Capítulo 13. Informar

En de toda la información de este libro, en este capítulo se tratan algunos de los temas más importantes, pero que a menudo se pasan por alto. Aunque puedes pasar mucho tiempo jugando con los sistemas, al final del día, si no generas un informe útil y procesable, tus esfuerzos habrán sido más o menos baldíos. Seguro que te has divertido, pero es poco probable que te paguen por esa diversión. El objetivo de cualquier prueba de seguridad es siempre hacer que la aplicación, el sistema o la red sean más capaces de defenderse, ya sea endureciéndolos mejor o mediante mejores capacidades de detección. El objetivo de un informe es transmitir tus hallazgos de forma que los identifiques claramente y cómo remediarlos. Esto, como cualquier otro trabajo de pruebas, es una habilidad adquirida. Encontrar problemas no es lo mismo que comunicarlos. Si encuentras un problema pero no puedes transmitir adecuadamente la amenaza para la organización y cómo remediarla, el problema no se solucionará, dejándolo abierto para que lo aproveche un atacante.

Una cuestión seria con la generación de informes es determinar la amenaza para la organización, el potencial de que esa amenaza se materialice y el impacto para la organización si la amenaza se materializa. Puede que pienses que utilizar un montón de superlativos y adjetivos para destacar un asunto grave es ...