La finalización del servicio de pentesting irá acompañada por la elaboración de un informe de carácter técnico y otro de carácter ejecutivo.
El esquema de estos documentos puede variar, pero en general contendrán los siguientes apartados:
- Introducción.
- Alcance.
- Descripción del proceso.
- Detalle de vulnerabilidades.
- Recomendaciones.
- Metodología y referencias.
Informe técnico
El informe técnico se centrará en el detalle más en profundidad de las vulnerabilidades detectadas, empleando un lenguaje acorde al público al que va destinado el informe.
Introducción
En el apartado introducción se describirá el objetivo perseguido con el servicio de pentesting y una introducción al formato del pentesting realizado.
Alcance
En el apartado alcance se definirá el alcance de la auditoria enumerando aquellos activos sobre los que se ejecutará el servicio de pentesting.
Un ejemplo podría ser:
- www.dominio.com Página web corporativa
- aplicacion1.dominio.com Aplicación web Aplicacion1.
- dns.dominio.com Servicio DNs de la compañía
Resumen ejecutivo
Se resumirá los resultados obtenidos con el servicio de pentesting.
Ventanas de actuación
En este apartado reflejaremos las fechas y horas concretas en las que se ha llevado a cabo el pentesting, de tal forma que quede constancia.
Descripción detallada del proceso de pentesting
Se definirá el tipo de metodología utilizada, como se han llevado a cabo cada una de las fases del pentesting y que técnicas/herramientas se han utilizado en cada una de las fases.
Vulnerabilidades detectadas
Se realizará una descripción técnica detallada de las vulnerabilidades encontradas en los activos definidos en el alcance del servicio.
Se definirá:
- Como se han encontrado.
- Como se han explotado.
- Si ha existido escalada de privilegios.
- Recomendaciones de mitigación.
Anexos
Haremos referencia y describiremos las metodologías en las que nos hemos apoyado a la hora de ejecutar el servicio:
- Metodologías
- Referencias
Informe ejecutivo
En cuanto al informe ejecutivo, en general seguirá la misma estructura que el informe técnico pero enfocado a la alta dirección de la organización, por lo tanto, se utilizará un lenguaje más comprensible para gente no experta en seguridad informática.
Acompañando al informe se recomienda una exposición final que presente los resultados más relevantes.
Su estructura sería:
Introducción
No varía en contenido con respecto al informe técnico.
Alcance
De la misma forma quedará reflejado el alcance del servicio pactado y consensuado antes del inicio del pentesting.
Resumen ejecutivo
Resumen ejecutivo
A diferencia con el informe técnico, en este apartado se presentará la siguiente información:
Vulnerabilidades detectadas
- Conclusiones.
- Valoración del estado actual de la seguridad.
- Tipos de vulnerabilidades.
- Ámbito de las vulnerabilidades.
- Recomendaciones de mitigación.
Vulnerabilidades detectadas
A diferencia con el informe técnico, no entraremos a describir con mucho detalle las vulnerabilidades, simplemente se enumeraran reflejando sobre todo:
- Activos afectados.
- Categorización de la vulnerabilidad en función de su severidad.
- Impacto en los niveles de confidencialidad, integridad y disponibilidad.
Anexos
Tampoco varía en contenido con respecto al informe técnico.
Concluyendo, hay que destacar que el servicio de pentesting presenta una foto del estado de la seguridad en un momento concreto, es un tema importante a tener en cuenta, ya que lo que hoy esta bíen, quizá mañana no lo esté.
Concluyendo, hay que destacar que el servicio de pentesting presenta una foto del estado de la seguridad en un momento concreto, es un tema importante a tener en cuenta, ya que lo que hoy esta bíen, quizá mañana no lo esté.
Por otro lado es importante que sepáis que el pentesting no persigue corregir las vulnerabilidades, sino detectarlas y aconsejar en su resolución.
No hay comentarios:
Publicar un comentario