Evaluación de herramientas informáticas para el tratamiento de riesgos en la norma NTP-ISO/IEC 27001 2014 en una facultad de ingeniería del sistema universitario peruano

Abstract

El presente trabajo de investigación ofrece una visión general sobre el uso de las principales herramientas de seguridad informática para el tratamiento de riesgos en la norma NTP-ISO/IEC 27001 2014, el cual tiene como objetivo principal el gestionar adecuadamente la seguridad de la información. Por ello, se ha procedido a evaluar algunas de las mejores herramientas de seguridad informática que se ofrecen en la actualidad para analizar e identificar niveles de riesgo en los sistemas informáticos y redes de datos a través del uso de diferentes técnicas y métodos. Por otro lado, se ha procedido a analizar dichas herramientas realizando pruebas de uso con sus diferentes parámetros observando su comportamiento y tratando de discernir qué datos son útiles para obtener información acerca de los riesgos existentes en los sistemas informáticos y redes de datos, logrando obtener resultados que demuestran que el uso de herramientas de seguridad informática permiten identificar los niveles de riesgo por parte de un administrador de sistemas, permitiendo a una empresa o institución poder implementar un plan de acción que permita tratar los riesgos según lo indica la norma NTP-ISO/IEC 27001 2014 y de esa manera evitar la pérdida o el robo de la información propiciado por parte de potenciales atacantes. Las pruebas de seguridad informática se realizaron al sitio web de la Facultad de Ingeniería Industrial y de Sistemas de la Universidad Nacional de Ingeniería (UNI), donde se utilizaron herramientas como Owasp Zap, Vega y Arachni.