Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2. OBJETIVOS
Con esta unidad, los estudiantes aprenderán los pilares básicos en lo que a la generación de
informes de auditoría de seguridad se refiere.
En este sentido, hablaremos de qué información debemos incluir en este informe, qué
enfoque tenemos que darle, qué nivel de especialización, etc.
Para ello, se debe organizar el documento para que contenga toda la información bien organizada
y explicada de manera clara.
Otro de los puntos importantes que se deben tener en cuenta es tener claro a quién va dirigido el
documento, ya que no es lo mismo que lo vaya a recibir el director de la organización a que lo vaya
a recibir el equipo técnico. Debido a esto, lo más común es realizar un informe con dos partes bien
diferenciadas, o bien dos informes independientes:
Informe ejecutivo
Informe técnico
3.1 Introducción
Consiste en una breve redacción explicando el objetivo del documento, cuál es el alcance de la
auditoría y el objetivo de la misma.
En caso de que haya alguna limitación o excepción a la hora de llevar a cabo la auditoría también
se deberá incluir en este documento.
Asimismo, se deberán incluir los criterios y la categorización que se van a utilizar a la hora de
valorar la criticidad de cada hallazgo, con su definición correspondiente.
3.2 Metodología
Suelen ser un par de páginas en las que se explica la metodología seguida durante la auditoría,
definiendo los distintos aspectos de seguridad que se han revisado durante el proceso.
Ejemplo:
Figura 6.2: Gráfico de estado de una aplicación en cuanto a vulnerabilidades Fuente: elaboración
propia Cyber Academy
Figura 6.3: Tabla resumen de vulnerabilidades Fuente: elaboración propia Cyber Academy
Se debe tener en cuenta que la estructura y contenido de los informes es flexible y que lo
explicado aquí son tan solo supone una parte de los contenidos que pueden aparecer.
Ejemplo: una manera de representar los hallazgos encontrados en el informe técnico es
mostrando la información organizada en tablas, creando una tabla por cada vulnerabilidad.
3.4 Informe técnico
Como se ha podido observar, hay formas infinitas de generar los informes de vulnerabilidades y no
hay una única manera válida. Esto se debe a que son totalmente personalizables y a que,
dependiendo de la organización y del tipo de auditoría, podemos encontrar informes organizados
de maneras muy diferentes, pero que comparten el mismo objetivo final: mostrar el estado de
seguridad de la organización y proporcionar los hallazgos encontrados.
Por último, se debe recalcar la importancia que tiene el informe final para plasmar el trabajo
realizado durante las auditorías, ya que un buen trabajo a nivel técnico en una auditoría en la que
se hayan encontrado un gran número de vulnerabilidades con un riesgo elevado puede quedar en
nada si el informe no refleja el trabajo realizado (o no lo refleja de la manera correcta), por lo que
es importante cuidar el aspecto y contenido del informe para ser capaces de hacer llegar el
mensaje a los responsables de la aplicación.