Cuando alguna empresa contrata un servicio externo de análisis de seguridad, auditoria, test de intrusión o similar, el entregable que obtiene es el producto final.
Puedes realizar unas pruebas de seguridad dignas de películas de Hollywood, que si el pagador, el cliente, no considera bien documentado, probado, o no le sirve para su mejora, quedará como humo.
En la mayoría de casos que conozco, no basta con el típico informe técnico enumerando las acciones y los resultados, recomendaciones y evidencias, sino que hay que hacer una parte ejecutiva para el pagador, para el director mas cercano en la cadena de mando al departamento IT pero sin interés o conocimiento por la técnica.
En este mismo blog hemos hablado de herramientas para documentar como Dradis.
En otros blogs como Flu-Projecto hemos visto a Pablo describir un poco el proceso del informe.
Una muy buena herramienta documentada por SbD es Kavir.
Si buscas información al respecto, verás muchos artículos relacionados con lo mismo, pero realmente, no son un modelo de informe al uso, como podemos encontrar las famosas plantillas para pasar la ISO 27001 y demás.
Vamos al grano, eres auditor, eres técnico, te han encargado un informe y tienes toda la información, pero buscas el paste, el copy ya lo tienes...
Pues un tipo al que admiro a partir de ahora mismo ha publicado informes de pentesting y auditorías de las empresas más conocidas por allí y por allá. Gran trabajo que espero no uses para copiar xD pero si para pegar :-)
Un saludo, gracias por leerme !!!