Blog

ACTUALIDAD
24 Mar 2020

Creación de un informe de auditoria

//
Comentarios0

Creación de un informe de auditoria

 

En teoría muchos auditores preparan el informe una vez finalizada la auditoria. En estas lineas se aprenderemos a prepararlos desde que comenzamos la auditoria, de forma que no perdamos ningún tipo de información y podamos trabajar de una forma más ordenada. También deberemos tener presente que nuestra auditoria debe ser completada con dos informes, uno ejecutivo y uno técnico, aunque explicaremos con más detalle cada uno, adelanto que el informe ejecutivo será el que presentaremos a las personas de la empresa sin conocimientos informáticos avanzados ni técnicos y el informe técnico será el que le presentaremos a los encargados de informática y/o seguridad informática de la empresa.

 

Preparación de una auditoria

 

Previos a la realización de una auditoria, deberemos tener en cuenta estos pasos:

  • Deberemos crear una carpeta para nuestra auditoria.
  • Llevaremos un cuaderno de bitácora.
  • Capturaremos y guardaremos tanto vídeo como imágenes y lo guardaremos en su correspondiente carpeta.
  • Mantendremos un registro de hallazgos.
  • Utilizaremos herramientas para la realización de nuestra documentación.
  • Prepararemos una plantilla para nuestros informes.

Comenzaremos por la creación de una carpeta para nuestra auditoria en ella dividiremos la información en dos subcarpetas principales, “informe ejecutivo” e “informe técnico” y dentro de estas comenzaremos a crear tantas subcarpetas como vayamos necesitando, como imágenes, vídeos, gráficos, logs, informes de las herramientas etc…

 

Documentación

 

Continuaremos con la actualización constante de una bitácora. No debemos complicarnos con esto, simplemente puede ser un archivo de texto y vamos anotando cada tarea que realicemos a diario, aunque también podríamos optar por alguna de las suites que existen para realizar esta tarea. También deberemos añadir un esquema o resumen diario de todo lo encontrado, de esta forma nos será más sencillo localizar la información de cada día.

 

Registro

 

También realizaremos capturas de vídeo y audio, ya sea ayudándonos de cámaras ,de descarga de estas o de capturas de pantalla. Esta recolección es vital para poder enseñar al cliente gráficamente el trabajo que hemos realizado o para tener nosotros mismos constancia de muchos eventos y/o resultados que nos encontremos durante la auditoria. es importante que cuando almacenemos las imágenes o vídeos, el nombre de estos sea descriptivo, de forma que podamos localizarlos e identificarlos de forma rápida.

A la hora de llevar un registro de hallazgos, sería aconsejable crearnos una tabla de excel donde vayamos registrando todos los hallazgos, creando en ella campos como sistema operativo, puerto, protocolo, versión de aplicación, si es o no explotable, dirección IP …

Disponemos de varias herramientas dependiendo del sistema operativo con el que trabajemos, como por ejemplo para Windows podríamos usar Camtasia, Greenshot o adobe captative. ademas de aprovechar los propios recursos gráficos que nos ofrecen herramientas como Nessus cuando realizamos un análisis.

 

Herramientas de documentación

 

Para terminar este apartado hablaremos de la posibilidad de la utilización de herramientas de documentación. No será imprescindible, pero si altamente recomendable, ya que podremos mantener toda nuestra información en un único lugar, ordenada y clasificada.

 

Nuestra plantilla

 

El disponer de una plantilla genérica y preparada para “solo” rellenarla nos puede ahorrar mucho tiempo a la hora de realizar nuestra auditoria. Pero los informes no deben ser únicamente datos “pegados”, debemos darle un formato y una presentación, creando para ello apartados, secciones, epígrafes etc.

Recordemos que el informe ejecutivo, será leído por personal directivo y administrativo de la empresa, los cuales no tienen por qué disponer de conocimientos técnicos, por lo que deberemos adaptar el informe de forma que cualquiera de estas personas entienda en que ha consistido nuestro trabajo. En caso de realizar un solo informe, la parte ejecutiva deberá estar ubicada en las primeras secciones y estar complementado con información que sea entendible a simple vista, como diagramas, resúmenes, esquemas etc.

El informe técnico si deberá de aportar información específica de las labores técnicas que hayamos realizado, tal como direcciones IP, vulnerabilidades encontradas y enumeradas (Con sus correspondientes descripciones), CVE, detalles técnicos, demostraciones de explotación de las vulnerabilidades encontradas, observaciones, consejos y una conclusión como mínimo.

Veamos un pequeño Índice de cómo debería ser un informe:

 – Caratula. (A ser posible con logo de la empresa a auditar).

– Indice.

– Tablas y recursos gráficos.

– Antecedentes.

– Objetivo y alcance de la auditoria.

– Metodología.

– Resumen ejecutivo.

– Detalle de resultados técnicos.

– Bitácora de actividades.

– Resumen y enumeración de vulnerabilidades.

– Conclusiones y recomendaciones.

– Anexos.