Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Unidad 6

    Cargado por

    Walter Marcia
    30 vistas6 páginas

    Título original

    UNIDAD 6

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    30 vistas6 páginas

    Unidad 6

    Cargado por

    Walter Marcia

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    UNIDAD 6

    Unidad 6: Generación de informes de


    auditoría
    1. INTRODUCCIÓN
    Durante el curso se han explicado las distintas metodologías y herramientas para llevar a
    cabo auditorías de distintos tipos. Todas ellas tienen en común la última fase, que será la
    que dé por terminada la auditoría.
    Esta fase consiste en la realización de un informe que contenga todos los hallazgos
    detectados durante el tiempo en el que se ha desarrollado la auditoría.

    2. OBJETIVOS
    Con esta unidad, los estudiantes aprenderán los pilares básicos en lo que a la generación de
    informes de auditoría de seguridad se refiere.
    En este sentido, hablaremos de qué información debemos incluir en este informe, qué
    enfoque tenemos que darle, qué nivel de especialización, etc.

    3. CONTENIDO DEL INFORME


    La clave de la generación del informe es ser capaz de plasmar todo el trabajo realizado de una
    manera clara, de forma que se le dé el valor que se merece.

    Para ello, se debe organizar el documento para que contenga toda la información bien organizada
    y explicada de manera clara.

    Otro de los puntos importantes que se deben tener en cuenta es tener claro a quién va dirigido el
    documento, ya que no es lo mismo que lo vaya a recibir el director de la organización a que lo vaya
    a recibir el equipo técnico. Debido a esto, lo más común es realizar un informe con dos partes bien
    diferenciadas, o bien dos informes independientes:

     Informe ejecutivo
     Informe técnico

    3.1 Introducción
    Consiste en una breve redacción explicando el objetivo del documento, cuál es el alcance de la
    auditoría y el objetivo de la misma.
    En caso de que haya alguna limitación o excepción a la hora de llevar a cabo la auditoría también
    se deberá incluir en este documento.

    Asimismo, se deberán incluir los criterios y la categorización que se van a utilizar a la hora de
    valorar la criticidad de cada hallazgo, con su definición correspondiente.

    3.2 Metodología
    Suelen ser un par de páginas en las que se explica la metodología seguida durante la auditoría,
    definiendo los distintos aspectos de seguridad que se han revisado durante el proceso.

    3.3 Informe ejecutivo


    El informe ejecutivo será un documento breve y conciso, dirigido a los ejecutivos de la
    organización, que por lo general no tienen por qué tener conocimientos técnicos a bajo nivel. La
    información que se encuentra en este informe es la siguiente:

    Estado de seguridad de la aplicación:


    Por ejemplo, nivel de seguridad bajo, medio o alto. Esto es muy subjetivo, por lo que se deberá
    explicar qué significa el nivel asociado a la aplicación. Teniendo en cuenta lo que se haya
    acordado, la manera de reflejar el estado de la aplicación puede variar. A continuación, vamos a
    ver algunos ejemplos:

     El objetivo de la auditoría es dar el OK previo a un paso a producción:

    Figura 6.1: Paso a producción Fuente: elaboración propia Cyber Academy

     El objetivo de la auditoría es averiguar el estado de seguridad o nivel de seguridad de la


    aplicación: - El estado de seguridad de la aplicación es ALTO - El estado de seguridad de la
    aplicación es MEDIO - El estado de seguridad de la aplicación es BAJO

    La manera de representar el estado de seguridad de la aplicación es libre y no existe una única


    opción, por lo que lo que se muestra como ejemplo son sólo dos posibilidades.
    3.3 Informe ejecutivo
    Vulnerabilidades detectadas:
    En modo resumen, se suele mostrar un gráfico de colores que refleje el estado de la aplicación con
    un solo vistazo.

    Ejemplo:

    Figura 6.2: Gráfico de estado de una aplicación en cuanto a vulnerabilidades Fuente: elaboración
    propia Cyber Academy

    Principales riesgos a los que está expuesta la organización


    Teniendo en cuenta los hallazgos encontrados, esto da un mayor nivel de información.
    3.3 Informe ejecutivo
    Tabla resumen de las vulnerabilidades encontradas.
    Ejemplo:

    Figura 6.3: Tabla resumen de vulnerabilidades Fuente: elaboración propia Cyber Academy

    3.4 Informe técnico


    El Informe técnico es un documento más extenso, dirigido al equipo técnico de la
    organización, que suele ser el equipo de desarrolladores que se ha encargado de realizar la
    aplicación y será el responsable de la resolución de las vulnerabilidades. Es aquí donde se
    dan todos los detalles de cada vulnerabilidad descubierta:

     Identificador de la vulnerabilidad. Será un identificador único que se suele usar a la


    hora de realizar el seguimiento de las vulnerabilidades, si se han corregido o no, etc.
     Criticidad de la vulnerabilidad.
     Máquina/URL/Servicio afectado.
     Campos vulnerables. Si la vulnerabilidad afecta a campos concretos de la
    aplicación.
     Descripción de la vulnerabilidad. Una breve explicación de en qué consiste.
     Riesgos asociados a la vulnerabilidad. Con el objetivo de explicar las posibles
    consecuencias en caso de no corregir la vulnerabilidad.
     Detalles, más información de la vulnerabilidad detectada y proceso seguido para
    detectarla.
     Evidencias. Demostración de que la vulnerabilidad existe en el momento de la
    auditoría.
     Referencias que proporcionen más información de la vulnerabilidad, ya que en
    muchos casos los desarrolladores no tienen por qué tener conocimientos de
    seguridad y les ayudará a entender el concepto y ver cómo resolver la
    vulnerabilidad.

    Se debe tener en cuenta que la estructura y contenido de los informes es flexible y que lo
    explicado aquí son tan solo supone una parte de los contenidos que pueden aparecer.
    Ejemplo: una manera de representar los hallazgos encontrados en el informe técnico es
    mostrando la información organizada en tablas, creando una tabla por cada vulnerabilidad.
    3.4 Informe técnico

    Como se ha podido observar, hay formas infinitas de generar los informes de vulnerabilidades y no
    hay una única manera válida. Esto se debe a que son totalmente personalizables y a que,
    dependiendo de la organización y del tipo de auditoría, podemos encontrar informes organizados
    de maneras muy diferentes, pero que comparten el mismo objetivo final: mostrar el estado de
    seguridad de la organización y proporcionar los hallazgos encontrados.

    Por último, se debe recalcar la importancia que tiene el informe final para plasmar el trabajo
    realizado durante las auditorías, ya que un buen trabajo a nivel técnico en una auditoría en la que
    se hayan encontrado un gran número de vulnerabilidades con un riesgo elevado puede quedar en
    nada si el informe no refleja el trabajo realizado (o no lo refleja de la manera correcta), por lo que
    es importante cuidar el aspecto y contenido del informe para ser capaces de hacer llegar el
    mensaje a los responsables de la aplicación.

    También podría gustarte