04.-Reporting (Generación de Informes)
Una vez finalizadas las pruebas de auditoría, es esencial generar informes detallados para documentar las vulnerabilidades localizadas y su impacto. Estos informes cumplen con dos objetivos principales: 1. Informar a la dirección sobre los riesgos asociados a las vulnerabilidades detectadas. 2. Proveer al equipo técnico de información detallada para mitigar o resolver los problemas de seguridad.
Tipos de Informe¶
- Informe Ejecutivo
- Dirigido a roles de gestión.
- Resume el riesgo y la criticidad de las vulnerabilidades, basándose en el estándar CVSS.
- Incluye:
- Metodología utilizada.
- Alcance de la auditoría.
- Redes Wi-Fi localizadas y vulnerabilidades asociadas.
- Criticidad y riesgos de las vulnerabilidades detectadas.
- Recomendaciones resumidas para mitigar los problemas.
- Informe Técnico
- Dirigido al personal técnico.
- Detalla cada vulnerabilidad detectada, incluyendo:
- Título y descripción.
- Vector y valoración CVSS.
- Riesgo asociado.
- Detalles para reproducir la vulnerabilidad.
- Recomendaciones específicas para solucionarla.
- Presentación de Resultados
- Formato ejecutivo para explicar vulnerabilidades y riesgos durante la reunión de cierre.
- Ayuda a estructurar las recomendaciones asociadas.
Autoevaluación¶
-
Los roles dedicados a la gestión se apoyan en el informe ejecutivo para interpretar los riesgos de la vulnerabilidad.
- Verdadero / Falso: Verdadero
Al ser personal no técnico, necesitan un resumen enfocado en los riesgos y soluciones.
- Verdadero / Falso: Verdadero
-
En el caso de los informes de auditorías en redes tipo Wi-Fi no se incluye la criticidad de las debilidades localizadas.
- Verdadero / Falso: Falso
El sistema CVSS se utiliza para medir la criticidad de una vulnerabilidad o debilidad.
- Verdadero / Falso: Falso
-
En el informe técnico se detallan todos los pasos necesarios que han permitido al auditor ejecutar una técnica concreta para abusar de una determinada vulnerabilidad o debilidad.
- Verdadero / Falso: Verdadero
Esto permite al equipo técnico entender y reproducir la vulnerabilidad para verificar las medidas implementadas.
- Verdadero / Falso: Verdadero