco, Alejandro Alcaraz Gaviria, Juan José Caiza Narváez, Katerine Marceles Villalba, Siler Amador Donado
This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.
