A la hora de realizar un penetration test o una auditoría de seguridad de características finales, es necesario contemplar ciertos factores para entregar un producto de calidad, y por sobre todas las cosas, un documento de referencia para solucionar aquellas vulnerabilidades y fallas detectadas.
Es común ver informes de gran extensión que podrían terminar almacenados en un cajón de un escritorio. La idea de este tipo de servicios, es totalmente opuesta. El informe final de una auditoría de seguridad debe contener la información suficiente, sin lograr un documento de una extensión que nadie desea leer, pero que al mismo tiempo sea de utilidad. A continuación se especificará algunos consejos y consideraciones que se deben contemplar para elaborar un informe de estas características.
Consideraciones sobre un informe de una auditoría de seguridad
En primera instancia se debe especificar sobre que condiciones y sistemas se realizaron las pruebas. Esto incluye un detalle específico de las direcciones IP y características sobre las que realizaron las pruebas. Es importante recordar que los resultados solo serán válidos en el contexto en que las pruebas fueron realizadas.
El informe final técnico tiene como destinatario a una persona o un grupo de ellas. Es importante tener en mente esto para evaluar cuál será el nivel técnico del mismo. Siempre se debe tener en mente que la finalidad de un informe de estas características es la de poder tomar acciones correctivas y/o reactivas para así elevar el nivel de seguridad de la organización. Si el objetivo no está claro, se suele entregar un documento extenso que solo consta de los resultados de las diferentes herramientas utilizadas en el proceso.
¿Qué longitud debe tener el informe?
Esta pregunta no posee una respuesta única y dependerá exclusivamente del escenario que ha sido evaluado. De todas formas, se debe tener en mente que los informes muy extensos, probablemente, no tendrán el impacto que el auditor desea. De la misma forma, si el documento es demasiado corto y general, podría darse el caso de que el cliente no esté satisfecho con el trabajo realizado, pues esta clase de servicios no son muy económicos.
