La importancia de los informes técnicos
Los informes técnicos son documentos formales, resultado de la investigación de un experto en la materia, o de un equipo multidisciplinar, que recopilan información o evidencias relevantes, con un criterio de independencia y objetividad, sobre un hecho o una situación. Su objetivo es analizar dichas informaciones o evidencias y aportar conclusiones que ayuden a una buena toma de decisiones.
Algunas de sus características principales son:
- Imparcialidad, ya que la información y datos contenidos en el informe deben ser objetivos, evitando las opiniones, puntos de vista o aspectos subjetivos el redactor.
- Orden, en todo lo referente a los datos, en la forma de mostrar la información y el lenguaje utilizado, de tal forma que pueda ser entendido sin dificultades por los destinatarios, facilitando la fluidez de su lectura y la posterior toma de decisiones. Además, si el informe incluye algún tipo de material gráfico, como ilustraciones, capturas de pantalla u otros contenidos, deberán contar con una buena calidad, resolución y accesibilidad, para que sean realmente de utilidad.
- Secuencialidad, el informe debe mantener una estructura concreta y ordenada para la presentación de la información, así como coherencia y cohesión en la información redactada.
- Cronológicos, en aquellas investigaciones donde exista una línea temporal, esta se deberá de indicar.
- Confidencialidad, este tipo de información puede ser sensible o clasificada, por lo que deberán de ser tratados conforme a las normas de intercambio de información o publicación establecidas, como puede ser el TLP.
- Rigor, la información aportada ha de ser rigurosa, contrastable y reproducible.
Estructura de los informes
Aunque existen diferentes tipos de informes técnicos, como los informes forenses, de pentest, de análisis de malware o auditorías, entre otros; todos ellos comparten la necesidad de tener una estructura clara para facilitar su comprensión, lo que incluye la presentación de objetivos, métodos y resultados de las pruebas realizadas, adaptado a diferentes audiencias.
Aunque es habitual que cada empresa o institución utilice un esquema de informe completamente personalizado y acorde a las necesidades exigidas. A continuación, se ofrece una propuesta de estructura general, con los puntos que deberían aparecer.
Portada:
Aunque dependerá del tipo de informe, de forma genérica, la portada incluye información con el objetivo de identificar y clasificar el informe correctamente, será necesario incluir una portada que incluya ciertos datos, como el propio nivel de clasificación, datos sobre el autor/investigador, numeración de la investigación/caso y las fechas de recepción y elaboración del informe.
Índice y control de versiones:
Es común incluir enlaces o accesos directos para que sea fácil moverse por las diferentes secciones del documento, mientras que el control de versiones debe incluir al menos, una descripción de los cambios introducidos en cada modificación del documento con una fecha y autor de los mismos.
Resumen ejecutivo:
Esta sección comunicará al lector los objetivos específicos de la prueba a realizar y los hallazgos de alto nivel del ejercicio de prueba. Los destinatarios de esta parte del informe serán aquellos que estén a cargo de la supervisión del trabajo realizado, así como cualquier miembro de la organización que pueda verse afectado por las amenazas identificadas/confirmadas. Teniendo en cuenta que dichos destinatarios pueden no tener los conocimientos técnicos suficientes o contar con poco tiempo como para entender determinados hallazgos y entrar en detalles, se ha de buscar plasmar la información más relevante, de la forma más resumida posible.
Una puntuación de riesgo general, ayudará a comprender los peligros o amenazas que resultan del análisis, de forma visualmente atractiva, sin tener que entrar en tecnicismos. Para ello, es necesario que el responsable de realizar las pruebas identifique el mecanismo de puntuación y el mecanismo individual para seguimiento/clasificación del riesgo, siendo habitual su cálculo de forma cuantitativa mediante la fórmula RIESGO = PROBABILIDAD x IMPACTO, o de forma cualitativa, mediante la siguiente matriz de riesgo:
En el caso de un análisis de vulnerabilidades, la criticidad vendrá dada por el sistema de puntuación CVSS, cuya última versión actualmente es la 3.1.
Introducción:
Consiste en la descripción de manera clara y sencilla del análisis o temas a tratar, la cual debe ayudar al lector a interpretar qué tipo de información va a encontrar en el resto del documento y por qué.
- Antecedentes: donde se explicará al lector el histórico o la motivación por la que se ha realizado el informe técnico. Por ejemplo: porque se ha detectado una exfiltración de información, porque lo exige el cumplimiento de una norma, o un procedimiento etc., además del propósito general de la prueba realizada o cualquier otro detalle que deba tenerse en cuenta para la adecuada interpretación de los resultados recogidos en el informe.
- Objetivo: en esta sección se presentará de forma clara y detallada lo que se busca mediante el trabajo científico o técnico de investigación o desarrollo llevado a cabo. Por ejemplo, la realización de una prueba de intrusión tiene el propósito de verificar la efectividad de los controles de seguridad implementados por un sistema para proteger la información crítica y el informe hará visibles los hallazgos de la evaluación y las recomendaciones asociadas, para ayudar a fortalecer la postura de seguridad del sistema.
- Alcance: este campo limita el perímetro de actuación del estudio. Básicamente sirve para determinar los límites espaciales o temporales del estudio. Por tanto, el informe deberá abordar la completitud del alcance, ni más ni menos. O en su defecto, justificar por qué se han analizado partes fuera del alcance, o por qué se han dejado partes sin analizar. En algunos casos, durante el curso del análisis pueden aparecer excepciones a considerar.
- Incidencias: si durante el transcurso del análisis o pruebas se ha tenido que adaptar, o incluso cambiar, el alcance del mismo, será necesario registrar todos estos cambios o incidencias, enumerándose en esta sección del informe. Además, el documento donde se aprueba dicho cambio debe incluirse en el apéndice del informe y vincularse desde esta sección.
Metodología:
En esta sección, se indican las normas o el conjunto de procedimientos que se han seguido, para llevar a cabo la tarea encomendada.
En el caso de aplicar técnicas OSINT es recomendable detallar cuáles se emplean y por qué.
Resultados obtenidos:
Esta sección es la principal y la más extensa del informe, en ella se plasmarán los detalles técnicos de los hallazgos, además de todos los aspectos y componentes acordados como indicadores clave de éxito dentro del alcance pactado o previsto. Describirá en detalle el alcance, la información, direcciones o rutas relevantes en la obtención del hallazgo, el impacto.
Por su propia naturaleza, esta sección del informe va a ser particular en función del tipo de informe, exponiendo los resultados, reforzándolos con evidencias.
Deberán detallarse las vulnerabilidades o fallos encontrados y clasificarlos según los criterios que se hayan definido. También es relevante, especialmente en el caso de análisis forenses, incluir fechas o registros horarios que identifiquen los hallazgos y la cadena de custodia. Para ello suele utilizarse un ‘timeline’ o línea temporal, donde se van a ir estableciendo las etapas de los procesos que forma el análisis y los resultados obtenidos.
Conclusiones y recomendaciones:
Las conclusiones generales proporcionarán una sinopsis de los resultados obtenidos. Pueden reforzarse mediante representaciones gráficas de los objetivos probados, los resultados de las pruebas, los procesos, los escenarios de ataque, las tasas de éxito y otras métricas relevantes conforme a lo definido previamente.
También pueden añadirse recomendaciones de mejora en caso de ser necesarias, que deberían proporcionar al destinatario una comprensión de alto nivel de las tareas necesarias para resolver los riesgos identificados y el nivel general de esfuerzo requerido para su implementación.
Glosario de términos (opcional):
Un glosario de términos ayuda al lector a mejorar la comprensión del contenido, permitiendo la consulta de tecnicismos o acrónimos que puedan aparecer en el cuerpo del informe, de forma organizada y fácilmente localizables. En él, por orden alfabético, el lector encontrará cada palabra clave y su definición.
Anexos (opcional):
En este apartado se incluirá la documentación adicional que refuerce y complete el informe y que por su extensión o particularidad no pueda incluirse en ninguno de los apartados anteriores. Pueden incluir pruebas detalladas, evidencias completas, scripts, referencias en Internet, logs generados por el sistema que se esté analizando, volcados de memoria, porciones de código, etc.
Es habitual incluir dentro del cuerpo del informe partes relevantes de dichas evidencias para destacar hallazgos e incluir el contenido completo en los anexos.
Algunas herramientas para la confección de informes técnicos
Una vez vista la propuesta de estructura y sabiendo que cualquier paquete ofimático que incluya procesador de textos y hojas de cálculo puede ser una herramienta válida para la elaboración de informes. Vamos a enumerar algunas herramientas que pueden resultar útiles.
- Dradis: se trata de un marco de proyecto de seguridad de código abierto, multiplataforma y extensible, para la colaboración y la generación de informes.
- Serpico: herramienta diseñada para crear informes de seguridad de la información, que admite la utilización de plantillas y lenguaje de marcas.
- Petereport: con el objetivo de que el investigador disponga de más tiempo para hacer pruebas, permite detallar aquellos datos significativos para la obtención del hallazgo, como rutas, ataques, etc. Además, permite la gestión de una base de datos de plantillas de hallazgos.
- PwnDoc: permite generar ficheros de Word personalizables, con el objetivo principal de agilizar el proceso de documentación de resultados.
- JasperReports Library: biblioteca Java open source que ofrece un motor de creación de informes. Puede utilizarse un editor XML o bien utilizar herramientas de diseño gráfico, aunque estas últimas suelen ser de pago.
- LibreOffice: suite ofimática que incluye entre sus herramientas procesador de texto, hoja de cálculo, presentaciones, base de datos, creación de diagramas, entre otros. Es Open Source y multiplataforma.
- Plaso: para la elaboración de timelines.
Además de esta pequeña muestra, muchas aplicaciones específicas incluyen sus propias herramientas de creación de informes. En este caso, al venir integradas, pueden ser más sencillas de manejar, pero disponer de recursos adicionales, puede significar la diferencia entre un informe mecánico a un informe más personalizado.
Conclusión
La elaboración de un informe técnico es una tarea recurrente entre profesionales y, aunque existen informes de todo tipo, lo importante a la hora de abordarlos es comprender el público al que va dirigido y lo que espera de su lectura.
Otra estrategia para realizar un informe con éxito, puede ser ir elaborándolos de forma paralela a la investigación, en lugar de esperar al último momento, cuando puede resultar más complicado y tedioso, al carecer u olvidar alguno de los detalles necesarios.
Por último, hay que tener en cuenta que los informes son el resultado del trabajo realizado y, por tanto, pueden suponer tanto el éxito, como el fracaso del mismo. De ahí la importancia de elaborarlos con el cariño y dedicación que se merecen.