Rol del pentesting en el cumplimiento de la Norma ISO 27001 para la gestión de la seguridad de la información 2024
| dc.contributor.advisor | Carrión Buenaño, Darwin Paúl | |
| dc.contributor.author | Cachipuendo Aguiar, Jair Alexander | |
| dc.date.accessioned | 2025-04-14T22:31:19Z | |
| dc.date.issued | 2025-04-14 | |
| dc.description | This research project analyzes the role of pentesting as a key tool for complying with the ISO 27001 Standard on Information Security Management Systems (ISMS). The main objective is to examine how penetration testing strengthens the security controls required by the standard, focusing specifically on Domain A.9 (Access Control), A.12 (Operations Security), A.13 (Communications Security), and A.14 (System Acquisition, Development, and Maintenance Security). This descriptive, qualitative study employs both inductive and deductive methods, supported by a documentary review of theses, scientific articles, and relevant regulations. The findings show that pentesting identifies and mitigates vulnerabilities that traditional audit methods may overlook, thereby enhancing compliance with ISO 27001 controls. The results present a detailed assessment of controls benefiting from this practice, highlighting the complementarity between pentesting and traditional audits, as well as its limitations and organizational implications. Finally, a methodological guide is proposed, integrating pentesting into the aforementioned domains and outlining how its six phases are applied to the controls where it is effective and valuable in safeguarding information assets. | |
| dc.description.abstract | El presente proyecto de investigación analiza el rol del pentesting como una herramienta clave para el cumplimiento de la Norma ISO 27001 en la Gestión de la Seguridad de la Información. Se plantea como objetivo principal examinar cómo las pruebas de penetración contribuyen a fortalecer los controles de seguridad exigidos por la norma, especialmente en los dominios A.9 (Control de acceso), A.12 (Seguridad en las operaciones), A.13 (Seguridad en las comunicaciones) y A.14 (Seguridad en la adquisición, desarrollo y mantenimiento de los sistemas de información). La investigación es de tipo descriptiva, con un enfoque cualitativo y utiliza los métodos inductivo y deductivo, apoyándose en una revisión documental de tesis y artículos científicos. El análisis evidencia que el pentesting permite identificar y mitigar vulnerabilidades que otros métodos tradicionales de auditoría no detectan, lo que refuerza el cumplimiento de los controles establecidos por la ISO 27001. En los resultados se muestra una evaluación detallada de los controles que se benefician de esta práctica, destacando la complementariedad del pentesting con las auditorías tradicionales, sus limitaciones y sus implicaciones para las organizaciones. Finalmente, se propone una guía metodológica que integra el pentesting en los dominios antes mencionados, describiendo la aplicación de sus seis fases en los controles donde es viable y aporta valor en la protección de los activos de información. | |
| dc.identifier.uri | https://dspace.ueb.edu.ec/handle/123456789/8207 | |
| dc.language.iso | es | |
| dc.publisher | Universidad Estatal de Bolívar. Facultad de Ciencias Administrativas Gestión Empresarial e Informática. Carrera de Software | |
| dc.relation.ispartofseries | FCCA.IS; 64 | |
| dc.subject | SEGURIDAD DE LA INFORMACIÓN | |
| dc.subject | NORMA ISO/IEC 27001 | |
| dc.subject | PENTESTING | |
| dc.subject | AUDITORÍA DE SEGURIDAD | |
| dc.title | Rol del pentesting en el cumplimiento de la Norma ISO 27001 para la gestión de la seguridad de la información 2024 | |
| dc.type | Thesis |