Herramienta digital para optimizar auditorías basadas en el estándar ISO/IEC 27001:2022
DOI:
https://doi.org/10.24054/rcta.v2i46.4111Palabras clave:
ISO27001, seguridad de la información, herramienta de auditoría, desarrollo ágil,, OWASP ZAP, modelo TAM, desarrollo seguro, ciberseguridadResumen
Este artículo presenta una investigación aplicada orientada al diseño, desarrollo y validación de SECUREISO, una herramienta digital concebida para optimizar los procesos de auditoría en sistemas de gestión de seguridad de la información, bajo el estándar ISO/IEC 27001:2022. La investigación adoptó un enfoque metodológico ágil (Scrum), combinando desarrollo seguro con técnicas de validación empírica, como pruebas de penetración automatizadas con OWASP ZAP y el Modelo de Aceptación Tecnológica (TAM). Los resultados evidencian niveles de usabilidad, utilidad y eficiencia percibida por los usuarios. Además, se destaca su arquitectura flexible y escalable, lo que permite su adaptación a diferentes sectores. Este trabajo contribuye al campo de la ciberseguridad con una solución replicable y fundamentada, que mejora la implementación normativa y promueve nuevas líneas de investigación en auditoría digital automatizada.
Descargas
Citas
ISO/IEC 27001:2022. “Information security, cybersecurity and privacy protection — Information security management systems — Requirements.” International Organization for Standardization, 2022.
ISACA, “COBIT 2019 Framework: Introduction and Methodology.” ISACA, 2019.
A. Calder and S. Watkins, IT Governance: An International Guide to Data Security and ISO27001/ISO27002, 7ma edición, Kogan Page, 2020.
R. Arévalo, J. Bayona y D. Bautista, “Aplicación de herramientas para el análisis de sistemas de información usando la norma ISO/IEC 27001:2005,” Revista Tecnura, vol. 19, no. 46, pp. 77–85, 2015.
NIST, “Framework for Improving Critical Infrastructure Cybersecurity,” National Institute of Standards and Technology, 2018.
Organización Internacional de Normalización, ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls, ISO, 2022.
K. Schwaber y J. Sutherland, “The Scrum Guide,” Scrum.org, 2020. [Online]. Available: https://www.scrumguides.org
F. Davis, “Perceived Usefulness, Perceived Ease of Use, and User Acceptance of Information Technology,” MIS Quarterly, vol. 13, no. 3, pp. 319–340, 1989.
M. A. Arévalo Álvarez and D. A. . Hernández Ladino, “Análisis preliminar de la ciberseguridad asociada al sistema financiero en algunos países de Latinoamérica y la contribución de la informática forense”, Cuad. Investig. Semilleros Andin., no. 14, Dec. 2021, doi: 10.33132/26196301.1950.
M. M. M. Macías, R. Macías, M. L. I. Navarrete y J. A. I. Navarrete, “Normas y estándares en auditoría: una revisión de su utilidad en la seguridad informática,” Rev. Científica Arbitrada Multidiscip. PENTACIENCIAS, vol. 5, no. 4, pp. 584–599, jun. 2023, doi: 10.59169/pentaciencias.v5i4.700
L. E. Salinas Suárez, Análisis entre las normativas ISO/IEC 27001:2022 versus ISO/IEC 27001:2013 e implementación de los nuevos controles en un sistema de gestión, en entidades financieras, desarrollo de software y una empresa de servicios de infraestructura de TI, Trabajo Fin de Máster, Univ. de Alcalá, 2023
G. S. Babilonia Presentacion, “Beneficios de las normas ISO 27000”, HIGH TECH-ENG. J., vol. 3, n.º 2, pp. 86–88, septiembre de 2023. Accedido el 27 de julio de 2025. [En línea]. Disponible: https://doi.org/10.46363/high-tech.v3i2.4
M. S. Herrera Olivares, A. J. Rada Martínez y I. E. Palacio Salcedo, “Framework gestión de la seguridad de la información para universidades”, Proyectos finales Pregrado en Ingeniería de Sist. y Computación, 2020. [En línea]. Disponible: https://manglar.uninorte.edu.co/handle/10584/8868?show=full
J. L. Aguayo Morales, R. A. Ponce Bedoya y O. R. Rojas Cevallos, “Estudio de mejora en la seguridad de aplicaciones web y de aplicaciones móviles mediante el protocolo OpenID Connect opensource utilizado en IdentityServer4,” Trabajo de Titulación, Universidad Politécnica Salesiana, sede Quito, Ecuador, feb. 2020
E. Lara y F. Corella, “Comparación de modelos tradicionales de seguridad de la información para centros de educación,” Tierra Infinita, 2018. doi: 10.32645/26028131.74
D. L. Quijano, F. J. Iñiguez y D. A. Minda, “Implementación de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001:2013 en la Universidad Nacional de Loja,” Revista Tierra Infinita, vol. 9, no. 1, pp. 84–93, 2023. Disponible en: https://revistasdigitales.upec.edu.ec/index.php/tierrainfinita/article/view/742/3028
G. S. Babilonia Presentacion, “Beneficios de las normas ISO 27000”, HIGH TECH-ENG. J., vol. 3, n.º 2, pp. 86–88, septiembre de 2023. Accedido el 27 de julio de 2025. [En línea]. Disponible: https://doi.org/10.46363/high-tech.v3i2.4
N. De la Cruz Lopez, D. M. Jerónimo Jiménez, W. B. López Rodríguez y R. M. Martínez Jiménez, “Impacto de la auditoría como una herramienta de control, para el mejoramiento de la empresa”, Publicaciones Investig., vol. 16, n.º 1, enero de 2022. Accedido el 27 de julio de 2025. [En línea]. Disponible: https://doi.org/10.22490/25394088.5769
B. D. Morales Toapanta, “Construcción de una aplicación móvil para evaluar el desempeño docente de la Universidad Politécnica Salesiana”, Trabajo de grado, Univ. Politec. Sales. Sede Quito, Quito, 2021. Accedido el 1 de julio de 2024. [En línea]. Disponible: https://dspace.ups.edu.ec/bitstream/123456789/26782/1/TTS1621.pdf
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2025 Sebastian Buesaco, Alejandro Alcaraz Gaviria, Juan José Caiza Narváez, Katerine Marceles Villalba, Siler Amador Donado
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial 4.0.
