Saltar a contenido

Reporting

Las habilidades blandas en la seguridad de la información son cruciales para tener éxito en tu rol. Aunque las herramientas de escaneo de vulnerabilidades utilizan herramientas automatizadas, todavía es necesario transferir la información a un informe listo para el cliente. El informe debe ser legible por cualquier persona, desde una persona técnica hasta una persona no técnica. Un informe sólido consta de las siguientes secciones:

  • Executive Summary
  • Overview of Assessment
  • Scope
  • Vulnerabilities and Recommendations

Executive Summary

El Executive Summary de un informe de evaluación de vulnerabilidades está destinado a ser legible por un ejecutivo que necesita una visión general de alto nivel de los detalles y cuáles son los elementos más importantes a solucionar de inmediato, dependiendo de la gravedad. Esta sección permite a un ejecutivo mirar el informe y priorizar las remediaciones basadas en el resumen.

También puedes incluir una vista gráfica del número de vulnerabilidades según la gravedad aquí, similar al gráfico a continuación: graph

Overview of Assessment

El Overview of the Assessment debe incluir cualquier metodología utilizada durante la evaluación. La metodología debe detallar la ejecución de la evaluación durante el período de prueba, como discutir el proceso y las herramientas utilizadas para el proyecto (por ejemplo, Nessus).

Scope and Duration

La sección Scope and Duration del informe debe incluir todo lo que el cliente autorizó para la evaluación, incluyendo el alcance del objetivo y el período de prueba.

Vulnerabilities and Recommendations

La sección Vulnerabilities and Recommendations debe detallar los hallazgos descubiertos durante la evaluación de vulnerabilidades una vez que hayas eliminado cualquier falso positivo mediante pruebas manuales. Es mejor agrupar los hallazgos que se relacionan entre sí según el tipo de problemas o su gravedad.

Cada problema debe tener los siguientes elementos:

  • Vulnerability Name
  • CVE
  • CVSS
  • Descripción del Problema
  • Referencias
  • Pasos de Remediación
  • Prueba de Concepto
  • Sistemas Afectados

Closing

La parte del informe de cualquier evaluación es la parte más crucial del proyecto. Siempre asegúrate de que estás escribiendo tus informes de manera que cualquier audiencia pueda leerlos. Al discutir información técnica, siempre referencia lo que describes para que el lector entienda o reproduzca lo que estás hablando en el informe. Además, las oraciones deben ser directas y con la gramática adecuada. Los informes más sólidos son concisos y claros para el lector.