Saltar a contenido

04.-Reporting (Generación de Informes)

Una vez finalizadas las pruebas de auditoría, es esencial generar informes detallados para documentar las vulnerabilidades localizadas y su impacto. Estos informes cumplen con dos objetivos principales: 1. Informar a la dirección sobre los riesgos asociados a las vulnerabilidades detectadas. 2. Proveer al equipo técnico de información detallada para mitigar o resolver los problemas de seguridad.

Tipos de Informe

  1. Informe Ejecutivo
    • Dirigido a roles de gestión.
    • Resume el riesgo y la criticidad de las vulnerabilidades, basándose en el estándar CVSS.
    • Incluye:
      • Metodología utilizada.
      • Alcance de la auditoría.
      • Redes Wi-Fi localizadas y vulnerabilidades asociadas.
      • Criticidad y riesgos de las vulnerabilidades detectadas.
      • Recomendaciones resumidas para mitigar los problemas.
  2. Informe Técnico
    • Dirigido al personal técnico.
    • Detalla cada vulnerabilidad detectada, incluyendo:
      • Título y descripción.
      • Vector y valoración CVSS.
      • Riesgo asociado.
      • Detalles para reproducir la vulnerabilidad.
      • Recomendaciones específicas para solucionarla.
  3. Presentación de Resultados
    • Formato ejecutivo para explicar vulnerabilidades y riesgos durante la reunión de cierre.
    • Ayuda a estructurar las recomendaciones asociadas.

Autoevaluación

  1. Los roles dedicados a la gestión se apoyan en el informe ejecutivo para interpretar los riesgos de la vulnerabilidad.

    • Verdadero / Falso: Verdadero

      Al ser personal no técnico, necesitan un resumen enfocado en los riesgos y soluciones.

  2. En el caso de los informes de auditorías en redes tipo Wi-Fi no se incluye la criticidad de las debilidades localizadas.

    • Verdadero / Falso: Falso

      El sistema CVSS se utiliza para medir la criticidad de una vulnerabilidad o debilidad.

  3. En el informe técnico se detallan todos los pasos necesarios que han permitido al auditor ejecutar una técnica concreta para abusar de una determinada vulnerabilidad o debilidad.

    • Verdadero / Falso: Verdadero

      Esto permite al equipo técnico entender y reproducir la vulnerabilidad para verificar las medidas implementadas.