!

+34 691 225 633

Rev. Febrero 2021

Autor:
José Israel Nadal Vidal

Realización de un informe de auditoría

Informe de auditoría
Con este informe, de gran importancia, finalizamos el proceso técnico de
auditoría explicando, normalmente por escrito, los resultados obtenidos.

El informe de auditoría debe seguir una estructura clara, como la seguidamente

propuesta.

Estructura de un informe de auditoría

La estructura de todo informe de auditoría, ya se refiera a vulnerabilidades,
pentesting, etcétera, debe permitir al cliente informarse de forma clara del
estado de la seguridad de su infraestructura. Como mínimo, el informe constará
de las siguientes partes:

• Introducción: Se describen con brevedad los antecedentes y el contexto

dentro del cual se requiere la auditoría.

• Alcance: Se describen los activos que se auditarán, los únicos que se

analizarán y en los que se centrará el informe. Auditar activos sin
consentimiento puede conducir a que el cliente emprenda acciones legales
contra nosotros, ya que habremos actuado sin el permiso requerido.

• Metodología: Se describe el procedimiento seguido y se detallan sus pasos.

Existen muchas y muy variadas metodologías, por lo que el auditor ha de
elegir la que le resulte más familiar: OWASP, SANS, etcétera.

• Informe ejecutivo: Se exponen los resultados obtenidos incluyendo

gráficos y otros recursos que nos permitan facilitar explicaciones sin
incurrir en demasiados tecnicismos. Esta parte del informe se destina a la
dirección de la empresa auditada, por lo que se ha de tomar en cuenta que,
en la mayoría de ocasiones, los receptores carecerán de conocimientos
técnicos.


!
!
+34 691 225 633
Rev. Febrero 2021

• Informe técnico: Se dirige al equipo de seguridad informática o a los

técnicos encargados de la corrección de los fallos que se detecten. En esta
parte del informe, se reproducen los pasos seguidos para llegar al fallo de
seguridad, lo que facilita al equipo encargado de su corrección saber cómo
hemos obtenido determinadas conclusiones y compartirlas con nosotros.

• Recomendaciones: Se proporcionan recomendaciones para remediar los

fallos de seguridad encontrados y se detallan buenas prácticas al respecto.

• Plan de iniciativas: Partiendo de un breve análisis del riesgo y del impacto

de los fallos en los activos auditados, asesoramos al cliente al respecto de
las remediaciones que se deben implementar primero.

Reto
El alumno realizará un informe de auditoría completo siguiendo la estructura
planteada en el anterior punto. Para ello, utilizará la máquina virtual
anteriormente propuesta o cualquier otra que considere oportuna. Lo
importante es realizar el informe siguiendo el esquema estudiado.

ANEXOS
Las lecturas que se mencionan a continuación facilitarán al alumno la
realización de los ejercicios propuestos en el caso práctico.

<https://es.slideshare.net/elianamarisolmm/informe-de-auditora-informtica>.

<https://www.monografias.com/trabajos5/audi/audi2.shtml>.

<https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-informatica-objetivos-
alcance-y-metodologia-tecnicas-y-herramientas-normas-y-estandares/>.