Este documento presenta un reporte de prueba de intrusión que incluye un resumen ejecutivo, el ámbito de la prueba, los supuestos, objetivos, duración, resumen de hallazgos y recomendaciones. Además, detalla el método de intrusión utilizado, los hallazgos encontrados de manera individual y las referencias consultadas. El reporte provee una descripción general y detallada de los resultados de una prueba de penetración realizada a uno o más sistemas de información.
1. GISEPROI
Reporte de Prueba de Intrusión
Reporte Prueba de
Intrusión1
<Fecha del reporte>
<Nombre Completo del investigador>
<correo electrónico>
<Empresa a la que pertenece>
1
Construido a partir de las recomendaciones descritas en: Alharbi, M. Writing a Penetration Testing
Report. SANS Institute, 2010.
Universidad Distrital Francisco José de Caldas
2. GISEPROI
Reporte de Prueba de Intrusión
Historial de Cambios
Versión Fecha Descripción cambios Responsable(s)
Tabla: Cuadro historial de versiones
Universidad Distrital Francisco José de Caldas
3. GISEPROI
Reporte de Prueba de Intrusión
Resumen Ejecutivo
<Reporte conciso que muestra los resultados en lenguaje no técnico>
Ámbito de la Prueba
<Listado de aplicaciones, servicios, servidores, puertos, rango de direcciones, etc; sobre los
cuales se aplica la prueba de intrusión>
Supuestos
<Estado de los sistemas (o del ecosistema de la prueba) antes de iniciar la prueba>
Objetivos
<Colocar los objetivos de la prueba de penetración>
Duración
<Tiempo exacto que duró la prueba>
Resumen de Hallazgos
<Listado de los resultados de la prueba de intrusión>
Recomendaciones
<Pasos a seguir para disminuir el impacto de los hallazgos de la prueba de intrusión>
Interesados
<Conjunto de personas/roles/organizaciones que tienen interés directo o indirecto en la
realización de la prueba de penetración>
Nivel de Confidencialidad
<Abierto: El reporte puede ser consultado por cualquier persona, Protegido: El reporte puede
ser consultado por un conjunto de personas autorizadas quienes a su vez pueden otorgar
privilegios de consulta a otras personas, Confidencial: El documento solo puede ser consultado
por un conjunto limitado de personas autorizadas quienes no pueden divulgar su contenido, el
reporte usualmente es protegido por firmas digitales>
Control de Distribución
<Para reportes protegidos y confidenciales se debe llevar un inventario de las copias
distribuidas>
Universidad Distrital Francisco José de Caldas
4. GISEPROI
Reporte de Prueba de Intrusión
Copia No Responsable Fecha Rol
Método de Intrusión
<Descripción de los pasos seguidos para recolectar información, analizarla y el método de
análisis de riesgo aplicado a cada vulnerabilidad. Incluye las herramientas y mecanismos de
intrusión utilizados.>
Hallazgos Detallados
<En esta sección se presenta de manera detallada cada uno de los hallazgos: Vulnerabilidades
detectadas, Impacto en el sistema, Facilidad de reproducción - es decir, grado de complejidad
que supone la intrusión, evaluación del riesgo del hallazgo, recomendaciones específicas para
el hallazgo >
Referencias
<Listado de recursos bibliográficos, de internet, foros, etc; que se utilizaron de manera directa
durante la prueba de intrusión. Debe estar elaborada siguiendo un único estándar que
garantice que cada uno de los recursos puede ser ubicado (por ejemplo formato APA) >
Universidad Distrital Francisco José de Caldas